关于AIX系统文件安全性方面的几点考虑

chucknancy

关于AIX系统文件安全性方面的几点考虑

这篇文章主要讨论在AIX系统上如何检查文件、目录和可执行程序的安全性，以防止可能的安全方面的隐患。
1. 删除垃圾文件
很多程序运行完毕后，会在/tmp目录下留下很多的垃圾文件。AIX系统提供一个命令skulker，它可以删除/tmp目录下的a.out文件、core文件和ed.hup文件。具体的命令执行方式为：
      # skulker -p
2. 删除无所有者的文件
在AIX系统上如果一个用户被删掉后，原来属于这个用户的文件将变成无所有者的文件。可以用下面命令来找出这些文件：
      # find / -nouser -ls
如果找出得文件还有用，可将它们指定到已存在的某些用户下。否则就删除这些文件。
3. 管理未授权的远程访问
某些程序使用.rhosts文件访问远程系统。但有时这种做法会被未授权的用户使用。为避免这种情况，可删除.rhosts文件。
在HACMP环境下，.rhosts文件是需要的。这时需要将.rhosts文件的访问权限设为600，并且是所有者是root.system。
可用下面命令查找.rhosts文件：
      # find / -name .rhosts -ls
4. 监视可执行文件的属性
在监视某些可执行文件之前，需要了解这些文件是如何被使用的。尤其是要监视那些所有者是root，文件方式字中有SUID和SGID设置的文件。
通过以下命令可以找出满足上面条件的所有文件：
      # find / -perm -4000 -user 0 -ls
      # find / -perm -2000 -user 0 -ls
保存上面命令的输出结果。定时运行这两条命令，并与保存的结果相比较，看是否有未知的文件出现，以杜绝可能的安全隐患。
5. 管理cron和at运行的后台作业
必须做如下内容：
- 确认只有root用户在cron.allow和at.allow文件里。
- 从目录var/adm/cron中删除cron.deny和at.deny文件。
- 确保cron和at作业的所有者是root并且只能由root可写。
上面所谈的内容对AIX系统在文件方面的安全性有指导意义。在具体考虑使用AIX系统的安全性时，还应该考虑更多方面的内容。

1. 删除/etc/rc.dt文件
虽然运行CDE图形环境方便了用户使用AIX，但同时也带来了安全隐患。所以，对于那些要求较高安全性的系统来讲，就不应该运行CDE。
最好的方法是不安装CDE（dt）软件包。如果已经安装了这些软件包，应考虑删除它们，尤其是启动CDE的脚本文件/etc/rd.dt。
2. 屏蔽X服务器的远程监视功能
一个很重要的安全问题是X11服务器的远程监视机制。xwd和xwud常被用于监视X服务器的活动状况，它能够捕捉到键盘的敲击结果，因此可能泄露密码或其它敏感信息。
为防止这种情况的出现，可以删除这些可执行程序或者将其执行权限定为root可以执行。
xwd和xwud可以在文件包X11.apps.clients中找到。
如果需要使用xwd和xwud命令，可以考虑使用OpenSSH或MIT Magic Cookies。这些第三方厂家的软件可以有效的防止使用xwd和xwud命令时带来的风险。
3. 禁止用户使用xhost命令
确保只有指定的用户可以使用xhost命令，或指定只能超级用户才能使用，方法是运行chmod命令修改/usr/bin/X11/xhost的属性：
# chmod 744 /usr/bin/X11/xhost
确认在运行xhost命令时，指定hostname，否则将允许所有的远程主机访问本机，这将带来潜在的危险性。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/8211/showart_1118949.html