Введение

В версии AIX V5.3 TL05 корпорация IBM представила новую функцию AIX Security Expert (сокращенно AIXPert). Так что же это на самом деле? AIXPert — это не одиночная система или утилита; в действительности в одном интерфейсе собрано много инструментов управления безопасностью. Поначалу самые важные предоставляемые возможности были предназначены для создания уровней безопасности и для управления настройками в ключевых областях. В эти области входили правила для включения удаленных служб, IP-фильтрация безопасности и детальное управление файлами запуска системы, в том числе inittab, rc.tcpip и inetd.

С появлением AIX V6.1 в систему были добавлены многие новые свойства. В числе этих улучшений:

• возможность настраивать пользовательские политики;
• более строгая проверка паролей root;
• поддержка лучших практик Sarbones-Oxley (SOX)-COBIT;
• улучшенный интерфейс, помогающий настроить окружение, а также повышенная производительность графического интерфейса пользователя;
• централизованное распределение политики через LDAP (хотя в этой статье не рассматривается фактическая реализация LDAP).

В начало

Применение AIXPert

AIXPert — это прежде всего средство укрепления безопасности и защиты сети, объединяющее много функций в одну систему. До появления AIXPert нужно было помнить множество различных команд. AIXPert содержит более 300 параметров конфигурации безопасности, в то же время осуществляя контроль над каждым элементом. Другими словами, он представляет собой центр для всех настроек безопасности, включая TCP, IPSEC и аудит. В сущности, есть четыре различных уровня, которые можно определить как часть системы: высокий, средний, низкий и продвинутый.

• Высокий уровень безопасности следует использовать там, где безопасность и управление имеют первостепенное значение. Имейте в виду, что такие приложения, как telnet, rlogin и FTP, а также другие системы, которые передают открытые пароли, не будут работать, поэтому будьте осторожны, применяя высокий уровень. Нужно иметь в виду, что большинство портов при высоком уровне безопасности будут заблокированы. Этот уровень безопасности обычно применяется для компьютеров, которые подключены непосредственно к Интернету и на которых хранятся конфиденциальные данные.
• Средний уровень безопасности подходит для компьютеров, которые находятся за межсетевым экраном, где пользователям необходимо пользоваться такими службами, как telnet, но им все же нужна защита. Эта настройка обеспечивает также защиту от сканирования портов и при задании паролей.
• Низкоуровневая безопасность обычно применяется, если компьютер находится в изолированной и безопасной локальной сети. Она используется в тех случаях, когда системным администраторам необходимо проявлять осторожность, чтобы не прерывать работу служб в системе. В нашей статье показано, как конфигурировать эти настройки.
• Продвинутый уровень предназначен для настройки под специфические требования. Он дает возможность использовать различные правила из разных уровней, причем сами эти правила могут быть взаимоисключающими. Сам по себе этот уровень не обеспечивает более высокого уровня безопасности.

Именно укрепление безопасности повышает значимость AIXPert больше, чем какая-либо другая его функция. Например, в AIXPert входит менеджер прав доступа к файлам в виде команды fpm, который помогает также в управлении программами с SUID. Эта функция демонстрируется далее в статье.

Еще одна важная особенность AIXPert состоит в способности делать моментальные снимки системы и воспроизводить такие настройки во всем предприятии, что дает возможность клонировать настройки безопасности по всей организации. Эта функция включает в себя возможность отменить настройки, а также делает проверку общего состояния безопасности систем, информируя о настройках, которые, возможно, были изменены. Трудно переоценить легкость, с которой можно отменять уровни безопасности. Это так же просто, как запустить вот такую команду в командной строке: # aixpert - u undo.xml. Эта функция отмены — одно из главных улучшений, реализованных в AIX V6.1.

В данной статье показано, как настраивать безопасность, используя все доступные методы: с помощью командной строки, с помощью smit (или smitty), а также с помощью графического интерфейса (в данном случае с помощью AIX Systems Director).

