AIX wersja 5.3. Bezpieczeństwo SC

Transkrypt

1 AIX wersja 5.3 Bezpieczeństwo SC

2

3 AIX wersja 5.3 Bezpieczeństwo SC

4 Uwaga Przed wykorzystaniem niniejszych informacji oraz produktu, którego one dotyczą, należy przeczytać informacje zawarte w sekcji Uwagi na stronie 353. Wydanie ósme (kwiecień 2010) Niniejsze wydanie dotyczy systemu AIX 5L wersja 5.3 i wszystkich późniejszych wersji tego produktu, o ile nowe wydania nie wskazują inaczej. Uwagi czytelnika należy formułować w języku angielskim. Formularz uwag znajduje się na końcu tej publikacji. W przypadku jego braku uwagi czytelnika należy przesyłać na adres: Information Development, Department 04XA-905-6B013, Burnet Road, Austin, Texas Uwagi w formie elektronicznej należy przesyłać na adres: pserinfo@us.ibm.com. Wszelkie dostarczone przez Użytkownika informacje mogą być wykorzystane bez przyjmowania jakichkolwiek zobowiązań wobec niego. Note to U.S. Government Users Restricted Rights - - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp. Copyright IBM Corporation 2002, 2010.

5 Spis treści Informacje o tym dokumencie..... v Tekst wyróżniony v Rozróżnianie wielkości liter w systemie AIX..... v ISO v Bezpieczeństwo Zabezpieczenie podstawowego systemu operacyjnego.. 1 Instalowanie i konfigurowanie bezpiecznego systemu. 1 Użytkownicy, role i hasła Listy kontroli dostępu (ACL) Przegląd kontroli Protokół LDAP (Lightweight Directory Access Protocol) Standardy PKCS11 (Public Key Cryptography Standards #11) Usługa uwierzytelniania certyfikatów X.509 i infrastruktura klucza publicznego Moduły PAM (Pluggable Authentication Modules) 147 Narzędzia programowe OpenSSH Zabezpieczenie sieci Bezpieczeństwo TCP/IP Usługi sieciowe Bezpieczeństwo protokołu IP (Internet Protocol) Bezpieczeństwo systemu informacji sieciowej (Network Information Services - NIS i NIS+) Bezpieczeństwo sieciowego systemu plików (NFS) 244 Odwzorowanie tożsamości dla przedsiębiorstwa - architektura EIM Protokół Kerberos Serwer RADIUS Zapobieganie włamaniom w systemie AIX Program AIX Security Expert Wzmacnianie zabezpieczeń przy pomocy programu AIX Security Expert AIX Security Expert - reguły dotyczące strategii haseł 302 AIX Security Expert - definicje użytkowników, grup, systemu i haseł AIX Security Expert - zalecenia dotyczące strategii logowania AIX Security Expert - zalecenia dotyczące strategii kontrolowania AIX Security Expert - wpisy w pliku /etc/inittab AIX Security Expert - ustawienia w pliku /etc/rc.tcpip 311 AIX Security Expert - ustawienia w pliku /etc/inetd.conf AIX Security Expert - wyłączanie bitu SUID komend 324 AIX Security Expert - wyłączanie usług zdalnych AIX Security Expert - usuwanie możliwości dostępu bez uwierzytelnienia AIX Security Expert - strojenie opcji sieciowych AIX Security Expert - reguły filtrowania IPsec AIX Security Expert - inne ustawienia AIX Security Expert - wycofywanie ustawień zabezpieczeń AIX Security Expert - sprawdzanie poziomu bezpieczeństwa AIX Security Expert - pliki wykorzystywane przez program AIX Security Expert - scenariusz zastosowania wysokiego poziomu bezpieczeństwa AIX Security Expert - scenariusz zastosowania średniego poziomu bezpieczeństwa AIX Security Expert - scenariusz zastosowania niskiego poziomu bezpieczeństwa AIX Security Expert - kopiowanie konfiguracji zabezpieczeń Lista kontrolna czynności dotyczących bezpieczeństwa 337 Zasoby informacyjne poświęcone zagadnieniom bezpieczeństwa Podsumowanie informacji na temat powszechnych usług systemu AIX Podsumowanie informacji na temat opcji usług sieciowych Uwagi Znaki towarowe Indeks Copyright IBM Corp. 2002, 2010 iii

6 iv AIX wersja 5.3: Bezpieczeństwo

7 Informacje o tym dokumencie Ten temat udostępnia administratorom systemu komplet informacji na temat bezpieczeństwa plików, systemu oraz sieci. Zawiera on również informacje dotyczące takich zadań, jak wzmacnianie bezpieczeństwa systemu, modyfikowanie uprawnień oraz konfigurowanie metod uwierzytelniania i opcji Common Criteria Security Evaluation. Temat jest dostępny również na dysku CD-ROM dostarczanym razem z systemem operacyjnym. Tekst wyróżniony W podręczniku przyjęto następujące konwencje wyróżnienia tekstu: Pogrubienie Kursywa Czcionka o stałej szerokości Wyróżnia komendy, procedury, słowa kluczowe, pliki, struktury, katalogi i inne obiekty o nazwach predefiniowanych w systemie. Wyróżnia także obiekty graficzne, takie jak przyciski, etykiety i ikony, które wybiera użytkownik. Wyróżnia parametry, których bieżące nazwy lub wartości mają zostać podane przez użytkownika. Oznacza przykłady określonych wartości danych, przykłady tekstu podobnego do tego, który można zobaczyć na ekranie, przykłady fragmentów kodu programu, który mogą napisać programiści, komunikaty systemowe lub informacje, które należy wpisać. Rozróżnianie wielkości liter w systemie AIX W systemie AIX rozróżniane są wielkości liter, co oznacza, że system odróżnia wielkie litery od małych. Na przykład do przeglądania plików można użyć komendy ls. Jeśli wprowadzona zostanie komenda LS, system zwróci komunikat not found (nie znaleziono). Podobnie PLIK_A, Plik_A i plik_a są trzema różnymi plikami, nawet jeśli znajdują się w tym samym katalogu. Aby uniknąć niepożądanego działania systemu, należy zawsze upewnić się, że używana jest poprawna wielkość liter. ISO 9000 Podczas tworzenia i rozwijania tego produktu używano systemów z certyfikatem jakości ISO Copyright IBM Corp. 2002, 2010 v

