AIX系统检查步骤.doc

一、脚本文件上传1. 将脚本文件通过FTP以文本方式(asc)上传到AIX服务器的/tmp目录下。# ftp aix_server_ip/以ftp方式登录到AIX服务器上# 根据系统提示输入用户名和密码# asc/以ascii方式上传文件# cd /tmp/进入tmp目录# put script_file_name/将文件上传到tmp目录中# ls/检查文件是否已经成功上传2. 以管理员用户登录系统，或者以普通用户登录系统，然后以su切换到管理员用户。3. 将脚本文件的权限更改为可执行。# cd /tmp# chmod 777 script_file_name4. 执行脚本。# ./script_file_name此脚本所抓文件能检查Unix服务器安全配置检查表中的1，2，3，4，6，7，8，10，14项，对于第9项，根据最新的消息，可忽略。对于5，11，12，13需要询问操作系统系统管理员或登录系统检查。二、通用检查项目1AIX操作系统版本和补丁版本检查命令# instfix i|grep ML/检查操作系统补丁号目前4.3.3版本最高补丁号是12，目前5.1版本最高补丁号是9，目前5.2版本最高补丁号是8，目前5.3版本最高补丁号是4。对于AIX系统来说，并不是补丁版本越高越好，有时候客户需要根据自己应用的情况升级补丁，有些补丁还可能与用户的应用冲突，所以即使用户补丁并非是最新版本，也不是很大的问题，我们只需要给客户指出目前补丁状况，由客户自行决定是否需要升级脚本文件会为这一点生成一个文件1_aixpatch从上面的抓屏可以看到，这个系统的操作系统版本是5.2，补丁版本是03.或使用下列命令查看#oslever r下列命令可以查看文件系统（）#lsfs2检查mount上的文件系统# mount/这条命令会列出目前系统中所有已经被mount上的文件系统，vfs列将列出目前被mount上的文件系统类型。从上面的抓屏可以看到，这个系统里面大部分文件系统是jfs2类型的，而/proc文件系统是procfs类型的。脚本文件会为这一点生成一个文件2_mount3检查系统中所有用户帐号和密码情况AIX中所有用户帐号保存在/etc/passwd文件中，shadow 信息保存在/etc/security/passwd文件中，可以直接通过以下命令打开这两个文件察看内容# cat /etc/passwd# cat /etc/security/passwd从上面这个抓屏可以看到，所有的用户密码都是被shadow了（每行第一部分是用户名，冒号后的第二部分是密码部分，如果被shadow了，我们只能看到*或者!）脚本文件会为这一点生成一个文件3_passwd4除管理员外，禁止一切用户通过Unix服务器控制台进行shell级的访问。通过观察管理员登录检查管理员是否先以普通用户登录，再通过su切换到root用户。并通过查看sulog确认系统管理员是否使用普通用户登录，随后切换到root用户。#cat var/adm/sulog下图显示root-sybase（先用root登录后用sybase）或sybase-root（先用sybase后su到root）。请看叶面最下边的一条记录，是4月5日当天在北分登录的过程。5询问系统管理员是否具有两个系统账号，一个用于日常系统维护，一个用于私人使用，例如接受私人邮件。通过询问系统管理员获得6检查AIX系统中的密码策略AIX对所有用户没有一个统一的密码策略，只能针对某一用户检查其特有的密码策略。# smit chuser系统会显示如下屏幕按下“Esc + 4”键，在列出的所有用户中选择root，然后回车。再次按下回车，此时系统将列出root用户的属性。可以看到此root用户并没有设置密码策略。将上面的几张屏幕抓下来供事后分析。（注意此处只抓了root用户的属性，对于系统中其他用户，我们可以采用类似办法抓屏）7检查密码文件是否经过shadow保护以普通用户登录，用cat命令打开/etc/passwd文件，检查普通用户是否具备打开此文件的权限，如果普通用户能够通过cat命令打开etc/passwd文件，则是“例外”；通过su命令切换到root用户，再次通过cat命令打开/etc/passwd文件，检查用户密码域是否为*， 如果passwd文件已经shadow保护，则相应密码域应该是*，如果是能看懂的其他字符，则passwd文件未被shadow保护。