可信AIX简介

在线编辑

TrustedAIX®通过在操作系统中提供基于标签的安全功能,增强了标准AIX操作系统的安全性。

可通过选择安装时间选项来安装基于标签的可信AIX环境。 如果安装了 "信任 "AIX,如果不覆盖安装常规的 "AIX,就无法回到常规的 "AIX环境。 安装后,可信AIX环境将应用于整个AIX系统,包括在AIX环境中创建的任何 WPAR。 尽管基于标签的安全性(也称之为“多级安全”或 MLS)通常用于国防和情报领域,它也可用于商业领域。 这可以通过定制可信AIX 上可用的标签来实现。 全新安装的可信AIX可提供符合标准 MLS 实施的标签。

可信AIX环境由普通AIX和一些附加软件包和文件集组成。 此外,内核开关将强制内核以可信AIX模式运行。 通过 CD 或 DVD 启动时,系统将在常规AIX环境中运行。 当安装菜单显示时,安装程序可以选择 "信任AIX"选项,并开始安装与 MLS 相关的文件。 安装完成后,安装程序必须启动首个引导重新定序。 在首个引导序列中,“配置助手”将为不同用户提供菜单,并设置 ISSO、SA 和 SO 用户;然后,系统将完成引导操作并建立 MLS。

可信AIX通过信息安全的四个主要要素来增强系统安全性:
  • 机密性
  • 完整性
  • 可用性
  • 责任

除了AIX 提供的安全功能外,可信AIX还增加了以下功能:

灵敏度标签(SL)
所有的进程和文件都根据其安全级别进行标注。 进程只能访问处于进程的安全性范围内的对象。
完整性标签(TL)
所有的进程和文件都根据其完整性级别进行标注。 低于文件的完整性级别标签的进程无法写入文件。 进程无法读取完整性标签的级别低于进程本身的文件。
文件安全性标志
各个文件可以具有其他标志来控制与安全性相关的操作。
内核安全性标志
整个系统可以启用或禁用不同的安全性功能。
特权
许多命令和系统调用只可用于具有特定特权的进程。
授权
可以为每个用户授予一组特有的权限。 每种权限使用户能够执行与特定安全性相关的功能。 权限通过角色指定给用户。
角色
作为可信AIX 的一部分,基于角色的访问控制功能可将管理职责有选择性地委托给非根用户。 此授权可通过将相关权限收集至某角色,然后将该角色指定给非 root 用户来完成。

机密性

围绕向未授权方泄露信息的威胁都是机密性问题。

可信AIX提供对象重用和访问控制机制,以保护所有数据资源。 操作系统将确保受保护的数据资源只能由特定的授权用户进行访问,并确保这些用户无法故意或意外使得未授权用户能够使用受保护资源。

管理员可以防止敏感文件写入软盘或其他可移动介质、在未受保护的打印机上进行打印或通过网络传送到未授权的远程系统。 此安全保护措施由操作系统实施,并且无法被恶意用户或欺诈性的进程绕过。

完整性

围绕未授权方修改信息的威胁都是完整性问题。

可信AIX提供多种安全机制,可确保可信计算基础和受保护数据的完整性,无论这些数据是在系统上生成的,还是通过网络资源导入的。 各种访问控制安全性机制确保只有被授权的人员才能修改信息。 为防止恶意用户或恶意进程占用或禁用系统资源,可信AIX取消了根权限。 特殊的管理权限和角色允许分离管理职责,而不是向用户授予 root 用户特权。

可用性

围绕主机上服务的辅助功能选项的威胁都是可用性问题。 例如,如果恶意程序填满了文件空间,使新的文件无法进行创建,那么访问权仍然存在,但是没有可用性了。

受信任的AIX可保护系统免受未经授权的用户和进程的攻击,以免造成拒绝服务。 不允许未授权进程读取或写入受保护文件和目录。

责任

围绕不知道哪些进程执行系统上的哪些操作的威胁都是责任问题。 例如,如果更改系统文件的用户或进程无法进行跟踪,那么您将无法确定如何在以后停止这些操作。

该增强型的安全性功能确保在允许用户访问系统之前执行所有用户的标识和认证。 审计服务会为管理员提供一组可审计事件和所有与安全性相关的系统事件的审计跟踪。

受信任 AIX的属性

  • 可信AIX通过AIX安装菜单进行安装。 在安装可信AIX 时,还可以选择其他选项。
  • 如果不覆盖安装常规的 "AIX,信任 "AIX环境就无法恢复到常规的 "AIX环境。
  • 可信AIX环境中,根禁用了日志记录功能。
  • 可信AIX环境中,创建的任何 WPAR 也将在标签安全环境中运行。
  • 可信AIX支持 MAC(强制访问控制)和 MIC(强制完整性控制)。 客户可以为 MAC 和 MIC 定义不同的标签集。
  • “标签编码”文件位于 /etc/security/enc 目录中,并捕获“标签至二进制”转义信息。 缺省“标签编码”文件遵循“分离式工作站”(Compartmented Mode Workstations,CMW)标签相关命名要求。
  • 从客户机启动时,支持 NIM 安装。 不能使用来自服务器的 NIM 安装推送,因为 root 用户禁止登录 MLS 系统。
  • 在AIX 中已启用JFS2J2) 文件系统(使用扩展属性版本 2)来存储标签。 在可信AIX环境中,其他文件系统(如J1或NFS)只能作为单级文件系统挂载(标签分配给挂载点)。
  • 信任AIX 禁用 X 环境。
  • 可信AIX支持 CIPSO 和 RIPSO 协议,用于基于网络的标签通信。 IPv4 和 IPv6 都支持这些协议。
  • 一些AIX安全机制在普通AIX和可信AIX 之间是通用的。 其中两项通用安全性机制是“基于角色的访问控制”(RBAC)和用于验证完整性的“可信执行”。
  • 由于安装可信AIX时根目录被禁用,安装程序必须在安装后第一次启动时为 ISSO、SA 和 SO 用户设置密码。 系统始终不可用,直至创建这些密码为止。
  • AIX6 安全特性Redbooks®出版物包含可信AIX 的用例和示例。