8 vi AIX wersja 5.3: Bezpieczeństwo

9 Bezpieczeństwo System AIX umożliwia wykonywanie takich zadań, jak podnoszenie bezpieczeństwa systemu, modyfikowanie uprawnień oraz konfigurowanie metod uwierzytelniania i opcji Common Criteria Security Evaluation. Temat jest dostępny również na dysku CD-ROM dostarczanym razem z systemem operacyjnym. Aby wyświetlić lub pobrać wersję PDF tego tematu, kliknij Bezpieczeństwo. Uwaga: Pobieranie programu Adobe Reader: Wyświetlanie i drukowanie tego pliku PDF wymaga zainstalowania w systemie programu Adobe Reader. Bezpłatną kopię tego programu można pobrać z serwisu WWW firmy Adobe ( Zabezpieczenie podstawowego systemu operacyjnego Część dotycząca zabezpieczenia podstawowego systemu operacyjnego zawiera informacje na temat sposobów zabezpieczania systemów niezależnie od tego, czy są one podłączone do sieci. Kolejne sekcje opisują instalowanie systemu z włączonymi opcjami zabezpieczeń oraz sposoby zabezpieczania systemu AIX przed nieuprawnionymi użytkownikami. Instalowanie i konfigurowanie bezpiecznego systemu Na bezpieczeństwo instalacji i konfiguracji systemu AIX wpływa kilka czynników. Zaufana Baza Przetwarzania Administrator systemu musi ustalić, jak wysoki poziom zaufania przypisać danemu programowi. Decyzja ta obejmuje rozważenie wartości zasobów informacji w systemie i ustalenie, jak wysoki poziom zaufania jest wymagany dla danego programu, aby możliwe było jego zainstalowanie z określonymi uprawnieniami. Zaufana Baza Przetwarzania (Trusted Computing Base - TCB) jest częścią systemu odpowiedzialną za wprowadzanie w systemie strategii zabezpieczeń informacji. Poprzez zainstalowanie i uruchomienie TCB można zdefiniować dostęp użytkownika do zaufanej ścieżki komunikacyjnej, co umożliwia nawiązanie bezpiecznej komunikacji między użytkownikami a TCB. Funkcje TCB można włączyć tylko wtedy, gdy zainstalowany jest system operacyjny. Aby zainstalować TCB na komputerze z zainstalowanym systemem operacyjnym, należy przeprowadzić instalację zachowującą. Włączenie TCB zapewnia dostęp do zaufanej powłoki, zaufanych procesów i sekwencji przywołania bezpiecznej komunikacji (Secure Attention Key - SAK). Instalowanie systemu z bazą TCB: Baza TCB jest częścią systemu odpowiedzialną za działanie w systemie strategii bezpieczeństwa informacji. W Zaufanej Bazie Przetwarzania znajdują się informacje o całym sprzęcie komputerowym, jednak administrator systemu powinien być zainteresowany zwłaszcza programowymi komponentami Zaufanej Bazy Przetwarzania. W przypadku instalowania systemu z opcją Zaufanej Bazy Przetwarzania, włączane jest sprawdzanie zaufanej ścieżki, zaufanej powłoki i integralności systemu (komenda tcbck). Te funkcje można włączyć tylko podczas instalacji podstawowego systemu operacyjnego (BOS). Jeśli opcja TCB nie zostanie wybrana podczas początkowej instalacji, komenda tcbck jest wyłączona. Można jej użyć tylko po reinstalacji systemu z włączoną opcją TCB. Aby ustawić opcję TCB podczas instalowania systemu BOS, należy wybrać pozycję Więcej opcji dostępną na ekranie Instalacja i ustawienia. Na ekranie Opcje instalacji domyślną wartością ustawienia pozycji Instaluj Zaufaną Bazę Przetwarzania jest nie. Aby włączyć bazę TCB, wpisz 2 i naciśnij klawisz Enter. Copyright IBM Corp. 2002,

