了解 AIX Security Expert
AIX Security Expert(简称为 AIXPert)把超过 300 个安全设置集中在单一控制点中。这样就可以简便地保护 IBM® AIX® LPAR,甚至数百个 LPAR。它是如此简便,实际上当我在一个测试 LPAR 上初次运行它时,我把自己完全挡在外边了!(我从来没有想让系统如此 “安全”。)在本文中,您有机会通过我的错误学到经验。
如果您体验过使用 XML 配置文件 配置 AIXPert 安全脚本,就会看出这个工具是加强 AIX 系统安全性的灵巧且简便的方法。只需一个命令就能实现很高的安全性。如果希望更具体地配置,也可以。AIXPert 的粒度足够细,您能够通过调整规则满足自己的需要。还可以选择希望启用或禁用的规则。甚至可以建立自己的规则。AIXPert 还提供 Undo 选项,可以用它简便地回滚安全更改。
安全警告(毕竟这是一篇关于安全性的文章)
首先,提出一个警告。本文并不是要替代官方的文档。在 AIX 6.1 中增强了 AIXPert,关于这个出色的安全工具有一些精彩的参考资料。参考资料 列出一些资源的链接,涉及的主题包括可以使用的各种界面、配置文件的名称和位置以及命令文档。我在这篇文章中分享的是我保护几个 AIX 系统的经历以及在此过程中遇到的麻烦。
下面列出我遇到的 AIXPert 问题。别说我没有警告您:
AIXPert 需要先应用安全性,然后它才能检查安全性。
AIXPert 不能撤销它没有做的事情。
撤销有一些例外情况。
AIXPert 不会自动运行。
Sarbanes Oxley (SOX) Act Control Objectives for Information and Related Technologies (COBIT) 设置并不意味着高安全性设置。
问题 1:AIXPert 需要先应用安全性,然后它才能检查安全性
AIXPert 的一个选项 (aixpert -c) 可以根据以前应用的规则集检查安全设置。如果没有先使用 AIXPert 实现规则集,工具就无法检查系统的安全性。因此,如果您自己管理安全设置(例如通过编辑文件、设置密码规则等等),那么 AIXPert 安全检查不起作用。
原因很简单:AIXPert 需要根据自己的已应用设置基线执行检查,这些设置存储在名为 /etc/security/aixpert/core/appliedaixpert.xml 的文件中。如果没有基线,检查选项会报告 清单 1 所示的错误。
清单 1. 在设置安全性之前检查安全性
# aixpert -c -l d
File /etc/security/aixpert/core/appliedaixpert.xml does not exist
检查选项要寻找的文件包含已经通过 AIXPert 应用的所有安全设置。
解决方法
在使用 AIXPert 检查安全性之前,需要使用 AIXPert 设置安全性。已经应用的规则包含在 appliedaixpert.xml 文件中。当使用任何 AIXPert 界面实现安全性时,会创建这个文件。
在 清单 2 中,可以看到如何使用 aixpert 命令实现默认的安全级别。这里还显示输出的最后两行,它们指出处理了多少个规则以及通过和失败的规则各有多少。
清单 2. 应用默认的安全级别
# aixpert -l default
# Processedrules=117 Passedrules=110 Failedrules=7 Level=DLS
# Input file=/etc/security/aixpert/core/aixpertall.xml
现在,会有基线文件 appliedaixpert.xml,见 清单 3。
清单 3. 基线文件 appliedaixpert.xml
# cd /etc/security/aixpert/core
# ls -l appliedaixpert.xml
-rw-r--r-- 1 root system 109237 Oct 07 07:40 appliedaixpert.xml
使用 aixpert -c 运行检查选项现在应该会起作用。这个检查功能报告处理的规则数量和通过或失败的规则数量。
问题 2:AIXPert 不能撤销它没有做的事情
AIXPert 的出色特性之一是可以轻松地撤销它已经应用的安全设置。当成功地应用规则时,会在 undo.xml 文件中写入相应的 Undo 操作规则。如果需要撤销安全更改,这是一个非常灵巧的撤销计划。如果决定绕过 AIXPert,自己控制一些设置,就不会在 undo.xml 文件中写入 Undo 操作规则,所以 AIXPert 无法撤销它们。
