AIX Security Expert 各種グループ

AIX® Security Expert では、高、中、および低セキュリティーに対する各種セキュリティー設定を提供しています。

表 1. AIX Security Expert 各種グループ
アクション・ボタン名	説明	AIX Security Expert が設定する値	元に戻す
パス root からのドットの除去	$HOME/.profile、$HOME/.kshrc、$HOME/.cshrc、および $HOME/.login ファイルで、PATH 環境変数にドット (.) がないかどうかをチェックし、ある場合は除去します。注: ドットの除去は、ファイルのエントリーが PATH 環境変数で始まり、かつドットを含む場合に限られます。PATH 環境変数が他の変数を含んでいるか、スクリプトから呼び出されるプログラムから返された値に設定される場合、ファイルは変更されません。変更されないパスの例を次に示します。ここで、`pathprog` はパス・ストリングを返すプログラムです。 `PATH="$(pathprog)"` このパスでは、変数 `pathprog` のコンテンツが解決される前に、ドットがパスから除去されるので、返されたパスに存在するドットは除去されません。	高レベル・セキュリティーはい中レベル・セキュリティーはい低レベル・セキュリティーはい AIX 標準設定はい	はい
システム・アクセスの制限	cron ジョブの実行を許可されているユーザーが root のみであることを確認します。	高レベル・セキュリティー root を cron.allow ファイルで唯一のユーザーにして、cron.deny ファイルを除去する。中レベル・セキュリティー無効低レベル・セキュリティー無効 AIX 標準設定 cron.allow ファイルを除去して、cron.deny ファイルのすべてのエントリーを削除する。	はい
/etc/environment からのドットの除去	/etc/environment ファイルの PATH 環境変数からドット (.) を除去します。	高レベル・セキュリティーはい中レベル・セキュリティーはい低レベル・セキュリティーはい AIX 標準設定はい	はい
非 root パスからのドットの除去	すべての非 root ユーザーの $HOME/.profile、$HOME/.kshrc、$HOME/.cshrc、および $HOME/.login ファイルにある PATH 環境変数からドット (.) を除去します。注: ドットの除去は、ファイルのエントリーが PATH 環境変数で始まり、かつドットを含む場合に限られます。PATH 環境変数が他の変数を含んでいるか、スクリプトから呼び出されるプログラムから返された値に設定される場合、ファイルは変更されません。変更されないパスの例を次に示します。ここで、`pathprog` はパス・ストリングを返すプログラムです。 `PATH="$(pathprog)"` このパスでは、変数 `pathprog` のコンテンツが解決される前に、ドットがパスから除去されるので、返されたパスに存在するドットは除去されません。	高レベル・セキュリティーはい中レベル・セキュリティー無効低レベル・セキュリティー無効 AIX 標準設定無効	いいえ
/etc/ftpusers ファイルへの root ユーザーの追加	root ユーザー名を /etc/ftpusers ファイルに追加して、リモート root ftp を使用不可にします。	高レベル・セキュリティーはい中レベル・セキュリティーはい低レベル・セキュリティー無効 AIX 標準設定はい	はい
/etc/ftpusers ファイルからの root ユーザーの除去	/etc/ftpusers から root エントリーを除去して、リモート root ftp を使用可能にします。	高レベル・セキュリティー無効中レベル・セキュリティー無効低レベル・セキュリティー無効 AIX 標準設定はい	はい
ログイン herald の設定	/etc/security/login.cfg を調べて、herald 値が指定されていないことを確認します。デフォルト herald が使用されている場合は、その herald を変更する必要があります。 herald は、システムのロケールが en_US か別の英語のロケールの場合にのみ変更することができます。この基準を満たしている場合は、/etc/security/login.cfg ファイルのデフォルト・スタンザにある herald 属性の値は、次のように設定されます。 `Unauthorized use of this ¥ system is prohibited.¥nlogin:` 注: セキュリティー設定は、新規セッションでのみ有効になります。セキュリティー設定は、構成が設定されていたセッションでは有効になりません。	高レベル・セキュリティー herald="Unauthorized use of this system is prohibited.¥nlogin:" 中レベル・セキュリティー herald="Unauthorized use of this system is prohibited.¥nlogin:" 低レベル・セキュリティー herald="Unauthorized use of this system is prohibited.¥nlogin:" AIX 標準設定 herald=	はい
ゲスト・アカウントの除去	高、中、および低セキュリティーでは、ゲスト・アカウントを除去するほか、マシン上のゲストのデータも除去します。 AIX 標準設定では、システム上にゲスト・アカウントが作成されます。注: AIX Security Expert はそのようなユーザーの対話式タスクを処理するよう設計されていないため、システム管理者はこのアカウントに対して明示的にパスワードを設定する必要があります。	高レベル・セキュリティーゲスト・アカウントおよびデータの除去中レベル・セキュリティーゲスト・アカウントおよびデータの除去低レベル・セキュリティーゲスト・アカウントおよびデータの除去 AIX 標準設定マシン上にゲスト・アカウントを追加	はい
Crontab アクセス権	root の crontab ジョブが root によって所有されており、書き込み可能になっていることを確認します。	高レベル・セキュリティーはい中レベル・セキュリティーはい低レベル・セキュリティーはい AIX 標準設定無効	はい
X サーバー・アクセスの使用可能化	X サーバーへのアクセスの認証を義務付けます。	高レベル・セキュリティー認証が必要中レベル・セキュリティー認証が必要低レベル・セキュリティー無効 AIX 標準設定不要	いいえ
オブジェクトの作成許可	/etc/security/user の umask 属性に適切な値を設定します。これによりデフォルトのオブジェクト作成許可が指定されます。	高レベル・セキュリティー 077 中レベル・セキュリティー 027 低レベル・セキュリティー無効 AIX 標準設定 022	はい
コア・ファイル・サイズの設定	/etc/security/limits の core 属性に適切な値を設定します。これにより、root のコア・ファイル・サイズが指定されます。注: セキュリティー設定は、新規セッションでのみ有効になります。セキュリティー設定は、構成が設定されていたセッションでは有効になりません。	高レベル・セキュリティー 0 中レベル・セキュリティー 0 低レベル・セキュリティー 0 AIX 標準設定 2097151	はい
SED フィーチャーの使用可能化	「スタック実行使用不可 (SED)」フィーチャーを使用可能にして、指定されたファイルについて sedmgr コマンドを実行します。注: ルールを有効にするには、システム・リブートが必要です。	高レベル・セキュリティー setidfiles 中レベル・セキュリティー無効低レベル・セキュリティー無効 AIX 標準設定無効
ルート・パスワード保全性検査	ルート・パスワードがぜい弱でないことを確認します。ルートの dictionlist 属性は /etc/security/aixpert/dictionary/English に設定されます。これにより、設定されているルート・パスワードがぜい弱でないことを passwd コマンドで確認できます。	高レベル・セキュリティーはい中レベル・セキュリティーはい低レベル・セキュリティー無効 AIX 標準設定無効	はい