簡單翻譯的網(wǎng)文

tomcat8890

AIX審記檢查單\r\n\r\n1．        準備工作\r\n\r\na.        獲得負責操作環(huán)境的組織架構(gòu)圖\r\nb.        獲得已有的安全控制手續(xù)\r\nc.        獲得網(wǎng)絡配置描述\r\nd.        獲得操作系統(tǒng)上運行的系統(tǒng)（應用）的列表\r\ne.        獲得系統(tǒng)管理員的職責描述\r\n\r\n2．        安裝審記\r\n\r\na.        評價系統(tǒng)安全設計標準\r\nb.        確定用戶訪問是否通過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)或者前端應用系統(tǒng)界面\r\nc.        確定是否有可遵循的文檔標準\r\nd.        確定誰負責操作系統(tǒng)安全管理\r\ne.        確定口令編制和管理標準\r\nf.        評價已有的用戶、組和功能（function）的安全方針\r\n\r\n3．        物理安全\r\n\r\na.        評價網(wǎng)絡配置以確保所有網(wǎng)絡組件都是物理上安全的，包括文件服務器、交換機、路由器、網(wǎng)關(guān)、終端服務器和調(diào)制解調(diào)器\r\nb.        確認物理網(wǎng)絡配置變更的責任人和必須的文檔：這些過程是有效的嗎？所有變更都記錄在案嗎？用戶和其他相關(guān)人員都被適時告知了嗎？\r\nc.        確保只有系統(tǒng)管理員或者被授權(quán)人能接觸服務器的控制臺，并可以利用軟驅(qū)重新啟動服務器，設置新的根口令\r\n\r\n4．        系統(tǒng)管理\r\n\r\na.        識別所有系統(tǒng)管理員\r\n\r\n$grep :0:  /etc/passwd\r\n\r\nb.        確定管理員需要這（哪？）一級權(quán)力\r\nc.        確定用戶、組、界面（menu）、權(quán)限、用戶腳本、硬件和系統(tǒng)軟件的變更流程\r\nd.        確定由正確的人或組織負責支撐服務器的網(wǎng)絡的監(jiān)控\r\ne.        確定由正確的人或組織負責服務器的停機和備份\r\nf.        確保系統(tǒng)管理員有冗余備份人員，或者最起碼他們的管理員ID和口令保存在緊急情況發(fā)生時候能確保安全的地方\r\ng.        確定有專人負責保管軟件授權(quán)\r\n\r\n5．        系統(tǒng)安全\r\n\r\nAIX的系統(tǒng)管理接口是SMIT，可以在命令行執(zhí)行smit(ty)進入\r\na.        系統(tǒng)安裝時候管理員創(chuàng)建了audit check sum files，這些文件使系統(tǒng)安全管理員可以檢查系統(tǒng)安裝后配置是否發(fā)生變化。這個文件應該包含一段段信息，每段信息對應一個文件的下列信息：\r\n\r\nfield                          comments\r\n\r\n   acl                        contains both base and extended access control list data for the file\r\n   class                        a logical group to which this file belongs                \r\n   pathname                Absolute pathname\r\n   owner                        Ether symbolic or numeric ID\r\n   group                        Either symbolic or numeric ID\r\n   mode                        Symbolic representation as displayed by the ls -l command\r\n   size                        Size of the file in bytes.  Major and minor numbers are listed for devices\r\n   links                        Number of hard links to pathname\r\n   version                Numeric value, reported by what(1).\r\n   Checksum                File contents computed by a checksum algorithm.  This field reflects the\r\n                    slightest change to a file, even a single character.\r\n   Symlinks                Indicates whether the file has symbolic or hard links                                \r\n   Program                the associated checking program\r\n   Source                the source file for this file\r\nType                        the type of file\r\n\r\n產(chǎn)生文件的過程很簡單，產(chǎn)生的文件保存在一個安全路徑下。\r\n動態(tài)安全檢查周期運行，確保這些關(guān)鍵文件在未經(jīng)授權(quán)時不被修改。\r\nb.        確人系統(tǒng)是否運行在受信（trusted）模式\r\n\r\n/etc/security/passwd               For the password file\r\n\r\n一個受信系統(tǒng)會將主口令文件/etc/passwd中的口令加密保存到/etc/security/passwd，同時\r\n/etc/passwd中passwd域的值會被”!”代替。\r\n此外，一個受信系統(tǒng)會強制要求每個用戶必須設置口令，為每個用戶創(chuàng)建一個審記ID，將現(xiàn)有用戶的審記標記打開，轉(zhuǎn)而讓at、batch和crontab文件使用送檢人（submitter，就是開啟審記功能的人）的審記ID。\r\nc.        確定審記功能是否已經(jīng)開啟。通過下面的文件定義審記事件：\r\n\r\n/etc/security/audit/events\r\n\r\n確定可審記事件的最小集合已經(jīng)被記錄。\r\n通過/etc/audit start激活審記功能，審記功能用到下列文件：\r\n\r\n                /etc/security/audit/config                        configuration information\r\n                /etc/security/audit/events                        audit events of the system\r\n                /etc/security/audit/bincmds                backend commands \r\n                /etc/security/audit/streamcmds        commands that process stream data\r\n                /etc/security/audit/objects                information about audited objects\r\n\r\nd.        