使用 AIX Security Expert

AIX V6.1 中新的 AIXPert 特性

AIXPert 是一个通用的 GUI 和命令行安全工具,它包含了超过 300 个安全配置设置。学习 IBM® AIX® V6.1 中实现的最新的增强,包括 SOX 审计报告,并查看一些展示如何从命令行、smit 和 GUI 使用 AIXPert 的实际场景。

Ken Milberg, 作家/网站专家, Future Tech

Ken Milberg 是 PMP,同时也是 techtarget.com 的撰稿人/站点专家,他还为 searchopensource.com 提供 Linux 技术信息和支持。Ken 是 IBM Systems Magazine,Open Edition 的撰稿人和技术编辑。Ken 拥有 University of Maryland University College 的计算机与信息科学学士学位和技术管理科学硕士学位。他是 Long Island POWER-AIX 用户组的创始人和负责人。这些年以来,他在各种规模的企业工作过,并且担任过各种职位,包括 CIO 和高级 AIX 工程师。他现在在 Future Tech 工作,这是一家总部设在长岛的 IBM 业务合作伙伴。Ken 不仅是已通过 PMI 认证的项目管理专业人员(PMP),还是通过 IBM 认证的高级技术专家(CATE,IBM System p5 2006)。



2009 年 3 月 02 日

简介

从 AIX V5.3 TL05 开始,IBM 引入了一个新特性,该特性称作 AIX Security Expert,或简称 AIXPert。那么,它到底是什么样的?AIXPert 不是一个单独的系统或实用程序;实际上,它是一个将很多安全工具集中到一个界面的系统。在早期,它提供的最重要的功能是设置安全级别和控制一些关键领域的设置。这些领域包括启用远程服务的规则、IP 安全性过滤和对启动文件,包括 inittab、rc.tcpip 和 inetd 的更细粒度的控制。

随着 AIX V6.1 的引入,很多新的特性被添加到这个系统中。这些增强包括:

  • 定制用户定义策略的能力。
  • 对 root 密码的更严格的检查。
  • 对 Sarbones-Oxley(SOX)-COBIT 最佳实践。
  • 除了 GUI 性能增强外,还有一个更强的界面,以帮助您配置环境。
  • 使用 LDAP 的集中式策略分发(不过,本文不会深入探讨实际的 LDAP 实现)。

使用 AIXPert

AIXPert 实质上是一个网络和安全性强化工具,它将很多功能合并到一个系统中。在 AIXPert 之前,您需要记住很多不同的命令。而 AIXPert 包含了超过 300 个安全配置设置,并提供对每个元素的控制。换句话说,它为所有安全设置,包括 TCP、IPSEC 和审计,提供一个中心。实际上,可以为系统定义 4 个不同的级别:high、medium、low 和 advanced。

  • High 级别应该用于安全性和控制最为重要的环境中。注意,传输非加密密码的应用程序,例如 telnet、rlogin 和 FTP 以及其他系统将不能工作,所以在启用 high 级别时要小心。例如,可能直接连接到具有敏感数据的 Internet 的系统就使用这种级别。
  • Medium 级别适用于在防火墙后的系统,在这种系统中,用户需要使用 telnet 等服务,但是仍然希望受保护。该设置还提供端口扫描和密码设置保护。
  • Low 级别安全性通常用于孤立的、安全的 LAN 中的系统。当系统管理员需小心避免中断环境中的任何服务时,可使用该级别。本文将展示如何配置这些设置。
  • Advanced 级别用于定制。当启用该级别时,可以使用来自不同级别的不同规则,这些规则本身是互斥的。它本身并没有提供更高级别的安全性。

真正为 AIXPert 增加价值的不是任何特定的特性,而是安全性的整合。例如,AIXPert 以 fpm 命令的形式包含了 File Permissions Manager,以帮助管理 SUID 程序。本文后面将演示该特性。

另一个重要的特性是获取系统快照并在企业中重现这些设置的功能。这使您可以跨整个组织克隆安全特性。该特性包括撤销设置的功能,并且还可以检查系统的整体安全状况,以报告可能被更改的设置。撤销安全级别再容易不过了,只需从命令行运行这个命令:# aixpert - u undo.xml。这个撤销特性是 AIX V6.1 发行版中的增强之一。