AIXPert 的 XML 文件
AIXPert 以 XML 格式存储所有设置。几个预定义的安全级别允许使用单一命令启用所有安全设置。如果希望更具体地设置,可以使用 GUI 中的 Advanced 菜单。还可以通过创建自己的 XML 文件调整想要的安全规则。
有了采用 XML 格式的安全策略之后,可以使用 aixpert -f appliedaixpert.xml 应用它。还可以把自己的安全策略 XML 文件复制到其他 AIX 系统并在整个组织中应用相同的一致的规则。
解决方法
AIXPert 提供单一的一致的安全配置,很容易跨多个系统复制安全配置。appliedaixpert.xml 文件把所有安全设置集中在单一文件中,而 undo.xml 文件让您可以简便地撤销这些设置(有一些例外情况,见 问题 3)。
为了保护 AIX 系统,您可能需要实现数百个安全设置。一次一个地设置非常麻烦,而且更改一个 LPAR 要花费几小时,撤销花费的时间甚至更长。应该把所有需要做的安全加强工作交给 AIXPert,这样更灵巧、更简单且更安全。
问题 3:Undo 选项有一些例外情况
AIXPert 中的 Undo 选项 (aixpert -u) 可以撤销使用 AIXPert 做的安全更改,但是有几种操作不能撤销。
解决方法
预先得到警告才能预先做好准备,所以了解 Undo 选项的例外情况很重要。这些例外包括:
对于 High、Medium 和 Low 安全级别,检查密码、用户和组定义
更改登录标题
删除访客账户
AIX Version 6 Advanced Security Redbook 描述了这些设置和无法使用 AIXPert Undo 选项撤销的其他设置(见 参考资料 中的链接)。
问题 4:AIXPert 不会自动运行
如果您做过一段时间的 AIX 系统管理,可能会认为只需编辑配置文件(比如 resolv.conf 或 sendmail.cf),在重启守护进程之后或者在大多数情况下在下一次重新引导之后,更改就会生效。对于 AIXPert,没有守护进程。如果您编辑配置文件,可能会吃惊地发现即使在重新引导之后其中的安全规则也没有生效。
解决方法
在 XML 文件中按自己的希望添加、删除或更改规则之后,需要使用 aixpert -f 再加文件名以应用这些规则,见 清单 4 中的示例。
清单 4. 应用安全设置
# aixpert -f appliedaixpert.xml
只有在您希望应用安全规则时,AIXPert 才会这么做。如果您自己打破规则(系统管理员有权这么做),那么不希望 aixpert 命令在不掌握您掌握的信息的情况下撤销更改。例如,如果您临时打开 Telnet 或 FTP,而某个过分热心的安全守护进程很快禁用了它,这会让您很恼火。
如果愿意的话,可以通过设置 cron 作业定期地实施规则。您也可能更喜欢用 aixpert -c 报告系统的遵从性。这样就可以判断自从上一次应用 AIXPert 以来打破了哪些规则,然后如果愿意的话,再次实现它们。
问题 5:SOX COBIT 设置并不包含高安全性设置
在 AIXPert 中有多个安全级别,从 AIX Default 到 Low、Medium、High 和 Advanced。还有 SOX COBIT,它应用 SOX COBIT Best Practices Security (SCBPS)。
您可能会认为,如果应用了 SOX COBIT 规则,系统就会得到保护,所有高级安全规则都就位了,我以前也这么想。但事实不是这样。当应用 SOX COBIT 的 AIXPert 设置时,会实现密码策略实施、安全违规和活动报告、恶意软件探测和纠正以及防火墙设置方面的 SCBPS 选项。同样重要的是,其中并不包含在选择 High 安全级别时会应用的所有安全设置。
解决方法
如果需要 High 安全设置,那么先运行 aixpert -l high 命令以设置 High 级别,然后 用 aixpert -l sox-cobit 应用 SOX COBIT 设置。
简便地加强安全性
AIX Security Expert 确实为应用安全标准提供了一种简单、快速且全面的方法。它提供几个简便的界面,让您能够用单一命令对 AIX 系统应用安全级别。它还允许通过 XML 配置文件和命令行定制安全设置。
一旦您认识到 AIXPert 会替您控制安全性,就可以应用健壮且一致的安全设置。只要解决一些问题,您就会发现这个安全工具可以为您节省大量时间。
收起