使用 AIX Security Expert

文档选项 未显示需要 JavaScript 的文档选项 英文原文

级别： 中级

Ken Milberg, 作家/网站专家, Future Tech

2009 年 3 月 02 日

AIXPert AIXPert 是一个通用的 GUI 和命令行安全工具，它包含了超过 300 个安全配置设置。学习 IBM® AIX® V6.1 中实现的最新的增强，包括 SOX 审计报告，并查看一些展示如何从命令行、smit 和 GUI 使用 AIXPert 的实际场景。

简介

从 AIX V5.3 TL05 开始，IBM 引入了一个新特性，该特性称作 AIX Security Expert，或简称 AIXPert。那么，它到底是什么样的？AIXPert 不是一个单独的系统或实用程序；实际上，它是一个将很多安全工具集中到一个界面的系统。在早期，它提供的最重要的功能是设置安全级别和控制一些关键领域的设置。这些领域包括启用远程服务的规则、IP 安全性过滤和对启动文件，包括 inittab、rc.tcpip 和 inetd 的更细粒度的控制。

随着 AIX V6.1 的引入，很多新的特性被添加到这个系统中。这些增强包括：

• 定制用户定义策略的能力。
• 对 root 密码的更严格的检查。
• 对 Sarbones-Oxley（SOX）-COBIT 最佳实践。
• 除了 GUI 性能增强外，还有一个更强的界面，以帮助您配置环境。
• 使用 LDAP 的集中式策略分发（不过，本文不会深入探讨实际的 LDAP 实现）。

回页首

使用 AIXPert

AIXPert 实质上是一个网络和安全性强化工具，它将很多功能合并到一个系统中。在 AIXPert 之前，您需要记住很多不同的命令。而 AIXPert 包含了超过 300 个安全配置设置，并提供对每个元素的控制。换句话说，它为所有安全设置，包括 TCP、IPSEC 和审计，提供一个中心。实际上，可以为系统定义 4 个不同的级别：high、medium、low 和 advanced。

• High 级别应该用于安全性和控制最为重要的环境中。注意，传输非加密密码的应用程序，例如 telnet、rlogin 和 FTP 以及其他系统将不能工作，所以在启用 high 级别时要小心。例如，可能直接连接到具有敏感数据的 Internet 的系统就使用这种级别。
• Medium 级别适用于在防火墙后的系统，在这种系统中，用户需要使用 telnet 等服务，但是仍然希望受保护。该设置还提供端口扫描和密码设置保护。
• Low 级别安全性通常用于孤立的、安全的 LAN 中的系统。当系统管理员需小心避免中断环境中的任何服务时，可使用该级别。本文将展示如何配置这些设置。
• Advanced 级别用于定制。当启用该级别时，可以使用来自不同级别的不同规则，这些规则本身是互斥的。它本身并没有提供更高级别的安全性。

真正为 AIXPert 增加价值的不是任何特定的特性，而是安全性的整合。例如，AIXPert 以 fpm 命令的形式包含了 File Permissions Manager，以帮助管理 SUID 程序。本文后面将演示该特性。

另一个重要的特性是获取系统快照并在企业中重现这些设置的功能。这使您可以跨整个组织克隆安全特性。该特性包括撤销设置的功能，并且还可以检查系统的整体安全状况，以报告可能被更改的设置。撤销安全级别再容易不过了，只需从命令行运行这个命令：# aixpert - u undo.xml。这个撤销特性是 AIX V6.1 发行版中的增强之一。

本文演示如何使用所有可用的方法来配置安全性：通过命令行、通过 smit（或 smitty）以及通过 GUI（在此使用 AIX Systems Director）。

回页首

AIXPert 系统概览

重要的是理解对于 AIXPert 有哪些重要的文件，这样才知道当前处理的是什么文件，当系统运行时被修改的是什么文件。这样还可以帮助解决可能出现的问题。

配置数据本身从父目录 /etc/security/aixpert 开始。系统中最重要的文件都可以从这里访问。

第一个文件是 aixpertall.xml，它在以下目录中：/etc/security/aixpert/core/aixpertall.xml（参见图 1）。该文件包含所有可能的系统设置的 XML 清单。

接下来的文件是 appliedaixpert 文件，它包含应用的安全设置的清单（参见图 2）。这个文件常用于获取一个安全快照，以用作本身系统上的一个文档工具，或者用于获取配置数据，并将其应用到其他系统上。您将使用 -f 命令做这件事。这很简单，只需运行这个命令：# aixpert -f appliedaixpert.xml。

/etc/security/aixpert/log/aixpert.log 文件是 tracelog 文件。由于 AIXPert 不使用 syslog，所以如果要查看所有应用的安全设置，就需要查看这个文件。

如果要使用审计，那么还需要查看 etc/security/aixpert/check_report.txt 文件。而且，当使用 AIXpert 配置系统时，这个文件将报告在 AIXPert 之外做出的任何配置更改。当应用的安全设置没有被更改时，这个文件应该为空。