10 Ponieważ każde urządzenie jest częścią TCB, każdy plik w katalogu /dev jest monitorowany przez tę bazę. Ponadto baza TCB automatycznie monitoruje ponad 600 dodatkowych plików, przechowując newralgiczne informacje na ich temat w pliku /etc/security/sysck.cfg. W przypadku instalowania bazy TCB, bezpośrednio po instalacji należy wykonać składowanie tych plików na nośnik wymienny, taki jak taśma, dysk CD lub dysk i umieścić ten nośnik w bezpiecznym miejscu. Sprawdzanie bazy TCB: System operacyjny jest narażony na niebezpieczeństwo, gdy pliki Zaufanej Bazy Przetwarzania (Trusted Computing Base - TCB) nie są prawidłowo zabezpieczone lub gdy pliki konfiguracyjne zawierają niezabezpieczone wartości. Komenda tcbck kontroluje stan bezpieczeństwa Zaufanej Bazy Przetwarzania. Komenda tcbck kontroluje te informacje przez odczytywanie pliku /etc/security/sysck.cfg. Ten plik zawiera opis wszystkich plików bazy TCB, plików konfiguracyjnych i zaufanych komend. Plik /etc/security/sysck.cfg nie znajduje się w trybie bez połączenia i dlatego może zostać zmieniony przez hakera. Każdorazowo po aktualizacji bazy TCB należy utworzyć kopię pliku w trybie bez połączenia i tylko do odczytu. Ponadto przed wykonaniem jakichkolwiek sprawdzeń należy skopiować ten plik z nośnika archiwalnego na dysk. Zainstalowanie bazy TCB i użycie komendy tcbck nie gwarantuje, że system będzie pracował w trybie zgodności z profilem kontrolowanego bezpieczeństwa dostępu (Controlled Access Protection Profile - CAPP) i poziomem zapewniania wartościowania 4+ (Evaluation Assurance Level 4+ - EAL4+). Więcej informacji na temat opcji CAPP/EAL4+ można znaleźć w sekcji Profil kontrolowanego zabezpieczenia dostępu (CAPP) i poziom zapewniania wartościowania 4+ (EAL4+) na stronie 6. Struktura pliku sysck.cfg: Komenda tcbck odczytuje plik /etc/security/sysck.cfg w celu określenia, które pliki muszą zostać sprawdzone. Każdy zaufany program w systemie jest opisany w jednej sekcji w pliku /etc/security/sysck.cfg. W każdej sekcji określone są następujące atrybuty: acl class group links mode owner program Łańcuch tekstowy oznaczający listę kontroli dostępu do pliku. Musi mieć taki sam format, jak dane wyjściowe z komendy aclget. Jeśli nie jest on zgodny z bieżącą listą ACL pliku, komenda sysck ustawia tę wartość za pomocą komendy aclput. Uwaga: Atrybuty SUID, SGID i SVTX muszą odpowiadać atrybutom określonym dla trybu, jeśli zostały podane. Nazwa grupy plików. Ten atrybut umożliwia sprawdzenie kilku plików mających taką samą nazwę klasy przez określenie jednego argumentu w komendzie tcbck. Można określić kilka klas, oddzielając je przecinkami. Identyfikator grupy lub nazwa grupy pliku. Jeśli wartość parametru nie jest zgodna z grupą pliku, komenda tcbck ustawia identyfikator grupy pliku na tę wartość. Lista nazw ścieżek dowiązanych do tego pliku rozdzielonych przecinkami. Jeśli którakolwiek z nazw ścieżek nie jest do niego dowiązana, komenda tcbck utworzy dowiązanie. Jeśli parametr tree nie zostanie użyty, komenda tcbck wydrukuje komunikat o tym, że istnieją dodatkowe dowiązania, ale nie określi ich nazw. Jeśli parametr tree zostanie użyty, komenda tcbck wydrukuje również wszelkie dodatkowe nazwy ścieżek dowiązane do tego pliku. Lista wartości rozdzielonych przecinkami. Dozwolone wartości to: SUID, SGID, SVTX i TCB. Uprawnienia do pliku muszą być ostatnią wartością i można je określić w postaci liczby ósemkowej lub łańcucha 9-znakowego. Na przykład zarówno uprawnienie 755, jak i rwxr-xr-x jest poprawnym uprawnieniem do pliku. Jeśli wartość parametru nie odpowiada bieżącemu trybowi pliku, komenda tcbck ustawi prawidłową wartość. Identyfikator użytkownika lub nazwa właściciela pliku. Jeśli wartość parametru nie jest zgodna z właścicielem pliku, komenda tcbck ustawia jego identyfikator na tę wartość. Lista wartości rozdzielonych przecinkami. Pierwsza wartość jest nazwą ścieżki programu sprawdzającego. Dodatkowe wartości są przekazywane jako argumenty do programu w chwili jego uruchomienia. Uwaga: Pierwszym argumentem zawsze jest argument -y, -n, -p lub -t, w zależności od tego, z którą opcją została użyta komenda tcbck. 2 AIX wersja 5.3: Bezpieczeństwo

11 source symlinks Nazwa pliku, z którego ma zostać skopiowany ten plik źródłowy przed sprawdzeniem. Jeśli wartość nie zostanie określona, a jest to zwykły plik, katalog lub potok nazwany, zostanie utworzona, jeśli jeszcze nie istnieje, nowa pusta wersja tego pliku. W przypadku plików urządzeń zostanie utworzony nowy plik specjalny dla urządzenia o tym samym typie. Lista nazw ścieżek dowiązanych symbolicznie do tego pliku rozdzielonych przecinkami. Jeśli którakolwiek z nazw ścieżek nie jest dowiązaniem symbolicznym do pliku, komenda tcbck utworzy takie dowiązanie. Jeśli argument tree zostanie użyty, komenda tcbck wydrukuje również wszelkie dodatkowe nazwy ścieżek dowiązanych symbolicznie do tego pliku. Jeśli w sekcji w pliku /etc/security/sysck.cfg jakiś atrybut nie zostanie podany, odpowiadające mu sprawdzenie nie zostanie wykonane. Korzystanie z komendy tcbck: Celem użycia komendy tcbck jest zapewnienie właściwej instalacji plików wykorzystywanych przez zabezpieczenia, zapewnienie, że drzewo systemu plików nie zawiera plików jawnie naruszających bezpieczeństwo systemu, oraz aktualizowanie, dodawanie lub usuwanie zaufanych plików. Komenda tcbck jest używana zazwyczaj do wykonywania następujących zadań: v zapewnienia prawidłowej instalacji plików wykorzystywanych przez zabezpieczenia, v zapewnienia, że drzewo systemu plików nie zawiera plików, które jawnie naruszają bezpieczeństwo systemu, v aktualizacji, dodawania lub usuwania zaufanych plików. Komenda tcbck może zostać użyta w następujący sposób: v korzystanie normalne nieinteraktywne, podczas inicjowania systemu, przy użyciu komendy cron, v korzystanie interaktywne sprawdzanie indywidualnych plików i klas plików, v korzystanie paranoiczne przechowywanie pliku sysck.cfg w trybie bez połączenia i okresowe jego odtwarzanie w celu sprawdzenia komputera. Baza TCB używa komendy sum do tworzenia sum kontrolnych, mimo iż nie jest to bezpieczne z punktu widzenia kryptografii. Bazy danych TCB mogą zostać skonfigurowane ręcznie przy użyciu innych komend sum kontrolnych, na przykład komendy md5sum (dostarczonej razem z pakietem textutils RPM Package Manager na dysku CD Toolbox for Linux Applications). Sprawdzanie zaufanych plików: Komenda tcbck umożliwia sprawdzenie i naprawę wszystkich plików w bazie danych tcbck oraz naprawę i zaprotokołowanie wszystkich błędów. Aby sprawdzić wszystkie pliki w bazie danych tcbck, a następnie naprawić i wydrukować wszystkie błędy, należy wpisać: tcbck -y ALL Spowoduje to, że komenda tcbck sprawdzi instalację każdego pliku w bazie danych tcbck, który jest opisany w pliku /etc/security/sysck.cfg. Aby wykonać tę czynność automatycznie podczas inicjowania systemu i utworzyć protokół błędów, należy dodać powyższy łańcuch komendy do komendy /etc/rc. Sprawdzanie drzewa systemu plików: Bezpieczeństwo 3

