1.1 系统访问

登录控制<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

潜在的***能够从缺省的 AIX 登录屏幕获取宝贵的信息,例如主机名和操作系统版本。这些信息资料使他们能确定去尝试哪种探查方法。为安全性原因,您可能希望在系统安装后尽可能快地更改登录屏幕缺省值。本节讨论以下主题:

要使得较难通过猜测密码来***系统,请在 /etc/security/login.cfg 文件中如下所示设置登录控制:

 

/etc/security/login.cfg 文件的“属性”及“建议值”。

属性

用于 PtYs(网络)

用于 TTYs

建议值

注释

sak_enabled

Y

Y

FALSE

 

logintimes

N

Y

 

在此处指定允许登录的次数。

logindisable

N

Y

4

在此终端连续 4 次试图登录失败后,禁止其登录。

logininterval

N

Y

60

60 秒内进行了指定的无效尝试后,禁用终端。

loginreenable

N

Y

30

在自动禁用终端 30 分钟后重新启用该终端。

logindelay

Y

Y

5

在两次出现登录提示之间的以秒为单位的时间间隔。这将随着尝试失败的次数成倍地增加;例如,初始值为 5 时,该时间间隔就为 5 秒、10 秒、15 秒、20 秒。

 

这些端口限制主要在已连接的串行终端上发挥作用,而不是在网络登录使用的伪终端上。您可在该文件中指定显式终端,例如:

/dev/tty0:

        logintimes = 0600-2200

        logindisable = 5

        logininterval = 80

        loginreenable = 20

 

更改登录屏幕的欢迎消息

为防止在登录屏幕上显示某些信息,请编辑 /etc/security/login.cfg 文件中的 herald 参数。缺省的 herald 包含随登录提示一起显示的欢迎消息。您可用 chsec 命令或直接编辑文件来更改该参数。

以下示例用 chsec 命令更改缺省的 herald 参数:

# chsec -f /etc/security/login.cfg -a default -herald

"Unauthorized use of this system is prohibited.\n\nlogin: "

要直接编辑文件,请打开 /etc/security/login.cfg 文件并更新 herald 参数如下:

缺省值:

herald ="禁止未授权使用本系统\n\n登录:"

 sak_enable = false

 logintimes =

 logindisable = 0

 logininterval = 0

 loginreenable = 0

 logindelay = 0

:

要使得该系统更安全,请将 logindisable logindelay 变量的值设置为大于 0# > 0)。

更改公共桌面环境的登录屏幕

该安全性说明也影响公共桌面环境(CDE)用户。在缺省情况下,CDE 登录屏幕也显示主机名和操作系统版本。要防止显示此信息,请编辑 /usr/dt/config/$LANG/Xresources 文件,其中 $LANG 指的是安装在您的机器上的本地语言。

在我们的示例中,假定 $LANG 设置为 C,将该文件复制到 /etc/dt/config/C/Xresources 目录中。然后,打开 /usr/dt/config/C/Xresources 文件并编辑,以除去包含主机名和操作系统版本的欢迎消息。

有关 CDE 安全性说明的更多信息,请参阅管理 X11 和 CDE 注意事项

设置系统缺省登录参数

要为许多登录参数设置基本缺省值,例如那些可能需要为新用户设置的参数(登录重试次数、登录重新启用和登录内部),请编辑 /etc/security/login.cfg 文件。

保护无人照管终端

如果终端处于登录状态却无人照管,那么所有的系统都是脆弱的。当系统管理员让用超级权限启用的终端处于无人照管状态时,就会出现最严重的问题。通常,任何时候用户离开他们的终端时都应该注销。让系统终端处于非安全状态会造成潜在的安全威胁。要锁定终端,请使用 lock 命令。如果您的界面是 AIXwindows,请使用 xlock 命令。

强制自动注销

另一个要关注的有效安全性问题是用户长时间将他们的帐户置于无人照管状态造成的后果。这种情况使闯入者可以控制用户的终端,从而潜在地危及系统的安全。

要预防这类潜在的安全威胁,您可在系统中启用自动注销功能。要这样做,请编辑 /etc/security/.profile 文件,为所有用户包含自动注销值,如下例所示:

TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT

在本例中,数字 600 是以秒为单位,它等于 10 分钟。但是,该方法只在 shell 中生效。

当先前的操作允许您对所有用户强制执行自动注销策略时,系统用户就能通过编辑他们各自的 .profile 文件来绕过一些限制。为了完全实现自动注销策略,必须采取权威的措施,即给用户提供适当的 .profile 文件,阻止对这些文件的写访问权。

管理 X11 CDE 注意事项

本节讨论了涉及 X11 X 服务器和公共桌面环境(CDE)的潜在安全弱点。

除去 /etc/rc.dt 文件

尽管用户运行 CDE 接口很方便,但是有些安全性说明与之有关。由于这个原因,请不要在需要高级别安全性的服务器上运行 CDE。最好的解决方案是避免安装 CDEdt)文件集。如果您已经在您的系统上安装了这些文件集,那就考虑将其卸载,特别是启动 CDE /etc/rc.dt 脚本。

更多关于 CDE 的信息,请参阅 《AIX 5L V5.2 系统管理指南:操作系统与设备》。

阻止远程 X 服务器的未经授权的监视

X11 服务器有关的一个重要安全问题是远程服务器的未经授权的静默监视。xwd xwud 命令可以用于监视 X 服务器活动,因为它们有能力捕获击键,这会暴露密码和其它敏感数据。要解决这个问题,除去这些可执行文件,除非在您的配置下它们是必要的,或者,作为备用,将对这些命令的访问权更改为只有 root 用户才能访问。

xwd xwud 命令位于 X11.apps.clients 文件集。

如果您确实需要保留 xwd xwud 命令,考虑使用 OpenSSH MIT Magic Cookie。这些第三方应用程序帮助阻止运行 xwd xwud 命令所产生的风险。

有关 OpenSSH MIT Magic Cookies 的更多信息,请参考每个应用程序各自的文档。

禁用和启用访问控制

X 服务器允许远程主机使用 xhost + 命令来连接系统。确保使用 xhost + 命令指定了主机名,因为它禁用对 X 服务器的访问控制。这允许您将访问权授予特定主机,以便于监视对 X 服务器的潜在***。要将访问权授予特定主机,运行如下的 xhost 命令:

# xhost + 主机名

如果您不指定主机名,那么将访问授权予所有主机。

有关 xhost 命令的更多信息,请参阅《AIX 命令参考大全,卷 6》。

禁用运行 xhost 命令的用户许可权

确保适当地使用 xhost 命令的另一种方法是限制该命令仅能由具有 root 用户权限的用户执行。要做到这一点,使用 chmod 命令将 /usr/bin/X11/xhost 的许可权更改为 744,如下所示:

chmod 744/usr/bin/X11/xhost