0x01 前言

AIX（Advanced Interactive eXecutive）是IBM基于AT&T Unix System V开发的一套类UNIX操作系统，该系统如果没有真机环境很难搭建测试环境，所以测评准备的过程中很难有测试命令的机会，所以这个搞个我在真机环境下，使用命令的测评指导书，大家可以借鉴以下。

0x02 AIX之安全计算环境

身份鉴别 a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1）经核查，使用用户名+口令对登录该操作系统用户进行身份鉴别；

2）经核查，该操作系统无法创建相同账户，查看/etc/passwd，不存在相同的用户名；查看是否存在相同的UID， 使用命令 pwck -r ，慎重使用。

3）查看/etc/passwd文件中各用户的第二字段（口令字段）处，不存在空口令账户。

同时查看各个用户主目录下的.rhosts文件# find / -name ".rhosts"，；查看/etc/hosts.equiv文件，查看是否存在主机在不需要输入密码的情况下可以登录该系统。

4）经核查，/etc/security/user,该操作系统已启用密码复杂度，密码最小长度是8，最少包含一个字符，实际口令满足密码复杂度要求；

maxage： # 口令最长有效期
minage： #口令最短有效期
minalpha： # 口令中最少包含字母字符数
minother： #口令中最少包含非字母数字字符数；
minlen： #口令长度最小值

查看/etc/security/passwd中的flags是否为NOCHECK，flags不为NOCHECK。

TIPS：

flags。对修改用户密码的限制。可以设置三个标志：

1）ADMIN。如果设置，那么只有根用户可以修改用户的密码。

2）ADMCHG。如果设置，那么在用户下一次登录或执行 su 时提示修改密码。

3）NOCHECK。如果设置，那么忽略 /etc/security/user 中的任何其他限制。

若上述口令最长有效期未设置，询问是否通过管理手段实现口令定期更换。

身份鉴别 b) 具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

登录失败及超时退出功能；

查看/etc/security/login.cfg文件
1）logindisable：5； # 5次失败登录后锁定端口
2）logininterval：60； # 在60秒内5次失败登录才锁定端口
3）loginreenable：30；# 端口锁定30分钟后解锁

4） logintimeout = 60；# 指定允许键入密码的时间间隔
查看/etc/security/user文件
1）loginretries=5。 # 指定在停用账户之前，可以连续长度登录账户的次数

查看/etc/profile文件

1）TMOUT # 超时退出时间

身份鉴别 c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

询问管理员采用何种方式进行远程管理，应关闭telnet远程管理功能：

netstat -ano | grep telnet

netstat -ano | grep :23

ps -ef | grep telnet

若已禁用远程管理功能，仅采用本地管理，则此项功能不适用。

身份鉴别 d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；

现场核实是否采用两种或者两种以上的鉴别技术对用户进行身份鉴别，并且其中一种必须采用密码技术实现。

访问控制 a) 应对登录的用户分配账户和权限；

1）经核查，该操作系统具有分配账户与权限功能；

2）查看/etc/passwd，已对登录的用户分配账户和权限，具有XXX账户，XXX账户和XXXX账户，xxx账户用于设备运维管理，xxx账户设备状态监控；

3）经核查，未禁用或限制默认账户的访问权限。

访问控制 b) 应重命名或删除默认账户，修改默认账户的默认口令；

核查操作系统已将默认管理账户XX重命名为XX，修改了/未修改它的默认口令。

AIX的默认账户是root，一般无法重命名，关闭AIX账户的远程登录即可。

核查 /etc/security/user 文件：

login=false 用户不能登录系统
rlogin=false 用户不能从远程登录系统
su=false 其他用户不能切换到该用户

核查 /etc/ssh/sshd_config文件：

PermitRootLogin no

访问控制 c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

查看 /etc/security/passwd文件，对于并询问管理员是否存在多余的，过期的账户，并且是否有多人共用一个账户的情况。

访问控制 d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

询问管理员，并查看是否进行“三权分立”即设置系统管理员账户、审计管理员账户、安全管理员账户

访问控制 e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

1）经核查，该操作系统由root账户配置访问控制策略；

2）经核查，root依据安全策略配置了系统用户角色及其访问的权限，各个账户仅能访问被授权的资源，如运维管理员webligic；

3）经测试验证，无越权访问漏洞。

访问控制 f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

经核查，该操作系统已由管理员root配置访问控制策略，访问控制粒度已达到主体为用户级，客体为文件级。

访问控制 g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问；

操作系统是不具有此功能的，仅能依靠第三方加固软件，如奇安信椒图主机探针、网盾加固软件、中超伟业主机加固软件等。

安全审计 a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

通过执行lssrc –s syslogd命令，查看日志服务是否运行。
通过执行ps –ef | grep syslog命令， 查看是否开启syslog。
通过执行audit qurey命令，查看是否开启audit审计。
通过查看/etc/syslog.conf文件，查看是否包括
*.info;

mail.none;

news.none;

authpriv.none;

cron.none

通过查看/var/log/messages文件。
通过查看/etc/security/audit/events，审计配置为文件中是否包括用户登录、文件权限修改等重要安全相关事件。

检查审计对象是否覆盖每个用户：
/etc/security/audit/config

安全审计 b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

通过查看

cat /var/adm/authlog文件
cat /var/adm/syslog文件
auditpr -v /audit/trail | more
查看审计记录是否包括事件、主客体标识和事件结果等信息。

