使用 AIX Security Expert 简化复杂的系统调优

核心提示： 高级安全不允许任何使用明文密码的访问并避免端口扫描，它最适合于那些包含重要机密数据的服务器，使用 AIX Security Expert 简化复杂的系统调优(3)，中级安全启用一些常用的安全实践，比如端口扫描保护和强制性密码，不应该在网络安装管理 (NIM) 服务器上应用中级安全，因为它会禁用

高级安全不允许任何使用明文密码的访问并避免端口扫描。它最适合于那些包含重要机密数据的服务器。中级安全启用一些常用的安全实践，比如端口扫描保护和强制性密码，它还启用 Telnet 和 FTP 等服务。这适合于公司防火墙后面的服务器。低级安全提供比 AIX 默认安全设置高的安全性。它适合于公司防火墙后面需要广泛访问的服务器。默认级安全是 AIX 的标准安全级别。应用这个安全级别会让系统处于一般的 AIX 开放状态（即安装前的初始状态）。关于其他 AIX Security Expert 设置的信息，请参见 “Under Control”。

使用时的注意事项

在应用高级安全时，用户应该注意几点。一定要在系统上安装 SSH 或类似的网络访问方法，因为 AIX Security Expert 会禁用所有使用明文密码的访问方法，比如 Telnet、FTP、rlogin 和 remote shell (RSH)。应该有至少一个具有登录权限的一般用户，因为 AIX Security Expert 会禁用远程根用户登录和控制台根用户登录。要想执行任何特权操作，用户只能作为一般用户登录系统，然后通过 su 变成根用户。如果系统依赖于 SUID/SGID 命令执行特权操作，或者系统上安装的任何第三方应用程序（比如 Oracle）依赖于这些命令，那么一定不要选中 Disable SUID of Commands 组中的 File Permissions Manager 规则。

在应用中级安全时，用户应该注意他们的应用程序是否调用或依赖于 SUID/SGID 程序，因为 File Permissions Manager 规则会从一组命令中删除 SUID/SGID。另外，不应该在网络安装管理 (NIM) 服务器上应用中级安全，因为它会禁用 tftp，而 NIM 服务器需要通过 tftp 把引导映像传输到 NIM 客户机。