了解 AIX Security Expert

AIX Security Expert（简称为 AIXPert）把超过 300 个安全设置集中在单一控制点中。这样就可以简便地保护 IBM® AIX® LPAR，甚至数百个 LPAR。它是如此简便，实际上当我在一个测试 LPAR 上初次运行它时，我把自己完全挡在外边了！（我从来没有想让系统如此 “安全”。）在本文中，您有机会通过我的错误学到经验。

如果您体验过使用 XML 配置文件 配置 AIXPert 安全脚本，就会看出这个工具是加强 AIX 系统安全性的灵巧且简便的方法。只需一个命令就能实现很高的安全性。如果希望更具体地配置，也可以。AIXPert 的粒度足够细，您能够通过调整规则满足自己的需要。还可以选择希望启用或禁用的规则。甚至可以建立自己的规则。AIXPert 还提供 Undo 选项，可以用它简便地回滚安全更改。

下面列出我遇到的 AIXPert 问题。别说我没有警告您：

• AIXPert 需要先应用安全性，然后它才能检查安全性。
• AIXPert 不能撤销它没有做的事情。
• 撤销有一些例外情况。
• AIXPert 不会自动运行。
• Sarbanes Oxley (SOX) Act Control Objectives for Information and Related Technologies (COBIT) 设置并不意味着高安全性设置。

回页首

问题 1：AIXPert 需要先应用安全性，然后它才能检查安全性

AIXPert 的一个选项 (aixpert -c) 可以根据以前应用的规则集检查安全设置。如果没有先使用 AIXPert 实现规则集，工具就无法检查系统的安全性。因此，如果您自己管理安全设置（例如通过编辑文件、设置密码规则等等），那么 AIXPert 安全检查不起作用。

原因很简单：AIXPert 需要根据自己的已应用设置基线执行检查，这些设置存储在名为 /etc/security/aixpert/core/appliedaixpert.xml 的文件中。如果没有基线，检查选项会报告 清单 1 所示的错误。

				
# aixpert -c -l d
File /etc/security/aixpert/core/appliedaixpert.xml does not exist

检查选项要寻找的文件包含已经通过 AIXPert 应用的所有安全设置。

解决方法

在使用 AIXPert 检查安全性之前，需要使用 AIXPert 设置安全性。已经应用的规则包含在 appliedaixpert.xml 文件中。当使用任何 AIXPert 界面实现安全性时，会创建这个文件。

在 清单 2 中，可以看到如何使用 aixpert 命令实现默认的安全级别。这里还显示输出的最后两行，它们指出处理了多少个规则以及通过和失败的规则各有多少。

				
# aixpert -l default

# Processedrules=117      Passedrules=110 Failedrules=7   Level=DLS
#        Input file=/etc/security/aixpert/core/aixpertall.xml

现在，会有基线文件 appliedaixpert.xml，见 清单 3。

				
# cd /etc/security/aixpert/core
# ls -l appliedaixpert.xml
-rw-r--r--    1 root   system    109237 Oct 07 07:40 appliedaixpert.xml

使用 aixpert -c 运行检查选项现在应该会起作用。这个检查功能报告处理的规则数量和通过或失败的规则数量。

回页首

问题 2：AIXPert 不能撤销它没有做的事情

AIXPert 的出色特性之一是可以轻松地撤销它已经应用的安全设置。当成功地应用规则时，会在 undo.xml 文件中写入相应的 Undo 操作规则。如果需要撤销安全更改，这是一个非常灵巧的撤销计划。如果决定绕过 AIXPert，自己控制一些设置，就不会在 undo.xml 文件中写入 Undo 操作规则，所以 AIXPert 无法撤销它们。

解决方法

AIXPert 提供单一的一致的安全配置，很容易跨多个系统复制安全配置。appliedaixpert.xml 文件把所有安全设置集中在单一文件中，而 undo.xml 文件让您可以简便地撤销这些设置（有一些例外情况，见 问题 3）。

为了保护 AIX 系统，您可能需要实现数百个安全设置。一次一个地设置非常麻烦，而且更改一个 LPAR 要花费几小时，撤销花费的时间甚至更长。应该把所有需要做的安全加强工作交给 AIXPert，这样更灵巧、更简单且更安全。

回页首

问题 3：Undo 选项有一些例外情况

AIXPert 中的 Undo 选项 (aixpert -u) 可以撤销使用 AIXPert 做的安全更改，但是有几种操作不能撤销。

解决方法

预先得到警告才能预先做好准备，所以了解 Undo 选项的例外情况很重要。这些例外包括：

• 对于 High、Medium 和 Low 安全级别，检查密码、用户和组定义
• 更改登录标题
• 删除访客账户

AIX Version 6 Advanced Security Redbook 描述了这些设置和无法使用 AIXPert Undo 选项撤销的其他设置（见 参考资料 中的链接）。