12 W przypadku podejrzenia, że integralność systemu mogła zostać naruszona, należy uruchomić komendę tcbck, aby sprawdzić drzewo systemu plików. Aby sprawdzić drzewo systemu plików, należy wpisać: tcbck -t tree Jeśli komenda tcbck zostanie użyta z wartością tree, wszystkie pliki w systemie zostaną sprawdzone pod kątem prawidłowej instalacji (może to chwilę potrwać). Jeśli komenda tcbck wykryje, że niektóre pliki mogą stanowić zagrożenie dla bezpieczeństwa systemu, można zmodyfikować podejrzany plik w celu usunięcia atrybutu, który to powoduje. Ponadto na wszystkich innych plikach w systemie plików są wykonywane poniższe sprawdzenia: v jeśli właścicielem pliku jest użytkownik root i plik ma ustawiony bit SetUID, bit SetUID zostanie usunięty, v jeśli grupa pliku jest grupą administracyjną, plik jest wykonywalny i ma ustawiony bit SetGID, bit SetGID zostanie usunięty, v jeśli plik ma ustawiony atrybut tcb, ustawienie tego atrybutu zostanie usunięte, v jeśli plik jest urządzeniem (znakowym lub blokowym plikiem specjalnym), zostanie usunięty, v jeśli plik jest dodatkowym dowiązaniem do nazwy ścieżki opisanym w pliku /etc/security/sysck.cfg, dowiązanie zostanie usunięte, v jeśli plik jest dodatkowym dowiązaniem symbolicznym do nazwy ścieżki opisanym w pliku /etc/security/ sysck.cfg, dowiązanie symboliczne zostanie usunięte. Uwaga: Wszystkie wpisy urządzeń muszą zostać dodane do pliku /etc/security/sysck.cfg przed wykonaniem komendy tcbck, inaczej nie będzie można używać systemu. Aby dodać zaufane urządzenia do pliku /etc/security/sysck.cfg, należy użyć opcji -l. Ważne: Nie należy uruchamiać opcji tcbck -y tree. Opcja ta powoduje usunięcie i wyłączenie urządzeń, które nie mają prawidłowych wpisów w bazie TCB i może zablokować system. Dodawanie zaufanego programu: Komenda tcbck umożliwia dodanie określonego programu do pliku /etc/security/sysck.cfg. Aby dodać określony program do pliku /etc/security/sysck.cfg, należy wpisać: tcbck -a NazwaŚcieżki [atrybut=wartość] Jedynie atrybuty, których wartości nie są ustawiane na podstawie stanu bieżącego, muszą być określone w wierszu komend. Wszystkie nazwy atrybutów są zawarte w pliku /etc/security/sysck.cfg. Na przykład następująca komenda rejestruje nowy program SetUID o nazwie /usr/bin/setgroups, który ma dowiązanie o nazwie /usr/bin/getgroups: tcbck -a /usr/bin/setgroups links=/usr/bin/getgroups Aby dodać użytkowników jfh i jsl jako użytkowników administracyjnych oraz dodać grupę developers jako grupę administracyjną, która ma zostać sprawdzona podczas kontroli bezpieczeństwa pliku /usr/bin/abc, należy wpisać: tcbck -a /usr/bin/abc setuids=jfh,jsl setgids=developers Po zainstalowaniu programu może nie być wiadomo, jakie nowe pliki są zarejestrowane w pliku /etc/security/sysck.cfg. Można je odszukać i dodać za pomocą następującej komendy: tcbck -t tree Ten łańcuch komendy powoduje wyświetlenie nazwy każdego pliku, który ma zostać zarejestrowany w pliku /etc/security/sysck.cfg. Usuwanie zaufanego programu: 4 AIX wersja 5.3: Bezpieczeństwo

13 Jeśli z systemu zostanie usunięty plik, który jest opisany w pliku /etc/security/sysck.cfg, należy usunąć jego opis również z pliku /etc/security/sysck.cfg. Na przykład jeśli usunięto program /etc/cvid, poniższa komenda spowoduje wyświetlenie komunikatu o błędzie: tcbck -t ALL Końcowy komunikat o błędzie brzmi następująco: Plik /etc/cvid nie został znaleziony. Opis dla tego programu znajduje się w pliku /etc/security/sysck.cfg. Aby usunąć ten opis, należy wpisać następującą komendę: tcbck -d /etc/cvid Konfigurowanie dodatkowych zaufanych opcji: Istnieje możliwość skonfigurowania dodatkowych opcji Zaufanej Bazy Przetwarzania (TCB). Ograniczanie dostępu do terminalu: System operacyjny można skonfigurować w taki sposób, aby ograniczał dostęp do terminali. Komendy getty i shell powodują zmianę właściciela i trybu terminalu, co uniemożliwia niezaufanym programom dostęp do terminalu. System operacyjny daje możliwość skonfigurowania wyłącznego dostępu do terminalu. Korzystanie z sekwencji przywołania bezpiecznej komunikacji: Zaufaną ścieżkę komunikacyjną można ustanowić przez naciśnięcie zastrzeżonej sekwencji przywołania bezpiecznej komunikacji (Secure Attention Key - SAK) (Ctrl-X, a następnie Ctrl-R). Uwaga: Należy zachować ostrożność podczas używania sekwencji SAK, ponieważ powoduje ona zatrzymanie wszystkich procesów, które próbują uzyskać dostęp do terminalu, i wszystkich dowiązań do nich (na przykład /dev/console może być dowiązany do /dev/tty0). Jest to możliwe po spełnieniu następujących warunków: v Podczas logowania się do systemu. Po naciśnięciu sekwencji SAK: Jeśli zostanie wyświetlony nowy ekran logowania, oznacza to, że zaufana ścieżka została ustanowiona. Jeśli zostanie wyświetlona zachęta zaufanej powłoki, oznacza to, że ekran logowania był nieautoryzowanym programem, który mógł próbować dokonać kradzieży hasła. Należy określić, kto obecnie używa tego terminalu, za pomocą komendy who, a następnie wylogować się. v W przypadku, gdy wprowadzona komenda ma uruchomić zaufany program. Niektóre przykłady takiego użycia są następujące: Uruchamianie jako użytkownik root. Jako użytkownik root można uruchamiać programy tylko po ustanowieniu zaufanej ścieżki komunikacyjnej. Daje to pewność, że żadne niezaufane programy nie zostaną uruchomione z uprawnieniami użytkownika root. Uruchamianie komend su, passwd i newgrp. Komendy te można uruchomić tylko po ustanowieniu zaufanej ścieżki komunikacyjnej. Konfigurowanie sekwencji przywołania bezpiecznej komunikacji: Konfigurowanie sekwencji przywołania bezpiecznej komunikacji (Secure Attention Key - SAK) w celu utworzenia zaufanej ścieżki komunikacyjnej. Bezpieczeństwo 5

