AIX 5.3-as verzió. Biztonság SC

Átírás

1 AIX 5.3-as verzió Biztonság SC

2

3 AIX 5.3-as verzió Biztonság SC

4 Megjegyzés Az információk és a tárgyalt termék használatba vétele előtt olvassa el a Nyilatkozatok oldalszám: 339 helyen található általános tájékoztatást. Hetedik kiadás (2009. október) This edition applies to AIX 5L Version 5.3 and to all subsequent releases of this product until otherwise indicated in new editions. A reader's comment form is provided at the back of this publication. If the form has been removed, address comments to Information Development, Department 04XA-905-6B013, Burnet Road, Austin, Texas To send comments electronically, use this commercial Internet address: pserinfo@us.ibm.com. Any information that you supply may be used without incurring any obligation to you. Note to U.S. Government Users Restricted Rights - - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp. Szerzői jog IBM Corporation 2002, Copyright IBM Corporation 2002, 2009.

5 Tartalom Tudnivalók a dokumentumról v Kiemelések v Kis- és nagybetűk megkülönböztetése az AIX rendszeren. v ISO v Biztonság Az alap operációs rendszer biztonságossá tétele Biztonságos rendszer telepítése és beállítása Felhasználók, szerepek és jelszavak Hozzáférés felügyeleti listák Megfigyelés áttekintése Egyszerűsített címtárhozzáférési protokoll Nyilvános kulcsú titkosítási szabványok # X.509 Igazolás hitelesítési szolgáltatás és Nyilvános kulcs infrastruktúra (PKI) Cserélhető hitelesítési modulok OpenSSH szoftvereszközök A hálózat biztonságossá tétele TCP/IP biztonság Hálózati szolgáltatások Internet protokoll biztonság Hálózati információs szolgáltatások és NIS+ biztonság 227 Hálózati fájlrendszer biztonsága Vállalati azonosság leképezés Kerberos Távoli hitelesítés behívásos felhasználói szolgáltatás szerver AIX behatolásvédelem AIX biztonsági szakértő AIX biztonsági szakértő biztonság fokozása AIX biztonsági szakértő jelszó házirend szabályok csoport AIX biztonsági szakértő felhasználói csoport rendszer és jelszó meghatározások csoport AIX biztonsági szakértő bejelentkekzési házriend ajánlások csoport AIX biztonsági szakértő megfigyelési házriend ajánlások csoport AIX biztonsági szakértő /etc/inittab bejegyzések csoport AIX biztonsági szakértő /etc/rc.tcpip beállításai csoport AIX biztonsági szakértő /etc/inetd.conf beállításai csoport AIX biztonsági szakértő parancsok SUID-jének letiltása csoport AIX biztonsági szakértő távoli szolgáltatások letiltása csoport AIX biztonsági szakértő hitelesítést nem igénylő hozzáférés eltávolítása csoport AIX biztonsági szakértő hálózati beállítások hangolása csoport AIX biztonsági szakértő IPsec szűrőszabályok csoport 320 AIX biztonsági szakértő egyéb csoport AIX biztonsági szakértő biztonság visszavonása AIX biztonsági szakértő biztonság ellenőrzése AIX biztonsági szakértő fájlok AIX biztonsági szakértő Magas szintű biztonság példahelyzet AIX biztonsági szakértő Közepes szintű biztonság példahelyzet AIX biztonsági szakértő Alacsony szintű biztonság példahelyzet AIX biztonsági szakértő biztonsági konfiguráció másolása Biztonsági ellenőrzőlista Biztonsági erőforrások Az általános AIX rendszerszolgáltatások összefoglalása 327 Hálózati szolgáltatásbeállítások összefoglalása Nyilatkozatok Védjegyek Tárgymutató Szerzői jog IBM 2002, 2009 iii

6 iv AIX 5.3-as verzió: Biztonság

7 Tudnivalók a dokumentumról Ez a témakör átfogó fájl, rendszer és hálózati biztonsági információkat tartalmaz a rendszeradminisztrátorok számára. A témakör olyan feladatok végrehajtását írja le, mint a rendszer megerősítése, az engedélyek módosítása, a hitelesítési módszerek beállítása és a Common Criteria Security Evaluation szolgáltatások beállítása. A témakör megtalálható az operációs rendszerhez mellékelt dokumentációs CD-n is. Kiemelések A könyv az alábbi kiemelési megállapodásokat használja: Félkövér Dőlt Rögzített szélességű Parancsokat, szubrutinokat, kulcsszavakat, fájlokat, szerkezeteket, alkönyvtárakat és más olyan elemeket jelöl, amelyeknek nevét a rendszer előre meghatározza. Felhasználó által kijelölt grafikus objektumokat, például nyomógombokat, címkéket és ikonokat is azonosít. Azokat a paramétereket jelöli, amelyeknek nevét vagy értékét a felhasználó adja meg. Adott adatértékekre vonatkozó példákat, ténylegesen megjelenő mintaszövegeket, programozók által felhasználható kódrészleteket, rendszerüzeneteket, vagy beírandó információkat jelöl. Kis- és nagybetűk megkülönböztetése az AIX rendszeren Az AIX operációs rendszeren a kis- és nagybetűk mindenhol különbözőknek számítanak. A fájlokat például az ls paranccsal listázhatja ki. Ha beírja az LS parancsot, akkor a rendszer azt a választ adja, hogy a parancs nem található. Hasonlóképp, a FILEA,aFiLea és a filea különböző fájlnevek, még akkor is, ha ugyanabban a könyvtárban vannak. A nem kívánt műveletek végrehajtásának elkerülése érdekében mindig ügyeljen a kis- és nagybetűk helyes használatára. ISO 9000 ISO 9000 registered quality systems were used in the development and manufacturing of this product. Szerzői jog IBM 2002, 2009 v