В начало

Обзор системы AIXPert

Крайне необходимо понимать, какие файлы для AIXPert являются важными, т.е. с какими файлами он работает и какие файлы он может изменять. Эта информация также помогает устранять возможные проблемы.

Сами конфигурационные файлы начинаются с родительского каталога /etc/security/aixpert. Все самые важные файлы системы находятся здесь.

Первый файл — aixpertall.xml, который находится в каталоге /etc/security/aixpert/core/aixpertall.xml (рисунок 1). Это файл, в котором содержатся XML-листинги всех возможных настроек системы.

Следующим является файл appliedaixpert, в котором записан список примененных настроек безопасности (рисунок 2). Наиболее часто этот файл используется для получения мгновенного снимка безопасности для документирования конфигурации системы или для применения настроек безопасности на других компьютерах. Для этого надо ввести команду с ключом -f: # aixpert -f appliedaixpert.xml.

Файл /etc/security/aixpert/log/aixpert.log — это журнал трассировки. Поскольку AIXPert не использует syslog, нужно просмотреть этот файл, чтобы увидеть все применявшиеся настройки безопасности.

Если вы хотите провести аудит безопасности, тогда нужно посмотреть и файл /etc/security/aixpert/check_report.txt. Кроме того, когда AIXpert используется для конфигурирования систем, этот файл будет сообщать обо всех изменениях конфигурации, сделанных вне AIXPert. Если применявшиеся настройки безопасности не менялись, этот файл должен быть пустым.

Теперь, когда стало понятно, где AIXPert хранит все свои главные файлы, давайте запустим fpm.

В начало

Использование fpm

Команда fpm дает возможность системным администраторам укрепить безопасность путем отключения битов setuid и setgid у многих команд. Это важно, поскольку, как и в большинстве UNIX-систем, в AIX используется множество программ с setuid и setgid. Эта команда предназначена прежде всего для удаления привилегий setuid у команд и демонов, принадлежащих привилегированным пользователям, но она может быть использована и для специальной настройки. До появления этой команды нужно было работать с управлением доступом на основе ролей (Role-Based Access Control, RBAC), чтобы исправить проблему программ с битами setuid и setgid. Применение fpm в самом деле помогает уменьшить число этих файлов как с использованием RBAC, так и без него.

Давайте рассмотрим некоторые примеры.

Для того чтобы проверить, установлены ли в данный момент у системных команд низкоуровневые права доступа в соответствии с fpm, введите команду из листинга 1.

# fpm -c -l low

Success, no files had the suid bit set

В данном случае файлов с установленным битом suid нет.

Команда в листинге 2 покажет изменения прав доступа, необходимые для того, чтобы сделать систему соответствующей требованиям команды fpm для применения высокого уровня безопасности, при этом не будут происходить изменения каких-либо фактических прав доступа к файлам.

# fpm -l high -p

Один или несколько файлов уже безопасны. Следовательно, текущие права доступа к файлам, возможно, не соответствуют правам доступа по умолчанию. Если требуется вернуться к моментальному снимку полномочий, существовавших до выполнения этой команды, нужно воспользоваться командой # fpm -l default.

Это восстановит установленные настройки всех прав доступа AIX, а также все пользовательские настройки, которые уже есть в /usr/lib/security/fpm/custom/default.

До сих пор в основном шло высокоуровневое обсуждение AIXPert наряду с его функциями и последними нововведениями, а также описана его утилита fpm. В следующем разделе будут показаны три разных способа выполнения реальных команд AIXPert.

В начало

Использование командной строки

У AIXPert очень мощная командная строка. По сути, она гораздо мощнее всего, что можно запустить из smit или из графического интерфейса пользователя.

Некоторые из наиболее популярных флагов следующие.

-p

Подробный вывод.

-c

Проверка общих настроек безопасности.

-l

Проверка всех правил в файле /etc/security/aixpert/core/appliedaixpert.xml.

