简单翻译的网文

tomcat8890

AIX审记检查单\r\n\r\n1．        准备工作\r\n\r\na.        获得负责操作环境的组织架构图\r\nb.        获得已有的安全控制手续\r\nc.        获得网络配置描述\r\nd.        获得操作系统上运行的系统（应用）的列表\r\ne.        获得系统管理员的职责描述\r\n\r\n2．        安装审记\r\n\r\na.        评价系统安全设计标准\r\nb.        确定用户访问是否通过操作系统、数据库管理系统或者前端应用系统界面\r\nc.        确定是否有可遵循的文档标准\r\nd.        确定谁负责操作系统安全管理\r\ne.        确定口令编制和管理标准\r\nf.        评价已有的用户、组和功能（function）的安全方针\r\n\r\n3．        物理安全\r\n\r\na.        评价网络配置以确保所有网络组件都是物理上安全的，包括文件服务器、交换机、路由器、网关、终端服务器和调制解调器\r\nb.        确认物理网络配置变更的责任人和必须的文档：这些过程是有效的吗？所有变更都记录在案吗？用户和其他相关人员都被适时告知了吗？\r\nc.        确保只有系统管理员或者被授权人能接触服务器的控制台，并可以利用软驱重新启动服务器，设置新的根口令\r\n\r\n4．        系统管理\r\n\r\na.        识别所有系统管理员\r\n\r\n$grep :0:  /etc/passwd\r\n\r\nb.        确定管理员需要这（哪？）一级权力\r\nc.        确定用户、组、界面（menu）、权限、用户脚本、硬件和系统软件的变更流程\r\nd.        确定由正确的人或组织负责支撑服务器的网络的监控\r\ne.        确定由正确的人或组织负责服务器的停机和备份\r\nf.        确保系统管理员有冗余备份人员，或者最起码他们的管理员ID和口令保存在紧急情况发生时候能确保安全的地方\r\ng.        确定有专人负责保管软件授权\r\n\r\n5．        系统安全\r\n\r\nAIX的系统管理接口是SMIT，可以在命令行执行smit(ty)进入\r\na.        系统安装时候管理员创建了audit check sum files，这些文件使系统安全管理员可以检查系统安装后配置是否发生变化。这个文件应该包含一段段信息，每段信息对应一个文件的下列信息：\r\n\r\nfield                          comments\r\n\r\n   acl                        contains both base and extended access control list data for the file\r\n   class                        a logical group to which this file belongs                \r\n   pathname                Absolute pathname\r\n   owner                        Ether symbolic or numeric ID\r\n   group                        Either symbolic or numeric ID\r\n   mode                        Symbolic representation as displayed by the ls -l command\r\n   size                        Size of the file in bytes.  Major and minor numbers are listed for devices\r\n   links                        Number of hard links to pathname\r\n   version                Numeric value, reported by what(1).\r\n   Checksum                File contents computed by a checksum algorithm.  This field reflects the\r\n                    slightest change to a file, even a single character.\r\n   Symlinks                Indicates whether the file has symbolic or hard links                                \r\n   Program                the associated checking program\r\n   Source                the source file for this file\r\nType                        the type of file\r\n\r\n产生文件的过程很简单，产生的文件保存在一个安全路径下。\r\n动态安全检查周期运行，确保这些关键文件在未经授权时不被修改。\r\nb.        确人系统是否运行在受信（trusted）模式\r\n\r\n/etc/security/passwd               For the password file\r\n\r\n一个受信系统会将主口令文件/etc/passwd中的口令加密保存到/etc/security/passwd，同时\r\n/etc/passwd中passwd域的值会被”!”代替。\r\n此外，一个受信系统会强制要求每个用户必须设置口令，为每个用户创建一个审记ID，将现有用户的审记标记打开，转而让at、batch和crontab文件使用送检人（submitter，就是开启审记功能的人）的审记ID。\r\nc.        确定审记功能是否已经开启。通过下面的文件定义审记事件：\r\n\r\n/etc/security/audit/events\r\n\r\n确定可审记事件的最小集合已经被记录。\r\n通过/etc/audit start激活审记功能，审记功能用到下列文件：\r\n\r\n                /etc/security/audit/config                        configuration information\r\n                /etc/security/audit/events                        audit events of the system\r\n                /etc/security/audit/bincmds                backend commands \r\n                /etc/security/audit/streamcmds        commands that process stream data\r\n                /etc/security/audit/objects                information about audited objects\r\n\r\nd.        评估审记日志确定是否有未经授权的事件发生\r\ne.        评估inittabs确保所有动作经过授权并且对该文件的访问受到正确限制\r\n\r\n$cat /etc/inittab\r\n\r\nf.        评估所有rc.脚本，确保只有正确的程序被执行\r\ng.        