Under Construction

Arbeiten mit AIX -> AIX-Sicherheit -> AIX Security Expert (AIXPert) -> Einführung in AIX Security Expert

Überprüfung der aktuellen Sicherheitseinstellungen eines Systems

Nach der Anwendung eines Sicherheits-Levels auf ein System entspricht das System den vom Sicherheits-Level vorgegebenen Einstellungen. Im Laufe der Zeit finden aber in der Regel Änderungen auf einem System statt, wie z.B.:

    • Die Betriebssystem Version wird aktualisiert.
    • Einstellungen werden umkonfiguriert.
    • Konfigurationsdaten werden aus einem Backup wiederhergestellt.
    • Installation einer Software ändert Sicherheitseinstellungen.

Daher ist es gut möglich und auch sehr wahrscheinlich, das nach einiger Zeit einige der Sicherheitseinstellungen nicht mehr dem eingestellten Sicherheits-Level entsprechen. Das System ist damit unsicherer geworden. Um dies zu vermeiden, sollten die aktuellen Sicherheitseinstellungen regelmäßig überprüft werden und gegen den angewendeten Sicherheits-Level verglichen werden. Hierzu dient die Option „-c“ (check) des Kommandos aixpert. Ein Beispiel-Lauf unmittelbar nach Anwendung des Sicherheits-Levels low zeigt die folgende Ausgabe:

# aixpert -c
Processedrules=45       Passedrules=45  Failedrules=0   Level=LLS
        Input file=/etc/security/aixpert/core/appliedaixpert.xml
#

Alle 45 Regeln des angewendeten Sicherheits-Levels low (LLS) sind erfolgreich durchgelaufen. Das System entspricht damit den Anforderungen des Sicherheits-Levels low.

Um zu zeigen das ein Check Abweichungen erkennt und auch anzeigt, nehmen wir die folgenden beiden Änderungen vor:

    • Wir setzen maxage auf 20 für den Benutzer user01 (vorgegeben ist der Wert 13 durch den Sicherheits-Level low).
    • Wir setzen den Default-Wert für histsize auf 1 (vorgegeben ist der Wert 4 durch den Sicherheits-Level low).
# chuser maxage=20 user01
# chsec -f /etc/security/user -s default -a histsize=1
#

Nun starten wir den Check erneut:

# aixpert -c
Processedrules=45       Passedrules=43  Failedrules=2   Level=LLS
        Input file=/etc/security/aixpert/core/appliedaixpert.xml
#

Wie erwartet sind nun 2 Regeln fehlgeschlagen (Failedrules=2). Welche das sind, lässt sich in der Log-Datei log/FAILEDRULES.log nachschauen:

/etc/security/aixpert # cat log/FAILEDRULES.log
do_action(): rule(lls_maxage_7B65452F) : failed.
do_action(): rule(lls_histsize_7B65452F) : failed.
/etc/security/aixpert #

Wie die Namen der fehlgeschlagenen Regeln schon andeuten, handelt es sich um die Regeln für maxage und histsize.

Aber, warum sind die Regeln fehlgeschlagen? Für welche(n) Benutzer sind sie fehlgeschlagen. Aufschluß gibt hier eine weitere Datei: /etc/security/aixpert/check_report.txt. In dieser Datei wird jeder Lauf von aixpert festgehalten. Schlägt eine Regel fehl, wird für diese Regel eine Meldung mit dem genauen Grund festgehalten:

/etc/security/aixpert # cat /etc/security/aixpert/check_report.txt

***** aix01 : Nov 19 11:33:36 ******

chusrattr.sh: User attribute maxage, for user01 should have value 13, but it is 20 now
chusrattr.sh: User attribute histsize, for default should have value 4, but it is 1 now

Processedrules=45       Passedrules=43  Failedrules=2   Level=LLS
        Input file=/etc/security/aixpert/core/appliedaixpert.xml

/etc/security/aixpert #

Die Meldungen sind sehr eindeutig. Der Benutzer user01 hat einen Wert für das Attribut maxage von 20, sollte aber einen Wert von 13 haben. Und der Default des Attributs histsize ist aktuell 1, sollte aber 4 sein.