解决 AIX Security Expert 的使用问题

更好地掌握 AIXPert

AIX Security Expert (AIXPert) 让实现安全性变得轻而易举,但是对于新手来说它有一些陷阱。了解了这些陷阱之后,AIXPert 会成为加强安全性的自然选择。因此,如果您希望保护系统,但是不想遇到麻烦,本文正适合您。

AIX and UNIX 专区一直以来受到许多国内的系统管理员和开发人员的青睐,很多优秀的技术人员都在上面分享了自己的经验和知识。2011 年,我们希望能有更多的人能够乐于分享自己在工作、项目、学习中得到的点滴经验。如果您有投稿意向,可以参考我们最新的“投稿意向”,并在通过“在线投稿”提交您的意向。

了解 AIX Security Expert

AIX Security Expert(简称为 AIXPert)把超过 300 个安全设置集中在单一控制点中。这样就可以简便地保护 IBM® AIX® LPAR,甚至数百个 LPAR。它是如此简便,实际上当我在一个测试 LPAR 上初次运行它时,我把自己完全挡在外边了!(我从来没有想让系统如此 “安全”。)在本文中,您有机会通过我的错误学到经验。

如果您体验过使用 XML 配置文件 配置 AIXPert 安全脚本,就会看出这个工具是加强 AIX 系统安全性的灵巧且简便的方法。只需一个命令就能实现很高的安全性。如果希望更具体地配置,也可以。AIXPert 的粒度足够细,您能够通过调整规则满足自己的需要。还可以选择希望启用或禁用的规则。甚至可以建立自己的规则。AIXPert 还提供 Undo 选项,可以用它简便地回滚安全更改。

安全警告(毕竟这是一篇关于安全性的文章)

首先,提出一个警告。本文并不是要替代官方的文档。在 AIX 6.1 中增强了 AIXPert,关于这个出色的安全工具有一些精彩的参考资料。参考资料 列出一些资源的链接,涉及的主题包括可以使用的各种界面、配置文件的名称和位置以及命令文档。我在这篇文章中分享的是我保护几个 AIX 系统的经历以及在此过程中遇到的麻烦。

下面列出我遇到的 AIXPert 问题。别说我没有警告您:

  • AIXPert 需要先应用安全性,然后它才能检查安全性。
  • AIXPert 不能撤销它没有做的事情。
  • 撤销有一些例外情况。
  • AIXPert 不会自动运行。
  • Sarbanes Oxley (SOX) Act Control Objectives for Information and Related Technologies (COBIT) 设置并不意味着高安全性设置。

问题 1:AIXPert 需要先应用安全性,然后它才能检查安全性

AIXPert 的一个选项 (aixpert -c) 可以根据以前应用的规则集检查安全设置。如果没有先使用 AIXPert 实现规则集,工具就无法检查系统的安全性。因此,如果您自己管理安全设置(例如通过编辑文件、设置密码规则等等),那么 AIXPert 安全检查不起作用。

原因很简单:AIXPert 需要根据自己的已应用设置基线执行检查,这些设置存储在名为 /etc/security/aixpert/core/appliedaixpert.xml 的文件中。如果没有基线,检查选项会报告 清单 1 所示的错误。

清单 1. 在设置安全性之前检查安全性
# aixpert -c -l d
File /etc/security/aixpert/core/appliedaixpert.xml does not exist

检查选项要寻找的文件包含已经通过 AIXPert 应用的所有安全设置。

解决方法

在使用 AIXPert 检查安全性之前,需要使用 AIXPert 设置安全性。已经应用的规则包含在 appliedaixpert.xml 文件中。当使用任何 AIXPert 界面实现安全性时,会创建这个文件。

清单 2 中,可以看到如何使用 aixpert 命令实现默认的安全级别。这里还显示输出的最后两行,它们指出处理了多少个规则以及通过和失败的规则各有多少。

清单 2. 应用默认的安全级别
# aixpert -l default

# Processedrules=117      Passedrules=110 Failedrules=7   Level=DLS
#        Input file=/etc/security/aixpert/core/aixpertall.xml

现在,会有基线文件 appliedaixpert.xml,见 清单 3

清单 3. 基线文件 appliedaixpert.xml
# cd /etc/security/aixpert/core
# ls -l appliedaixpert.xml
-rw-r--r--    1 root   system    109237 Oct 07 07:40 appliedaixpert.xml

使用 aixpert -c 运行检查选项现在应该会起作用。这个检查功能报告处理的规则数量和通过或失败的规则数量。


问题 2:AIXPert 不能撤销它没有做的事情

AIXPert 的出色特性之一是可以轻松地撤销它已经应用的安全设置。当成功地应用规则时,会在 undo.xml 文件中写入相应的 Undo 操作规则。如果需要撤销安全更改,这是一个非常灵巧的撤销计划。如果决定绕过 AIXPert,自己控制一些设置,就不会在 undo.xml 文件中写入 Undo 操作规则,所以 AIXPert 无法撤销它们。

AIXPert 的 XML 文件

AIXPert 以 XML 格式存储所有设置。几个预定义的安全级别允许使用单一命令启用所有安全设置。如果希望更具体地设置,可以使用 GUI 中的 Advanced 菜单。还可以通过创建自己的 XML 文件调整想要的安全规则。