14 Każdy terminal może być skonfigurowany niezależnie, tak aby naciśnięcie sekwencji SAK (Secure Attention Key) w danym terminalu powodowało utworzenie zaufanej ścieżki komunikacyjnej. Można to określić za pomocą atrybutu sak_enabled w pliku /etc/security/login.cfg. Jeśli wartość atrybutu jest ustawiona na True, sekwencja SAK jest włączona. Jeśli do komunikacji ma zostać użyty port (na przykład w przypadku komendy uucp), użytemu portowi odpowiada następujący wiersz w jego sekcji w pliku /etc/security/login.cfg: sak_enabled = false Ten wiersz (lub brak wpisu w tej sekcji) powoduje wyłączenie sekwencji SAK dla tego terminalu. Aby włączyć sekwencję SAK w terminalu, należy dodać następujący wiersz do sekcji dla tego terminalu: sak_enabled = true Profil kontrolowanego zabezpieczenia dostępu (CAPP) i poziom zapewniania wartościowania 4+ (EAL4+) Administratorzy systemu mogą instalować Podstawowy system operacyjny (BOS) z opcjami Controlled Access Protection Profile (CAPP) i Evaluation Assurance Level 4+ (EAL4+). System z tymi opcjami ma ograniczenia dotyczące oprogramowania, które jest instalowane podczas instalowania systemu BOS, oraz ograniczony dostęp do sieci. Przegląd systemu zgodnego z CAPP/EAL4+: System CAPP to system, który został zaprojektowany i skonfigurowany tak, aby spełniał kryteria określane przez Controlled Access Protection Profile (CAPP) dotyczące wartościowania zabezpieczeń, zgodnie ze wspólnymi kryteriami. Profil CAPP określa funkcjonalne wymagania wobec systemu, podobne do standardu TCSEC C2 (znanego również pod nazwą Orange Book). Wartościowany system wspólnych kryteriów (Common Criteria - CC) to system, który został oceniony pod względem wspólnych kryteriów (Common Criteria), standardu ISO dotyczącego zapewnienia wartościowania produktów IT (ISO 15408). Konfiguracja systemu spełniająca te wymagania jest w tym podręczniku określana jako system CAPP/EAL4+. Jeśli system jest wartościowany zgodnie z CC, to wartościowanie CC jest prawidłowe tylko dla określonej konfiguracji systemu (sprzętu i oprogramowania). Zmiana odpowiedniej konfiguracji zabezpieczenia powoduje, że system przestaje być systemem wartościowanym. Nie oznacza to, że zabezpieczenie systemu zostanie zmniejszone, ale wskazuje jedynie, że system nie ma już certyfikowanej konfiguracji. Ani profil CAPP, ani CC nie obejmuje wszystkich możliwych opcji konfiguracji zabezpieczenia systemu AIX 5.3. Niektóre funkcje, takie jak IPsec lub moduły niestandardowego sprawdzania haseł nie są ujęte, ale mogą zostać użyte w celu zwiększenia bezpieczeństwa systemu. System AIX 5.3 CAPP/EAL4+ obejmuje podstawowy system operacyjny oparty na 64-bitowych procesorach POWER3 i POWER4 z następującymi składnikami: v Menedżer Woluminów Logicznych (Logical Volume Manager - LVM) i rozszerzony system plików JFS2 (Journaled File System), v system X-Windows z interfejsem CDE, v podstawowe funkcje sieciowe (Telnet, FTP, rlogin, rsh/rcp) protokołu Internet Protocol w wersji 4 (IPv4), v sieciowy system plików (Network File System - NFS). System CAPP/EAL4+ jest uważany za znajdujący się w stanie chronionym, jeśli spełnione są następujące warunki: v jeśli kontrola jest skonfigurowana i system znajduje się w trybie wielodostępnym, to kontrola musi działać, v system akceptuje logowanie użytkowników i obsługuje zgłoszenia sieciowe, v w przypadku systemu rozproszonego administracyjne bazy danych są podłączane w systemie plików NFS z serwera głównego. Na potrzeby funkcjonalności bezpieczeństwa udostępniono następujące interfejsy administracyjne: 6 AIX wersja 5.3: Bezpieczeństwo

15 v narzędzia do identyfikacji i uwierzytelniania (konfigurowanie użytkowników, ustanawianie haseł, konfigurowanie logowania się itd.), v narzędzia do kontroli (konfigurowanie kontroli trybu binarnego, wybieranie zdarzeń kontrolowanych, przetwarzanie zapisów kontrolnych itd.), v indywidualna kontrola dostępu (bity uprawnień i listy ACL dla obiektów systemu plików, mechanizmy IPC i porty TCP), v ustawianie czasu systemowego, v uruchamianie podsystemu diagnostycznego diag, v uruchamianie komendy su w celu przyjęcia roli uprawnionego administratora (root). Do wymienionych interfejsów należą pliki konfiguracyjne i wywołania funkcji systemowych, których można używać do wykonania konkretnych czynności administracyjnych. Na potrzeby funkcjonalności zabezpieczenia udostępniono następujące interfejsy użytkownika: v komenda passwd umożliwiająca zmianę hasła użytkownika, v komenda su umożliwiająca zmianę tożsamości użytkownika, v narzędzia at, batch i crontab umożliwiające planowanie przetwarzania komend, v indywidualna kontrola dostępu (bity uprawnień i listy ACL dla obiektów systemu plików oraz mechanizmy IPC), v mechanizmy logowania się (na przykład mechanizmy identyfikacji i uwierzytelniania) dla konsoli systemowej i obsługiwanych aplikacji sieciowych (takich jak telnet i ftp). Do wymienionych interfejsów należą wywołania funkcji systemowych służące do zmiany ustawień tożsamości użytkowników i kontroli dostępu. System AIX 5.3 CAPP/EAL4+ działa na platformach opartych na systemach IBM eserver pseries SMP (Symmetric Multiprocessor) z jednostką centralną POWER3-II (IBM eserver pseries 610) z jednym lub dwoma procesorami, systemach SMP z jednostką centralną RS64 IV (IBM eserver pseries 660), systemach SMP z procesorem POWER4 (IBM eserver pseries 690) i systemach SMP z procesorami POWER5 (IBM System p5 520, System p5 570, System p5 595). Obsługiwane urządzenia peryferyjne to terminale i drukarki, dyski twarde i napędy CD-ROM jako urządzenia pamięci, pamięci taśmowe i napędy dyskietek jako urządzenia składowania. Obsługiwane typy złączy sieciowych to Ethernet i Token Ring. Technologia CAPP/EAL4+ działa na platformach sprzętowych procesorów POWER4 (IBM eserver pseries 630, IBM eserver pseries 650, i pseries 690), które obsługują konfigurację z partycjami logicznymi. Obsługiwane urządzenia peryferyjne to terminale i drukarki, dyski twarde i napędy CD-ROM jako urządzenia pamięci, pamięci taśmowe i napędy dyskietek jako urządzenia składowania. Obsługiwane typy złączy sieciowych to Ethernet i Token Ring. W trybie wspólnych kryteriów (Common Criteria) obsługiwane są tylko urządzenia optyczne SCSI. Uwaga: Administratorzy muszą informować wszystkich użytkowników systemu o tym, aby nie używali pliku $HOME/.rhosts do zdalnego logowania i uruchamiania komend. System AIX 5.3 jest wartościowany w symetrycznym systemie wieloprocesorowym System p5 z procesorami POWER5 (p5-520, p5-570, p5-595). Instalowanie systemu CAPP/EAL4+: Aby ustawić opcję CAPP/EAL4+ podczas instalowania systemu BOS: 1. Na ekranie Instalacja i ustawienia wybierz pozycję Więcej opcji. 2. Na ekranie Więcej opcji wpisz numer odpowiadający wyborowi lub Nie dla opcji Włącz technologie CAPP oraz EAL4+. Wartość domyślna to nie. Opcja Włącz technologie CAPP oraz EAL4+ jest dostępna tylko po spełnieniu następujących warunków: v metoda instalacji jest ustawiona na nową, pełną instalację nadpisującą, v wybrany jest język angielski, Bezpieczeństwo 7

