Der AIX Security Expert kann die Sicherheitseinstellungen eines Systems jederzeit gegen ein beliebiges XML Sicherheits-Profil vergleichen. Es werden dann keine Änderungen am System vorgenommen, sondern lediglich eine Überprüfung der Sicherheitseinstellungen durchgeführt. Das für die Überprüfung zu verwendende Sicherheits-Profil muss über die Option „-P“ angegeben werden. Hierbei kann entweder die mitgelieferte Datei /etc/security/aixpert/core/aixpertall.xml oder eine beliebige eigene XML-Datei (vorausgesetzt sie enthält Sicherheitsregeln im korrekten Format) verwendet werden.

Wir haben 3 Regeln aus /etc/security/aixpert/core/aixpertall.xml in eine eigene XML-Datei /etc/security/aixpert/custom/myprofile.xml übernommen und demonstrieren hier die Überprüfung des Systems gegen diese 3 Regeln:

/etc/security/aixpert # aixpert -c -P custom/myprofile.xml
Processedrules=3        Passedrules=3   Failedrules=0   Level=HLS
        Input file=custom/myprofile.xml
/etc/security/aixpert # 

Es wurden 3 Regeln überprüft (Processedrules=3), wobei die Überprüfung in allen 3 Fällen erfolgreich war (Passedrules=3). Das System entspricht also aktuell den Sicherheitseinstellungen des angegebenen XML Sicherheits-Profils.

Möchte man beim Lauf von aixpert mitverfolgen welche Regel gerade abgearbeitet wird, und ob diese erfolgreich war oder nicht, empfiehlt es sich zusätzlich die Option „-p“ zu verwenden:

/etc/security/aixpert # aixpert -c -P custom/myprofile.xml -p
Processing hls_minage :done.
Processing hls_minlen :done.
Processing hls_minalpha :done.
Processedrules=3        Passedrules=3   Failedrules=0   Level=HLS
        Input file=custom/myprofile.xml
/etc/security/aixpert # 

Für jede Regel die abgearbeitet wird, wird der Regelname (hier: hls_minage, hls_minlen und hls_minalpha) ausgegeben, sowie ob die Regel erfolgreich überprüft werden konnte (done) oder nicht (failed).

Soll ein System gegen die aktuell angewandten Sicherheitseinstellungen überprüft werden (siehe Überprüfung der aktuellen Sicherheitseinstellungen eines Systems), entfällt die Angabe der Option „-P“ und das Profil. Es wird dann ein Vergleich gegen /etc/security/aixpert/core/appliedaixpert.xml durchgeführt.