eTrust Access Control控制功能详述.docx
《eTrust Access Control控制功能详述.docx》由会员分享,可在线阅读,更多相关《eTrust Access Control控制功能详述.docx(26页珍藏版)》请在冰豆网上搜索。
eTrustAccessControl控制功能详述
eTrustAccessControl控制功能详述
eTrustAccessControl提供对主机服务器的资源的通用的访问控制。
登录控制
安全方案应从对一个系统的有限制的访问开始。
eTrustAccessControl对可以登录系统的用户中进行过滤,限制他们的登录地点(控制台、modem、本地PC等)和登录时间(一周中的哪几天、每天的时间等)。
eTrustAccessControl自动执行一些基本功能如收回不使用的ID,锁住无人登录的终端和终止不活动的用户终端。
eTrustAccessControl也支持临时的用户ID,这些用户ID不在,一个有限时间中有定义,这就对第三方介入,对系统实施一些临时操作提供方便。
特别eTrustAccessControl登录控制包括:
●帐户的过期—帐户可设为指定的日期过期
●帐户的挂起—帐户可以在指定的日期被挂起
●帐户重新生效—帐户可以在指定的日期重新生效
●挂起不活动的帐户—帐户在一个指定的不活动时间周期后被挂起
●失败的登录锁定—通过一个后台进程帐户可以在多次失败登录后被收回;这一规则是可配置的。
可以设一个时间或不定义时间。
●失效—和NIS/NIS+合作使CLIENT不能到达NIS(+)Master。
也可以使eTrustAccessControl、UNIX、eTrustAccessControl政策广播机制用户失效。
●限制捕获帐户—需限制的用户帐户,eTrustAccessControl可以通过应用菜单锁定,保证用户不能进入SHELL。
●限制厂商帐户—通过登录时间/日期限制。
●不允许所有出口网络请求—用户可以设置为拒绝任何出口网络连接(见网络控制部分)。
●并发登录数—可以限制用户对一个服务器的并发登录数。
●时间、天—可以限制用户在设置的日期、时间登录。
●在假日期间的访问—在eTrustAccessContro可以定义企业的节、假日,企业中的eTrustAccessControl可以在企业节、假日中,对用户的访问进行拒绝。
●口令过期—帐户口令可在一个设置的基础上强制过期。
●可设置的友好登录—管理员可以设置用户在口令过期前,警告其必须改变口令的次数。
●维持原始登录—eTrustAccessControl跟踪用户的原始认证;无论用户用切换到别的用户,eTrustAccessControl以原始的帐户实施安全限制。
●网络资源控制—限制用户从特定的机器/主机/终端或物理终端(如哑终端)进行网络访问。
●绝对路径限制—限制用户在其它路径中使用。
这样就消除了用户使管理员执行恶意脚本或程序,从而减少恶意用户授权可能性。
●受限制的文件访问—只访问在eTrustAccessControl定义的文件。
因为在一个特别限制的组的用户,任何文件的访问都可以是有授权认证。
这就允许某用户如HTTP用户的对其资源的完全控制。
口令控制
因为目前很多系统都使用口令来做用户认证,所以对于实施可信的安全性方案而言,增强口令控制是必须的。
但在现实情况下,即使在大量使用加密的情况下,很多用户口令仍然是容易被猜出和滥用。
eTrustAccessControl以各种方式保证保证口令质量。
这中对口令质量的控制在eTrustAccessControl中是可配置的。
它提供以下口令控制的功能:
●口令期限的规则(口令的最小和最大周期)
●最小最大长度、保证口令必须有字母的大小写,数字和控制字符。
●防止重复字符
●防止口令使用帐户名
●记录口令历史,防止重复使用旧口令(最多24个)
●基于用户字典的字典检查(用户可提供所需字典)
eTrustAccessControl能发现失败的登录,并向安全管理员告警。
在反复登录系统的企图一直失败。
在一些情况下,这可以发现攻击者正在作的口令猜测。
eTrustAccessControl提供一种机制可以同步UNIX和NT服务器的口令(见政策模式数据库部分)。
以下文中我们讨论这些有关口令控制的问题。
开放的认证—对某些应用,用户从传统使用口令的方式改变为单一的用户认证方式。
新的认证方式包括使用Smart卡、声音认证和一次性口令方式。
对资源的访问控制必须有灵活性,支持多种认证政策和方法。
因为甚至在同一个企业中也可能发生有多种认证方式。
eTrustAccessControl与所有认证方式兼容,包括简单口令、加密的一次性口令、令牌设备、Smart卡和生物认证方式。
为了使用某一认证方式的登录程序,用户只需在eTrustAccessControl中登记该程序,将它加入eTrustAccessControl的配置文件即可。
