AIX操作系统的安全管理与优化措施

1、AIX操作系统的平安管理与优化措施AIX操作系统的平安管理与优化措施引言在IBRS6000上运行的操作系统AIX是Unix的一种变体。随着时间的推移和AIX的广泛使用，系统的平安性越来越重要。目前，AIXVER4.3已经提供了强大的平安管理功能。为了保障系统的平安运行，有必要深化理解AIX的平安机制，从而采取有效的平安策略与技术。在AIX中，平安机制可分为五类：1保护私有文件和数据不受别人进犯；2保护操作系统中的关键系统文件不受破坏；3保护机器的物理平安性；4保护系统免受黑客的非法入侵；5对系统敏感事件的跟踪和审计。1私有数据的保护1.1注册名和口令在AIX中，平安性的核心是每一个用户的注册名

2、LGINS和口令PASSRD。每个用户都要保护好自己的口令，以防泄密。尤其是系统管理员一定要保护好超级用户RT的口令，否那么，将会造成不可估量的后果。口令的选择要注意几条规那么：尽量使用数字与非字母及大小写字母混用；口令的长度要在6个字符以上；要定期更改自己的口令；制止使用与个人联络严密的字符，如 、出生年月、姓名等。1.2文件的创立权限AIX将文件权限分为三个层次：用户、同组人员、其他用户。每一层次都可读、写、执行。应注意缺省的文件权限unask。unask是对文件权限的屛蔽，应当设置适宜的unask，保证用户文件的平安。1.3约束shell通过对shell程序功能的限制，例如：不让用户更改

3、目录、用户受限于主目录、用户不能更改PATH变量、不可使用全路经命令和文件、不可重定向等来限制用户的活动。1.4AIX的特色1.5访问控制列表AL真正表达AIX平安控制特色的应是ALAessntrlLists。AL的提出基于如下需求：假设用户A拥有文件file1，是很敏感的私人数据，那么，他如何使用户B很容易拥有file1的读权限呢？通常是这样解决的：rt用户将文件file1通过hn给用户B，但这样用户A将不能使用file1；用户A可以给用户B拷贝一份，但这样系统中同时存在两份文件，会带来数据的不一致；用户A和用户B同时参加一个新组，但假如经常使用这种作法，会给系统管理带来很大工作量，并且系统

4、管理员很容易掌握使用情况；最好的方法就是用户A把用户B参加一个特殊列表，用来指使用户B可以读file1，AL正是起这个作用的一个列表本文由论文联盟.Ll.搜集整理。AIX提供了三个命令alget、alput、aledit对AL进展操作。用命令lse可以看出哪些文件设置了AL。2保护系统的平安文件AIX提供两种方式：D用来存放系统配置信息、设备及一些重要产品数据；TBTrustedputingBase可信计算基对一些确认的文件加以保护。2.1DbjetDataanager2.2TBTrustedputingBase在AIX中，TB是可选择安装的。只有在系统中安装了bssreseurity，才会被

5、允许使用TB。TB基于系统管理人员受权的程序充分可信，一组文件或程序被TRUSTED，以后假如有任何非法或可疑的改动，可以通过运行TBK命令恢复，回到被TRUSTED时初始状态，或者向系统管理员提出警告不可恢复。对文件或程序的受权均通过etseuritysysk。fg来设置。另外，TB提供一种叫seureattentinkeyask的组合键来判断用户是否在合法的LGIN画面，帮助检测特洛伊木马trjanhrse的攻击。2.3保护机器的物理平安性分三方面1尽量隔离系统与无关人员，特别是控制台的隔离；2尽量隔离与外界网络的连接；3防止一些可疑软件的安装。2.4保证系统免受黑客的非法入侵常见的是系统

6、口令的攻击，应引起重视。另一种可能的攻击来自于特洛伊木马。这种程序象一陷阱，不小心就会受骗，有时很难觉察。这对于那些分开终端很长时间而不关掉电源的人来说是一场恶梦，他们将发现自己的口令太容易失密了。此外，Unix的开放性也容易被用来攻击系统。例如：利用telnet主机名这样的命令，可以操纵对方的邮件效劳器，非法窃取一些信息，系统管理员必须时刻保持警觉，查找可疑事件，发现问题及时堵漏。3系统性能的调整建议针对上述软件运行中存在的相关问题，需要相关人员结合着AIX操作系统的相关优势及存在的问题，有针对性的进展优化，在进步AIX操作系统的的使用性能时，还能确保整个系统的顺利运行。在对其进展调整的过程

7、中，主要包括几个方面。第一，在计算机系统运行的过程中，针对网卡所连接到的网络，需要相关人员结合着交换机的实际数量及位置进展有针对性的调整，并在调换的过程中结合着机器产生的错误日志来进展数据统计。假设在其运行的过程中出现网络部稳定的状况，那么建议立即更换机器。第二，在整个网络出现故障时，管理人员应及时的停顿网络使用，找出网络故障的根源，同时启动备份系统，防止网络停顿造成整个系统瘫痪，力求将整个系统损失降到最低。而计算机操作人员在进展修改网络配置的过程中，针对网络地址及主机名等程序的修改，一般使用hdev命令进展修改，防止在修改的过程中出现程序措施的现象。第三，AIX系统的参数优化。在AIX系统运

8、行的过程中，其内核一般属于动态内核，因此在运行的过程中可以结合着实际运行环境进展自动调整。管理人员在安装系统完毕后，在修改参数的过程中，可以从几个方面出发：首先，用户的最大登录数axlgin。在确定axlgin的实际大小时，操作人员可以使用sittyhliense命令进展修改，且在修改正后将整个参数记录在指定的系统文件中，以便在修改完毕后可以在系统重启后生效。其次，liits参数的设置。管理人员在对其参数设置的过程中，可以从etseurityliits文件中，将这些参数的参数值设置为1，同时用使用vi程序对整个文件进展修改，以便在用户重新登录后可以立即生效。再次，对文件系统的空间设定。操作人员在设定文件系统的操作空间时，其使用率不能超过整个文件使用率的80，防止系统文件过多对整个系统的正常运行造成干扰，尤其是AIX系统的根本文件，严重时会导致用户重启后无法正常登陆。在解决这一问题时，操作人员可以查看AIX的根本文件系统，利用sittyhfs来扩展整个文件系统的空间。4完毕语AIX提供