AIX 资源利用
1.1 资源利用
容错(FRU_FLT)
测试内容:
受限容错,要求TOE在确定的故障事件下能继续正确运行全部能力。
测试方法:
1.
询问系统是否有容错能力.
2.
采取一定的预防措施,双机热备,UPS电源RAID镜像.
资源分配(FRU_RSA)
测试内容:
设置系统中用户所使用资源的上下限,防止未授权的独占资源而出现拒绝服务.
测试方法:
检查是否为用户对资源的使用分配了限额。资源可能包括内存、存储空间、用户进程数,打开文件数等。
测试记录:
是否使用了用户磁盘限额?(#more /etc/filesystems ) □ (quota = userquota项)
用户磁盘限额策略:
1.2 系统访问
可选属性范围限定(FTA
_LSA.1
)
测试内容:
测试内容:
在CAPP1.d中没有描述该组元素,该测试对象没有实现此元素的功能。
该功能元素要求被测操作系统能够根据用户登陆系统的时间、地点等条件,限制用户登陆时可选择的安全属性(如在特殊的时间段只能允许用户以普通身份登陆,而不能以管理员的身份登陆系统)。(访问控制中有类似测试项目)
测试方法:
1.
是否限制Root用户只能从console登录(/etc/security/user、/etc/security/login.cfg)
2.
是否限制用户登录的时间段(/etc/security/user、/etc/security/login.cfg)
3.
是否限制了用户登录的shell(对于如nobody,daemon,sys等用户,无需设置shell);
4.
是否限制用户登录的主目录(more /etc/passwd);
5.
是否设置了安全终端:
/etc/ttys, /etc/default/login, /etc/security
或 /etc/securetty
6.
是否
离开机器时锁定屏幕;
会话锁定 (FTA_SSL)
测试内容:
要求在操作系统中提供系统自动和用户主动的交互式会话的锁定和解锁能力
在CAPP1.d中没有描述该组元素,该测试对象没有实现此元素的功能。
该功能元素要求被测操作系统除屏幕保护口令、登录失败锁定、操作超时锁定之外,授权用户无需终止活动的会话就能有效地阻止其它用户对活动会话的进一步使用(如:用户可自主地锁定屏幕,阻止他人使用现有会话);会话可自动中止(如:超时锁定)。
测试方法:
应该就以下几项进行检查:
1.
人工建立交互式会话,并检查系统自动和用户主动的锁定和解锁功能。
2.
系统超时自动锁定屏幕
允许用户主动锁定系统
1.
如果启用了CDE,是否支持手动锁屏和操作超时自动锁屏功能;
查看/etc/default/login,是否设置了登录会话超时参数(TIMEOUT),自动退出登录之前允许的连续失败次数(RETRIES);
TOE
访问旗标(FTA_TAB)
测试内容:
用户在与操作系统建立会话前,系统应显示有关使用系统的劝告性警示信息
在CAPP1.d中没有描述该组元素,该测试对象没有实现此元素的功能。
该功能元素要求被测操作系统能够屏蔽操作系统的类型,版本;屏蔽ftp服务器软件的版本和类型;同时对远程登录和ftp登录都能提示用户已经登入,重要操作将被记录等劝告性警示信息。
测试方法:
人工检查是否有上述旗标信息
测试方法:
1.
查看系统文件/motd(登录后显示的信息,如果没有,可以创建),确定系统旗标信息的是否安全。
2.
查看系统是否有文件/etc/issue(显示登录前的棋标,可自行创建),并设置了一定的登录劝告性提示。
ftp
到本地,查看是否出现ftp类型和版本信息等敏感信息。或查看是否有系统文件/etc/default/ftpd文件(假如文件不存在就新建一个,在文件中的加进以下一项:BANNER=”XXXX”),将该系统版本信息屏蔽)。
TOE
访问历史 (FTA_TAH)
测试内容:
在会话成功建立的基础上,TSF应显示用户上一次成功的会话建立的日期、时间、方法和位置。
测试方法:
1.
检查用户过去的历史记录。
2.
模拟用户建立会话,查看这一功能实现情况。
TOE
会话建立(FTA_TSE)
测试内容:
操作系统拒绝建立基于特定属性的会话。
测试方法:
检查操作系统是否安装TcpWrapper软件,从而可以根据ip地址对访问进行控制.
/var/adm/inetd.sec
可以在
/var/adm/inetd.sec
(用于 Internet 守护程序的可选安全文件)中设置对各个网络服务的访问控制。可以明确地允许或拒绝使用大多数网络服务,方法是基于每个计算机或子网将其列出。
/var/adm/inetd.sec
中条目的语法为:
服务名称
allow
|
deny
{主机地址
|主机名
}...
服务名称
为有效服务在文件
/etc/services
中的正式名称(非别名)。基于 RPC 的服务 (NFS) 的服务名称
是有效服务在文件
/etc/rpc
中的正式名称(非别名)。地址中允许出现通配符
*
和范围字符
-
。
有关该文件的语法和使用的完整详细信息,请参考 inetd.sec (4)。
当在
/etc/services
所指出的端口收到服务请求时,ftpd(File Transfer Protocol Server,文件传输协议服务器)由 Internet 守护程序(请参阅
inetd ( 1M ))运行。
inetd ( 1M ))运行。
ftpd
对
/etc/ftpd/ftpusers
中指定的本地用户帐户拒绝远程登录权限。每个受限帐户名在该文件中必须以单独一行出现。该行不能包含任何空格或制表符。
/etc/passwd
中具有受限登录 shell 的用户帐户应在
/etc/ftpd/ftpusers
中列出,因为 ftpd 访问本地帐户时无需使用其登录 shell。uucp 帐户也应在
/etc/ftpd/ftpusers
中列出。如果
/etc/ftpd/ftpusers
不存在,ftpd 将跳过安全检查。