评估sulog找出可以行为\r\nh.        确保在正确的基线上完成系统备份，并将备份妥善保管\r\n\r\n6．        帐户安全\r\n传统unix系统中可以用ls –l 命令列出目录及其中文件的权限，在受信系统中可以使用lsacl命令查看特定文件有什么相关权限，并用chacl命令改变文件的访问控制列表（ACL）。ACLs与具体文件或目录有关，安全管理员可以定义不同的权限给个人或者组。\r\na.        获得用户帐号列表并确认这些帐号在系统中仍然是活动的\r\n\r\n$cat /etc/passwd\r\n\r\n这些是和帐户相关的文件：\r\n\r\n                /etc/security/ids                uid sequence number\r\n                /etc/security/logins.cfg        contains rules for password quality\r\n                /etc/group                        group definitions\r\n                /etc/security/group                additional group information and flags\r\n                /etc/passwd                        user account file\r\n                /etc/security/passwd        encryption passwords\r\n                /etc/security/user                contains user extended attributes\r\n                /etc/security/environ        contains environmental attributes for users\r\n                /etc/security/limits                contains file limits\r\n                /etc/security/failedlogin        contains an entry for every time a login fails\r\n\r\nAIX还有一个额外的文本文件保存系统中每个帐户的一段信息：\r\n\r\n        $cat /etc/security/user\r\n\r\n另一个对用户限制的文件是/etc/security/limits，包含下列信息：\r\n\r\n                fsize                is the largest file a user can create\r\n                core                 is the largest core file allowed in units of 512 bytes.\r\nCPU        is the maximum number of CPU-seconds a process is allowed before being killed.\r\n                data                is the largest data segment allowed, in units of 512 bytes.\r\n                stack        is the maximum stack size a process is allowed\r\n                rss                is the maximum real memory size a process can acquire\r\n\r\nb.        获得组帐号列表并确认这些帐号在系统中仍然是活动的\r\n\r\nAIX Checklist\r\n\r\n组文件包含一些系统预先定义的组：\r\n\r\n                system\r\n                staff\r\n                bin\r\n                adm\r\n                uucp\r\n                mail\r\n                security\r\n                cron\r\n                printq\r\n                audit\r\n                ecs\r\n                nobody\r\n                usr\r\n\r\na.        评估关键系统路径和文件的访问控制权限。此外，评估应用路径和文件的访问控制权限，例如：\r\n\r\n      $ ls memos\r\n      -rwxrwxrwx 1 frank system  0635 01/12 memos\r\n\r\nChmod命令仍然可以用来修改文件的权限，而且如果文件有ACLs也只能用chmod修改权限。ACL相关命令：\r\n\r\n      $aclget        gets the ACL for a file\r\n      $aclput        sets the ACL for a file\r\n      $acledit        combines aclget and aclput\r\n\r\nb.        评估哪个用户和组有特定路径和文件的写权限\r\nc.        Umask值需要设置为027，该值可以在/etc/profile（用户每次登录都会执行）和用户自己的.profile文件中设置。/etc/profile还可能包含PATH，要确保PATH的路径是正确的。在AIX的/etc/profile中还有一个参数：\r\n\r\nTMOUT/TIMEOUT         defines the time (in seconds) that a user can be idle before being\r\n                            automatically logged out of the system.  TMOUT is used by ksh\r\n\r\nd.        评估系统的setuid和setgid程序，并与经过认证的授权程序列表对比。通过find命令可以找出root用户所有的setuid和setgid程序：\r\n\r\n     $ find / -user root -perm -4000 -exec ls -l {} \\;\r\n\r\n     This find command will list root owned setuid programs\r\n\r\n     $ find / -user root -perm -2000 -exec ls -l {} \\;\r\n\r\n     This find command will list root owned setgid programs\r\n\r\ne.        口令安全\r\n\r\n检查并确保所有用户都设置了口令；\r\n检查并确保所有用户都使用加密（shadow）口令系统\r\n检查并确保没有重复的UID\r\n评估所有UID为“0”的帐户\r\n确认/etc/passwd中列出的帐户都仍然是有效的\r\n确定口令有合适的生命周期（在password文件相应域有必要的信息）\r\n确定所有口令不短于6个字符\r\n确保所有新设置或者修改后的口令可以应对“hacker dictionary”\r\n\r\nf.        