若有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素。

安全审计 c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

ls -l /var/adm/authlog 查看其权限是否为600
ls -l/var/adm/syslog 查看其权限是否为640，访谈审计记录的存储、备份和保护的措施，如配置日志服务器等。
检查/etc/syslog.conf文件中是否存在如下内容：
auth.info\t\t@loghost
*.info;auth.none\t\t@loghost
.emerg\t\t@loghost
local7.\t\t@loghost

tips：loghost为设置的日志服务器。

安全审计 d) 应对审计进程进行保护，防止未经授权的中断；

查看审计进程权限，保证普通用户无中断审计进程的权限。

入侵防范 a) 应遵循最小安装的原则，仅安装需要的组件和应用程序；

1）应核查操作系统是否遵循最小安装原则；

2）应核查操作系统是否未安装非必要的组件和应用程序。

查看AIX默认启用的服务：

cat /etc/inetd.conf

入侵防范 b) 应关闭不需要的系统服务、默认共享和高危端口；

1）应核查是否不存在非必要的高危端口。

netstat -ano | grep :135

netstat -ano | grep :139

netstat -ano | grep :445

入侵防范 c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

询问管理员是否对登录终端的方式进行限制。

查看文件：

cat /etc/hosts.allow

cat /etc/host.deny

入侵防范 d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

操作系统不涉及数据有效性检验，该条款不适用。

入侵防范 e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

通过访谈和核查，是否对该操作系统定期进行系统漏洞扫描，是否针对漏洞扫描发现的补丁进行升级。

入侵防范 f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

1）询问该操作系统是否安装了主机入侵检测系统，并进行适当的配置。

2）查看是否在检测到严重入侵事件时提供报警。

恶意代码防范 a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

1）查看主机是否安装了防恶意代码软件；防恶意代码软件版本和恶意代码库是否及时更新。

2）核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为；

3）核查当识别入侵和病毒行为时是否将其有效阻断。

可信验证 a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检 测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心；

1) 核查是否基于可信根对计算设备的系统引导程序、系统程序重要配置参数和应用程序等进行可信验证。

2) 检查是否在应用程序的所有执行环节进行动态可信验证。

3) 测试验证当检测到计算设备的可信性受到破坏后是否进行报警。

4) 测试验证结果是否以审计记录的形式送至安全管理中心。

数据完整性 a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

针对安全计算环境，此处检查的是鉴别数据，所以该测评项需要与 身份鉴别 c) 向对应，若采用SSH进行远程管理，则可以保证鉴别信息在传输过程中的完整性。反之，若采用TELNET，则不符合。

数据完整性 b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

通过查看/etc/security/login.cfg文件的pwd_algorithm参数，为密码所使用的加密算法，默认为crypt算法。另外，可选的pwd_algorithm参数，可以在/etc/security/pwdalg.cfg中查看。默认符合。

tips：在AIX5307之前，AIX一直使用名为crypt的单向散列函数认证用户，该函数是一个修改过DES算法。它使用提供的密码和SALT来执行固定数据数组的单向加密。它仅使用密码字符串的前八个字符，这也使得用户的密码将截断为8个字符。

在AIX53TL07之后，AIX引入散列算法，它比crypt函数更难破解。此算法针对强力密码猜测攻击提供了健壮的应对机制。因为整个密码用于生成散列，所有在密码散列算法用于对密码进行加密时没有密码长度限制。

数据保密性 a) 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

针对安全计算环境，此处检查的是鉴别数据，所以该测评项需要与 身份鉴别 c) 向对应，若采用SSH进行远程管理，则可以保证鉴别信息在传输过程中的保密性。反之，若采用TELNET，则不符合。

数据保密性 b) 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

通过查看/etc/security/login.cfg文件的pwd_algorithm参数，为密码所使用的加密算法，默认为crypt算法。另外，可选的pwd_algorithm参数，可以在/etc/security/pwdalg.cfg中查看。默认符合。

数据备份恢复 a) 应提供重要数据的本地数据备份与恢复功能；

通过访谈和核查，了解该操作系统是否涉及重要数据，如该操作系统涉及的重要数据为数据库，则需要对数据库进行备份，并了解是否对备份数据进行恢复测试。

tips:AIX为小型机的操作系统，一般都部署核心数据库。本测评项对操作系统涉及的重要数据，如核心数据库进行定期备份或者对该操作系统进行镜像备份，并进行恢复测试验证备份数据的有效性，此测评项都算符合。

数据备份恢复 b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

核查是否提供异地实时备份功能，并通过网络将重要数据实时备份至备份场地。

数据备份恢复 c) 应提供重要数据处理系统的热冗余，保证系统的高可用性；

通过访谈和核查，了解该操作系统是否采用冗余的方式进行部署。

剩余信息保护 a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

经核查，该操作系统在关闭登录用户后需要重新输入用户名与口令，鉴别信息所在存储空间被释放或者重新分配前可以得到完全清除。

剩余信息保护 b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除；

通过执行history命令，记录的命令值小于100，则按照符合记录。

个人信息保护 a) 应仅采集和保存业务必需的用户个人信息；

操作系统不涉及个人信息采集和保存，该条款不适用。

个人信息保护 b) 应禁止未授权访问和非法使用用户个人信息；

操作系统不涉及个人信息采集和保存，该条款不适用。

0x03 AIX测评后记

AIX一般部署在被测单位最核心的系统上，所以在测评时切记让配合人员确认以上命令执行是否具有危险性，以防引起不必要的纠纷，切记，切记，切记。