8 vi AIX 5.3-as verzió: Biztonság

9 Biztonság Az AIX olyan feladatok végrehajtását teszi lehetővé, mint a rendszer megerősítése, az engedélyek módosítása, a hitelesítési módszerek beállítása és a Common Criteria Security Evaluation szolgáltatások beállítása. A témakör megtalálható az operációs rendszerhez mellékelt dokumentációs CD-n is. A témakör PDF változatának megjelenítéséhez vagy letöltéséhez válassza ki a Biztonság lehetőséget. Megjegyzés: Downloading the Adobe Reader: You need Adobe Reader installed on your system to view or print this PDF. You can download a free copy from the Adobe Web site ( Az alap operációs rendszer biztonságossá tétele Az alap operációs rendszer biztonságossá tétele a rendszerek védelmére szolgáló módszereket mutatja be a hálózati kapcsolattól függetlenül. A fejezetekből megtudhatja, hogyan telepíthető a rendszer bekapcsolt biztonsági lehetőségekkel, és hogyan védhető meg az AIX a jogosulatlan felhasználói hozzáférésekkel szemben. Biztonságos rendszer telepítése és beállítása Az AIX biztonságos telepítésekor és beállításakor számos szempontot kell figyelembe venni. Megbízható számítástechnikai alapkörnyezet Egy adott program megbízhatóságát a rendszeradminisztrátor határozza meg. E meghatározás során számításba kell venni a rendszer információs erőforrásainak értékét és el kell dönteni, milyen mértékű megbízhatóság szükséges egy jogosultságokkal rendelkező program telepítéséhez. A Megbízható számítástechnikai alapkörnyezet (TCB) a rendszer azon része, amely a teljes rendszerre kiterjedő információs biztonsági irányelvek betartásáért felel. A TCB telepítésével és használatával meghatározható a felhasználók hozzáférése a felhasználók és a TCB biztonságos kommunikációját megvalósító megbízható kommunikációs útvonalhoz. A TCB funkciói csak az operációs rendszer telepítése után engedélyezhetők. Ha egy már telepített gépre kívánja a TCB-t telepíteni, akkor először egy megőrző típusú telepítést kell végrehajtania. A TCB engedélyezése után használható a megbízható héjprogram, a megbízható folyamatok, valamint a Biztonságos Figyelem Kulcs (SAK). Rendszer telepítése a TCB-vel: A TCB a rendszer azon része, amely a rendszer információs biztonsági irányelveinek betartásáért felel. A számítógép összes hardvereszköze is beletartozik a TCB-be, de a rendszert felügyelő személynek elsősorban a TCB szoftverkomponenseivel kell foglalkoznia. Ha a rendszert a Megbízható számítástechnikai alapkörnyezettel együtt telepíti, akkor engedélyezi a megbízható útvonal, a megbízható parancsértelmező valamint a rendszerintegritás ellenőrzését (tcbck parancs). Ezek a funkciók kizárólag az alap operációs rendszer (BOS) telepítése során kapcsolhatók be. Ha a kezdeti telepítés során nincs kiválasztva a TCB elem, akkor a tcbck parancs letiltásra kerül. A parancs csak úgy használható, ha a rendszert újratelepíti a TCB elem kiválasztása mellett. A TCB elem a BOS telepítés során megjelöléséhez válassza ki a Telepítés és beállítások képernyő További lehetőségek pontját. A Telepítési beállítások képernyőn a Megbízható számítástechnikai alapkörnyezet telepítése pont alapértelmezett értéke no. A TCB engedélyezéséhez írja be a 2 értéket és nyomja meg az Entert. Szerzői jog IBM 2002,

10 Mivel minden eszköz a TCB része, a TCB figyeli a /dev könyvtár minden fájlját. Ezenfelül a TCB automatikusan figyel további több mint 600 fájlt, és az e fájlokkal kapcsolatos kritikus fontosságú adatokat az /etc/security/sysck.cfg fájlban tárolja. Ha telepíti a TCB-t, akkor telepítés után rögtön mentse el ezt a fájlt cserélhető adathordozóra, például szalagra, CD-re vagy lemezre, és tegye az adathordozót biztonságos helyre. A TCB ellenőrzése: Az operációs rendszer biztonsága veszélybe kerül, ha a Megbízható számítástechnikai alapkörnyezet (TCB) fájljai nincsenek megfelelően védve, vagy ha a konfigurációs fájlok nem biztonságos értékeket tartalmaznak. A tcbck paranccsal figyelhető a Megbízható számítástechnikai alapkörnyezet biztonsági állapota. A tcbck parancs ezeket az információkat figyeli meg az /etc/security/sysck.cfg fájl kiolvasásával. Ebben a fájlban tárolódik az összes TCB fájl, konfigurációs fájl és megbízható parancs leírása. A /etc/security/sysck.cfg fájl nem offline, tehát egy cracker módosíthatja. Gondosan ügyeljen arra, hogy a TCB minden egyes frissítése után készítsen egy offline, csak olvasható másolatot erről a fájlról. Ezenfelül bármilyen ellenőrzés elvégzése előtt másolja a fájlt az archív médiáról a lemezre. A TCB telepítése és a tcbck parancs használata önmagában még nem garantálja, hogy a rendszer a Szabályozott hozzáférés-védelmi profil (CAPP) és a Kiértékelés biztosítási szint 4+ (EAL4+) előírásoknak megfelelő módban működik. További információ a CAPP/EAL4+-ről a Felügyelt hozzáférés védelmi profil és Kiértékelés biztosítási szint 4+ oldalszám: 6 részben található. A sysck.cfg fájl szerkezete: A tcbck parancs beolvassa az /etc/security/sysck.cfg fájlt annak meghatározásához, hogy mely fájlokat kell ellenőrizni. A rendszer minden egyes megbízható programját az /etc/security/sysck.cfg fájl egy szakasza írja le. Minden egyes szakasz az alábbi jellemzőkkel bír: acl class group links mode owner program source A fájl hozzáférés felügyeleti listáját reprezentáló szöveges karaktersorozat. Ugyanabban a formátumban kell, hogy legyen, mint az aclget parancs kimenete. Ha ez nem egyezik meg a fájl tényleges hozzáférés felügyeleti listájával (ACL), akkor a sysck parancs erre az értékre állítja be a fájl ACL-jét az aclput paranccsal. Megjegyzés: A SUID, SGID és SVTX attribútumoknak meg kell egyezniük a módban megadottakkal, amennyiben léteznek. Egy fájlcsoport neve. Ez az attribútum lehetővé teszi ugyanazon osztályba tartozó több fájl ellenőrzését a tcbck parancs egyetlen argumentumával. Egynél több osztály is megadható, a neveiket vesszővel kell elválasztani. A fájlcsoport csoportazonosítója vagy neve. Ha ez nem egyezik meg a fájl csoportjával, akkor a tcbck parancs erre az értékre állítja be a fájl csoportját. Erre a fájlra hivatkozó elérési utak vesszővel elválasztott listája. Ha a listában megadott bármely elérési út nem hivatkozik erre a fájlra, a tcbck parancs létrehozza a hivatkozást. Ha a tcbck parancsot a tree paraméter nélkül használja, akkor kiír egy üzenetet, hogy extra hivatkozások találhatók, de nem határozza meg azok nevét. Ha a tcbck parancsot a tree paraméterrel együtt használja, akkor kiírja az adott fájlra hivatkozó további elérési utakat is. Értékek vesszővel elválasztott listája. Az engedélyezett értékek a SUID, SGID, SVTX és a TCB. A fájlengedélyek a legutolsóként - akár oktálisan, akár egy kilenckarakteres sorozatként - megadott értékkel kell, hogy megegyezzenek. A 755 vagy rwxr-xr-x például egyaránt érvényes fájljogosultságok. Ha ez nem egyezik meg a fájl tényleges módjával, akkor a tcbck parancs erre az értékre állítja be a fájl módját. A fájltulajdonos felhasználói azonosítója vagy neve. Ha ez nem egyezik meg a fájl tulajdonosával, akkor a tcbck parancs erre az értékre állítja be a fájl tulajdonosát. Értékek vesszővel elválasztott listája. Az első érték egy ellenőrzőprogram elérési útja. A további értékek átadásra kerülnek a programnak futtatáskor argumentumként. Megjegyzés: Az első argumentum mindig a -y, -n, -p vagy a -t kapcsoló egyike attól függően, hogy a tcbck parancs melyik kapcsolóval lett futtatva. Annak a fájlnak a neve, amelyből ez a forrásfájl átmásolandó ellenőrzés előtt. Ha az érték kitöltetlen és a fájl egy szabályos fájl, könyvtár, vagy névvel ellátott csővezeték, akkor a fájl egy új, üres verziója kerül létrehozásra, ha még nem létezik. Eszközfájlok esetén egy új speciális fájl kerül létrehozásra az ugyanolyan típusú eszközhöz. 2 AIX 5.3-as verzió: Biztonság