16 v włączone jest 64-bitowe jądro, v włączony jest rozszerzony system plików JFS (JFS2). Gdy wartość opcji Włącz technologie CAPP oraz EAL4+ jest ustawiona na, wartość opcji Zaufana Baza Przetwarzania również jest ustawiona na, a jedynymi prawidłowymi wartościami opcji Pulpit są BRAK lub CDE. W przypadku instalacji nienadzorowanej z użyciem pliku bosinst.data, pole INSTALL_TYPE musi być ustawione na CC_EVAL, a następujące pola muszą być ustawione w sposób opisany poniżej: control_flow: CONSOLE =??? PROMPT = yes INSTALL_TYPE = CC_EVAL INSTALL_METHOD = overwrite TCB = yes DESKTOP = NONE lub CDE ENABLE_64BIT_KERNEL = yes CREATE_JFS2_FS = yes ALL_DEVICES_KERNELS = no FIREFOX_BUNDLE = no HTTP_SERVER_BUNDLE = no KERBEROS_5_BUNDLE = no SERVER_BUNDLE = no ALT_DISK_INSTALL_BUNDLE = no locale: CULTURAL_CONVENTION = en_us lub C MESSAGES = en_us lub C W poniższych krokach opisano sposób pobrania i zainstalowania systemu AIX 5L wersja 5.3 z pakietem Technology Level oraz kopii Uwag do wydania: 1. Za pomocą programu Download Director bezpiecznie pobierz zestawy plików, które są potrzebne do aktualizacji do wersji AIX z pakietem Wybierz pozycję odpowiadającą systemowi AIX w serwisie WWW pod adresem: 2. Z listy rozwijanej Search by wybierz pozycję APAR number or abstract, a następnie w polu tekstowym wpisz IY Dodaj raport APAR do listy pobieranych plików, zaznaczając go i wybierając opcję Add to my download list. 4. Kliknij przycisk Continue. 5. W oknie Packaging Options zaznacz opcje pakowania Include prerequisites and corequisites i Include ifrequisites. Nie zaznaczaj opcji pakowania Include fixes that correct regressions ani Replace superseded fixes with the latest. 6. Z listy rozwijanej wybierz pozycję Podaj plik wyjściowy dla komendy lslpp -Lc, klikając przycisk Browse i przechodząc do odpowiedniego miejsca. 8. Kliknij przycisk Continue. 9. Po otwarciu okna Download fixes wybierz opcję Download all filesets using Java applet, aby uruchomić aplet Java Download Director. Może być konieczne nadanie temu apletowi dostępu do systemu, na który mają być pobierane zestawy plików, odpowiadając na pytania wyświetlane w oknach dialogowych przeglądarki. 10. Pobierz i zainstaluj zestawy plików przy użyciu apletu Java. Aby zainstalować zestawy plików, umieść je w katalogu systemu, który będzie aktualizowany. W tym przykładzie zestawy plików są kopiowane do katalogu /usr/sys/sp2. Wygeneruj plik.toc przy użyciu komendy inutoc: # inutoc /usr/sys/sp2 Gdy zostanie wygenerowany plik.toc, wykonaj następującą komendę, która spowoduje zainstalowanie aktualizacji za pomocą programu smitty: # smitty update_all 11. Uruchom komendę /usr/lib/security/cc_evalify.sh. 8 AIX wersja 5.3: Bezpieczeństwo

