使用 AIX Security Expert

核心提示： 图片看不清楚？请点击这里查看原图（大图），接下来的文件是 appliedaixpert 文件，使用 AIX Security Expert(3)，它包含应用的安全设置的清单（参见图 2），这个文件常用于获取一个安全快照，您需要使用 Role-Based Access Control（RBA

图片看不清楚？请点击这里查看原图（大图）。

接下来的文件是 appliedaixpert 文件，它包含应用的安全设置的清单（参见图 2）。这个文件常用于获取一个安全快照，以用作本身系统上的一个文档工具，或者用于获取配置数据，并将其应用到其他系统上。您将使用 -f 命令做这件事。这很简单，只需运行这个命令：# aixpert -f appliedaixpert.xml。

图 2. appliedaixpert.xml

图片看不清楚？请点击这里查看原图（大图）。

/etc/security/aixpert/log/aixpert.log 文件是 tracelog 文件。由于 AIXPert 不使用 syslog，所以如果要查看所有应用的安全设置，就需要查看这个文件。

如果要使用审计，那么还需要查看 etc/security/aixpert/check_report.txt 文件。而且，当使用 AIXpert 配置系统时，这个文件将报告在 AIXPert 之外做出的任何配置更改。当应用的安全设置没有被更改时，这个文件应该为空。

至此，您已理解 AIXPert 是在哪里保存它的关键文件的，现在让我们来运行 fpm。

使用 fpm

通过 fpm 命令，系统管理员可以禁用很多命令上的 setuid 和 setgid 位，从而强化他们的系统。这一点很重要，因为和大多数 UNIX 一样，AIX 在历史上有很多 setuid 和 setgid 程序。这个命令主要用于从有特权的用户所拥有的命令和守护进程中移除 setuid 许可，但是它也可以用于解决计算机环境的特定需求。在有这个命令之前，您需要使用 Role-Based Access Control（RBAC）来帮助纠正 setuid 和 setgid 程序的问题。无论使用 RBAC 与否，使用 fpm 实际上有助于减少这些文件的数量。