aixpert 命令
用途
帮助系统管理员设置安全配置。
语法
aixpert
aixpert -l h|high | m|medium | l|low | d|default | s|sox-cobit [-n -o filename ] [ -a -o filename ] [ -p ]
aixpert -c [ -P ] 概要文件名称 [-r] [-R]
aixpert -d
aixpert [-f filename ] [ -a -o filename ] [ -p ]
aixpert -t
描述
aixpert 命令设置各种系统配置设置以启用期望的安全级别。
使用唯一的 -l 标志集运行 aixpert 将及时实现安全设置,而不允许用户配置设置。 例如,运行 aixpert -l high 会自动将所有高级安全设置应用于系统。 但是,使用 -n -o filename 选项运行 aixpert -l 会将安全设置保存到由 filename 参数指定的文件中。 然后, -f 标志将应用新配置。
作了初始选择后,会出现一个菜单来逐条列出所有与选定的安全性级别相关的安全配置选项。 这些选项既可以全部打开或关闭,也可以个别打开或关闭。 进行任何辅助更改后, aixpert 会继续将安全设置应用于计算机系统。
aixpert 命令的某些概要文件已避开用于创建动态 IP 安全性 (IPSec) 过滤规则并在指定持续时间内存在的端口规则。 这些 IPSec 过滤规则拒绝来自源主机的特定端口的所有包。 分段包到达目标主机时,系统会根据源 IP、目标 IP 和协议在分段上应用拒绝过滤规则,而不理会源端口和目标端口,因为 IP 分段未包含端口详细信息。 因此,这些拒绝规则会删除所有端口上的以下所有分段:这些分段是目标从所有源端口根据指定源的指定协议接收而来。
如果目标上必须允许来自指定源的 IP 分段,那么应用 aixpert 规则后,必须针对该源添加相应的 genfilt 规则。 此新规则必须添加到 aixpert 规则之上,以使 genfilt 规则可生效。 添加这类规则可能会使目标易于受到来自源的 IP 分段攻击。 因此,添加这类规则时必须注意。 有关使用 IPSec 过滤器处理片段的更多信息,请参阅 genfilt 联机辅助页面。
标志
| 项 | 描述 |
|---|---|
| 一 | 具有关联级别安全性选项的设置以缩写文件格式写入 -o 标志指定的文件。 必须在指定 -a 选项时指定 -o 选项。 |
| -c | 针对先前应用的一组规则检查安全性设置。 如果针对某个规则的检查未通过,那么还应针对该规则的先前版本进行检查。 此过程将持续直到检查通过,或者直到针对 /etc/security/aixpert/core/appliedaixpert.xml 文件中的未通过规则的所有实例进行了检查。 |
| -f | 应用所提供的 filename 中的安全性设置。 例如,以下命令会将所有的高级别安全性选项写入
/etc/security/aixpert/core/hls.xml 文件中:
指定 -f 选项时,安全性设置是通过在系统之间安全地传送并应用 appliedaixpert.xml 文件来一致地应用于不同的系统的。 所有成功应用了的规则都将写入 /etc/security/aixpert/core/appliedaixpert.xml 文件,而对应的“undo”操作规则将写入 /etc/security/aixpert/core/undo.xml 文件。 |
| -l | 将系统安全性设置设置为使用此选项指定的级别。 此标志具有以下选项:
所有成功应用了的规则都将写入 /etc/security/aixpert/core/appliedaixpert.xml 文件,而对应的“undo”操作规则将写入 /etc/security/aixpert/core/undo.xml 文件。 注意: 当您使用 D|缺省值 选项时,该选项可以覆盖先前通过 艾克斯佩特 命令设置或独立设置的已配置安全设置,并将系统复原到其传统开放式配置。
|
| -n | 具有关联级别安全性选项的设置将写入由 -o 标志指定的文件。 在使用 -n 选项时,必须指定 -o 选项。 |
| -O | 将安全性输出内容存储到由 filename 指定的文件中。 该输出文件将其读写许可权设置为 root 用户,以作为一种安全性预防手段。 应防止该文件受到未经授权的访问。 |
| -p | 指定将通过使用详细输出显示安全规则的输出。 如果打开审计选项,那么 -p 选项会将处理过的规则记录到审计子系统中。 此选择可与 -l、-u、-c 和 -f 选项中的任何一个一起使用。 |
| -P | 接受概要文件名称作为输入。 此选项与 -c 选项一起使用。 与 -P 选项一起使用的 -c 选项用于检查系统与概要文件的兼容性是否通过。 |
| -r | 报告系统的现有设置。 输出旨在用于安全性或一致性审计报告。 报告描述各项设置、该报告可能如何与符合监管标准相关以及检查通过还是失败。 |
| -R | 将相同的输出生成为 -r 标志,但还会附加有关用于实现配置设置的每个脚本或程序的描述。 |
| -t | 显示系统上应用的概要文件的类型。 |
| -U | 撤销已应用的安全性设置。 |
| -d | 显示文档类型定义(DTD)。 |
参数
| 项 | 描述 |
|---|---|
| filename | 存储了安全性设置的输出文件。 需要 root 用户许可权才能访问此文件。 |
安全性
aixpert 命令仅可由 root 用户执行。
示例
- 要将所有的高级别安全性选项写入输出文件中,请使用以下命令:
完成该命令后,可以编辑该输出文件,并可通过将特定的安全角色包含在标准 XML 注释字符串(注释以aixpert -l high -n -o /etc/security/aixpert/plugin/myPreferredSettings.xml<--开头,-\>结尾)中,来注释掉这些角色。 - 要应用配置文件中的安全性设置,请使用以下命令:
aixpert -f /etc/security/aixpert/plugin/myPreferredSettings.xml - 要检查已应用于系统的安全性设置并将失败的规则记录到审计子系统中,请使用以下命令:
aixpert –c -p
位置
| 项 | 描述 |
|---|---|
| /usr/sbin/aixpert/ | 包含 aixpert 命令。 |
文件
| 项 | 描述 |
|---|---|
| /etc/security/aixpert/core/aixpertall.xml | 包含所有可能的安全性设置的 XML列表。 具有 -r-------- 许可权,并需要 root 用户安全性。 |
| /etc/security/aixpert/core/appliedaixpert.xml | 包含已应用的安全性的 XML列表。 |
| /etc/security/aixpert/log/aixpert.log | 包含已应用的安全性设置的跟踪日志。 不使用 syslog。 aixpert 命令直接写入文件。 具有 -rw-------- 许可权,并需要 root 用户安全性。 |
| /etc/security/aixpert/log/firstboot.log | 包含在首次引导“缺省的安全性(SbD)”安装时应用的安全性设置的跟踪日志。 |
| /etc/security/aixpert/core/undo.xml | 包含可撤销的安全性设置的 XML列表。 |