（转帖）AIX 6 的安全新特性

dada99

IBM 应该在上周已经正式的发布了最新的 AIX 6 操作系统（不再是Beta版了）。目前，很多人都会比较想了解 AIX 6 的最新功能。这篇文章就是介绍 AIX 6 的安全性的，这个也是新版本比较重点的新特性之一。
原文：http://www.ibm.com/developerworks/cn/aix/redbooks/AIX_v6_security.html?ca=dgr-cn-cu&

本文向您介绍了 IBM 最新的操作系统-AIX 6 的安全特性，相对于 AIX 5L它增加了那些新的安全方面的新功能，它能给系统管理员，公司的CIO，开发人员等在安全方面带来那些新的惊喜，读过这篇文章你就会有一个大概的了解。文章是节选自 IBM 的红皮书《AIX V6 Advanced Security Features Introduction andConfiguration》。

            概述企业中的安全性
            首先，我们将描述 AIX V6 中新的安全特性如何处理传统 UNIX®安全模型中的某些问题，以及现在的业务所碰到的各种问题。计算机安全领域是一个动态的、不断变化的领域，在这个领域中，企业必须不断地集成和组合使用许多机制，以处理各种不断变化的威胁。要创建一种合适的安全策略，组织必须了解它的优势与劣势、资产的价值，以及所面临的威胁来源。
            企业的安全性包含很多方面。对于 IT安全性来说，操作系统安全提供了基础，以便软件栈中的其余部分能够在此基础上构建自身的安全。从历史的角度而言，AIX提供了很强的操作系统安全性。AIX V6 构建于这种安全性之上，并且提供了许多安全特性，以解决不同的操作环境所面临的各种威胁。
            通常，安全威胁被认为是来自外部组织的各种活动，并且常常使用防火墙和 DMZ为企业环境设置相应的保护。各种计算机取证数据一致地显示了企业中经常发生的入侵。这种情况常常令人感到不安，并且一定程度的拒绝可能表示计算机安全措施的不足。安全隐患包括因疏忽而导致的误用，或者对系统的错误配置，从而有意地损坏或者盗取知识产权。情绪不满的雇员、甚至“间谍”都可能对系统造成严重的破坏，因为他们非常了解所使用的安全系统。例如，在很多企业网络中仍然使用明文的密码。使用全局和虚拟的工作区通常可能会造成更多的问题，在这种环境中，宝贵的知识产权内容并不在有效的边界之内。
            这种问题无法通过某个程序或者某种技术来解决，但是必须组合使用各种技术、业务、实践，以及社会工程来构造一个完整的安全模型。通常，安全解决方案可能难以理解，或者难以实现。组织必须首先了解对于他们特定的情况所存在的威胁类型，以及遭受安全破坏时所付出的代价。有人将其描述为数据的“毒性”。如果丢失数据所付出的代价非常大，如违反保护保密性和隐私性的法律要求，那么企业就必须在保障系统安全方面倍加注意。AIX创建了一些相关的工具，以简化和增强管理员在操作系统中确保数据安全的能力。
            安全威胁的类型
            可以将计算机系统所面临的威胁分为不同的类别。其中一种主要的类别是系统完整性方面的威胁。产生这种类型的威胁的原因是，系统中存在一些恶意模块，它们将使得系统门户大开，以便将来从内部或者外部对系统进行访问。它还可能使得系统中的关键文件和数据更容易遭到破坏。系统完整性是系统的所有其他安全方面的基础。如果系统完整性受到破坏，那么该系统中所有的决策和操作也可能受到破坏，因为一些关键的系统文件和行为无法受到信任或者进行预测。
            对于计算机系统而言，另一种常见的威胁是未经授权的访问的威胁。可能通过几种不同的机制来实施这种威胁。直接蛮力攻击（如密码破解软件），或者一些更加隐蔽的攻击（如利用网络软件的漏洞获取访问权限），都可能导致未经授权的访问。