評估審記日志確定是否有未經(jīng)授權(quán)的事件發(fā)生\r\ne.        評估inittabs確保所有動作經(jīng)過授權(quán)并且對該文件的訪問受到正確限制\r\n\r\n$cat /etc/inittab\r\n\r\nf.        評估所有rc.腳本，確保只有正確的程序被執(zhí)行\(zhòng)r\ng.        評估sulog找出可以行為\r\nh.        確保在正確的基線上完成系統(tǒng)備份，并將備份妥善保管\r\n\r\n6．        帳戶安全\r\n傳統(tǒng)unix系統(tǒng)中可以用ls –l 命令列出目錄及其中文件的權(quán)限，在受信系統(tǒng)中可以使用lsacl命令查看特定文件有什么相關(guān)權(quán)限，并用chacl命令改變文件的訪問控制列表（ACL）。ACLs與具體文件或目錄有關(guān)，安全管理員可以定義不同的權(quán)限給個人或者組。\r\na.        獲得用戶帳號列表并確認這些帳號在系統(tǒng)中仍然是活動的\r\n\r\n$cat /etc/passwd\r\n\r\n這些是和帳戶相關(guān)的文件：\r\n\r\n                /etc/security/ids                uid sequence number\r\n                /etc/security/logins.cfg        contains rules for password quality\r\n                /etc/group                        group definitions\r\n                /etc/security/group                additional group information and flags\r\n                /etc/passwd                        user account file\r\n                /etc/security/passwd        encryption passwords\r\n                /etc/security/user                contains user extended attributes\r\n                /etc/security/environ        contains environmental attributes for users\r\n                /etc/security/limits                contains file limits\r\n                /etc/security/failedlogin        contains an entry for every time a login fails\r\n\r\nAIX還有一個額外的文本文件保存系統(tǒng)中每個帳戶的一段信息：\r\n\r\n        $cat /etc/security/user\r\n\r\n另一個對用戶限制的文件是/etc/security/limits，包含下列信息：\r\n\r\n                fsize                is the largest file a user can create\r\n                core                 is the largest core file allowed in units of 512 bytes.\r\nCPU        is the maximum number of CPU-seconds a process is allowed before being killed.\r\n                data                is the largest data segment allowed, in units of 512 bytes.\r\n                stack        is the maximum stack size a process is allowed\r\n                rss                is the maximum real memory size a process can acquire\r\n\r\nb.        獲得組帳號列表并確認這些帳號在系統(tǒng)中仍然是活動的\r\n\r\nAIX Checklist\r\n\r\n組文件包含一些系統(tǒng)預先定義的組：\r\n\r\n                system\r\n                staff\r\n                bin\r\n                adm\r\n                uucp\r\n                mail\r\n                security\r\n                cron\r\n                printq\r\n                audit\r\n                ecs\r\n                nobody\r\n                usr\r\n\r\na.        評估關(guān)鍵系統(tǒng)路徑和文件的訪問控制權(quán)限。此外，評估應用路徑和文件的訪問控制權(quán)限，例如：\r\n\r\n      $ ls memos\r\n      -rwxrwxrwx 1 frank system  0635 01/12 memos\r\n\r\nChmod命令仍然可以用來修改文件的權(quán)限，而且如果文件有ACLs也只能用chmod修改權(quán)限。ACL相關(guān)命令：\r\n\r\n      $aclget        gets the ACL for a file\r\n      $aclput        sets the ACL for a file\r\n      $acledit        combines aclget and aclput\r\n\r\nb.        評估哪個用戶和組有特定路徑和文件的寫權(quán)限\r\nc.        Umask值需要設置為027，該值可以在/etc/profile（用戶每次登錄都會執(zhí)行）和用戶自己的.profile文件中設置。/etc/profile還可能包含PATH，要確保PATH的路徑是正確的。在AIX的/etc/profile中還有一個參數(shù)：\r\n\r\nTMOUT/TIMEOUT         defines the time (in seconds) that a user can be idle before being\r\n                            automatically logged out of the system.  TMOUT is used by ksh\r\n\r\nd.        評估系統(tǒng)的setuid和setgid程序，并與經(jīng)過認證的授權(quán)程序列表對比。通過find命令可以找出root用戶所有的setuid和setgid程序：\r\n\r\n     $ find / -user root -perm -4000 -exec ls -l {} \\;\r\n\r\n     This find command will list root owned setuid programs\r\n\r\n     $ find / -user root -perm -2000 -exec ls -l {} \\;\r\n\r\n     This find command will list root owned setgid programs\r\n\r\ne.        