-f

Применение настроек безопасности из указанного файла.

-l

Установка настроек безопасности системы для уровня, заданного в этом параметре. Все успешно применявшиеся правила записываются в /etc/security/aixpert/core/appliedaixpert.xml. Параметры:

h|high

Высокий уровень безопасности .

m|medium

Средний уровень безопасности.

l|low

Низкий уровень безопасности.

d|default

Уровень безопасности в соответствии со стандартами AIX.

s|sox-cobit

Уровень безопасности в соответствии с передовыми методами SOX-COBIT.

-o

Сохранение сообщений по безопасности в указанном файле.

-u

Отмена настроек безопасности, которые применялись ранее.

-d

Отображение определения типа документа (document type definition, DTD).

В листинге 3 системе явным образом указывается использовать параметры безопасности низкого уровня.

# aixpert -l low -n -o /etc/security/aixpert/core/mySettings.xml

Чтобы применить настройки из файла, используйте в команде параметр -f (листинг 4).

# aixpert -f /etc/security/aixpert/core/mySettings.xml

В этой статье мы не будем рассматривать каждый отдельный сценарий. Информация обо всем, что можно сделать, есть в документации по AIXPert (см. ссылки в разделе Ресурсы).

Далее мы применим smit для работы с AIXPert.

В начало

Использование smit

Большинство администраторов AIX предпочитают smit другим методам запуска команд и утилитам. Наша ситуация — не исключение, разве что требуется действительно глубоко "копнуть" и воспользоваться некоторыми низкоуровневыми командами, которых здесь просто нет. При использовании smit хорошо видны все доступные высокоуровневые команды, в том числе установка уровней безопасности, осуществление и просмотр методов SOX-COBIT, а также проверка и отмена уровней безопасности.

В этом примере начнем с прямого запуска AIXPert в smit: # smit aixpert. Затем будем настраивать в системе низкий уровень безопасности.

Переместите курсор на пункт low-level security, как показано на рисунке 3. После нажатия клавиши Enter система предложит подтвердить продолжение выполнения команды.

В этом примере запускаются SOX-COBIT best practices ("лучшие практики SOX-COBIT") (рисунок 4).

Функция Audit сообщит аудитору, настроена ли сейчас система на соответствие SOX. Утилита-помощник по настройке сама автоматически осуществляет настройки безопасности, которые обычно применяют лучшие практики COBIT для SOX. Среди назначений этой функции — введение в действие политики паролей, сообщения о нарушениях и действиях по обеспечению безопасности, а также обнаружение и исправление злонамеренного программного обеспечения.

Для создания подробного отчета о проверке на соответствие можно использовать команду в командной строке # aixpert -c -l s -p.

Далее мы используем графический интерфейс пользователя для конфигурирования AIXPert.

В начало

Использование графического интерфейса

До VAIX 6.1 для доступа к графическому интерфейсу AIXpert обычно использовался WebSM. В AIX V6.1 необходимо убедиться, что вместо этого для консоли AIX используется IBM Systems Director. В адресной строке браузера нужно ввести: http://hostname:5335/ibm/console.

Если не получается с hostname, то попробуйте ввести IP-адрес. Для входа в Systems Director используйте пароль пользователя root. Если вы раньше никогда не работали с AIX Systems Director, то могу гарантировать, что он вам понравится. После входа откроется главный экран (рисунок 5). Переходите к System Environments («системная среда»).

Выберем AIX Security Expert, как показано на рисунке 6.

Видно, что тут те же варианты выбора, что и при использовании smit. Выберите Medium-Level Security. Как и в smit, система запросит подтверждение на продолжение выполнения команды (рисунок 7).

После выбора Yes система обрабатывает информацию и успешно завершает команду (рисунок 8).

Теперь, благодаря удобному графическому интерфейсу, можно использовать всю мощь AIXPert.