本文演示如何使用所有可用的方法来配置安全性:通过命令行、通过 smit(或 smitty)以及通过 GUI(在此使用 AIX Systems Director)。


AIXPert 系统概览

重要的是理解对于 AIXPert 有哪些重要的文件,这样才知道当前处理的是什么文件,当系统运行时被修改的是什么文件。这样还可以帮助解决可能出现的问题。

配置数据本身从父目录 /etc/security/aixpert 开始。系统中最重要的文件都可以从这里访问。

第一个文件是 aixpertall.xml,它在以下目录中:/etc/security/aixpert/core/aixpertall.xml(参见图 1)。该文件包含所有可能的系统设置的 XML 清单。

图 1. aixpertall.xml
aixpertall.xml

接下来的文件是 appliedaixpert 文件,它包含应用的安全设置的清单(参见图 2)。这个文件常用于获取一个安全快照,以用作本身系统上的一个文档工具,或者用于获取配置数据,并将其应用到其他系统上。您将使用 -f 命令做这件事。这很简单,只需运行这个命令:# aixpert -f appliedaixpert.xml

图 2. appliedaixpert.xml
appliedaixpert.xml

/etc/security/aixpert/log/aixpert.log 文件是 tracelog 文件。由于 AIXPert 不使用 syslog,所以如果要查看所有应用的安全设置,就需要查看这个文件。

如果要使用审计,那么还需要查看 etc/security/aixpert/check_report.txt 文件。而且,当使用 AIXpert 配置系统时,这个文件将报告在 AIXPert 之外做出的任何配置更改。当应用的安全设置没有被更改时,这个文件应该为空。

至此,您已理解 AIXPert 是在哪里保存它的关键文件的,现在让我们来运行 fpm。


使用 fpm

通过 fpm 命令,系统管理员可以禁用很多命令上的 setuid 和 setgid 位,从而强化他们的系统。这一点很重要,因为和大多数 UNIX 一样,AIX 在历史上有很多 setuid 和 setgid 程序。这个命令主要用于从有特权的用户所拥有的命令和守护进程中移除 setuid 许可,但是它也可以用于解决计算机环境的特定需求。在有这个命令之前,您需要使用 Role-Based Access Control(RBAC)来帮助纠正 setuid 和 setgid 程序的问题。无论使用 RBAC 与否,使用 fpm 实际上有助于减少这些文件的数量。

我们来看一些例子。

为了检查系统命令当前是否被设为 fpm low-level 许可,输入清单 1 中的命令。

清单 1. 检查系统命令是否被设为 fpm low 级别许可
# fpm -c -l low

Success, no files had the suid bit set

在此情况下,没有文件设置了 suid 位。

清单 2 显示为了使系统遵从 fpm 命令的 high 级别安全性,并且不更改任何实际的文件许可,需要做出的许可更改。

清单 2. 列出为遵从 high 级别安全性所需做出的许可更改
# fpm -l high -p

已经有一个或多个文件是安全的。因此,当前的文件许可可能与默认的许可不一致。如果想返回到运行该命令之前的许可快照,那么使用这个命令:# fpm -l default

这样会将所有 AIX 许可恢复到安装时的设置,以及 /usr/lib/security/fpm/custom/default 中已有的任何定制的设置。

到目前为止,本文主要是概述性地讨论 AIXPert 以及它的特性和最近的创新。您还看到了它的一个实用程序:fpm。在接下来的小节中,您将看到执行 AIXPert 命令的 3 种不同的方法。


使用命令行

AIXPert 有一个非常强大的命令行。实际上,它比从 smit 或 GUI 中运行的任何东西都强大得多。

较常用的标志有:

-p
使用详细模式输出
-c
检查整个安全设置
-l
检查 /etc/security/aixpert/core/appliedaixpert.xml 文件中的所有规则
-f
应用提供的文件中的安全设置
-l
将系统安全设置指定为该选项指定的级别。所有被成功应用的规则被写到 /etc/security/aixpert/core/appliedaixpert.xml 中。可用的选项有:
h|high
指定 high 级别安全选项
m|medium
指定 medium 级别安全选项
l|low
指定 low 级别安全选项
d|default
指定 AIX standards 级别安全选项
s|sox-cobit
指定 SOX-COBIT best practices 级别安全选项
-o
将安全性输出存储到文件名指定的文件中
-u
撤销被应用的安全设置
-d
显示文档类型定义(DTD)

清单 3 显式地告诉系统使用 low 级别安全选项。

清单 3. 告诉系统使用 low 级别安全选项
# aixpert -l low -n -o /etc/security/aixpert/core/mySettings.xml

为了应用一个文件中的设置,可使用 -f 命令(参见清单 4)。

清单 4. 应用一个文件中的设置
# aixpert -f /etc/security/aixpert/core/mySettings.xml

本文不详述每个场景。要了解关于可以做哪些事情的更多信息,请查看关于 AIXPert 的帮助主页(参考资料 中提供了一个链接)。

接下来,我们将通过 smit 使用 AIXPert。


使用 smit

大多数 AIX 管理员更喜欢使用 smit 来运行命令和实用程序。在此也不例外,除非您需要深入钻研,使用这里没有的一些低级的命令。通过使用 smit,可以清楚地看到所有可用的高级命令,包括设置安全级别、实现和查看 SOX-COBIT 实践以及检查和撤销安全级别。

在这个例子中,首先使用 smit AIXPert 的快捷命令:# smit aixpert。然后,将系统的安全级别配置为 low。

将光标向下移动到 low-level security,如图 3 所示。按下 Enter 键后,系统将提示您确认要继续运行该命令。

图 3. 启动 smit
启动 smit

在这个例子中,您将启动 SOX-COBIT 最佳实践(参见图 4)。

图 4. 启动 SOX-COBIT 最佳实践
启动 SOX-COBIT 最佳实践

Audit 特性将向审计者报告系统当前是否被配置为遵从 SOX。配置助手本身自动实现与 SOX 的 COBIT 最佳实践相关的安全设置。目标包括密码策略实施、违规和安全性活动报告以及恶意软件的检测和修复。

为了生成一个详细的遵从性审计报告,可以从命令行使用以下命令:# aixpert -c -l s -p

接下来,使用 GUI 来配置 AIXPert。


使用 GUI

在 AIX 6.1 之前,需要使用 WebSM 来访问用于 AIXPert 的 GUI。而在 AIX V6.1 中,应使用 IBM Systems Director 来访问 AIX 控制台。打开浏览器,访问以下链接:http://hostname:5335/ibm/console

如果主机名不行,试一下 IP 地址。在登录到 Systems Director 时,使用 root 密码。如果您没有使用过 AIX Systems Director,我敢保证您会喜欢上它的感观。登录后,您将看到主屏幕(参见图 5)。进入 System Environments。

图 5. System Environments 屏幕
System Environments 屏幕

选择 AIX Security Expert,如图 6 所示。

图 6. 选择 AIX Security Expert
选择 AIX Security Expert

在这里可以看到与使用 smit 时类似的选项。选择 Medium-Level Security。和 smit 一样,系统将提示您确认要继续运行该命令(参见图 7)。

图 7. 提示确认要继续运行命令
提示确认要继续运行命令

选择 Yes 后,系统处理信息并成功完成(参见图 8)。

图 8. 成功
成功

现在,您已经可以通过方便的 GUI 来利用 AIXPert 的威力。


结束语

本文介绍了 AIXPert,这是一个通用的 GUI 和命令行安全工具。文中讨论了这个系统可以做什么,以及 AIX V6.1 中实现的最新的增强,包括 SOX 审计支持。本文详细说明了可以为系统定义的 4 种不同的安全级别:high、medium、low 和 advanced。本文还讨论了配置 AIXPert 的不同方法,包括命令行、smit 和 GUI,并描述了该系统中的一些实用程序,例如 File Permissions Manager(fpm)。

参考资料

学习

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX, Security
ArticleID=373500
ArticleTitle=使用 AIX Security Expert
publish-date=03022009