            一种更直接的、未经授权的访问威胁是，未经授权的系统管理员访问。缓冲区溢出是一种用于实现未经授权的访问的常见机制。这种类型的攻击将向某个程序提供比其预期的内容更多的输入数据。对额外的输入数据进行精心地设计，使其成为某种类型的可执行指令集。当这个程序运行时，数据区将会溢出到栈区，并且当该程序返回时，将执行溢出的数据。通常，将执行一些特权命令或者可执行文件。它将以特权状态在堆栈中执行相关的代码。这些常用机制的目的是，获取访问受保护的文件或者目录的权限。幸运的是，AIX 5L V5.3 和 AIX V6.1中的增强功能提供了一些相关的特性，以便通过适当的策略配置、授权的定义、以及对所执行的代码进行密码验证，专门减少或者消除这些机制的使用。还可以通过资源的隔离来实现这种保护。
            在计算机系统所面临的威胁中，违反用户安全策略的威胁是另一种常见的威胁。在正常情况下，系统中的用户具有拥有和创建文件的授权和能力，并且限制其他用户访问这些文件。另一种威胁是，绕过用户控制的保护机制的威胁，从而在未经所有者允许，或者在所有者不知情的情况下，查看或者修改用户的目录和文件。这些攻击的示例包括超级用户攻击以及病毒/特洛伊木马攻击。特洛伊木马攻击可能包括各种形式，其中通过一个代理进程以用户的身份（如 Java™Applet）执行违反用户安全策略的操作。
            对于安全管理员来说，违反站点安全策略的威胁是需要重点关注的。在正常情况下，一个站点具有它自己的安全策略，这些策略将强制实施，而不依赖于适当的用户行为或者自愿性的站点策略服从。
            例如，通常使用相同计算机系统的人可能来自不同的组（例如，人事部门和会计组），但是每个组所关联的文件只能由该组中的成员进行访问。还有一种威胁，即用户可能不小心、或者有意识地共享某个文件、或者某个文件的副本，从而允许没有经过授权可以访问该信息的用户对其进行访问，尽管这两个用户在系统中都是授权的用户。标准的 UNIX 系统没有提供相关的机制以禁止这种类型的用户活动。
            计算机专业人员和业务实践专业人员越来越重视另一种威胁，即缺少用户职能和审核的威胁。在出现破坏时，或者在正常的业务监视过程中，存在另一种威胁，系统管理可能无法将系统中的活动与发起或者允许该活动的单独责任联系起来。缺乏审核系统、审核系统无法保护审核文件、审核系统无法启用，或者系统无法正确地将用户与系统活动关联起来，都可能导致这种威胁。
            AIX V6.1 安全特性及其处理的威胁
            通过将各种对策内置到 AIX 中（无需向客户收取任何额外的费用），AIX安全增强功能可以解决各种类型的威胁。这些特性使用不同的安全和密码机制来确定和维护系统所需的状态。AIX V6.1 在常规 UNIX机制的基础上提供了更多的机制，以确保对计算机系统中各种组件和数据的信任。表 1 显示了各种威胁，以及所提供的用于处理这些威胁的特性。
            
表 1
            威胁特性说明系统完整性Trusted Execution确保不会对二进制代码进行更改，并且不会执行任何恶意的代码。系统完整性AIX Security Expert通过设置安全策略减少安全隐患。系统完整性Trusted AIX多级别系统中可信计算的基础。未经授权的访问AIX Security Expert为网络、密码设置相应的策略。未经授权的访问Role Based Access Control对特权操作进行细粒度的控制。未经授权的访问Secure by Default减少网络访问。未经授权的访问File Permission Manager减少 setuid 位未经授权的访问Encrypted File System未经授权的用户无法读取文件。未经授权的系统管理员访问Role Based Access Control将 root 分为不同的角色，并为进程设置相应的权限。未经授权的系统管理员访问Trusted AIX删除 root 的概念。违反站点的安全策略AIX Security Expert安全策略集中化违反站点的安全策略Trusted AIX在没有 root 概念的情况下进行访问控制。未经授权的系统管理员访问AIX Security Expert启用审计功能。未经授权的系统管理员访问Trusted AIX审计重点的内容和资源。