11 symlinks Erre a fájlra szimbolikusan hivatkozó elérési utak vesszővel elválasztott listája. Ha a listában megadott bármely elérési út nem szimbolikus hivatkozás erre a fájlra, akkor a tcbck parancs létrehozza a szimbolikus hivatkozást. Ha a tcbck parancsot a tree argumentummal együtt használja, akkor a kiírja az erre a fájlra szimbolikusan hivatkozó további elérési utakat is. Ha az /etc/security/sysck.cfg fájl egy szakasza nem határozza meg valamely jellemzőt, akkor a hozzá tartozó ellenőrzés nem kerül elvégzésre. A tcbck parancs használata: A tcbck parancs az alábbiakat biztosítja: a biztonsággal kapcsolatos fájl megfelelő telepítését; a fájlrendszerfa ne tartalmazzon olyan fájlokat, amelyek nyilvánvalóan veszélyeztetik a rendszer biztonságát; a megbízható fájlok frissítését, hozzáadását vagy törlését. A tcbck parancs jellemzően az alábbi feladatokra használható: v A biztonsággal kapcsolatos fájlok megfelelő telepítésének garantálása v Annak biztosítása, hogy a fájlrendszer nem tartalmaz a rendszer biztonságát világosan megsértő fájlokat v Megbízható fájlok frissítése, hozzáadása vagy törlése A tcbck parancs az alábbi módokon használható: v Normális használat Beavatkozást nem igénylő módban, a rendszer inicializálásakor A cron paranccsal időzítve v Interaktív használat Egyes fájlok és fájlosztályok ellenőrzése v Paranoid használat Tárolja el a sysck.cfg fájlt offline módon, és időről időre állítsa vissza a gép ellenőrzése előtt Bár kriptográfiai értelemben nem biztonságos, a TCB a sum parancsát használja az ellenőrző összegek kiszámításához. A TCB adatbázis beállítható kézzel más ellenőrzőösszeg-számító parancs használatára, például a AIX Toolbox for Linux Applications CD textutils RPM Package Manager csomagjában található md5sum parancsra. Megbízható fájlok ellenőrzése: A tcbck parancs segítségével ellenőrizze és javítsa ki a tcbck adatbázisban lévő fájlokat, és javítsa ki illetve állítsa elő az összes hiba naplóját. A tcbck adatbázis összes fájljának ellenőrzéséhez, valamint az összes hiba kijavításához és kimutatásához írja be a következő parancsot: tcbck -y ALL Ennek hatására a tcbck parancs ellenőrzi a tcbck adatbázis összes fájljának telepítését, ahogy az /etc/security/sysck.cfg fájlban le van írva. Ha mindezt automatikusan, a rendszer inicializálásakor kívánja végrehajtani és naplót kíván a hibákról, akkor a fenti parancssort írja hozzá az /etc/rc parancshoz. A fájlrendszerfa ellenőrzése: Ha bármikor arra gyanakszik, hogy a rendszer integritása sérült, akkor a fájlrendszer-fa ellenőrzéséhez futtassa le a tcbck parancsot. A fájlrendszerfa ellenőrzéséhez írja be a következő parancsot: Biztonság 3

12 tcbck -t tree Ha a tcbck parancsot a tree értékkel együtt használja, akkor a rendszer összes fájljának telepítése ellenőrzésre kerül (ez hosszú ideig eltarthat). Ha a tcbck parancs talál olyan fájlt, amely esetleg veszélyeztetheti a rendszer biztonságát, a gyanús fájl módosítható és eltávolíthatók a rendet sértő attribútumok. Ezenfelül az alábbi ellenőrzések kerülnek elvégzésre a fájlrendszer összes többi fájlján: v Ha a fájl tulajdonosa a root és a fájl SetUID bitje be van állítva, akkor a SetUID bit törlésre kerül. v Ha a fájl csoportja adminisztrátori csoport, a fájl végrehajtható és a SetGID bit be van állítva, akkor a SetGID bit törlésre kerül. v Ha a fájl tcb attribútuma be van állítva, akkor ez az attribútum törlésre kerül. v Ha a fájl egy eszköz (karakter vagy blokk speciális fájl), akkor eltávolításra kerül. v Ha a fájl egy további hivatkozás az /etc/security/sysck.cfg fájlban megadott elérési útra, akkor a hivatkozás törlődik. v Ha a fájl egy további szimbolikus hivatkozás az /etc/security/sysck.cfg fájlban megadott elérési útra, akkor a szimbolikus hivatkozás eltávolításra kerül. Megjegyzés: A tcbck parancs végrehajtása előtt minden eszközbejegyzést hozzá kell adni az /etc/security/sysck.cfg fájlhoz, különben a rendszer használhatatlanná válhat. Megbízható eszközöket az /etc/security/sysck.cfg fájlhoz a -l kapcsoló segítségével lehet felvenni. FIGYELEM: NE futtassa a tcbck -y tree parancsot. Ez a parancs töröl és letilt minden olyan eszközt, amelyik nincs tökéletesen megadva a TCB-ben, és ez használhatatlanná teheti a rendszert. Megbízható program felvétele: A tcbck parancs segítségével adjon hozzá egy adott programot az /etc/security/sysck.cfg fájlhoz. Egy adott program az /etc/security/sysck.cfg fájlba felvételéhez írja be a következő parancsot: tcbck -a útvonal [attribútum=érték] Csak azokat az attribútumokat kell megadni a parancssorban, amelyek nem következnek a fájl aktuális állapotából. Az összes attribútumnév az /etc/security/sysck.cfg fájlban tárolódik. Például az alábbi parancs bejegyzi a /usr/bin/setgroups nevű új SetUID root programot, amelyre a /usr/bin/getgroups hivatkozik: tcbck -a /usr/bin/setgroups links=/usr/bin/getgroups Ha a jfh és jsl elemet adminisztrátori felhasználóként, a developers elemet pedig adminisztrátori csoportként kívánja hozzáadni, hogy a /usr/bin/abc fájl biztonsági megfigyelése során ellenőrzésre kerüljön, akkor tegye a következőt: tcbck -a /usr/bin/abc setuids=jfh,jsl setgids=developers Egy program telepítése után előfordulhat, hogy nem tudja, mely új fájlok kerültek bejegyzésre az /etc/security/sysck.cfg fájlba. Ezek a fájlok az alábbi paranccsal kérhetők le és vehetők fel: tcbck -t tree Ez a paranccsor kiírja minden olyan fájl nevét, amelyet be kell jegyezni az /etc/security/sysck.cfg fájlban. Megbízható program törlése: Ha törölni kíván egy fájlt a rendszerből, amelynek leírása megtalálható az /etc/security/sysck.cfg fájlban, akkor az /etc/security/sysck.cfg fájlban található leírást is törölnie kell. Ha például kitörölte az /etc/cvid programot, akkor az alábbi parancs kiadása hibaüzenetet eredményez: tcbck -t ALL 4 AIX 5.3-as verzió: Biztonság