Aix并不使用/etc/shadow文件存放口令，它使用/etc/security/passwd文件。使用普通用户查看密码文件%cat /etc/security/passwd系统会提示普通用户无权访问。切换到root用户，并查看口令文件。%su root#cat /etc/security/passwd如下所示，我们可以确认该密码文件是否经过shadow保护的。8删除所有不用的缺省用户和组帐号（比如lp、sync、shutdown、halt、news、uucp、operator、games、gopher等）也可以使用以下命令查看aix中的用户(可以使用alt+PtrSc将所显示的内容注意拷屏，注意，如需翻页，可以按一下空格键)#cat /etc/security/user9取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令对于这一点，可暂时不予考虑，如下抓屏和命令提示仅供参考。通过find命令查找shutdown、reboot和halt的路径，如图显示1、AIX上述文件通常存储在/usr/sbin目录下，查看该文件的属性#ls l /usr/sbin/shutdown2、分析shundown命令的执行权限注意到-r-xr- 1 root shutdown所显示的内容。你只需要确认“系统中的其他用户的权限”为“-”，就可以认定普通用户不具备执行shutdown、reboot、halt等命令的权限。3、同理，可以使用ls l察看该reboot、halt文件的属性。也可以直接将以上命令写入脚本以实现自动执行。4、其他系统（例如linux、solaris或hp_ux），我们首先需要在其操作系统根目录下执行以下命令，确保当前目录是系统根目录#cd /5、查找shutdown系统命令所存储的路径（确保执行该命令时是root权限），并执行步骤13。#find / -name shutdown -print10. Unix服务器上只能安装应用必须的服务器程序，禁用所有不用的服务。询问客户什么服务是必须的，将不用的服务禁止例如uucp、finger、netstat、echo、discard、chargen、imap、pop、tftp、talk、rexd、rstatd(等r开头的远程服务)。如果不是十分需要这些服务，建议关闭掉，因为这些开启这些服务会带来巨大的安全风险。我们可以通过查看/etc/inetd.conf文件来确认AIX是否开启了这些服务。如果这些命令前有加“#”的标志(#通常是注释)，并询问用户这些服务的作用，就可以确认Aix已经禁用了不用的服务。#cat /etc/inetd.conf11确保Unix服务器的时间设置准确。如果客户的网络内没有专门的时间服务器，则这一点通过比对日常时间确定是否设置准确# date这条命令最好通过PC机telnet到UNIX服务器上去执行，这样在抓屏的时候就可以把执行date命令得到的系统时间与实际的Windows界面右下脚的时间做对比，以此做为时间证据，请参考下面的抓屏。UNIX上面的时间是2006年4月3日18:39:38，而右下角Windows以及实际的时间是17:38，由此可以看出UNIX时间比实际时间提前了1小时。12对Unix服务器的远程管理访问应经过授权和验证。询问管理员客户的Unix服务器是否支持远程管理，通常都是不支持的，如果支持，继续问授权和验证机制。13操作系统和应用程序的帐号应正确配置以符合最小授权原则。询问操作系统管理员，然后登录AIX系统，执行smit chuser命令，检查用户权限，具体步骤参照第六点。以上四幅抓屏列出了root用户的所有权限属性，对于其他用户可以用同样方法获得。14所有生产运行环境中的Unix系统都应激活用户帐户登录请求日志记录功能。AIX系统通常自动地将信息写到一些日志文件中。a)/var/adm/wtmp该文件记录了每个用户的登录和退出系统的记录；# who a /var/adm/wtmpb)/var/adm/sulog记录了每次SU命令使用的情况；# cat /var/adm/sulogc)/etc/security/failedlogin记录了每次登录失败的信息；# who /etc/security/failedlogine)/etc/security/lastlog记录每个系统用户最后一次成功和失败的登录信息。# cat /etc/security/lastlog脚本文件会为