回页首

问题 4：AIXPert 不会自动运行

如果您做过一段时间的 AIX 系统管理，可能会认为只需编辑配置文件（比如 resolv.conf 或 sendmail.cf），在重启守护进程之后或者在大多数情况下在下一次重新引导之后，更改就会生效。对于 AIXPert，没有守护进程。如果您编辑配置文件，可能会吃惊地发现即使在重新引导之后其中的安全规则也没有生效。

解决方法

在 XML 文件中按自己的希望添加、删除或更改规则之后，需要使用 aixpert -f 再加文件名以应用这些规则，见 清单 4 中的示例。

				
# aixpert -f appliedaixpert.xml

只有在您希望应用安全规则时，AIXPert 才会这么做。如果您自己打破规则（系统管理员有权这么做），那么不希望 aixpert 命令在不掌握您掌握的信息的情况下撤销更改。例如，如果您临时打开 Telnet 或 FTP，而某个过分热心的安全守护进程很快禁用了它，这会让您很恼火。

如果愿意的话，可以通过设置 cron 作业定期地实施规则。您也可能更喜欢用 aixpert -c 报告系统的遵从性。这样就可以判断自从上一次应用 AIXPert 以来打破了哪些规则，然后如果愿意的话，再次实现它们。

回页首

问题 5：SOX COBIT 设置并不包含高安全性设置

在 AIXPert 中有多个安全级别，从 AIX Default 到 Low、Medium、High 和 Advanced。还有 SOX COBIT，它应用 SOX COBIT Best Practices Security (SCBPS)。

您可能会认为，如果应用了 SOX COBIT 规则，系统就会得到保护，所有高级安全规则都就位了，我以前也这么想。但事实不是这样。当应用 SOX COBIT 的 AIXPert 设置时，会实现密码策略实施、安全违规和活动报告、恶意软件探测和纠正以及防火墙设置方面的 SCBPS 选项。同样重要的是，其中并不包含在选择 High 安全级别时会应用的所有安全设置。

解决方法

如果需要 High 安全设置，那么先运行 aixpert -l high 命令以设置 High 级别，然后 用 aixpert -l sox-cobit 应用 SOX COBIT 设置。

回页首

简便地加强安全性

AIX Security Expert 确实为应用安全标准提供了一种简单、快速且全面的方法。它提供几个简便的界面，让您能够用单一命令对 AIX 系统应用安全级别。它还允许通过 XML 配置文件和命令行定制安全设置。

一旦您认识到 AIXPert 会替您控制安全性，就可以应用健壮且一致的安全设置。只要解决一些问题，您就会发现这个安全工具可以为您节省大量时间。

参考资料

学习

• Ken Milberg 在他的 developerWorks 文章 使用 AIX Security Expert（2008 年 12 月）中对 AIX Security Expert 做了精彩的概述。
  
  
• AIXPert hints and tips wiki 展示在设置安全性时可以使用的界面。还列出取自 /usr/security/aixpert/core/aixpertall.xml 的 AIXPert 规则。
  
  
• 在 IBM 信息中心 可以找到 AIXPert 使用的命令、文件和设置的文档。
  
  
• Redbook AIX V6 Advanced Security Features Introduction and Configuration 详细解释了 AIX 6 中的安全增强并提供实用示例。
  
  
• AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。
  
  
• AIX and UNIX 新手入门：访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  
  
• AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。
  
  
• AIX and UNIX 下载中心：在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具，让您可以提前免费试用他们的强大功能。
  
  
• IBM Systems Magazine for AIX 中文版：本杂志的内容更加关注于趋势和企业级架构应用方面的内容，同时对于新兴的技术、产品、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的，包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以，从这些内容中，您可以了解到更高层次的应用理念，让您在选择和应用 IBM 系统时有一个更好的认识。
  
  
• 技术书店：在技术书店阅读关于这些和其他技术主题的图书。
  
  

讨论

• 阅读我在 IBM developerWorks 上的 AIX 博客 AIX Down Under。它向 AIX 管理员和初学者提供许多提示和实用示例，还涉及一些高级主题。
  
  
• 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基，并与其他 developerWorks 用户交流。
  
  
• 参与 developerWorks 博客 并加入 developerWorks 社区。
  
  
• 参与 AIX 和 UNIX® 论坛：
  • AIX 论坛
  • AIX for developers 论坛
  • 集群系统管理
  • 性能工具论坛
  • 虚拟化论坛
  • 更多 AIX 和 UNIX 论坛
  
  

关于作者

Anthony English 是来自澳大利亚悉尼市的一名独立承包人。他从 1991 年开始就一直在 AIX 系统上工作，他还撰写 IBM developerWorks 博客 AIX Down Under。

为本文评分

评论

回页首

内容

• 了解 AIX Security Expert
• 问题 1：AIXPert 需要先应用安全性，然后它才能检查安全性
• 问题 2：AIXPert 不能撤销它没有做的事情
• 问题 3：Undo 选项有一些例外情况
• 问题 4：AIXPert 不会自动运行
• 问题 5：SOX COBIT 设置并不包含高安全性设置
• 简便地加强安全性
• 参考资料
• 关于作者
• 建议