13 Az eredményül kapott hibaüzenet a következő: A file /etc/cvid was not found. A program leírása továbbra is megtalálható az /etc/security/sysck.cfg fájlban. A leírás törléséhez írja be az alábbi parancsot: tcbck -d /etc/cvid További megbízható beállítások megadása: A Megbízható számítástechnikai alapkörnyezethez (TCB) további beállításokat is megadhat. Terminál-hozzáférés korlátozása: Az operációs rendszert beállíthatja a terminál-hozzáférés korlátozására. A getty and shell parancs módosítja a terminál tulajdonosát és módját, így megakadályozza, hogy a nem megbízható programok elérjék a terminált. Az operációs rendszer lehetőséget ad a kizárólagos terminál-hozzáférés beállítására. Biztonságos figyelem billentyű használata: Megbízható kommunikációs elérési út a Biztonságos figyelem billentyű (SAK) fenntartott billentyűkombinációjának (Ctrl-X, majd Ctrl-R) lenyomásával hozható létre. Megjegyzés: Körültekintően járjon el a SAK használatakor, mert ez leállítja az összes olyan folyamatot, amely a terminált próbálja elérni, illetve minden hivatkozást rá (a /dev/console például hivatkozhat a /dev/tty0-ra). Megbízható kommunikációs elérési út az alábbi feltételek mellett hozható létre: v A rendszerbe bejelentkezéskor A SAK lenyomása után: Ha új bejelentkezési képernyő jelenik meg, akkor létrejött a biztonságos elérési út. Ha a megbízható héj parancssor jelenik meg, akkor a kezdeti bejelentkezési képernyő egy jogosulatlan program volt, amelyik lehet, hogy megpróbálta ellopni a jelszavát. A who paranccsal állapítsa meg, hogy ki használja a terminált, majd jelentkezzen ki. v Amikor azt szeretné, hogy a beírt parancs egy megbízható program futását eredményezze. Néhány példa erre: Root felhasználóként futtatás. Csak azután futtasson bármit is root felhasználóként, ha létrehozott egy megbízható kommunikációs elérési utat. Ez garantálja, hogy egyetlen megbízhatatlan program sem futhat root felhasználói jogosultsággal. A su, passwd és newgrp parancs futtatása. Ezeket a parancsokat csak egy megbízható kommunikációs elérési út létrehozása után futtassa. Biztonságos figyelem billentyű beállítása: Biztonságos figyelem billentyű beállítása megbízható kommunikációs elérési út létrehozásához. Minden terminál külön konfigurálható, hogy a Biztonságos figyelem billentyű (SAK) lenyomása az adott terminálon megbízható kommunikációs elérési utat hozzon létre. Ezt az /etc/security/login.cfg fájl sak_enabled attribútuma adja meg. Ha az attribútum értéke Igaz, akkor a SAK be van kapcsolva. Ha egy adott portot kommunikációra kíván használni (például az uucp paranccsal), akkor az /etc/security/login.cfg fájl a használt portra vonatkozó szakasza tartalmazza a következő sort: sak_enabled = false Ez a sor (vagy a szakasz hiányzó bejegyzése) letiltja a SAK működését az adott terminálon. Biztonság 5

14 A SAK egy terminálon bekapcsolásához vegye fel a terminálhoz tartozó szakasba az alábbi sort: sak_enabled = true Felügyelt hozzáférés védelmi profil és Kiértékelés biztosítási szint 4+ A rendszeradminisztrátor az alap operációs rendszer (BOS) telepítés során telepítheti a rendszert a Controlled Access Protection Profile (CAPP) és Evaluation Assurance Level 4+ (EAL4+) kiválasztásával. Az ily módon telepített rendszer korlátozza a BOS telepítés során telepített szoftvereket, valamint a hálózati hozzáférést. CAPP/EAL4+ előírásoknak megfelelő rendszer: A CAPP rendszer egy olyan rendszer, amely úgy lett megtervezve és kialakítva, hogy megfeleljen a Controlled Access Protection Profile (CAPP) előírásainak, az Általános feltételek biztonsági kiértékelésének. A CAPP a rendszer funkcionális követelményeit határozza meg, hasonlóan a korábbi TCSEC C2 (Narancs Könyv néven is ismeretes) szabványhoz. Az Általános feltételek (CC) szerint kiértékelt rendszer egy olyan rendszer, amely az Általános feltételek, azaz az informatikai termékek biztonsági kiértékelését szabályozó ISO szabványnak (ISO 15408) megfelelően lett kiértékelve. Azt a rendszerkonfigurációt, amely megfelel ezen követelményeknek, a jelen dokumentumban CAPP/EAL4+ rendszerként fogjuk emlegetni. Ha a rendszer a CC szerint kiértékelésre kerül, akkor a CC minősítés csak egy meghatározott rendszer- (hardver- és szoftver-) konfigurációra vonatkozik. A biztonságosnak nyilvánított összeállítás módosítása nem megfelelő minősítést eredményez. Ez nem jelenti feltétlenül azt, hogy a rendszer biztonsága ténylegesen csökkent, csak azt, hogy a rendszer immár nem a minősített konfigurációban működik. Sem a CAPP, sem a CC nem fedi le az AIX 5.3 összes lehetséges biztonsági beállítását. Bizonyos funkciók, mint például az IPsec vagy az egyedi jelszóellenőrzési modulok, hiányoznak belőlük, holott valójában nagyon is jól használható eszközök a rendszer biztonságának növelésére. Az AIX 5.3 CAPP/EAL4+ rendszerek a 64 bites POWER3 és POWER4 processzorokon futó alap operációs rendszert tartalmazzák az alábbiakkal: v Logikaikötet-kezelő (LVM) és a kibővített naplózott fájlrendszer (JFS2) v X Window rendszer CDE grafikus felhasználói felülettel v Alap Internet protokoll 4-es verzió (IPv4) hálózati funkciók (Telnet, FTP, rlogin, rsh/rcp) v Hálózati fájlrendszer (NFS) Egy CAPP/EAL4+ rendszer biztonságos állapotban van, ha az alábbi feltételek teljesülnek: v Ha a megfigyelés be van állítva és a rendszer többfelhasználós módban működik, akkor a megfigyelésnek működnie kell. v A rendszer elfogadja a felhasználói bejelentkezéseket és kiszolgálja a hálózati kéréseket. v Elosztott rendszer esetében az adminisztrációs adatbázisok mind NFS-en keresztül kapcsolódnak az elsődleges szerverre. A biztonsági funkciók a következő adminisztrációs felületeteket biztosítják: v Azonosítási és hitelesítési intézkedések (felhasználók beállítása, jelszó beállítások, bejelentkezés beállításai, stb.) v Megfigyelési intézkedések (bináris módú megfigyelés, megfigyelt események kiválasztása, megfigyelési naplók feldolgozása, stb.) v Széles körű hozzáférés felügyelet (engedélybitek és ACL-ek fájlrendszer objektumokra, IPC mechanizmusokra és TCP portokra) v Rendszeridő beállítása v A diag diagnosztikai alrendszer futtatása v Átkapcsolás adminisztrátori (root) felhasználóra az su paranccsal Ezek közé a megfelelő adminisztráláshoz szükséges konfigurációs fájlok és rendszerhívások is beletartoznak. 6 AIX 5.3-as verzió: Biztonság