В начало

Заключение

В этой статье представлен AIXPert — универсальный инструмент для проверки и настройки безопасности с графическим интерфейсом и командной строкой. В статье обсуждались возможности системы и последние усовершенствования, реализованные в AIX V6.1, в том числе поддержка аудита SOX. Подробно рассмотрены четыре различных уровня безопасности, которые могут быть определены как часть системы: высокий, средний, низкий и продвинутый. В статье также рассмотрены различные способы конфигурирования AIXPert, в том числе командная строка, smit и графический интерфейс, а также кратко рассмотрены утилиты, являющиеся частью системы, например, менеджер прав доступа к файлам (File Permissions Manager, fpm).

Ресурсы

• Оригинал статьи
  
  
• IBM AIX 6.1 Dfferences Guide: прочитайте о новых возможностях IBM AIX Version 6.1 по сравнению с AIX 5L Version 5.3.
  
  
• В документе AIX V6 Advanced Security Features из серии Redbook рассматриваются и объясняются функции безопасности на концептуальном уровне, а также даются практические примеры возможностей их реализации.
  
  
• Справочник по командам aixpert.
  
  
• Информация по AIX Security Expert в информационном центре IBM.
  
  
• Новичок в AIX и UNIX?: посетите страницу "New to AIX and UNIX", чтобы узнать больше об AIX и UNIX.
  
  
• AIX Wiki: cообщество для совместной подготовки документации по AIX.
  
  
• Optimizing AIX 5L performance: Tuning network performance, Part 1 (Ken Milberg, developerWorks, ноябрь 2007 г.): прочитайте первую часть серии из трех статей по настройке сети в AIX, содержание которых сосредоточено на проблемах оптимизации работы сети.
  
  
• Optimizing AIX 5L performance: Tuning your memory settings, Part 1 (Ken Milberg, developerWorks, июнь 2007 г.): первая часть серии из трех статей, посвящённой настройкам памяти в AIX.
  
  
• Официальный документ IBM Улучшение производительности баз данных с помощью параллельного ввода/вывода в AIX.
  
  
• Learn about Поддержка сродства памяти в AIX: от IBM System p и AIX InfoCenter.
  
  
• Документ из серии Redbook Настройка производительности баз данных на AIX: помощь разработчикам систем, системным администраторам и администраторам баз данных в разработке, масштабировании, реализации, обслуживании, контроле и настройке систем управления реляционными базами данных для достижения оптимальной производительности на AIX.
  
  
• Архитектура Power: история высокопроизводительной архитектуры.
  
  
• Power to the People; A history of chip making at IBM (developerWorks, декабрь 2005 г.): история разработки микросхем IBM.
  
  
• CPU Monitoring and Tuning (Wayne Huang и др. developerWorks, март 2002 г.): узнайте, как стандартные инструменты AIX помогают определить "узкие места" центрального процессора.
  
  
• Исчерпывающее руководство по средствам контроля и настройки производительности в AIX 5L Version 5.3: AIX 5L Practical Performance Tools and Tuning Guide.
  
  
• Узнайте о преимуществах AIX 5L Version 5.3 из статьи AIX 5L Version 5.3: What's in it for you? (developerWorks, июнь 2005 г.).
  
  
• Операционная система и управление устройствами: — эта статья от IBM дает пользователям и системным администраторам полную информацию для правильного выбора параметров при выполнении таких задач, как резервное копирование и восстановление системы, управление логическими и физическими устройствами хранения, а также определение правильного размера виртуальной памяти.
  
  
• The AIX 5L Differences Guide Version 5.3 Edition (developerWorks, декабрь 2004): о новых функциях в AIX 5L Version 5.3 по сравнению с AIX 5L Version 5.2.
  
  

Об авторе

Оценить эту статью

Комментарии

В начало

Содержание

• Введение
• Применение AIXPert
• Обзор системы AIXPert
• Использование fpm
• Использование командной строки
• Использование smit
• Использование графического интерфейса
• Заключение
• Ресурсы
• Об авторе
• Комментарии