Wurde ein Sicherheits-Level auf ein System angewendet, dann werden die dazugehörigen Regeln in der Datei /etc/security/aixpert/core/appliedaixpert.xml abgespeichert. Bei der Überprüfung eines Systems werden die Regeln aus dieser Datei sequentiell abgearbeitet. Dabei werden im einzelnen die nachfolgend beschriebenen Schritte durchgeführt:

Schritt 1: Überprüfen ob AIX Security Expert schon läuft.

Um mehrfache parallele Läufe des AIX Security Expert zu verhindern, wird als erstes überprüft ob schon ein aixpert (oder pscxpert) Prozess läuft. Wenn dies der Fall ist, wird mit der folgenden Fehlermeldung abgebrochen:

# aixpert -c
Another instance of pscxpert or aixpert is already running.

#

Schritt 2: Überprüfung ob LiveUpdate aktiv ist

Während eine LiveUpdate Operation läuft, sollte AIX Security Expert nicht verwendet werden. Um dies auszuschließen, erfolgt eine Überprüfung ob LiveUpdate gerade aktiv ist. Wenn das der Fall ist, wird der Lauf von aixpert mit der folgenden Fehlermeldung beendet:

# aixpert -c
lvupdate
Live Kernel Update in Progress. Exiting aixpert.

#

Schritt 3: Überprüfung von appliedaixpert.xml

Eine Überprüfung kann nur stattfinden, wenn es zu überprüfende Regeln in der Datei /etc/security/aixpert/core/appliedaixpert.xml gibt. Sollte die Datei nicht existieren, wird die folgende Fehlermeldung ausgegeben:

# aixpert -c
File /etc/security/aixpert/core/appliedaixpert.xml does not exist
#

Existiert die Datei, enthält aber keine zu überprüfenden Regeln, so wird ebenfalls eine Fehlermeldung ausgegeben:

# aixpert -c
There are no security rules are applied in file /etc/security/aixpert/core/appliedaixpert.xml
#

Die nachfolgenden Schritte werden in einer Schleife für jede Regel ausgeführt.

Schritt 4: Überprüfung der Regel

Zur Überprüfung der Umsetzung einer Regel, wird das in der Regel hinterlegte Kommando (AIXPertCommand) mit den hinterlegten Argumenten (AIXPertArgs) gestartet. Für die Ausführung des Kommandos werden zwei Variablen gesetzt:

• • AIXPERT_CHECK_REPORT: wird auf den Wert 1 gesetzt. Damit kann das Kommando erkennen ob die Regel angewendet werden soll, oder ob eine Überprüfung stattfinden soll.
  • TMPREPT: Pfad wo der zu erstellende Report temporär abgespeichert werden soll.

Das Kommando überprüft immer die Variable AIXPERT_CHECK_REPORT. Für den Fall das die Variable auf den Wert „1“ gesetzt ist, wird eine Überprüfung und keine Änderung durchgeführt.

Ist eine Regel/Sicherheitseinstellung nicht erfüllt, wird die betreffende Regel in der Log-Datei /etc/security/aixpert/log/FAILEDRULES festgehalten:

# cat /etc/security/aixpert/log/FAILEDRULES.log
do_action(): rule(hls_minlen_A8EED4FB) : failed.
#

Hinweis: Prereq-Regeln werden bei der Überprüfung nicht ausgeführt.

Schritt 5: Ausgeben einer Statistik zur Ausführung der Regeln

Nachdem alle Regeln abgearbeitet sind, wird eine kurze Statistik ausgegeben:

# aixpert -c
…
Processedrules=10        Passedrules=9   Failedrules=1   Level=HLS
        Input file= /etc/security/aixpert/core/appliedaixpert.xml
#

Es wurden insgesamt 10 Regeln überprüft (Processedrules), wobei davon 9 erfüllt (Passedrules) waren und eine nicht erfüllt (Failedrules) war.

Alle nicht erfüllten Regeln (Failedrules) werden in /etc/security/aixpert/log/FAILEDRULES festgehalten.

Die ausgebene Statistik wird automatisch auch der Datei /etc/security/aixpert/check_report.txt angefügt (zusammen mit einem Zeitstempel) und kann damit auch später jederzeit angeschaut werden.