15 A biztonsági funkciók a következő felhasználói felületeteket biztosítják: v A passwd parancs a felhasználó jelszavának módosítására v Az su parancs a felhasználó azonosságának átváltására v Az at, batch és crontab lehetőségek a parancsfeldolgozás ütemezésére v Széles körű hozzáférés felügyelet (engedélybitek és ACL-ek fájlrendszer objektumokra és IPC mechanizmusokra) v Bejelentkezési módszerek (például azonosítási és hitelesítési mechanizmusok) a rendszerkonzolhoz és a támogatott hálózati alkalmazásokhoz (például telnet és ftp) Ide tartoznak a felhasználó azonosság és hozzáférés felügyeletére szolgáló rendszerhívások is. Az AIX 5.3 CAPP/EAL4+ rendszer a következő hardverplatformokon fut: IBM eserver pseries szimmetrikus többprocesszoros (SMP) rendszerek egy vagy két POWER3-II processzor használatával (IBM eserver pseries 610); SMP rendszerek RS64 IV processzor használatával (IBM eserver pseries 660); SMP rendszerek POWER4 processzorral (IBM eserver pseries 690); SMP rendszerek POWER5 processzor használatával (IBM System p5 520, System p5 570, System p5 595). A támogatott perifériák közé a terminálok és nyomtatók, továbbá háttértárként merevlemezek és CD-ROM meghajtók, valamint mentési eszközként a streamerek és hajlékonylemezes meghajtók tartoznak. A támogatott hálózati csatoló típusok az Ethernet és a Token ring. A CAPP/EAL4+ technológia logikai partíciókat is tartalmazó POWER4 processzor (IBM eserver pseries 630, IBM eserver pseries 650, és pseries 690) hardverplatformokon is fut. A támogatott perifériák közé a terminálok és nyomtatók, továbbá háttértárként merevlemezek és CD-ROM meghajtók, valamint mentési eszközként a streamerek és hajlékonylemezes meghajtók tartoznak. A támogatott hálózati csatoló típusok az Ethernet és a Token ring. Az Általános feltételek mód csak a SCSI optikai eszközöket támogatja. Megjegyzés: Az adminisztrátoroknak fel kell hívniuk a rendszer összes felhasználójának figyelmét, hogy ne használjanak $HOME/.rhosts fájlt a távoli bejelentkezéshez és a parancsok futtatásához. Az AIX 5.3 kiértékelése POWER5 processzorokkal (p5-520, p5-570, p5-595) rendelkező System p5 szimmetrikus többprocesszoros rendszereken történik. CAPP/EAL4+ rendszer telepítése: A CAPP/EAL4+ opció kiválasztásához BOS telepítés közben tegye a következőket: 1. A Telepítés és beállítások képernyőn válassza a További beállítások pontot. 2. A További beállítások képernyőn írja be a CAPP és EAL4+ technológia engedélyezése lehetőség vagy Nem értékének megfelelő számot. Az alapértelmezett beállítás a Nem. A CAPP és EAL4+ technológia engedélyezése lehetőség csak az alábbi helyzetekben áll rendelkezésre: v A telepítési mód "új, teljes felülírás". v Az angol nyelv van kiválasztva. v A 64 bites kernel van engedélyezve. v Engedélyezve van a bővített naplózott fájlrendszer (JFS2). Ha a CAPP és EAL4+ technológia engedélyezése lehetőség értéke igen, akkor a Megbízható számítástechnikai alapkörnyezet lehetőség értéke is igen, és az Asztal érvényes értéke csak a NONE vagy a CDE. Ha felügyelet nélküli telepítést hajt végre egy testre szabott bosinst.data fájl segítségével, akkor az INSTALL_TYPE mező értéke CC_EVAL kell, hogy legyen, és az alábbi mezőket a következő értékekre kell állítani: control_flow: CONSOLE =??? PROMPT = yes INSTALL_TYPE = CC_EVAL INSTALL_METHOD = overwrite TCB = yes DESKTOP = NONE vagy CDE Biztonság 7

16 ENABLE_64BIT_KERNEL = yes CREATE_JFS2_FS = yes ALL_DEVICES_KERNELS = no FIREFOX_BUNDLE = no HTTP_SERVER_BUNDLE = no KERBEROS_5_BUNDLE = no SERVER_BUNDLE = no ALT_DISK_INSTALL_BUNDLE = no locale: CULTURAL_CONVENTION = en_us vagy C MESSAGES = en_us vagy C A következő lépések leírják az AIX 5L Version 5.3 with the Technology Level és a kiadási megjegyzések másolatának letöltését és telepítését: 1. Az AIX with szintre való frissítéshez szükséges fájlkészletek biztonságos letöltéséhez használja a Letöltésirányítót. Keresse meg a Quick links for AIX hivatkozást a következő weboldalon: 2. A Keresés legördülő listában válassza ki az APAR szám vagy kivonat elemet és írja be az IY88827 értéket a szövegmezőbe. 3. Adja hozzá az APAR-t a letöltési listához. Ehhez jelölje ki a kívánt APAR-t és válassza ki a Hozzáadás a saját letöltési listához lehetőséget. 4. Kattintson a Folytatás lehetőségre. 5. A Csomagolási lehetőségek ablakban jelölje be az Előfeltételek és párhuzamos feltételek tartalmazása valamint a Feltételes feltételek tartalmazása csomagolási lehetőséget. Ne jelölje be a Regressziót javító javítások és a Feleslegessé vált javítások cseréje a legfrissebbekre csomagolási lehetőséget. 6. A legördülő listából válassza ki az elemet. 7. Adja meg a kimeneti fájlt az lslpp -Lc parancshoz a Tallózás gomb kiválasztásával és a fájl helyének megkeresésével. 8. Kattintson a Folytatás lehetőségre. 9. A Javítások letöltése ablak megjelenésekor válassza a Minden fájlkészlet letöltése Java kisalkalmazással lehetőséget a Letöltésirányító Java kisalkalmazás elindítása érdekében. A kisalkalmazásnak hozzáférést kell biztosítani ahhoz a rendszerhez, amelyre a letöltést végzi. Ehhez válaszoljon a böngészőben megjelenő előugró párbeszédablakokra. 10. Töltse le és telepítse a fájlkészleteket a Java kisalkalmazással. A fájlkészletek telepítéséhez helyezze a fájlkészleteket egy könyvtárba a frissítendő rendszeren. Ebben a példában a fájlkészletek az /usr/sys/sp2 könyvtárba kerülnek másolásra. Hozzon létre egy.toc fájlt az inutoc paranccsal: # inutoc /usr/sys/sp2 A.toc fájl előállítása után futtassa a következő parancsot a smitty program meghívása érdekében a frissítések telepítéséhez: # smitty update_all 11. Futtassa az /usr/lib/security/cc_evalify.sh parancsot. A rendszer AIX with szintre frissült. A következő parancs futtatásával frissíteni kell a rendszert és ellenőrizni kell, hogy a rendszer frissítve lett-e: # oslevel -r or oslevel -s Ha a rendszer sikeresen frissült, akkor az érték jelenik meg. CAPP/EAL4+ és Hálózati telepítéskezelő környezet: A CAPP/EAL4+ technológiát alkalmazó számítógépek telepítése történhet Hálózati telepítéskezelő (NIM) környezetben is. 8 AIX 5.3-as verzió: Biztonság