17 System zostanie zaktualizowany do wersji AIX z pakietem Musisz restartować system i sprawdzić, czy został on zaktualizowany, uruchamiając komendę: # oslevel -r lub oslevel -s W przypadku pomyślnej aktualizacji wyświetlony zostanie tekst CAPP/EAL4+ i środowisko Zarządzania Instalacją Sieciową: Instalację klientów w technologii CAPP/EAL4+ można przeprowadzić za pomocą środowiska Zarządzania Instalacją Sieciową (Network Installation Management - NIM). System główny NIM jest skonfigurowany do udostępniania zasobów potrzebnych do zainstalowania odpowiedniego poziomu systemu CAPP/EAL4+ w AIX 5L. Klienty NIM można następnie instalować, korzystając z zasobów znajdujących się na systemie głównym NIM. Bezobsługową instalację NIM klienta można wykonać, ustawiając w zasobie bosinst_data następujące pola: control_flow: CONSOLE =??? PROMPT = no INSTALL_TYPE = CC_EVAL INSTALL_METHOD = overwrite TCB = yes DESKTOP = NONE lub CDE ENABLE_64BIT_KERNEL = yes CREATE_JFS2_FS = yes ALL_DEVICES_KERNELS = no FIREFOX_BUNDLE = no HTTP_SERVER_BUNDLE = no KERBEROS_5_BUNDLE = no SERVER_BUNDLE = no ALT_DISK_INSTALL_BUNDLE = no locale: CULTURAL_CONVENTION = en_us lub C MESSAGES = en_us lub C Systemu głównego NIM nie można konfigurować jako systemu CAPP/EAL4+, a ponadto nie można go podłączyć do tej samej sieci, w której znajdują się inne systemy CAPP/EAL4+. Podczas inicjowania instalacji z systemu głównego NIM, opcja menu Pozostań klientem NIM po instalacji SMIT musi być ustawiona na Nie. Po zainstalowaniu klienta NIM jako system CAPP/EAL4+ klienta tego należy usunąć z sieci systemu głównego NIM i nie można wykonywać dodatkowych instalacji lub aktualizacji oprogramowania za pomocą tego systemu głównego NIM. Rozpatrzmy przykładową sytuację, gdy mamy dwa środowiska sieciowe. Pierwsza sieć składa się z systemu głównego NIM i systemów innych niż CAPP/EAL4+. Druga sieć składa się tylko z systemów CAPP/EAL4+. Na kliencie NIM należy wykonać instalację NIM. Po jej zakończeniu należy odłączyć nowo zainstalowany system CAPP/EAL4+ od sieci systemu głównego NIM i podłączyć go do zmienianej sieci. Rozpatrzmy inny przykład, gdy mamy do dyspozycji jedną sieć. System główny NIM nie jest podłączony do sieci, gdy inne systemy pracują w zmienianej konfiguracji, a systemy CAPP/EAL4+ nie są podłączone do sieci podczas instalacji NIM. Pakunek oprogramowania systemu CAPP/EAL4+: Po wybraniu opcji CAPP/EAL4+ instalowana jest zawartość pakunku instalacyjnego /usr/sys/inst.data/ sys_bundles/cc_eval.bos.autoi. Jeśli wybrana jest opcja CAPP/EAL4+, opcjonalnie można wybrać instalację pakunku oprogramowania graficznego i pakunku oprogramowania usług dokumentacji. Jeśli razem z opcją CAPP/EAL4+ zostanie wybrana opcja Oprogramowanie graficzne, zostanie zainstalowana zawartość pakunku oprogramowania /usr/sys/inst.data/ Bezpieczeństwo 9

18 sys_bundles/cc_eval.graphics.bnd. Jeśli razem z opcją CAPP/EAL4+ zostanie wybrana opcja Oprogramowanie usług dokumentacji, zainstalowana zostanie zawartość pakunku oprogramowania /usr/sys/inst.data/sys_bundles/ CC_EVAL.DocServices.bnd. Po zainstalowaniu programów licencjonowanych (Licensed Program Products - LPP) system zmieni konfigurację domyślną, tak aby była ona zgodna z wymaganiami CAPP/EAL4+. Zostaną wprowadzone następujące zmiany: v usunięcie wpisu /dev/echo z pliku /etc/pse.conf, v utworzenie instancji urządzeń strumieniowych, v umożliwienie dostępu do urządzeń wymiennych tylko użytkownikowi root, v usunięcie z pliku inetd.conf wpisów nienależących do CC, v zmiana innych uprawnień do pliku, v zarejestrowanie dowiązania symbolicznego w pliku sysck.cfg, v zarejestrowanie urządzenia w pliku sysck.cfg, v ustawienie atrybutów domyślnego użytkownika i portu, v skonfigurowanie aplikacji doc_search do używania przeglądarki, v usunięcie wpisu httpdlite z pliku inittab, v usunięcie wpisu writesrv z pliku inittab, v usunięcie wpisu mkatmpvc z pliku inittab, v usunięcie wpisu atmsvcd z pliku inittab, v wyłączenie demona snmpd w pliku /etc/rc.tcpip, v wyłączenie demona hostmibd w pliku /etc/rc.tcpip, v wyłączenie demona snmpmibd w pliku /etc/rc.tcpip, v wyłączenie demona aixmibd w pliku /etc/rc.tcpip, v wyłączenie demona muxatmd w pliku /etc/rc.tcpip, v port NFS (2049) jest portem uprawnionym, v dodanie brakujących zdarzeń do pliku /etc/security/audit/events, v zapewnienie, że interfejs pętli zwrotnej pracuje, v utworzenie synonimów dla urządzenia /dev/console, v wymuszenie domyślnych uprawnień połączenia serwera X, v zmiana katalogu /var/docsearch, aby dla wszystkich możliwy był odczyt wszystkich plików, v dodanie sekcji Menedżera Danych Obiektowych (Object Data Manager - ODM) w celu ustawienia uprawnień konsoli, v ustawienie uprawnień terminali pty typu BSD na 000, v wyłączenie plików.netrc, v dodanie przetwarzania katalogu poprawek. Graficzny interfejs użytkownika: System zgodny z CAPP/EAL4+ wykorzystuje system X Windows w charakterze graficznego interfejsu użytkownika. System X Windows zapewnia mechanizm wyświetlania klientów graficznych, takich jak zegary, kalkulatory oraz inne aplikacje graficzne, a także wiele sesji terminalu wywoływanego za pomocą komendy aixterm. System X Windows jest uruchamiany za pomocą komendy xinit wpisywanej w początkowym wierszu komend po zalogowaniu się użytkownika na konsoli hosta. Aby uruchomić sesję X Windows, wpisz: xinit 10 AIX wersja 5.3: Bezpieczeństwo

