在 AIX v7 中,IBM 再次专注于通过下列特性改进这些安全选项,即基于域的 RBAC、EFS 的改进加密、Internet 协议安全 (IPSec) 和 Trusted Execution,以及对 Common Criteria CAPP/EAL4+ 安全认证的其他更新。让我们仔细看一下 AIX Security Expert、RBAC 和 Secure by Default (SbD)。
AIX Security Expert
AIX Security Expert 首次出现是在 AIX v5.3 tl05 中,在 AIX v6 和 v7 中进行了明显改进。它由基于策略的规则构成,这些规则可通过在您的系统上将级别设置为其中一个默认选项(低、中、高或 Sarbanes Oxley (SOX))进行实施。在 AIX v6 中增加了 SOX 选项,提供强制实施密码策略、违背和安全活动报告、防火墙体系结构和恶意软件保护。例如,SOX 需要启用审计功能,并禁用所有直接 root 登录。它还启用 IPSec 并支持防止端口扫描的筛选规则。
要记住的是,中、高或 SOX 安全性禁用了许多网络级别的功能和其他应用程序,因此首先应彻底地测试它。例如,将级别设置为“高”会禁用 rlogin、FTP 和 telnet。因此,应在使用此设置之前配置和测试 OpenSSH。
AIX Security Expert 从一个具有模板的界面控制超过 300 个设置,这些模板作为设置的起到,稍后可对它们进行自定义。设置好级别后,可构建策略的一个 XML 文件,以用于进行未来的一致性检查。还可以将此文件导出到其他系统,以便将它们设置为相同的选项,或者可以将这些设置加载到 Lightweight Directory Access Protocol (LDAP) 以在系统之间进行传播。
基于角色的访问控制
在 AIX v6 中,访问控制的主要变化是增强 RBAC 的实施。它支持管理员将具体资源的管理权限授予除 root 用户之外的其他用户,或者是分配程序的具体管理权限,并降低在 root 用户下或通过 setuid 运行这些程序的需要。理念是将日常管理任务委派给非 root 用户,减少管理系统所需的 root 用户的数量。
此外,增强 RBAC 是实现工作负载分区 (WPAR) 所必需的,并且现在是安装系统时的默认选项。新 RBAC 允许分配具体的角色,替换并改进 sudo 等工具提供的许多功能。现在,可以设置并控制进程、文件和设备的权限。在登录时,默认不会分配任何角色,因此用户没有任何真正的权限。相反,swrole 命令用于切换到正确的角色,以便用户可以执行他们所需的特权命令。这允许您拥有多个管理员并根据用户需要执行的功能来提供分层安全级别。此外,由于每个人使用自己的帐户并且没有人作为 root 用户登录,因此您可以提供谁何时进行什么操作的详细信息,这是审核人员所必需的。
RBAC 有三个主要元素:授权、角色和权限。授权用于授予对某人需要执行的命令或功能的访问权限。有几种预定义的系统授权,包括最顶级的 AIX 权限。如果您在之前的版本中一直使用 RBAC,则需要将授权迁移到新格式。角色会分配给用户并作为一组授权的容器。权限用于授予对流程的访问能力,以执行特定的权限操作。当用户发出 swrole 命令时,他们接收分配给该角色的授权和权限,以及必要的访问。一旦他们切换出该角色,将失去刚才的授权和权限。
尽管可以将所有 RBAC 信息存储在一个 LDAP 数据库中,但是默认文件位于 /etc/security 并且它们名为 privfiles、privdevs、authorizations、privcmds 和 roles。记住,系统希望权限设置的文件等内容已存在。此外,现在由内核授予权限,因此在进行更改后更新内核安全表很重要。这使用 setkst 命令来完成。进行研究的有用命令是:lsrole ALL、lssecattr、swrole、ls - ltra 和 swrole。
在 AIX v7 中,改进了 RBAC 来提供域支持。这使您能够将管理权限限制到一个特定的相似资源组,比如可用网络适配器的子集。这可用于将管理员权限限制为仅与特定 LPAR 相关的资源。可使用域来控制对卷组、文件系统、文件和设备的访问。在 AIX v7 中引入了域,现在也可在 AIX 6 Technology Level 6 中使用它。
Secure by Default (SbD)
SbD 是一个安装选项,确保系统仅安装了最少的文件集组(大约 100 个)。这确保在安装完系统时,它具有很好的安全性。大多数网络文件集都未安装,因此在确定需要哪个文件集时要单独安装它们。目的是具有运行 AIX 所需的最少文件集,从而最大程度地降低安全风险。这种安全方法在您明确添加文件集之前不会发生任何操作。在这种情况下,它意味着稍后应添加其他文件集以提供除相当小的系统之外的功能。将 SbD 与 AIX Security Expert 结合起来使用时效果最佳,可密切控制每个系统的安全配置。
更安全、更省心
这三种 AIX v7 改进(与包含网络安全、防火墙和 SSH 的分层安全计划结合使用时)支持获得更高级别的安全性。AIX Security Expert 可确保管理员使用最少的努力在所有系统之间实现一致的安全选项。
关于作者
Jaqui Lynch 是 IBM Systems Magazine, Power Systems - AIX 版的技术编辑和 Mainline Information Systems 的资深系统工程师。
http://www.ibm.com/developerworks/cn/aix/systemmaga/8/aix7_enhance_security/index.html
免费注册
发表于 2012-01-19 11:25