17 A NIM mestert ilyenkor úgy kell beállítani, hogy biztosítsa a AIX 5L megfelelő CAPP/EAL4+ szintjének telepítéséhez szükséges erőforrásokat. A NIM kliensek telepítése innentől elvégezhető a NIM mesteren található erőforrások felhasználásával. A bosinst_data erőforrás alábbi mezőinek beállításával kérdések nélküli NIM kliens telepítés is végrehajtható: control_flow: CONSOLE =??? PROMPT = no INSTALL_TYPE = CC_EVAL INSTALL_METHOD = overwrite TCB = yes DESKTOP = NONE vagy CDE ENABLE_64BIT_KERNEL = yes CREATE_JFS2_FS = yes ALL_DEVICES_KERNELS = no FIREFOX_BUNDLE = no HTTP_SERVER_BUNDLE = no KERBEROS_5_BUNDLE = no SERVER_BUNDLE = no ALT_DISK_INSTALL_BUNDLE = no locale: CULTURAL_CONVENTION = en_us vagy C MESSAGES = en_us vagy C A NIM mester nem állítható be CAPP/EAL4+ rendszernek, és nem is csatlakozhat a többi CAPP/EAL4+ rendszerrel megegyező hálózatra. A NIM mesterről végzett telepítés kezdeményezésekor a NIM kliens megmarad az SMIT telepítés után menüpontját nemre kell állítani. Miután egy NIM kliens telepítésre került CAPP/EAL4+ rendszerként, a NIM klienst el kell távolítani a NIM mester hálózatából, és az ez után következő szoftvertelepítések és frissítések már nem végezhetők a NIM mester alkalmazásával. Ilyen például az az eset, amikor két hálózati környezettel rendelkezik: az egyikben található a NIM mester és a nem-capp/eal4+ rendszerek, a másikban pedig csak CAPP/EAL4+ rendszerek találhatók. Ebben az esetben a NIM kliens NIM telepítése után az újonnan telepített CAPP/EAL4+ rendszer leválasztható a NIM mester hálózatáról, és csatlakoztatható a kiértékelt hálózathoz. Egy másik példában egyetlen hálózatot tekintünk. A NIM mester nem csatlakozik a hálózathoz, amikor a többi rendszer a kiértékelt konfigurációban működik, a CAPP/EAL4+ rendszerek pedig nem csatlakoznak a hálózathoz a NIM telepítés során. CAPP/EAL4+ szoftvercsomag: Ha a CAPP/EAL4+ lehetőség ki van választva, akkor a /usr/sys/inst.data/sys_bundles/cc_eval.bos.autoi telepítési csomag tartalma kerül telepítésre. A CAPP/EAL4+ lehetőség kiválasztása esetén a grafikus szoftvercsomag és a dokumentációs szoftvercsomag telepítése is kiválasztható. Ha a Grafikus szoftver lehetőséget választja ki a CAPP/EAL4+ lehetőséggel együtt, akkor a /usr/sys/inst.data/sys_bundles/cc_eval.graphics.bnd szoftvercsomag tartalma kerül telepítésre. Ha a Dokumentációs szolgáltatások szoftver lehetőséget választja ki a CAPP/EAL4+ lehetőséggel együtt, akkor a /usr/sys/inst.data/sys_bundles/cc_eval.docservices.bnd szoftvercsomag tartalma kerül telepítésre. A licencprogram termékek (LPP-k) telepítése után a rendszer átállítja az alapértelmezett konfigurációt, hogy az megfeleljen a CAPP/EAL4+ előírásainak. Az alapértelmezett konfiguráció az alábbiak szerint módosul: v A /dev/echo eltávolításra kerül az /etc/pse.conf fájlból. v Az adatfolyam eszközök példányosítása megtörténik. v Csak a root férhet hozzá a cserélhető adathordozókhoz. v Az inetd.conf fájl nem CC-kompatíbilis bejegyzései törlődnek. v Különféle fájljogosultságok kerülnek beállításra. Biztonság 9

18 v Szimbolikus hivatkozások kerülnek bejegyzésre a sysck.cfg fájlba. v Eszközök kerülnek bejegyzésre a sysck.cfg fájlba. v Beállításra kerülnek az alapértelmezett felhasználói és portjellemzők. v Beállításra kerül a doc_search alkalmazás böngészőbeli használathoz. v A httpdlite eltávolításra kerül az inittab fájlból. v A writesrv eltávolításra kerül az inittab fájlból. v Az mkatmpvc eltávolításra kerül az inittab fájlból. v Az atmsvcd eltávolításra kerül az inittab fájlból. v Az snmpd letiltásra kerül az /etc/rc.tcpip fájlban. v A hostmibd letiltásra kerül az /etc/rc.tcpip fájlban. v Az snmpmibd letiltásra kerül az /etc/rc.tcpip fájlban. v Az aixmibd letiltásra kerül az /etc/rc.tcpip fájlban. v A muxatmd letiltásra kerül az /etc/rc.tcpip fájlban. v Az NFS port (2049) privilegizált porttá válik. v Felvételre kerülnek a hiányzó események az /etc/security/audit/events fájlban. v A visszahurkolás működése ellenőrzésre kerül. v Szinonimák jönnek létre a /dev/console-hoz. v A rendszer az alapértelmezett X-szerver kapcsolati engedélyek használatát kényszeríti ki. v A /var/docsearch könyvtár módosul, az összes fájl általánosan olvasható lesz. v Objektum adatkezelő (ODM) szakaszok kerülnek felvételre a konzoljogok beállításához. v A BSD-stílusú pty-k engedélyei 000-ra állítódnak. v A.netrc fájlok letiltásra kerülnek. v Felvételre kerül a szoftverjavítás-könyvtárak feldolgozása. Grafikus felhasználói felület: A CAPP/EAL4+ szabványnak megfelelő rendszer az Windows Windows grafikus felhasználói felületet tartalmazza. Az X Windows rendelkezik a grafikus kliensek, például órák, számológépek és más grafikus alkalmazások megjelenítéséhez szükséges mechanizmussal, továbbá több terminál munkamenet egyidejű kezelésére képes az aixterm parancs segítségével. Az X Windows rendszer az xinit paranccsal indítható a kezdeti parancssorból, miután a felhasználó bejelentkezett a hoszt konzolján. X Windows munkamenet elindításához írja be a következő parancsot: xinit Ez a parancs elindítja az X Windows szervert, amelynek helyi elérési mechanizmusa csak a hívó számára engedélyezett. Mivel a root jogosultság felülbírálja a hozzáférési korlátozásokat, a set-uid root X Windows kliensek elérik az X Windows szervert a UNIX tartomány socketen keresztül. A más felhasználói jogokkal futó set-uid-os X Windows kliensek nem érik el az X Windows szervert. Ez a korlátozás megakadályozza, hogy a hoszt más felhasználói elérjék az X Windows szervert. CAPP/EAL4+ rendszer fizikai környezet: A CAPP/EAL4+ rendszerek speciális követelményeket támasztanak a fizikai futtatási környezetükkel szemben. A követelmények az alábbiak: v A rendszerek fizikai hozzáférését korlátozni kell, hogy csak az arra jogosult adminisztrátorok férhessenek hozzá a rendszerkonzolokhoz. v A szervizprocesszor nem csatlakozhat modemhez. 10 AIX 5.3-as verzió: Biztonság