19 Komenda ta uruchamia serwer X Windows z lokalnymi mechanizmami dostępu możliwymi do wykorzystania tylko przez osobę wywołującą. Klienty X Windows, które dysponują uprawnieniami użytkownika root, będą miały możliwość dostępu do serwera X Windows za pośrednictwem gniazda domeny UNIX, korzystając z tego, że uprawnienia użytkownika root przesłaniają ograniczenia dostępu. Klienty X Windows, które działają z uprawnieniami innych użytkowników lub zostały uruchomione przez innych użytkowników, nie będą miały dostępu do serwera X Windows. To ograniczenie uniemożliwia uzyskanie przez użytkowników hosta dostępu bez uprawnień do serwera X Windows. Środowisko fizyczne systemu CAPP/EAL4+: System CAPP/EAL4+ ma określone wymagania co do środowiska, w którym pracuje. Są one następujące: v Fizyczny dostęp do systemów musi być tak ograniczony, aby jedynie autoryzowani administratorzy mogli korzystać z konsoli systemowych. v Procesor serwisowy nie może być podłączony do modemu. v Fizyczny dostęp do terminali musi być ograniczony tylko do użytkowników autoryzowanych. v Sieć fizyczna musi być chroniona przed podsłuchami i podszywaniem się (koniami trojańskimi). W przypadku komunikowania się za pośrednictwem niezabezpieczonych linii, wymagane są dodatkowe zabezpieczenia, takie jak szyfrowanie. v Komunikowanie z innymi systemami niebędącymi systemami AIX 5.3 CAPP/EAL4+ lub nieznajdującymi się w tej samej kontroli zarządzania nie jest dozwolone. v Podczas komunikowania się z innymi systemami CAPP/EAL4+ używany jest tylko protokół IPv4. Protokół IPv6 znajduje się w konfiguracji wartościowanej, ale dostępne są tylko te funkcjonalne możliwości tego protokołu, które są obsługiwane także przez protokół IPv4. v Użytkownicy nie mogą mieć możliwości zmiany godziny systemowej. v Systemy w środowisku LPAR nie mogą współużytkować PHB. Środowisko organizacyjne systemu CAPP/EAL4+: W przypadku systemu CAPP/EAL4+ muszą być spełnione pewne wymagania proceduralne i organizacyjne. Muszą być spełnione następujące wymagania: v Administratorzy muszą być godni zaufania i dobrze przygotowani. v Jedynie użytkownicy autoryzowani do pracy z informacjami znajdującymi się w systemie mają przyznane identyfikatory użytkownika. v Użytkownicy muszą korzystać z haseł o wysokiej jakości (maksymalnie losowych i niezwiązanych z użytkownikiem ani z organizacją). Więcej informacji na temat konfigurowania zasad dotyczących haseł można znaleźć w sekcji Hasła na stronie 58. v Użytkownicy nie mogą ujawniać swoich haseł innym osobom. v Administratorzy muszą mieć wystarczającą wiedzę, aby mogli zarządzać systemami, w których istotne jest bezpieczeństwo. v Administratorzy muszą pracować zgodnie z instrukcjami zawartymi w dokumentacji systemu. v Administratorzy muszą logować się za pomocą swojego identyfikatora osobistego i używać komendy su do przełączenia się w tryb administratora w celu wykonania zadań administracyjnych. v Hasła wygenerowane przez administratorów dla użytkowników systemu muszą być do nich przesłane w sposób bezpieczny. v Osoby odpowiedzialne za system muszą utworzyć i zaimplementować procedury niezbędne do bezpiecznego działania systemu. v Administratorzy muszą zabezpieczyć dostęp do chronionych zasobów systemu za pomocą odpowiednich ustawień bitów uprawnień i list ACL. Bezpieczeństwo 11

20 v Organizacja musi wyrazić zgodę na przesyłanie przez fizyczną sieć przechowywanych w systemie danych objętych szczególnym zabezpieczeniem. v Procedury konserwacji muszą obejmować normalną diagnostykę systemów. v Administratorzy muszą mieć procedury, które zapewniają bezpieczną pracę systemu i jego odtwarzanie po awarii. v Zmienna środowiskowa LIBPATH nie powinna być zmieniana, ponieważ może to spowodować, że zaufany proces załaduje niezaufaną bibliotekę. v Oprogramowanie przechwytujące pakiety i śledzące (tcpdump, trace) nie może być używane w działającym systemie. v Protokoły anonimowe, takie jak HTTP, mogą być używane tylko w przypadku informacji publicznych (takich jak dokumentacje elektroniczne). v Można użyć jedynie systemu plików NFS bazującego na protokole TCP. v Użytkownicy nie mają dostępu do nośników wymiennych. Pliki urządzeń muszą być chronione przez odpowiednie bity uprawnień lub listy ACL. v Podczas administrowania systemem AIX używane jest jedynie uprawnienie użytkownika root. Żadne działające w oparciu o role i grupy funkcje delegacji administracji, a także mechanizm uprawnień systemu AIX nie są ujęte w zgodności z systemem CAPP/EAL4+. v Administratorom nie wolno używać dynamicznego partycjonowania do przydzielania i zwalniania zasobów. Konfigurowanie partycji można wykonać tylko wtedy, gdy żadna partycja nie jest uruchomiona. Środowisko działania systemu CAPP/EAL4+: W przypadku systemu CAPP/EAL4+ muszą być spełnione pewne wymagania proceduralne i wymagania dotyczące działania. Muszą być spełnione następujące wymagania i przestrzegane następujące procedury: v Jeśli używana jest konsola Hardware Management Console (HMC), należy ją umieścić w środowisku kontrolowanym fizycznie. v Tylko autoryzowany personel ma dostęp do środowiska działania i konsoli HMC. v Jeśli używana jest konsola HMC, można ją wykorzystywać tylko do następujących zadań: Początkowe konfigurowanie partycji. Podczas procesu konfigurowania partycja nie może być aktywna. Restartowanie "zawieszonych" partycji. v Konsoli HMC nie można używać podczas pracy skonfigurowanego systemu. v Funkcja "call home" systemu musi być wyłączona. v Funkcja zdalnego dostępu za pomocą modemu musi być wyłączona. v Jeśli system AIX działa w środowisku z obsługą partycji LPAR, administrator powinien sprawdzić w dokumentacji partycji LPAR wymagania dotyczące działania systemu EAL4+ na partycjach logicznych. v Opcja uprawnień serwisowych musi być wyłączona na partycjach logicznych. Konfigurowanie systemu CAPP/EAL4+: Możliwe jest konfigurowanie systemu Controlled Access Protection Profile (CAPP) i Evaluation Assurance Level 4+ (EAL4+). Grupy system, sys, adm, uucp, mail, security, cron, printq, audit i shutdown są traktowane jak grupy administracyjne. Do tych grup należy dodawać wyłącznie zaufanych użytkowników. Administrowanie: Administratorzy muszą logować się przy użyciu konta osobistego i używać komendy su, aby stać się użytkownikiem root w celu administrowania systemem. 12 AIX wersja 5.3: Bezpieczeństwo