AIX系统安全配置手册.docVIP

AIX系统安全配置 1 身分识别 1.1 账户设定 编号： 6001 名称： 帐户设定 重要等级： 高 基本信息： 账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份，并以此决定用户的操作权限，同时也产生诸如审计之类的动作。 检测内容： 只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改； ? 一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户； ? 只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改； ? 系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许，此为AIX默认值且不该被更改；