有了采用 XML 格式的安全策略之后,可以使用 aixpert -f appliedaixpert.xml 应用它。还可以把自己的安全策略 XML 文件复制到其他 AIX 系统并在整个组织中应用相同的一致的规则。

解决方法

AIXPert 提供单一的一致的安全配置,很容易跨多个系统复制安全配置。appliedaixpert.xml 文件把所有安全设置集中在单一文件中,而 undo.xml 文件让您可以简便地撤销这些设置(有一些例外情况,见 问题 3)。

为了保护 AIX 系统,您可能需要实现数百个安全设置。一次一个地设置非常麻烦,而且更改一个 LPAR 要花费几小时,撤销花费的时间甚至更长。应该把所有需要做的安全加强工作交给 AIXPert,这样更灵巧、更简单且更安全。


问题 3:Undo 选项有一些例外情况

AIXPert 中的 Undo 选项 (aixpert -u) 可以撤销使用 AIXPert 做的安全更改,但是有几种操作不能撤销。

解决方法

预先得到警告才能预先做好准备,所以了解 Undo 选项的例外情况很重要。这些例外包括:

  • 对于 High、Medium 和 Low 安全级别,检查密码、用户和组定义
  • 更改登录标题
  • 删除访客账户

AIX Version 6 Advanced Security Redbook 描述了这些设置和无法使用 AIXPert Undo 选项撤销的其他设置(见 参考资料 中的链接)。


问题 4:AIXPert 不会自动运行

如果您做过一段时间的 AIX 系统管理,可能会认为只需编辑配置文件(比如 resolv.conf 或 sendmail.cf),在重启守护进程之后或者在大多数情况下在下一次重新引导之后,更改就会生效。对于 AIXPert,没有守护进程。如果您编辑配置文件,可能会吃惊地发现即使在重新引导之后其中的安全规则也没有生效。

解决方法

在 XML 文件中按自己的希望添加、删除或更改规则之后,需要使用 aixpert -f 再加文件名以应用这些规则,见 清单 4 中的示例。

清单 4. 应用安全设置
# aixpert -f appliedaixpert.xml

只有在您希望应用安全规则时,AIXPert 才会这么做。如果您自己打破规则(系统管理员有权这么做),那么不希望 aixpert 命令在不掌握您掌握的信息的情况下撤销更改。例如,如果您临时打开 Telnet 或 FTP,而某个过分热心的安全守护进程很快禁用了它,这会让您很恼火。

如果愿意的话,可以通过设置 cron 作业定期地实施规则。您也可能更喜欢用 aixpert -c 报告系统的遵从性。这样就可以判断自从上一次应用 AIXPert 以来打破了哪些规则,然后如果愿意的话,再次实现它们。


问题 5:SOX COBIT 设置并不包含高安全性设置

在 AIXPert 中有多个安全级别,从 AIX Default 到 Low、Medium、High 和 Advanced。还有 SOX COBIT,它应用 SOX COBIT Best Practices Security (SCBPS)。

您可能会认为,如果应用了 SOX COBIT 规则,系统就会得到保护,所有高级安全规则都就位了,我以前也这么想。但事实不是这样。当应用 SOX COBIT 的 AIXPert 设置时,会实现密码策略实施、安全违规和活动报告、恶意软件探测和纠正以及防火墙设置方面的 SCBPS 选项。同样重要的是,其中并不包含在选择 High 安全级别时会应用的所有安全设置。

解决方法

如果需要 High 安全设置,那么先运行 aixpert -l high 命令以设置 High 级别,然后aixpert -l sox-cobit 应用 SOX COBIT 设置。


简便地加强安全性

AIX Security Expert 确实为应用安全标准提供了一种简单、快速且全面的方法。它提供几个简便的界面,让您能够用单一命令对 AIX 系统应用安全级别。它还允许通过 XML 配置文件和命令行定制安全设置。

一旦您认识到 AIXPert 会替您控制安全性,就可以应用健壮且一致的安全设置。只要解决一些问题,您就会发现这个安全工具可以为您节省大量时间。

参考资料

学习

  • Ken Milberg 在他的 developerWorks 文章 使用 AIX Security Expert(2008 年 12 月)中对 AIX Security Expert 做了精彩的概述。
  • AIXPert hints and tips wiki 展示在设置安全性时可以使用的界面。还列出取自 /usr/security/aixpert/core/aixpertall.xml 的 AIXPert 规则。
  • IBM 信息中心 可以找到 AIXPert 使用的命令、文件和设置的文档。
  • Redbook AIX V6 Advanced Security Features Introduction and Configuration 详细解释了 AIX 6 中的安全增强并提供实用示例。
  • AIX and UNIX 专区:developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息,您可以利用它们来扩展自己的 UNIX 技能。
  • AIX and UNIX 新手入门:访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  • AIX and UNIX 专题汇总:AIX and UNIX 专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容。
  • AIX and UNIX 下载中心:在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具,让您可以提前免费试用他们的强大功能。
  • IBM Systems Magazine for AIX 中文版:本杂志的内容更加关注于趋势和企业级架构应用方面的内容,同时对于新兴的技术、产品、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的,包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以,从这些内容中,您可以了解到更高层次的应用理念,让您在选择和应用 IBM 系统时有一个更好的认识。
  • 技术书店:在技术书店阅读关于这些和其他技术主题的图书。

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=676749
ArticleTitle=解决 AIX Security Expert 的使用问题
publish-date=06022011