Использование AIX Security Expert

Обновление AIXPert до версии AIX V6.1

AIXPert — универсальный инструмент для проверки и настройки безопасности, поддерживающий графический интерфейс и режим командной строки, содержащий свыше 300 параметров настройки конфигурации безопасности. В статье рассказывается о новых улучшениях, реализованных в IBM® AIX® V6.1, в том числе о поддержке аудита SOX, описаны реальные сценарии использования AIXPert в командной строке, в smit и с графическим интерфейсом.

Кен Милберг, UNIX-консультант Future Tech, составитель технической документации и эксперт по сайту, Future Tech

Кен Милберг занимает должности Technical Writer и Site Expert на сайте techtarget.com и предоставляет техническую информацию и поддержку по Linux на searchopensource.com. Он также является автором и техническим редактором IBM Systems Magazine, Open Edition. Кен обладает степенью бакалавра компьютерных и информационных наук и степенью магистра по менеджменту технологий Университета штата Мэрилэнд. Он является основателем и лидером группы пользователей POWER-AIX Лонг-Айленда. В течение многих лет он работал как в крупных, так и небольших организациях и занимал различные должности от директора по информационным технологиям до главного разработчика AIX. Сейчас он работает в Future Tech, бизнес-партнере IBM в Лонг-Айленде. Кен обладает званиями PMI certified Project Management Professional (PMP), IBM Certified Advanced Technical Expert (CATE, IBM System p5 2006), и Solaris Certified Network Administrator (SCNA). Вы можете связаться с ним по адресу kmilberg@gmail.com.



14.12.2011

Введение

В версии AIX V5.3 TL05 корпорация IBM представила новую функцию AIX Security Expert (сокращенно AIXPert). Так что же это на самом деле? AIXPert — это не одиночная система или утилита; в действительности в одном интерфейсе собрано много инструментов управления безопасностью. Поначалу самые важные предоставляемые возможности были предназначены для создания уровней безопасности и для управления настройками в ключевых областях. В эти области входили правила для включения удаленных служб, IP-фильтрация безопасности и детальное управление файлами запуска системы, в том числе inittab, rc.tcpip и inetd.

С появлением AIX V6.1 в систему были добавлены многие новые свойства. В числе этих улучшений:

  • возможность настраивать пользовательские политики;
  • более строгая проверка паролей root;
  • поддержка лучших практик Sarbones-Oxley (SOX)-COBIT;
  • улучшенный интерфейс, помогающий настроить окружение, а также повышенная производительность графического интерфейса пользователя;
  • централизованное распределение политики через LDAP (хотя в этой статье не рассматривается фактическая реализация LDAP).

Применение AIXPert

AIXPert — это прежде всего средство укрепления безопасности и защиты сети, объединяющее много функций в одну систему. До появления AIXPert нужно было помнить множество различных команд. AIXPert содержит более 300 параметров конфигурации безопасности, в то же время осуществляя контроль над каждым элементом. Другими словами, он представляет собой центр для всех настроек безопасности, включая TCP, IPSEC и аудит. В сущности, есть четыре различных уровня, которые можно определить как часть системы: высокий, средний, низкий и продвинутый.

  • Высокий уровень безопасности следует использовать там, где безопасность и управление имеют первостепенное значение. Имейте в виду, что такие приложения, как telnet, rlogin и FTP, а также другие системы, которые передают открытые пароли, не будут работать, поэтому будьте осторожны, применяя высокий уровень. Нужно иметь в виду, что большинство портов при высоком уровне безопасности будут заблокированы. Этот уровень безопасности обычно применяется для компьютеров, которые подключены непосредственно к Интернету и на которых хранятся конфиденциальные данные.
  • Средний уровень безопасности подходит для компьютеров, которые находятся за межсетевым экраном, где пользователям необходимо пользоваться такими службами, как telnet, но им все же нужна защита. Эта настройка обеспечивает также защиту от сканирования портов и при задании паролей.
  • Низкоуровневая безопасность обычно применяется, если компьютер находится в изолированной и безопасной локальной сети. Она используется в тех случаях, когда системным администраторам необходимо проявлять осторожность, чтобы не прерывать работу служб в системе. В нашей статье показано, как конфигурировать эти настройки.
  • Продвинутый уровень предназначен для настройки под специфические требования. Он дает возможность использовать различные правила из разных уровней, причем сами эти правила могут быть взаимоисключающими. Сам по себе этот уровень не обеспечивает более высокого уровня безопасности.

Именно укрепление безопасности повышает значимость AIXPert больше, чем какая-либо другая его функция. Например, в AIXPert входит менеджер прав доступа к файлам в виде команды fpm, который помогает также в управлении программами с SUID. Эта функция демонстрируется далее в статье.

