使用 AIX Security Expert

核心提示： 我们来看一些例子，为了检查系统命令当前是否被设为 fpm low-level 许可，使用 AIX Security Expert(4)，输入清单 1 中的命令，清单 1. 检查系统命令是否被设为 fpm low 级别许可#fpm-c-llowSuccess,nofileshadthesui

我们来看一些例子。

为了检查系统命令当前是否被设为 fpm low-level 许可，输入清单 1 中的命令。

清单 1. 检查系统命令是否被设为 fpm low 级别许可

　　　
#　fpm　-c　-l　low　
　
Success,　no　files　had　the　suid　bit　set　

在此情况下，没有文件设置了 suid 位。

清单 2 显示为了使系统遵从 fpm 命令的 high 级别安全性，并且不更改任何实际的文件许可，需要做出的许可更改。

清单 2. 列出为遵从 high 级别安全性所需做出的许可更改

　　　
#　fpm　-l　high　-p　

已经有一个或多个文件是安全的。因此，当前的文件许可可能与默认的许可不一致。如果想返回到运行该命令之前的许可快照，那么使用这个命令：# fpm -l default。

这样会将所有 AIX 许可恢复到安装时的设置，以及 /usr/lib/security/fpm/custom/default 中已有的任何定制的设置。

到目前为止，本文主要是概述性地讨论 AIXPert 以及它的特性和最近的创新。您还看到了它的一个实用程序：fpm。在接下来的小节中，您将看到执行 AIXPert 命令的 3 种不同的方法。

使用命令行

AIXPert 有一个非常强大的命令行。实际上，它比从 smit 或 GUI 中运行的任何东西都强大得多。

较常用的标志有：

-p 使用详细模式输出 -c 检查整个安全设置 -l 检查 /etc/security/aixpert/core/appliedaixpert.xml 文件中的所有规则 -f 应用提供的文件中的安全设置 -l 将系统安全设置指定为该选项指定的级别。所有被成功应用的规则被写到 /etc/security/aixpert/core/appliedaixpert.xml 中。可用的选项有：

h|high 指定 high 级别安全选项 m|medium 指定 medium 级别安全选项 l|low 指定 low 级别安全选项 d|default 指定 AIX standards 级别安全选项 s|sox-cobit 指定 SOX-COBIT best practices 级别安全选项 -o 将安全性输出存储到文件名指定的文件中 -u 撤销被应用的安全设置 -d 显示文档类型定义（DTD）