至此，您已理解 AIXPert 是在哪里保存它的关键文件的，现在让我们来运行 fpm。

回页首

使用 fpm

通过 fpm 命令，系统管理员可以禁用很多命令上的 setuid 和 setgid 位，从而强化他们的系统。这一点很重要，因为和大多数 UNIX 一样，AIX 在历史上有很多 setuid 和 setgid 程序。这个命令主要用于从有特权的用户所拥有的命令和守护进程中移除 setuid 许可，但是它也可以用于解决计算机环境的特定需求。在有这个命令之前，您需要使用 Role-Based Access Control（RBAC）来帮助纠正 setuid 和 setgid 程序的问题。无论使用 RBAC 与否，使用 fpm 实际上有助于减少这些文件的数量。

我们来看一些例子。

为了检查系统命令当前是否被设为 fpm low-level 许可，输入清单 1 中的命令。

				
# fpm -c -l low

Success, no files had the suid bit set

在此情况下，没有文件设置了 suid 位。

清单 2 显示为了使系统遵从 fpm 命令的 high 级别安全性，并且不更改任何实际的文件许可，需要做出的许可更改。

				
# fpm -l high -p

已经有一个或多个文件是安全的。因此，当前的文件许可可能与默认的许可不一致。如果想返回到运行该命令之前的许可快照，那么使用这个命令：# fpm -l default。

这样会将所有 AIX 许可恢复到安装时的设置，以及 /usr/lib/security/fpm/custom/default 中已有的任何定制的设置。

到目前为止，本文主要是概述性地讨论 AIXPert 以及它的特性和最近的创新。您还看到了它的一个实用程序：fpm。在接下来的小节中，您将看到执行 AIXPert 命令的 3 种不同的方法。

回页首

使用命令行

AIXPert 有一个非常强大的命令行。实际上，它比从 smit 或 GUI 中运行的任何东西都强大得多。

较常用的标志有：

-p

使用详细模式输出

-c

检查整个安全设置

-l

检查 /etc/security/aixpert/core/appliedaixpert.xml 文件中的所有规则

-f

应用提供的文件中的安全设置

-l

将系统安全设置指定为该选项指定的级别。所有被成功应用的规则被写到 /etc/security/aixpert/core/appliedaixpert.xml 中。可用的选项有：

h|high

指定 high 级别安全选项

m|medium

指定 medium 级别安全选项

l|low

指定 low 级别安全选项

d|default

指定 AIX standards 级别安全选项

s|sox-cobit

指定 SOX-COBIT best practices 级别安全选项

-o

将安全性输出存储到文件名指定的文件中

-u

撤销被应用的安全设置

-d

显示文档类型定义（DTD）

清单 3 显式地告诉系统使用 low 级别安全选项。

				
# aixpert -l low -n -o /etc/security/aixpert/core/mySettings.xml

为了应用一个文件中的设置，可使用 -f 命令（参见清单 4）。

				
# aixpert -f /etc/security/aixpert/core/mySettings.xml

本文不详述每个场景。要了解关于可以做哪些事情的更多信息，请查看关于 AIXPert 的帮助主页（参考资料 中提供了一个链接）。

接下来，我们将通过 smit 使用 AIXPert。

回页首

使用 smit

大多数 AIX 管理员更喜欢使用 smit 来运行命令和实用程序。在此也不例外，除非您需要深入钻研，使用这里没有的一些低级的命令。通过使用 smit，可以清楚地看到所有可用的高级命令，包括设置安全级别、实现和查看 SOX-COBIT 实践以及检查和撤销安全级别。

在这个例子中，首先使用 smit AIXPert 的快捷命令：# smit aixpert。然后，将系统的安全级别配置为 low。

将光标向下移动到 low-level security，如图 3 所示。按下 Enter 键后，系统将提示您确认要继续运行该命令。

在这个例子中，您将启动 SOX-COBIT 最佳实践（参见图 4）。

Audit 特性将向审计者报告系统当前是否被配置为遵从 SOX。配置助手本身自动实现与 SOX 的 COBIT 最佳实践相关的安全设置。目标包括密码策略实施、违规和安全性活动报告以及恶意软件的检测和修复。

为了生成一个详细的遵从性审计报告，可以从命令行使用以下命令：# aixpert -c -l s -p。

接下来，使用 GUI 来配置 AIXPert。

回页首

使用 GUI

在 AIX 6.1 之前，需要使用 WebSM 来访问用于 AIXPert 的 GUI。而在 AIX V6.1 中，应使用 IBM Systems Director 来访问 AIX 控制台。打开浏览器，访问以下链接：http://hostname:5335/ibm/console。

如果主机名不行，试一下 IP 地址。在登录到 Systems Director 时，使用 root 密码。如果您没有使用过 AIX Systems Director，我敢保证您会喜欢上它的感观。登录后，您将看到主屏幕（参见图 5）。进入 System Environments。

选择 AIX Security Expert，如图 6 所示。

在这里可以看到与使用 smit 时类似的选项。选择 Medium-Level Security。和 smit 一样，系统将提示您确认要继续运行该命令（参见图 7）。