Еще одна важная особенность AIXPert состоит в способности делать моментальные снимки системы и воспроизводить такие настройки во всем предприятии, что дает возможность клонировать настройки безопасности по всей организации. Эта функция включает в себя возможность отменить настройки, а также делает проверку общего состояния безопасности систем, информируя о настройках, которые, возможно, были изменены. Трудно переоценить легкость, с которой можно отменять уровни безопасности. Это так же просто, как запустить вот такую команду в командной строке: # aixpert - u undo.xml. Эта функция отмены — одно из главных улучшений, реализованных в AIX V6.1.

В данной статье показано, как настраивать безопасность, используя все доступные методы: с помощью командной строки, с помощью smit (или smitty), а также с помощью графического интерфейса (в данном случае с помощью AIX Systems Director).


Обзор системы AIXPert

Крайне необходимо понимать, какие файлы для AIXPert являются важными, т.е. с какими файлами он работает и какие файлы он может изменять. Эта информация также помогает устранять возможные проблемы.

Сами конфигурационные файлы начинаются с родительского каталога /etc/security/aixpert. Все самые важные файлы системы находятся здесь.

Первый файл — aixpertall.xml, который находится в каталоге /etc/security/aixpert/core/aixpertall.xml (рисунок 1). Это файл, в котором содержатся XML-листинги всех возможных настроек системы.

Рисунок 1. aixpertall.xml
aixpertall.xml

Следующим является файл appliedaixpert, в котором записан список примененных настроек безопасности (рисунок 2). Наиболее часто этот файл используется для получения мгновенного снимка безопасности для документирования конфигурации системы или для применения настроек безопасности на других компьютерах. Для этого надо ввести команду с ключом -f: # aixpert -f appliedaixpert.xml.

Рисунок 2. appliedaixpert.xml
appliedaixpert.xml

Файл /etc/security/aixpert/log/aixpert.log — это журнал трассировки. Поскольку AIXPert не использует syslog, нужно просмотреть этот файл, чтобы увидеть все применявшиеся настройки безопасности.

Если вы хотите провести аудит безопасности, тогда нужно посмотреть и файл /etc/security/aixpert/check_report.txt. Кроме того, когда AIXpert используется для конфигурирования систем, этот файл будет сообщать обо всех изменениях конфигурации, сделанных вне AIXPert. Если применявшиеся настройки безопасности не менялись, этот файл должен быть пустым.

Теперь, когда стало понятно, где AIXPert хранит все свои главные файлы, давайте запустим fpm.


Использование fpm

Команда fpm дает возможность системным администраторам укрепить безопасность путем отключения битов setuid и setgid у многих команд. Это важно, поскольку, как и в большинстве UNIX-систем, в AIX используется множество программ с setuid и setgid. Эта команда предназначена прежде всего для удаления привилегий setuid у команд и демонов, принадлежащих привилегированным пользователям, но она может быть использована и для специальной настройки. До появления этой команды нужно было работать с управлением доступом на основе ролей (Role-Based Access Control, RBAC), чтобы исправить проблему программ с битами setuid и setgid. Применение fpm в самом деле помогает уменьшить число этих файлов как с использованием RBAC, так и без него.

Давайте рассмотрим некоторые примеры.

Для того чтобы проверить, установлены ли в данный момент у системных команд низкоуровневые права доступа в соответствии с fpm, введите команду из листинга 1.

Листинг 1. Проверка, установлены ли у системных команд низкоуровневые права доступа fpm
# fpm -c -l low

Success, no files had the suid bit set

В данном случае файлов с установленным битом suid нет.

Команда в листинге 2 покажет изменения прав доступа, необходимые для того, чтобы сделать систему соответствующей требованиям команды fpm для применения высокого уровня безопасности, при этом не будут происходить изменения каких-либо фактических прав доступа к файлам.

Листинг 2. Получение списка изменений, необходимых для безопасности высокого уровня по fpm
# fpm -l high -p

Один или несколько файлов уже безопасны. Следовательно, текущие права доступа к файлам, возможно, не соответствуют правам доступа по умолчанию. Если требуется вернуться к моментальному снимку полномочий, существовавших до выполнения этой команды, нужно воспользоваться командой # fpm -l default.

Это восстановит установленные настройки всех прав доступа AIX, а также все пользовательские настройки, которые уже есть в /usr/lib/security/fpm/custom/default.

До сих пор в основном шло высокоуровневое обсуждение AIXPert наряду с его функциями и последними нововведениями, а также описана его утилита fpm. В следующем разделе будут показаны три разных способа выполнения реальных команд AIXPert.


Использование командной строки

У AIXPert очень мощная командная строка. По сути, она гораздо мощнее всего, что можно запустить из smit или из графического интерфейса пользователя.

Некоторые из наиболее популярных флагов следующие.