伪帐号\r\n\r\n多数UNIX系统都有伪帐号，并不与实际的用户相关也不需要相应的交互登录shell。要确保这些帐户的口令域被正确保护不能登录，可以用“NP”填补口令域。下列用户不能出现在/etc/passwd文件中：\r\n\r\n               date\r\n               who\r\n               sync\r\n               tty\r\n\r\n        确保下列用户作为伪用户：\r\n\r\n                  bin\r\n              daemon\r\n              adm\r\n              uucp\r\n              lp\r\n              hpdb\r\n              guest\r\n              nobody\r\n              lpd\r\n\r\ng.        用户主路径\r\n\r\n确保用户主路径及其下文件只有该用户和root用户可写；\r\n确保.profile 、.cshrc和.login文件只有该用户可写；\r\n仔细研究是否有必要使用.rhosts文件；\r\n确保.netrc文件没有被使用，因为远程登录用户可以通过它跳过.login验证甚至包含用户的非加密口令。如果要用，也只能该用户可读写。确保root用户的.profile有正确的PATH变量值，并且之前不能有.\r\n\r\nA good PATH                                                A bad PATH\r\nPATH=/bin:/usr/bin:/etc              PATH=.:/bin:/usr/bin:/etc\r\n\r\nh.        用户stanza\r\n\r\n/etc/security/user文件包含了系统中每个用户的一些默认信息：\r\n\r\nadmin        表明这个用户是否管理员。只有root用户可以修改这个属性的值。如果是管理员，值为yes/true/always，默认是no.\r\n        daemon         defines whether this user can use the cron and SRC daemons.\r\nexpires        指明用户过期时间。默认格式是MMDDhhmmYY。默认值是0表明此用户永不过期。\r\nlogin        controls login from a local terminal.  If you specify false here the userid is locked for all locally attached terminals but might not be locked for remote access.\r\nrlogin         controls login from a remote terminal or port.  It controls whether or not this userid can be accessed remotely via the rlogin command.  It does not prevent local logins\r\ntelnet        defines whether this userid can be remotely logged into with the telnet command.  If used in conjunction with login and rlogin a userid can be secured from anybody logging into that userid, but it is not secured against the use of su.\r\n        su                controls whether other users can switch to this account by using su command.\r\nsugroups         controls which groups can switch to this userid by using su.  If an ! precedes the group name it denies access for that group.  The ALL keyword means that all groups have access (the default).  A blank indicates the default, i.e. ALL \r\ntpath        indicates        trusted path characteristics.  Trusted path is part of the trusted computer base which ensures that the user only access directories and files that are considered safe.\r\nttys        defines the terminals that can be used.  The full path name of the terminal’s must be given. \r\n                                             \r\ni.        安全stanza\r\n\r\n/etc/security/login.cfg这个文件提供整个系统通过口令质量进行一些控制的参数：\r\n\r\nmaxage/minage         defines the maximum/minimum age(in weeks) of a password\r\nmaxrepeat        defines the number of times one character can be repeated in the password\r\n        mindiff                        compares the new password with the old one.  mindiff is the minimum \r\n                                        number of characters that must be different.\r\n        minother                        is the number of non-alphabetic characters required in the password.\r\nmaxlogins         is the maximum number of locally logged in users at a given time.  The only valid parameters are 2, 32, and 0.  Zero means an unlimited number.\r\n        minalpha                        is the number of alphabetic characters required in the password.  \r\n        shells                        defines the valid shells a user can access.\r\n        herald                         parameters for the initial screen display\r\n\r\n7.网络安全\r\n\r\na.        