欢迎来到天天文库
浏览记录
ID:21368995
大小:59.50 KB
页数:5页
时间:2018-10-21
《使用 aix security expert》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、使用AIXSecurityExpert 简介 从AIXV5.3TL05开始,IBM引入了一个新特性,该特性称作AIXSecurityExpert,或简称AIXPert。那么,它到底是什么样的?AIXPert不是一个单独的系统或实用程序;实际上,它是一个将很多安全工具集中到一个界面的系统。在早期,它提供的最重要的功能是设置安全级别和控制一些关键领域的设置。这些领域包括启用远程服务的规则、IP安全性过滤和对启动文件,包括inittab、rc.tcpip和id的更细粒度的控制。 随着AIXV6.1的引入,很多新的特性被添加到这个系统中。这些增强包括: 定
2、制用户定义策略的能力。 对root密码的更严格的检查。 对Sarbones-Oxley(SOX)-COBIT最佳实践。 除了GUI性能增强外,还有一个更强的界面,以帮助您配置环境。 使用LDAP的集中式策略分发(不过,本文不会深入探讨实际的LDAP实现)。 使用AIXPert AIXPert实质上是一个网络和安全性强化工具,它将很多功能合并到一个系统中。在AIXPert之前,您需要记住很多不同的命令。而AIXPert包含了超过300个安全配置设置,并提供对每个元素的控制。换句话说,它为所有安全设置,包括TCP、IPSEC和审计,提供一个中心。实
3、际上,可以为系统定义4个不同的级别:high、medium、lo级别适用于在防火墙后的系统,在这种系统中,用户需要使用tel等服务,但是仍然希望受保护。该设置还提供端口扫描和密码设置保护。 Lo命令的形式包含了FilePermissionsManager,以帮助管理SUID程序。本文后面将演示该特性。 另一个重要的特性是获取系统快照并在企业中重现这些设置的功能。这使您可以跨整个组织克隆安全特性。该特性包括撤销设置的功能,并且还可以检查系统的整体安全状况,以报告可能被更改的设置。撤销安全级别再容易不过了,只需从命令行运行这个命令:#aixpert-uun
4、do.xml。这个撤销特性是AIXV6.1发行版中的增强之一。 本文演示如何使用所有可用的方法来配置安全性:通过命令行、通过smit(或smitty)以及通过GUI(在此使用AIXSystemsDirector)。 AIXPert系统概览 重要的是理解对于AIXPert有哪些重要的文件,这样才知道当前处理的是什么文件,当系统运行时被修改的是什么文件。这样还可以帮助解决可能出现的问题。 配置数据本身从父目录/etc/security/aixpert开始。系统中最重要的文件都可以从这里访问。 第一个文件是aixpertall.xml,它在以下目录中:
5、/etc/security/aixpert/core/aixpertall.xml(参见图1)。该文件包含所有可能的系统设置的XML清单。 图1.aixpertall.xml 图片看不清楚?请点击这里查看原图(大图)。 接下来的文件是appliedaixpert文件,它包含应用的安全设置的清单(参见图2)。这个文件常用于获取一个安全快照,以用作本身系统上的一个文档工具,或者用于获取配置数据,并将其应用到其他系统上。您将使用-f命令做这件事。这很简单,只需运行这个命令:#aixpert-fappliedaixpert.xml。 图2.applieda
6、ixpert.xml 图片看不清楚?请点击这里查看原图(大图)。 /etc/security/aixpert/log/aixpert.log文件是tracelog文件。由于AIXPert不使用syslog,所以如果要查看所有应用的安全设置,就需要查看这个文件。 如果要使用审计,那么还需要查看etc/security/aixpert/check_report.txt文件。而且,当使用AIXpert配置系统时,这个文件将报告在AIXPert之外做出的任何配置更改。当应用的安全设置没有被更改时,这个文件应该为空。 至此,您已理解AIXPert是在哪里保存
7、它的关键文件的,现在让我们来运行fpm。 使用fpm 通过fpm命令,系统管理员可以禁用很多命令上的setuid和setgid位,从而强化他们的系统。这一点很重要,因为和大多数UNIX一样,AIX在历史上有很多setuid和setgid程序。这个命令主要用于从有特权的用户所拥有的命令和守护进程中移除setuid许可,但是它也可以用于解决计算机环境的特定需求。在有这个命令之前,您需要使用Role-BasedAccessControl(RBAC)来帮助纠正setuid和setgid程123下一页——感谢阅读这篇文章,..,序的问题。无论使用RBAC与否,使
8、用fpm实际上有助于减少这些文件的数量。 我们来看一些例子。
此文档下载收益归作者所有