选择 Yes 后，系统处理信息并成功完成（参见图 8）。

现在，您已经可以通过方便的 GUI 来利用 AIXPert 的威力。

回页首

结束语

本文介绍了 AIXPert，这是一个通用的 GUI 和命令行安全工具。文中讨论了这个系统可以做什么，以及 AIX V6.1 中实现的最新的增强，包括 SOX 审计支持。本文详细说明了可以为系统定义的 4 种不同的安全级别：high、medium、low 和 advanced。本文还讨论了配置 AIXPert 的不同方法，包括命令行、smit 和 GUI，并描述了该系统中的一些实用程序，例如 File Permissions Manager（fpm）。

参考资料

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• 阅读 IBM AIX 6.1 Dfferences Guide，了解 IBM AIX Version 6.1 与 AIX 5L Version 5.3 之间的不同点。
  
  
• AIX V6 Advanced Security Features 红皮书从概念层面列出并解释了一些安全特性，另外还提供了一些关于如何执行它们的实例。
  
  
• 查看 Command Reference for aixpert。
  
  
• 阅读 IBM Systems Information Center 中关于 AIX Security Expert 的条目。
  
  
• New to AIX and UNIX?：访问 “New to AIX and UNIX” 页面，了解更多关于 AIX 和 UNIX 的信息。
  
  
• AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。
  
  
• AIX and UNIX 新手入门：访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  
  
• AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。
  
  
• AIX 5L 网络性能优化，第 1 部分：网络概述—对硬件进行监视：阅读一个关于 AIX 网络的包含 3 部分的系列的第 1 部分，这篇文章主要讨论优化网络性能所遇到的挑战。
  
  
• 在一个由 3 部分组成的关于 AIX 内存调优的系列中，阅读 AIX 5L 内存性能优化，第 1 部分: AIX Version 5.3 中内存的概述以及内存参数的优化。
  
  
• 阅读 IBM 白皮书 Improving Database Performance with AIX concurrent I/O。
  
  
• 从 IBM System p 和 AIX InfoCenter 了解 AIX 内存关联支持。
  
  
• 红皮书 Database Performance Tuning on AIX 可用于帮助系统设计人员、系统管理员和数据库管理员设计、调整、实现、维护、监视和调优 Relational Database Management System（RDMBS），以便在 AIX 上获得最佳性能。
  
  
• 了解 IBM 的 Power Architecture: High-Performance Architecture with a History。
  
  
• 阅读 Power to the People; A history of chip making at IBM中对 IBM power 架构的介绍。
  
  
• CPU Monitoring and Tuning：阅读这篇文章，了解如何借助标准的 AIX 工具确定 CPU 瓶颈。
  
  
• 要获得关于 AIX 5L Version 5.3 中提供的性能监视和调优工具的综合性指南，请参阅 IBM 红皮书 AIX 5L Practical Performance Tools and Tuning Guide。
  
  
• 在 AIX 5L Version 5.3：为您提供了哪些新的特性？中，了解 AIX 5L Version 5.3 中提供了哪些有用的特性。
  
  
• IBM 的 Operating System and Device Management 为用户和系统管理员提供了完整的信息，以帮助您在执行备份和恢复系统、管理物理和逻辑存储、调整分页空间大小等任务时选择正确的选项。
  
  
• The AIX 5L Differences Guide Version 5.3 Edition红皮书着重讨论了 AIX 5L Version 5.3 与 AIX 5L Version 5.2 之间的不同点。
  
  
• Open source：访问 developerWorks Open source 专区，获得丰富的 how-to 信息、工具和项目更新，帮助您用开放源码技术进行开发，并与 IBM 产品结合使用。
  
  
• developerWorks 技术活动和网络广播：随时关注 developerWorks 技术活动和网络广播。
  
  
• Podcasts：收听 Podcast 并了解 IBM 技术专家的最新想法。
  
  

• 参与 AIX 和 UNIX 论坛：
  • AIX 5L —— 技术论坛
  • 针对开发人员的 AIX 论坛
  • Cluster Systems Management
  • IBM Support Assistant
  • 性能工具 —— 技术论坛
  • 虚拟化 —— 技术论坛
  • 更多 AIX and UNIX 论坛
  
  

关于作者

		Ken Milberg 是 PMP，同时也是 techtarget.com 的撰稿人/站点专家，他还为 searchopensource.com 提供 Linux 技术信息和支持。Ken 是 IBM Systems Magazine，Open Edition 的撰稿人和技术编辑。Ken 拥有 University of Maryland University College 的计算机与信息科学学士学位和技术管理科学硕士学位。他是 Long Island POWER-AIX 用户组的创始人和负责人。这些年以来，他在各种规模的企业工作过，并且担任过各种职位，包括 CIO 和高级 AIX 工程师。他现在在 Future Tech 工作，这是一家总部设在长岛的 IBM 业务合作伙伴。Ken 不仅是已通过 PMI 认证的项目管理专业人员（PMP），还是通过 IBM 认证的高级技术专家（CATE，IBM System p5 2006）。

对本文的评价

太差！ (1) 需提高 (2) 一般；尚可 (3) 好文章 (4) 真棒！(5) 建议？

回页首