查看/etc/exports文件看哪些文件可以被其他机器访问。\r\n该文件包含由文件系统和一系列紧随其后的主机名组成的入口。计算机组的定义在/etc/netgroup文件中。\r\n每一行有两个域，第一部分是要输出的文件系统名字，第二部分是文件系统要输出到的机器。如果第二个域没有值，则文件系统可以输出给任何机器访问。\r\nb.        列出/etc/hosts.equiv文件的内容，看是否有其他机器的用户可以不经口令验证就登录到本机。\r\n确认这些主机没有获得未经授权的到其他用户或节点的权限。\r\n另外一个和信任有关的文件是.rhosts，它提供了其他人不经过口令验证访问该用户信息的能力。\r\nc.        确定管理员域是否设置\r\n如果设置了，要确保每台机器的root只能在对应的机器进行控制，否则一些人就可以在域中的任何机器获得root控制权。\r\n确保域口令文件中用户名、uid和gid的一致性得到有效维护。\r\n确保域中所有机器的组文件一致性得到有效维护。\r\nd.        确认网络控制文件的权限\r\n这些文件对普通用户应该永远是只读的：\r\n\r\n          Networks                Network names and their addresses\r\n          Hosts                        Network hosts and their addresses\r\n          hosts.equiv                Remote hosts allowed access equivalent to the local host\r\n          services                Services name database\r\n          exports                        List of files systems being exported to NFS clients\r\n          protocols                Protocol name database\r\n          inetd.conf                Internet configuration file & TCP/IP services\r\n          netgroup                List of network-wide groups\r\n          .netrc        allows for the processing of rexec and ftp commands without manual password verification. (The .netrc file contains unencrypted password information)\r\n\r\ne.        查看UUCP的使用情况\r\nf.        查看匿名FTP使用情况\r\ng.        查看TFTP的使用情况\r\nh.        调制解调器安全\r\n使用智能卡或者安全回拨\r\n额外设置口令\r\n保存当前访问列表\r\n\r\n8．设备设备文件安全\r\n\r\n        a.检查/dev及其下的特殊设备文件是否有不正确的权限设置\r\n        b.确保所有设备文件都位于/dev下\r\n        c.确保对mem、kmem和swap的访问都得到了正确的保护\r\n        d.UNIX系统中终端端口可以被任何人读写，所以可以允许用户使用write和talk程序通信。但是只有所有者有读权限。\r\n        e.确保单个用户除了终端和逻辑打印机外没有其他设备的所有权。\r\n\r\n9．批处理安全\r\n        \r\na.UNIX系统中计划任务定义在crontab文件中，每一行是指定时间执行的一项任务。这个文件只能是ROOT拥有，而且要确保定义的有效性。\r\n        b.其他工作可以用at命令执行。要确保at命令被at_allow和at_deny严格限制。\r\n\r\n10．日志文件\r\n        \r\na.        使用last命令查看登录系统的情况\r\nb.        使用/etc/wtmp查看连接session\r\n\r\n$ fwtmp < /etc/wtmp\r\n\r\nc.        查看/usr/adm/messages中的失败登录信息\r\nd.        检查系统记帐是否打开，可以用accton打开\r\ne.        查看记帐的处理记录。Accton命令允许显示在文件中的记录\r\n        \r\n11．特殊命令\r\n\r\na..         sysck                Runs the grpck, usrck, and pwdck commands\r\nb.        grpck                This command verifies that all users listed as group members are defined as users, that the        gid is unique, and that the group name is correctly formed.\r\nc.         usrck                The usrck command verifies many parameters of the userid definition.\r\nd.         pwdck                The pwdck command checks authentication stanzas in /etc/passwd and                                 /etc/security/passwd.  \r\n\r\n\r\n定义:\r\n\r\nKernel        Is the piece of software that controls the computer and is often called the operating system\r\nShell                Is a command interpreter and a program such as sh, csh, ksh, rsh, and tsh。\r\n            AIX uses the ksh.        \r\nDriver                Is a program that enables the kernel to communicate with a given type of peripheral\r\n/dev/kmem   Is a special device file that allows access to the ram locations occupied by the kernel\r\n/                        The root directory \r\n/dev                        The /dev directory contains the devices attached to UNIX\r\n/bin                        The /bin directory contains a small subset of HP-UX commands\r\n/etc                        The /etc directory contains many files including the passwd file\r\n/tmp                        The /tmp directory is used for