口令安全\r\n\r\n檢查并確保所有用戶都設置了口令；\r\n檢查并確保所有用戶都使用加密（shadow）口令系統(tǒng)\r\n檢查并確保沒有重復的UID\r\n評估所有UID為“0”的帳戶\r\n確認/etc/passwd中列出的帳戶都仍然是有效的\r\n確定口令有合適的生命周期（在password文件相應域有必要的信息）\r\n確定所有口令不短于6個字符\r\n確保所有新設置或者修改后的口令可以應對“hacker dictionary”\r\n\r\nf.        偽帳號\r\n\r\n多數(shù)UNIX系統(tǒng)都有偽帳號，并不與實際的用戶相關(guān)也不需要相應的交互登錄shell。要確保這些帳戶的口令域被正確保護不能登錄，可以用“NP”填補口令域。下列用戶不能出現(xiàn)在/etc/passwd文件中：\r\n\r\n               date\r\n               who\r\n               sync\r\n               tty\r\n\r\n        確保下列用戶作為偽用戶：\r\n\r\n                  bin\r\n              daemon\r\n              adm\r\n              uucp\r\n              lp\r\n              hpdb\r\n              guest\r\n              nobody\r\n              lpd\r\n\r\ng.        用戶主路徑\r\n\r\n確保用戶主路徑及其下文件只有該用戶和root用戶可寫；\r\n確保.profile 、.cshrc和.login文件只有該用戶可寫；\r\n仔細研究是否有必要使用.rhosts文件；\r\n確保.netrc文件沒有被使用，因為遠程登錄用戶可以通過它跳過.login驗證甚至包含用戶的非加密口令。如果要用，也只能該用戶可讀寫。確保root用戶的.profile有正確的PATH變量值，并且之前不能有.\r\n\r\nA good PATH                                                A bad PATH\r\nPATH=/bin:/usr/bin:/etc              PATH=.:/bin:/usr/bin:/etc\r\n\r\nh.        用戶stanza\r\n\r\n/etc/security/user文件包含了系統(tǒng)中每個用戶的一些默認信息：\r\n\r\nadmin        表明這個用戶是否管理員。只有root用戶可以修改這個屬性的值。如果是管理員，值為yes/true/always，默認是no.\r\n        daemon         defines whether this user can use the cron and SRC daemons.\r\nexpires        指明用戶過期時間。默認格式是MMDDhhmmYY。默認值是0表明此用戶永不過期。\r\nlogin        controls login from a local terminal.  If you specify false here the userid is locked for all locally attached terminals but might not be locked for remote access.\r\nrlogin         controls login from a remote terminal or port.  It controls whether or not this userid can be accessed remotely via the rlogin command.  It does not prevent local logins\r\ntelnet        defines whether this userid can be remotely logged into with the telnet command.  If used in conjunction with login and rlogin a userid can be secured from anybody logging into that userid, but it is not secured against the use of su.\r\n        su                controls whether other users can switch to this account by using su command.\r\nsugroups         controls which groups can switch to this userid by using su.  If an ! precedes the group name it denies access for that group.  The ALL keyword means that all groups have access (the default).  A blank indicates the default, i.e. ALL \r\ntpath        indicates        trusted path characteristics.  Trusted path is part of the trusted computer base which ensures that the user only access directories and files that are considered safe.\r\nttys        defines the terminals that can be used.  The full path name of the terminal’s must be given. \r\n                                             \r\ni.        安全stanza\r\n\r\n/etc/security/login.cfg這個文件提供整個系統(tǒng)通過口令質(zhì)量進行一些控制的參數(shù)：\r\n\r\nmaxage/minage         defines the maximum/minimum age(in weeks) of a password\r\nmaxrepeat        defines the number of times one character can be repeated in the password\r\n        mindiff                        compares the new password with the old one.  mindiff is the minimum \r\n                                        number of characters that must be different.\r\n        minother                        is the number of non-alphabetic characters required in the password.\r\nmaxlogins         is the maximum number of locally logged in users at a given time.  The only valid parameters are 2, 32, and 0.  Zero means an unlimited number.\r\n        minalpha                        is the number of alphabetic characters required in the password.  \r\n        shells                        defines the valid shells a user can access.