Informationen über AIX Security

In der Standardinstallation ist ein pSeries Server nicht so abgesichert, wie er es sein könnte. Viele Sicherheitseinstellungen müssen explizit gesetzt werden, wobei das jedesmal vom Einsatzzweck des Servers abhängt. Die folgende Liste mag als Anhalt dienen. Sie ist nicht die eierlegende Wollmilchsau und sollte ggf. weiter individuell angepaßt werden.

Eine Arbeit zum Thema AIX Security findet sich im PDF Format bei Asatalavista.

Aktuelle Patches einspielen

Es empfiehlt sich die Teilnahme am E-Mail Benachrichtigungssystem von IBM, um über Sicherheitslücken frühzeitig informiert zu werden. Security patches sollten umgehend auf allen betroffenen Systemen eingespielt werden.

Cron & At

Der user muß im daemon Modus laufen um ssh, cron und at nutzen zu können. In der Standardeinstellung existiert auf dem System eine /var/adm/cron/cron.deny bzw. /var/adm/cron/at.deny die leer sind. Dies bedeutet, daß alle user cron und at nutzen dürfen. Um das umzudrehen muß man eine cron.allow bzw. at.allow erstellen. Nun ist es allen usern untersagt cron und at zu nutzen (während ssh weiterhin funktioniert). User, die cron und at brauchen müssen natürlich in die allow Dateien eingetragen werden.

Verhindern, daß externe Programme mit root-Berechtigung eingeschleust werden

# chmod 700 /usr/sbin/mount

Um Programm abzuschalten kann man alternativ zur De-Installation auch einfach die Dateirechte auf 000 setzen.

Überflüssige Programme ( aus /etc/inetd.conf)

Alternativ sollte OpenSSH und Secure Copy SCP verwendet werden.

Benutzereinstellungen

Paßwort Beschränkungen

http://www.ibm.com/developerworks/aix/library/au-password_expiry/index.html

Zu überwachende Dateien (auditing)

  1. Die log-Dateien bzw. das Verzeichnis, in welchem die Logs abgelegt werden, ist mit den entsprechenden Dateiberechtigungen abzusichern (700 für /audit bzw. 600 für Logs).
  2. Das Log-Verzeichnis ist ausreichend groß anzulegen. Dazu empfiehlt es sich, die ersten Tage das loging zu beobachten und das Verzeichnis in der Größe dann ggf. anzupassen.
  3. Idealerweise wird das audit - log auf einem anderen Server abgelegt.

Abfragen Einlogen

# who /etc/security/failedlogin

# last

Nessus Port Scanner

http://www.nessus.org/

IPSec

http://www.ibm.com/developerworks/aix/library/au-ipsec/index.html