19 v A terminálok fizikai hozzáférését korlátozni kell az arra jogosult felhasználókra. v A fizikai hálózatot védeni kell a lehallgatás és a hamisítás (vagyis trójai programok) ellen. Nem biztonságos vonalakon keresztüli kommunikáció esetén további biztonsági intézkedéseket kell foganatosítani, például titkosítást kell alkalmazni. v Tilos a kommunikáció más olyan rendszerekkel, amelyek nem AIX 5.3 CAPP/EAL4+ rendszerek, vagy nem ugyanazon felügyelet hatálya alá tartoznak. v Csak IPv4 használható a többi CAPP/EAL4+ rendszerrel való kommunikáció során. A kiértékelt konfiguráció tartalmazza az IPv6-ot, de csak az IPv6 IPv4 által támogatott funkcionális képességei biztosítottak. v A felhasználók nem módosíthatják a rendszer idejét. v Az LPAR környezetben lévő rendszerek nem oszthatják meg a PHB-ket. CAPP/EAL4+ rendszer működési környezet: CAPP/EAL4+ rendszernek bizonyos eljárási és szervezeti követelményeknek meg kell felelnie: A következő követelményeknek kell megfelelni: v Az adminisztrátoroknak megbízhatónak és jól képzettnek kell lenniük. v Csak a rendszereken tárolt információkat kezelni jogosult felhasználók kaphatnak felhasználói azonosítókat a rendszeren. v A felhasználóknak kiváló minőségű jelszavakat kell használniuk (a lehető legvéletlenebb jelsorokat, amelyeknek semmi közük a felhasználóhoz vagy a szervezethez). További információ a jelszóhasználati szabályok kialakításával kapcsolatban: Jelszavak oldalszám: 57. v A felhasználók nem árulhatják el jelszavukat másoknak. v Az adminisztrátorok megfelelő tudással kell, hogy rendelkezzenek a biztonságilag kritikus fontosságú rendszerek kezelésével kapcsolatban. v Az adminisztrátoroknak a rendszerdokumentáció által meghatározott irányelveknek megfelelően kell dolgozniuk. v Az adminisztrátoroknak saját nevükön és jelszavukkal kell bejelentkezni, majd az su parancs segítségével válthatnak superuser módra az adminisztrációhoz. v Az adminisztrátorok által a felhasználók számára generált jelszavakat biztonságos módon kell továbbítani a felhasználók felé. v A rendszerért felelős személyeknek ki kell dolgozniuk és életbe kell léptetniük a rendszer biztonságos működtetéséhez szükséges eljárásokat. v Az adminisztrátoroknak biztosítaniuk kell a biztonságilag kritikus fontosságú rendszer-erőforrások védelmét az engedélybitek és ACL-ek megfelelő beállításával. v A szervezetnek jóvá kell hagynia, hogy a fizikai hálózaton a rendszerek legérzékenyebb adatai valóban továbbíthatók. v A karbantartási eljárások része kell, hogy legyen a rendszerek időszakos diagnosztikája, ellenőrzése. v Az adminisztrátorok megfelelő eljárásokkal kell, hogy rendelkezzenek a rendszer biztonságos üzemeltetésére, illetve meghibásodás utáni helyreállítására vonatkozóan. v A LIBPATH környezeti változót tilos módosítani, mivel ez egy megbízható folyamat nem megbízható könyvtárba betöltését eredményezheti. v Lehallgató és nyomkövető szoftver (tcpdump, trace) nem használható éles, működő rendszeren. v Az anonim protokollok, mint például a HTTP, kizárólag nyilvános információk (például az online dokumentáció) elérésére használható. v Csak TCP alapú NFS használható. v A felhasználók nem férhetnek hozzá a cserélhető adathordozókhoz. Az eszközfájlok a megfelelő engedélybitekkel vagy ACL-ekkel védendők. v Az AIX felügyeletére csak a root jogosultság használható. Az AIX szerep és csoport alapú felügyelet-delegálási funkciói, valamint engedélyezési mechanizmusa nem található meg a CAPP/EAL4+ szabványnak megfelelő rendszereken. Biztonság 11

20 v Az adminisztrátorok nem használhatják a dinamikus particionálást erőforrások lefoglalására és kiiktatására. A partíció konfigurálása csak akkor végezhető, ha egyik partíció sem fut. CAPP/EAL4+ rendszer működési környezet: CAPP/EAL4+ rendszer esetén bizonyos működési követelményeknek és eljárásoknak meg kell felelni. A következő követelményeknek és eljárásoknak kell megfelelni: v Hardware Management Console (HMC) használata esetén a HMC egy fizikailag vezérelt rendszerben található. v A működési környezet és a HMC csak az arra jogosult személyek számára hozzáférhető. v HMC használata esetén a HMC csak az alábbi feladatokra használható: A partíciók kezdeti beállítása. A konfigurációs folyamat során egyetlen partíció sem lehet aktív. A "lefagyott" partíciókat újra kell indítani. v A HMC nem használható a beállított rendszer működése során. v A rendszer "hazaszólási" szolgáltatását le kell tiltani. v A rendszerre vonatkozó távoli modemes elérést le kell tiltani. v Ha az AIX LPAR támogatással rendelkező környezetben fut, akkor az adminisztrátornak a logikai partíciók EAL4+ elemeinek működésére vonatkozó követelményeket a LPAR dokumentáció tartalmazza. v A szerviz jogosultsági szolgáltatást le kell tiltani a logikai partíciókon. CAPP/EAL4+ rendszerkonfiguráció: Beállíthatja a Controlled Access Protection Profile (CAPP) és Evaluation Assurance Level 4+ (EAL4+) rendszert. A system, sys, adm, uucp, mail, security, cron, printq, audit és shutdown csoportokat a rendszer adminisztrátori csoportoknak tekinti. Csak megbízható felhasználókat szabad hozzáadni ehhez a csoporthoz. Adminisztráció: Az adminisztrátoroknak saját felhasználói nevükön kell bejelentkezniük és az su paranccsal kell átvenniük a rendszer adminisztrációját. A root jelszó találgatásának elkerülése érdekében csak a felhatalmazott rendszergazdáknak szabad használniuk az su parancsot a root fiókon. Ennek biztosításához tegye a következőket: 1. Vegyen fel egy bejegyzést az /etc/security/user fájl root szakaszában az alábbiaknak megfelelően: root: admin = true... sugroups = SUADMIN 2. Az /etc/group fájlban határozzon meg egy csoportot, amely csak a felhatalmazott rendszergazdák felhasználói azonosítóit tartalmazza, az alábbiak szerint: system:!:0:root,paul staff:!:1:invscout,julie bin:!:2:root,bin... SUADMIN:!:13:paul Az adminisztrátoroknak továbbá be kell tartaniuk az alábbi eljárásokat: v Eljárásokat kell kidolgozni és életbe léptetni annak biztosítására, hogy az elosztott rendszer hardver-, szoftver- és firmware összetevői biztonságos módon legyenek elosztva, telepítve és beállítva. 12 AIX 5.3-as verzió: Biztonság