-p
Подробный вывод.
-c
Проверка общих настроек безопасности.
-l
Проверка всех правил в файле /etc/security/aixpert/core/appliedaixpert.xml.
-f
Применение настроек безопасности из указанного файла.
-l
Установка настроек безопасности системы для уровня, заданного в этом параметре. Все успешно применявшиеся правила записываются в /etc/security/aixpert/core/appliedaixpert.xml. Параметры:
h|high
Высокий уровень безопасности .
m|medium
Средний уровень безопасности.
l|low
Низкий уровень безопасности.
d|default
Уровень безопасности в соответствии со стандартами AIX.
s|sox-cobit
Уровень безопасности в соответствии с передовыми методами SOX-COBIT.
-o
Сохранение сообщений по безопасности в указанном файле.
-u
Отмена настроек безопасности, которые применялись ранее.
-d
Отображение определения типа документа (document type definition, DTD).

В листинге 3 системе явным образом указывается использовать параметры безопасности низкого уровня.

Листинг 3. Указание системе использовать параметры безопасности низкого уровня
# aixpert -l low -n -o /etc/security/aixpert/core/mySettings.xml

Чтобы применить настройки из файла, используйте в команде параметр -f (листинг 4).

Листинг 4. Применение настроек из файла
# aixpert -f /etc/security/aixpert/core/mySettings.xml

В этой статье мы не будем рассматривать каждый отдельный сценарий. Информация обо всем, что можно сделать, есть в документации по AIXPert (см. ссылки в разделе Ресурсы).

Далее мы применим smit для работы с AIXPert.


Использование smit

Большинство администраторов AIX предпочитают smit другим методам запуска команд и утилитам. Наша ситуация — не исключение, разве что требуется действительно глубоко "копнуть" и воспользоваться некоторыми низкоуровневыми командами, которых здесь просто нет. При использовании smit хорошо видны все доступные высокоуровневые команды, в том числе установка уровней безопасности, осуществление и просмотр методов SOX-COBIT, а также проверка и отмена уровней безопасности.

В этом примере начнем с прямого запуска AIXPert в smit: # smit aixpert. Затем будем настраивать в системе низкий уровень безопасности.

Переместите курсор на пункт low-level security, как показано на рисунке 3. После нажатия клавиши Enter система предложит подтвердить продолжение выполнения команды.

Рисунок 3. Запуск smit
Запуск smit

В этом примере запускаются SOX-COBIT best practices ("лучшие практики SOX-COBIT") (рисунок 4).

Рисунок 4. Запуск SOX-COBIT best practices
Запуск SOX-COBIT best practices

Функция Audit сообщит аудитору, настроена ли сейчас система на соответствие SOX. Утилита-помощник по настройке сама автоматически осуществляет настройки безопасности, которые обычно применяют лучшие практики COBIT для SOX. Среди назначений этой функции — введение в действие политики паролей, сообщения о нарушениях и действиях по обеспечению безопасности, а также обнаружение и исправление злонамеренного программного обеспечения.

Для создания подробного отчета о проверке на соответствие можно использовать команду в командной строке # aixpert -c -l s -p.

Далее мы используем графический интерфейс пользователя для конфигурирования AIXPert.


Использование графического интерфейса

До VAIX 6.1 для доступа к графическому интерфейсу AIXpert обычно использовался WebSM. В AIX V6.1 необходимо убедиться, что вместо этого для консоли AIX используется IBM Systems Director. В адресной строке браузера нужно ввести: http://hostname:5335/ibm/console.

Если не получается с hostname, то попробуйте ввести IP-адрес. Для входа в Systems Director используйте пароль пользователя root. Если вы раньше никогда не работали с AIX Systems Director, то могу гарантировать, что он вам понравится. После входа откроется главный экран (рисунок 5). Переходите к System Environments («системная среда»).

Рисунок 5. Экран System Environments
Экран System Environments

Выберем AIX Security Expert, как показано на рисунке 6.

Рисунок 6. Выбор AIX Security Expert
Выбор AIX Security Expert

Видно, что тут те же варианты выбора, что и при использовании smit. Выберите Medium-Level Security. Как и в smit, система запросит подтверждение на продолжение выполнения команды (рисунок 7).

Рисунок 7. Запрос подтверждения на продолжение выполнения команды
Запрос подтверждения на продолжение выполнения команды

После выбора Yes система обрабатывает информацию и успешно завершает команду (рисунок 8).

Рисунок 8. Успешное завершение
Успешное завершение

Теперь, благодаря удобному графическому интерфейсу, можно использовать всю мощь AIXPert.


Заключение

В этой статье представлен AIXPert — универсальный инструмент для проверки и настройки безопасности с графическим интерфейсом и командной строкой. В статье обсуждались возможности системы и последние усовершенствования, реализованные в AIX V6.1, в том числе поддержка аудита SOX. Подробно рассмотрены четыре различных уровня безопасности, которые могут быть определены как часть системы: высокий, средний, низкий и продвинутый. В статье также рассмотрены различные способы конфигурирования AIXPert, в том числе командная строка, smit и графический интерфейс, а также кратко рассмотрены утилиты, являющиеся частью системы, например, менеджер прав доступа к файлам (File Permissions Manager, fpm).

Ресурсы

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=781098
ArticleTitle=Использование AIX Security Expert
publish-date=12142011