Справочная таблица по защите

В этом разделе содержится справочная таблица со списком действий для обеспечения защиты новой или уже существующей системы.

Хотя этот список и не полон, он может использоваться в качестве основы для создания справочной таблицы по защите конкретной системы.
  • Устанавливайте AIX с надежного базового носителя. Во время установки выполните следующие действия:
    • Не устанавливайте на серверах приложения рабочего стола, такие как CDE, GNOME или KDE.
    • Установите все рекомендуемые исправления, связанные с защитой. Последние бюллетени служб, советы по безопасности и информацию об исправлениях можно найти на веб-сайте IBM® System p eServer Support Fixes (http://www.ibm.com/support/fixcentral).
    • Создайте резервную копию системы сразу после установки и сохраните эту копию в надежном месте.
  • Создайте списки управления доступом к важным файлам и каталогам.
  • Отключите ненужные пользовательские и системные учетные записи, например, daemon, bin, sys, adm, lp и uucp. Удалять эти записи не рекомендуется, поскольку хранящаяся в них информация (например, ИД и имена пользователей) может понадобиться при восстановлении данных из резервной копии. Если после создания нового пользователя с тем же именем будет восстановлена резервная копия, то новый пользователь может получить нежелательный доступ к системе.
  • Регулярно просматривайте файлы /etc/inetd.conf, /etc/inittab, /etc/rc.nfs и /etc/rc.tcpip и удаляйте все ненужные демоны и службы.
  • Убедитесь, что права доступа к следующим файлам заданы правильно: 
    
-rw-rw-r-- root     system  /etc/filesystems
-rw-rw-r-- root     system  /etc/hosts
-rw------- root     system  /etc/inittab
-rw-r--r-- root     system  /etc/vfs
-rw-r--r-- root     system  /etc/security/failedlogin
-rw-rw---- root     audit   /etc/security/audit/hosts
  • Запретите удаленный вход пользователя root. Этот пользователь должен иметь возможность входить в систему только с консоли.
  • Включите контроль системы. Дополнительная информация приведена в разделе Обзор подсистемы контроля.
  • Включите стратегию управления входом в систему. Дополнительная информация приведена в разделе Управление входом в систему.
  • Запретите пользователям вызывать команду xhost. Дополнительная информация приведена в разделе Рекомендации по работе с X11 и CDE.
  • Запретите изменять переменную среды PATH. За дополнительной информацией обратитесь к разделу Переменная среды PATH.
  • Отключите telnet, rlogin и rsh. Дополнительная информация приведена в разделе TCP/IP, защита.
  • Включите управление учетными записями пользователей. Дополнительная информация приведена в разделе Управление учетными записями пользователей.
  • Реализуйте жесткую стратегию создания паролей. Дополнительная информация приведена в разделе Пароль.
  • Установите дисковые квоты для пользователей. За дополнительной информацией обратитесь к разделу Восстановление после превышения квоты.
  • Разрешите вызывать команду su только администраторам. Отслеживайте протокол применения команды su в файле /var/adm/sulog.
  • Включите блокировку экрана при работе с X-Windows.
  • Разрешите доступ к командам cron и at только тем пользователям, которым это действительно необходимо.
  • Создайте псевдоним команды ls, показывающий скрытые файлы и символы в именах файлов.
  • Создайте псевдоним команды rm, позволяющий избежать случайного удаления системных файлов.
  • Отключите ненужные сетевые службы. Дополнительная информация приведена в разделе Сетевые службы.
  • Регулярно создавайте резервные копии системы и проверяйте их целостность.
  • Подпишитесь на списки рассылки, связанные с защитой системы.