21 v Garantálni kell, hogy a rendszer úgy legyen beállítva, hogy csak az adminisztrátor telepíthet új megbízható szoftvereket a rendszerbe. v Eljárásokat kell megvalósítani annak biztosítására, hogy a felhasználók képernyője kijelentkezés után törlődjön a soros bejelentkezési eszközökön (például IBM 3151 terminálokon). Felhasználó- és portkonfiguráció: AIX felhasználó- és portkonfigurációját úgy kell beállítani, hogy a kiértékelési követelményeknek megfeleljen. A tényleges követelmény az, hogy egy jelszó véletlen kitalálási valószínűsége legalább 1: legyen, és ez ismételt kísérletekkel se növekedhessen 1 percen belül 1: fölé. Az alábbi példaz /etc/security/user fájlja az /usr/share/dict/words szótárlistát használja. Az /usr/share/dict/words fájl a bos.data fájlkészlet része. Az /etc/security/user fájl beállításának megkezdése előtt telepíteni kell a bos.data fájlkészletet. Az /etc/security/user fájl javasolt értékei tehát a következők: default: admin = false login = true su = true daemon = true rlogin = true sugroups = ALL admgroups = ttys = ALL auth1 = SYSTEM auth2 = NONE tpath = nosak umask = 077 expires = 0 SYSTEM = "compat" logintimes = pwdwarntime = 5 account_locked = false loginretries = 3 histexpire = 52 histsize = 20 minage = 0 maxage = 8 maxexpired = 1 minalpha = 2 minother = 2 minlen = 8 mindiff = 4 maxrepeats = 2 dictionlist = /usr/share/dict/words pwdchecks = dce_export = false root: rlogin = false login = false Az /etc/security/user fájl alapértelmezett beállításait nem szabad felülírni egyes felhasználók egyedi beállításaival. Megjegyzés: A root szakaszba beírt login = false megakadályozza a közvetlen rootként bejelentkezést. Csak a root fiókra nézve su jogosultsággal rendelkező felhasználói fiókok jelentkezhetnek be root fiókként. Ha a rendszer ellen DoS típusú támadás indul, amely helytelen jelszavakat küld a felhasználói fiókokra, akkor előfordulhat, hogy az összes felhasználói fiók zárolódik. Ez a támadás megakadályozhatja a felhasználók (közöttük az adminisztrátorok) bejelentkezését a rendszerbe. Ha a felhasználói fiók zárolva van, akkor a felhasználó addig nem tud belépni, amíg a rendszeradminisztrátor az /etc/security/lastlog fájlban vissza nem állítja a felhasználó unsuccessful_login_count attribútumát a loginretries felhasználói attribútumnál kisebb értékre. Ha az összes adminisztrátori fiók zárolódott, Biztonság 13

22 akkor lehet, hogy újra kell indítani a rendszert karbantartási módban, és futtatni kell a chsec parancsot. Ha további tájékoztatásra van szüksége a chsec parancs használatával kapcsolatban, olvassa el: Felhasználói fiók felügyelet oldalszám: 48. A /etc/security/login.cfg fájl javasolt értékei a következők: default: sak_enabled = false logintimes = logindisable = 4 logininterval = 60 loginreenable = 30 logindelay = 5 setuid/setgid programok listája: CAPPt használni képes AIX rendszerekhez létrehozott megbízható alkalmazások listája. A root és a megbízható csoportok által tulajdonolt nem megbízható programoknál az suid/sgid bitek ki vannak kapcsolva. A CAPP telepítése után csak a system, sys, adm, uucp, mail, security, cron, printq, audit és shutdown parancsok lesznek root által tulajdonolt suid vagy megbízható csoportok által tulajdonolt sgid parancsok. Csak adja hozzá a megbízható felhasználókat ezekhez a csoportokhoz. A megbízható alkalmazások listájának létrehozásakor az alábbi kategóriákból legalább egybe beleeső alkalmazásokat kell számításba venni: v a megfelelő alkalmazás SUID root bitje engedélyezve van v az SGID bit a megbízható csoportok egyikéhez engedélyezve van v megbízható adatbázisokat az adminisztrátori útmutató dokumentumnak megfelelően elérő alkalmazások v Biztonsági funkciókat megvalósító vagy azokhoz hozzáférést biztosító alkalmazások, például: /usr/bin/at /usr/sbin/audit /usr/sbin/auditbin /usr/sbin/auditcat /usr/sbin/auditmerge /usr/sbin/auditpr /usr/sbin/auditselect /usr/bin/batch /usr/bin/chsh /usr/sbin/chtcb /usr/sbin/cron /usr/bin/crontab /usr/sbin/diag /usr/sbin/ftpd /usr/sbin/inetd /usr/bin/logout /usr/bin/passwd /usr/sbin/ping /usr/sbin/rexecd /usr/sbin/rlogind /usr/sbin/rpc.mountd /usr/sbin/rshd 14 AIX 5.3-as verzió: Biztonság

23 /usr/bin/setgroups /usr/bin/setsenv /usr/bin/su /usr/sbin/telnetd /usr/sbin/tsm /usr/lpp/x11/bin/xlock /usr/lpp/diagnostics/bin/uformat Megjegyzés: Az ipcs parancs setuid bitjét a rendszeradminisztrátornak el kell távolítania. A rendszeradminisztrátornak futtatnia kell a chmod u-s /usr/bin/ipcs és chmod u-s /usr/bin/ipcs64 parancsot. Merevlemez törlése: Az AIX lehetővé teszi a hdisk lemezek törlését az AIX diagnosztikai csomag Adathordozó formázása szervizsegédlettel. A diagnosztikai csomag teljesen dokumentálva van a Diagnostic Information for Multiple Bus Systems kiadványban, valamint az adott hardver felhasználói kézikönyvében. Merevlemez törléséhez futtassa a következő parancsot: diag -T "format" A parancs elindítja az Adathordozó formázása szervizsegédletet egy menükkel vezérelt felületen. Ha a rendszer kéri, akkor válassza ki a terminált. Megjelenik az erőforrás kijelölő lista. Válassza ki a listából törlendő hdisk eszközöket, és véglegesítse a módosításokat a képernyő utasításai szerint. A kijelölések véglegesítése után válassza a Lemez törlése menüpontot a menüből. A rendszer kéri a kijelölés megerősítését. Kattintson az gombra. Választhat az Adatok olvasása a meghajtóról és a Minták írása a meghajtóra beállítások közül. Válassza a Minták írása a meghajtóra beállítást. Most módosíthatja a lemeztörlés beállításait. Ha megadta a megfelelő beállításokat, akkor válassza a Módosítások végrehajtása elemet. A lemez törlésre kerül. Megjegyzés: Ez a folyamat hosszú ideig is eltarthat. Erőforráskorlátok: Az /etc/security/limits fájl erőforráskorlátjainak beállításakor ügyeljen arra, hogy a korlátok megfeleljenek a rendszer folyamatainak. Különösen arra ügyeljen, hogy a stack és rss méreteken soha ne állítsa unlimited (korlátlan) értékre. Egy korlátlan méretű verem felülírhatja a futó folyamat más szegmenseit, a korlátlan rss méret lehetővé teszi egy folyamat számára, hogy elhasználja az összes valós memóriát, így erőforrásgondokat okozzon más folyamatok számára. Célszerű korlátozni a stack_hard és rss_hard méreteket is. Megfigyelési alrendszer: Számos eljárás segít a megfigyelési alrendszer védelmében. v Úgy állítsa be a megfigyelési alrendszert, hogy az a felhasználók összes fontos, biztonsággal kapcsolatos tevékenységét rögzítse. Annak érdekében, hogy a megfigyelés számára elegendő hely álljon rendelkezésre, és hogy a fájlrendszer más fogyasztói ne okozzanak problémát, hozzon létre egy külön fájlrendszert a megfigyelési adatoknak. Biztonság 15