\r\n        herald                         parameters for the initial screen display\r\n\r\n7.網(wǎng)絡安全\r\n\r\na.        查看/etc/exports文件看哪些文件可以被其他機器訪問。\r\n該文件包含由文件系統(tǒng)和一系列緊隨其后的主機名組成的入口。計算機組的定義在/etc/netgroup文件中。\r\n每一行有兩個域，第一部分是要輸出的文件系統(tǒng)名字，第二部分是文件系統(tǒng)要輸出到的機器。如果第二個域沒有值，則文件系統(tǒng)可以輸出給任何機器訪問。\r\nb.        列出/etc/hosts.equiv文件的內(nèi)容，看是否有其他機器的用戶可以不經(jīng)口令驗證就登錄到本機。\r\n確認這些主機沒有獲得未經(jīng)授權(quán)的到其他用戶或節(jié)點的權(quán)限。\r\n另外一個和信任有關(guān)的文件是.rhosts，它提供了其他人不經(jīng)過口令驗證訪問該用戶信息的能力。\r\nc.        確定管理員域是否設置\r\n如果設置了，要確保每臺機器的root只能在對應的機器進行控制，否則一些人就可以在域中的任何機器獲得root控制權(quán)。\r\n確保域口令文件中用戶名、uid和gid的一致性得到有效維護。\r\n確保域中所有機器的組文件一致性得到有效維護。\r\nd.        確認網(wǎng)絡控制文件的權(quán)限\r\n這些文件對普通用戶應該永遠是只讀的：\r\n\r\n          Networks                Network names and their addresses\r\n          Hosts                        Network hosts and their addresses\r\n          hosts.equiv                Remote hosts allowed access equivalent to the local host\r\n          services                Services name database\r\n          exports                        List of files systems being exported to NFS clients\r\n          protocols                Protocol name database\r\n          inetd.conf                Internet configuration file & TCP/IP services\r\n          netgroup                List of network-wide groups\r\n          .netrc        allows for the processing of rexec and ftp commands without manual password verification. (The .netrc file contains unencrypted password information)\r\n\r\ne.        查看UUCP的使用情況\r\nf.        查看匿名FTP使用情況\r\ng.        查看TFTP的使用情況\r\nh.        調(diào)制解調(diào)器安全\r\n使用智能卡或者安全回撥\r\n額外設置口令\r\n保存當前訪問列表\r\n\r\n8．設備設備文件安全\r\n\r\n        a.檢查/dev及其下的特殊設備文件是否有不正確的權(quán)限設置\r\n        b.確保所有設備文件都位于/dev下\r\n        c.確保對mem、kmem和swap的訪問都得到了正確的保護\r\n        d.UNIX系統(tǒng)中終端端口可以被任何人讀寫，所以可以允許用戶使用write和talk程序通信。但是只有所有者有讀權(quán)限。\r\n        e.確保單個用戶除了終端和邏輯打印機外沒有其他設備的所有權(quán)。\r\n\r\n9．批處理安全\r\n        \r\na.UNIX系統(tǒng)中計劃任務定義在crontab文件中，每一行是指定時間執(zhí)行的一項任務。這個文件只能是ROOT擁有，而且要確保定義的有效性。\r\n        b.其他工作可以用at命令執(zhí)行。要確保at命令被at_allow和at_deny嚴格限制。\r\n\r\n10．日志文件\r\n        \r\na.        使用last命令查看登錄系統(tǒng)的情況\r\nb.        使用/etc/wtmp查看連接session\r\n\r\n$ fwtmp < /etc/wtmp\r\n\r\nc.        查看/usr/adm/messages中的失敗登錄信息\r\nd.        檢查系統(tǒng)記帳是否打開，可以用accton打開\r\ne.        查看記帳的處理記錄。Accton命令允許顯示在文件中的記錄\r\n        \r\n11．特殊命令\r\n\r\na..         sysck                Runs the grpck, usrck, and pwdck commands\r\nb.        grpck                This command verifies that all users listed as group members are defined as users, that the        gid is unique, and that the group name is correctly formed.\r\nc.         usrck                The usrck command verifies many parameters of the userid definition.\r\nd.         pwdck                The pwdck command checks authentication stanzas in /etc/passwd and                                 /etc/security/passwd.  \r\n\r\n\r\n定義:\r\n\r\nKernel        Is the piece of software that controls the computer and is often called the operating system\r\nShell                Is a command interpreter and a program such as sh, csh, ksh, rsh, and tsh。\r\n            AIX uses the ksh.        \r\nDriver                Is a program that enables the kernel to communicate with a given type of peripheral\r\n/dev/kmem   Is a special device file that allows access to the ram locations occupied by the kernel\r\n/                        The root directory \r\n/dev                        The /dev directory contains the devices attached to UNIX\r\n/bin                        The /bin directory contains a small subset of HP-UX commands\r\n/etc                        The /etc directory contains many files including the passwd file\r\n/tmp                        The /tmp directory is used for temporary file storage\r\n/etc/inittab        Contains information about system run levels and also has a entry for each terminal\r\n\r\n                     例如:   04:2:respawn:/etc/getty   tty10\r\n\r\n                             04                        = id\r\n                              2                        = operating system level\r\n                             respawn    = action\r\n                             /etc/getty        = program to execute\r\n\r\n/etc/rc                Defines actions taken during startup\r\n/etc/passwd        Determines who can log into your system\r\n\r\n            例如：root:r832uq8io3rt6:0:1:Root System Owner:/:/bin/sh                           \r\n\r\n                    AIX使用加密口令文件，位于the /etc/security 目錄.該文件內(nèi)容類似下面：\r\n\r\n                    root0:1:Root System Owner:/:/bin/ksh\r\n\r\n/etc/group        Identifies the users that form a group\r\n\r\n                audit:*:25:frank,anne,katie,michaella\r\n\r\n/etc/ttytype        A database of terminal types\r\n.exrc                        Maps terminal characteristics and sets up key definitions\r\n/etc/motd                Contains the message of the day\r\n/etcc/profile        Execute automatically during the login process\r\n.profile        Executes each time the user successfully logs in using the Bourne(sh), Korn(ksh), or rsh\r\n.kshrc                Korn shell script that supplements actions taken by the .profile file\r\nPermissions        Everything in UNIX is treated like a file.   That is a data file is a file, so is a directory, so is a terminal, so is a modem, and etc.  Each of these is identified by the file type.  The file types are:\r\n                               d = directory\r\n                                - = a data or program file\r\n                               c = a character file\r\n                               b = a block file\r\n                                l = a symbolic link\r\n                               p = a pipe or FIFO\r\n\r\n            You can obtain this information by running the ls -l command\r\n$ ls -l memos\r\n               -rwxrwxrwx  1  frank   audit       456  Jan 7 12:45     memos\r\n\r\n               The first digit is the file type\r\n               The second through the 10 digit are the permission  \r\n                    \r\n                  rwx    for owner which is frank\r\n                  rwx    for group which is audit\r\n                  rwx    for other which is not shown but represents authorities for all other \r\n\r\nchmod                Command to change the permissions on a file\r\nchown                Command to change the ownership of a file\r\numask                Default permission levels for all new files created\r\ncrontab                Automate job processing.  Each entry contains the following information:\r\n\r\n                      minute           0-59\r\n                      hour               0-23\r\n                      dates              1-31\r\n                      months          1-12\r\n                      days               0-6   0=Sunday\r\n                      runstring       specifies the command line or script file to execute\r\n\r\n                      An entry of ‘*’ means all values for that entry\r\n\r\nSmit                        System Management Interface Tool\r\nDefaults                Default values for the mkuser command and smit\r\n\r\n                                etc/security/mkuser.default\r\n\r\ndefault group in AIX is staff