temporary file storage\r\n/etc/inittab        Contains information about system run levels and also has a entry for each terminal\r\n\r\n                     例如:   04:2:respawn:/etc/getty   tty10\r\n\r\n                             04                        = id\r\n                              2                        = operating system level\r\n                             respawn    = action\r\n                             /etc/getty        = program to execute\r\n\r\n/etc/rc                Defines actions taken during startup\r\n/etc/passwd        Determines who can log into your system\r\n\r\n            例如：root:r832uq8io3rt6:0:1:Root System Owner:/:/bin/sh                           \r\n\r\n                    AIX使用加密口令文件，位于the /etc/security 目录.该文件内容类似下面：\r\n\r\n                    root0:1:Root System Owner:/:/bin/ksh\r\n\r\n/etc/group        Identifies the users that form a group\r\n\r\n                audit:*:25:frank,anne,katie,michaella\r\n\r\n/etc/ttytype        A database of terminal types\r\n.exrc                        Maps terminal characteristics and sets up key definitions\r\n/etc/motd                Contains the message of the day\r\n/etcc/profile        Execute automatically during the login process\r\n.profile        Executes each time the user successfully logs in using the Bourne(sh), Korn(ksh), or rsh\r\n.kshrc                Korn shell script that supplements actions taken by the .profile file\r\nPermissions        Everything in UNIX is treated like a file.   That is a data file is a file, so is a directory, so is a terminal, so is a modem, and etc.  Each of these is identified by the file type.  The file types are:\r\n                               d = directory\r\n                                - = a data or program file\r\n                               c = a character file\r\n                               b = a block file\r\n                                l = a symbolic link\r\n                               p = a pipe or FIFO\r\n\r\n            You can obtain this information by running the ls -l command\r\n$ ls -l memos\r\n               -rwxrwxrwx  1  frank   audit       456  Jan 7 12:45     memos\r\n\r\n               The first digit is the file type\r\n               The second through the 10 digit are the permission  \r\n                    \r\n                  rwx    for owner which is frank\r\n                  rwx    for group which is audit\r\n                  rwx    for other which is not shown but represents authorities for all other \r\n\r\nchmod                Command to change the permissions on a file\r\nchown                Command to change the ownership of a file\r\numask                Default permission levels for all new files created\r\ncrontab                Automate job processing.  Each entry contains the following information:\r\n\r\n                      minute           0-59\r\n                      hour               0-23\r\n                      dates              1-31\r\n                      months          1-12\r\n                      days               0-6   0=Sunday\r\n                      runstring       specifies the command line or script file to execute\r\n\r\n                      An entry of ‘*’ means all values for that entry\r\n\r\nSmit                        System Management Interface Tool\r\nDefaults                Default values for the mkuser command and smit\r\n\r\n                                etc/security/mkuser.default\r\n\r\ndefault group in AIX is staff