1 AIX系统安全测试方法
1.1 安全审计
系统启用审计记录安全性相关的信息,系统维护人员可通过分析审计日志来检测系统的安全性问题。
操作系统应运行在可信模式下,开启安全审计功能,并且根据需要定制必要的审计内容。
开启审计了功能的操作系统应能对被定制的操作事件自动生成审计纪录。系统应针对审计
结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。
测试项: 安全审计数据产生(FAU_GEN)
测试方法:
1
、操作系统安全审计数据产生:
Ø
审计功能的启动和关闭,
检查系统的安全审计功能是否已经开。
审计过程子系统有一个表示审计过程子系统是否打开的全局状态变量。另外,每个进程有一个表示审计过程子系统是否应该记录此进程信息的本地状态变量。这两种变量确定了是否用可信计算库(TCB)和程序来检测事件。
执行audit query命令察看并记录审计系统的状态
审计系统处于关闭状态不对任何事件进行审计
Ø
对以下事件进行审计 :
系统登录,重要的系统管理行为,入侵、攻击行为,重要命令的使用等;
记录/etc/security/audit/config配置文件中的审计用户和审计事件
审计对象是那些单个可以被审计的文件,能够审计的操作包括读、写和执行,审计对象和用户的UID不关联,只要这些文件被操作,不管是来自哪个用户,都可以产生审计纪录。审计对象在/etc/security/audit/objects中定义,如下:
审计日志程序有责任构造完整的审计记录,由审计标题和审计跟踪组成。标题包含所有事件公用的信息(比如事件名、需负责任的用户、时间和事件的返回状态),审计跟踪包含特定事件的信息。审计日志程序将每个连续记录追加到内核审计跟踪,这可以用两种方式之一(或两者)来写:
Ø
内核审计跟踪方式
BIN
方式
跟踪写入交互的文件,提供安全和长期的存储。
STREAM
方式
跟踪写入循环缓冲区,缓冲区通过审计伪设备同步读取。STREAM 方式提供快速响应。
系统审计配置(/etc/security/audit/config):
开启模式: bin □ stream □
Bin
模式的trail文件:
Bin
文件路径及大小:
测试项: 安全审计查阅(FAU_SAR)
查看操作系统是否为已授权用户提供获得和解释审计信息的工具。AIX利用命令auditpr为用户提供查看日志的方式,并可从中按一定格式导出日志文件。AIX 4.3的日志为根用户可读.可以通过根用户授权其它用户读取审计日志.
查看日志命令: auditpr < audit filename
auditpr
用于将二进制审计记录转换成人类可读的格式。
c
)每个审计记录中至少记录如下信息:
事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败);
Ø
查看审计功能的运行是否实时有效。
auditselect
命令选择与标识的标准相匹配的审计记录并将这些记录写至标准输出。通过 auditselect 命令,您可以过滤审计跟踪来获取用于分析的特定记录或选择要长期存储的特定记录。
d
)每个可审计事件与引起该事件的用户身份相关联。
测试项: 安全审计事件选择(FAU_SEL)
系统上的可审计事件设置定义了实际可审计的事件以及审计提供的粒度。如先前定义的,可审计事件必须涵盖系统上的安全性相关事件。用来定义可审计事件的详细信息级别必须在非足够详细信息(使管理员难于理解选定的信息)和足够详细信息(导致过多的信息收集)间维持平衡。利用检测事件的相似性来定义事件。对于此讨论的目的,
检测事件是任何单个的可审计事件的实例;例如,可在不同的地方检测到给定的事件。基础原则为:选定有类似安全性属性的检测事件为相同的可审计事件。以下列表显示安全性策略事件的分类:
Ø
预定义的审计类:
其它自定义审计类:
检查系统设置的审计事件和审计对象。
测试项: 安全审计事件存储(FAU_STG)
检查审计日志是否存储在单独的磁盘分区上,存储审计日志的磁盘分区是否足够大,是否有定期的日志备份和清理策略。
是否有单独的日志分区(trail文件是否存放在单独的文件系统):□
如果有,察看分区大小(#df)
审计文件的访问许可:(#ls �Cl /audit/)