LDAP支持—eTrustAccessControl已经提供导入、导出LDAP用户的样本selang用户exit程序。
如果这一exit程序安装了通过eTrustAccessControl加入UNIX环境的用户,也同时加入LDAP服务器。
以角色为基础的安全和组—eTrustAccessControl提供基于组和用户的集合的访问控制。
这些组可以基于通用安全需求,通用任务描述或企业中的Profile组的特点,它形成用于建立新用户,及通常工作的模板。
这使管理可以迅速建立用户,并能对系统作基于商业角色的一定级别的资源访问。
积累的组权利—eTrustAccessControl的这一功能提供了可配置的选项。
对一个同时属于多个组的用户如何进行授权。
eTrustAccessControl可以在两种方式中选择访问控制算法。
第一种为“标准方式”。
即当用户对一个资源的访问请求在检查过程中。
算法在用户或它所在的组在访问控制列表中第一次出现,即停止(假设用户属于多个组)。
在第二种方式称为“积累组权利”方式。
所有的该用户所属的组都被扫描,访问权利被积累。
当然,请注意,当用户在ACL中是“NONE”时,会有例外情况。
如果用户属于一个组,而这个组不能访问资源。
那这个ACL覆盖所有其它该用户对此资源的访问权限。
积累过程不再继续。
文件访问控制
UNIX操作系统对拥有ROOT访问权限的攻击者不能防护,不能提供文件的安全性。
它也不提供具有元字符的文件组的统一保护方式。
eTrustAccessControl提供完整的文件保护方式。
它能截取用户对文件的访问请求,并根据ACL决定该给用户何种访问该文件的权利。
使用eTrustAccessControl,ROOT用户就像其它用户一样被控制起来,并可以被限制,。
eTrustAccessControl提供的访问控制规则比UNIX更灵活。
它的访问规则可以针对多个用户和组。
每一用户和组都有自己的访问方式使用这一功能。
用户可以对任何文件如配置文件、日志和审计文件、数据库和个人文件进行访问控制。
使用eTrustAccessControl通用文件规则特点,用户可以使用一条规则针对系统中多个子目录,或针对多个子目录中的文件。
eTrustAccessControl整个目录中的内容。
例如/etc/*或/DIR/webserver/ht-docs/*。
eTrustAccessControl也能保护这样的文件如$HOME/*/.rhosts方式来保护所有文件的.rhosts文件。
用户可以设定一个规则用一名称保护一组文件,如/app/conf*。
这将保护/app/config.dat和/app/config.tar。
如果用户有需求对不满足目录保护和命名习惯的文件进行保护,用户可以使用GFILE类。
这一类允许用户定义一组指定的文件,并对这一组文件指定相同的访问规则。
另外,通过使用eTrustAccessControl程序化的ACLs(PACLS),用户可以保证由指定的批准的程序访问敏感资源。
例如,只能使用特定的数据库应用访问个人数据库文件。
对支持普通UNIXACL的操作系统(Solaris和HP-UX),eTrustAccessControl可以与操作系统同步访问控制ACL。
有时候,用户控制某人如何访问一个特定文件。
举个简单例子,用户可能要某人只能通过特别阅读程序读一个文件,但不能用UNIX的VI、CAT或其它命令。
通过使用eTrustAccessControl程序化的访问控制列表(PACL)或程序路径,用户可以定义一个文件缺省不能被读。
然后授权用户通过/usr/local/bin/reading(假设在这个例子中授权读这个文件的程序是reading)读文件。
最后,就如其他类一样,FILE类定义一个_default资源。
与其它类不同,这个缺省并不对所有文件。
eTrustAccessControl对FILES使用_default只用于_restricted组中定义的用户。
SUDO控制
安全管理的重要组成部分是记帐审计功能以及可信的事件审计跟踪,用于了解用户做了什么。
普通的UNIX系统可以轻易被欺骗,因为用户可以使用SU命令改变用户ID(UID)和组ID(gid)。
从UNIX的审计跟踪并不能反映这种用户ID的变化。
eTrustAccessControl则不然。
它截取、检查每一个改变用户ID的请求,并维护一个可信的审计跟踪。
与其它解决方案通过替代/bin/su程序的方式不同,eTrustAccessControl保持始终对这种事件进行控制。
即使程序改变了UID,eTrustAccessControl也一样进行控制。
这样,eTrustAccessControl就能保证原始的LoginID不会被丢失,它永远在为用户生成的日志记录中记录下来。
而且,用户的访问权限永远由它的原始登录ID来确定。
即使用户转到ROOT帐户也不能授权用户任何另外的权限。
在实际情况下,一些除了管理员之外的用户可能拥有ROOT访问权限。
例如,数据库管理员可能可能知道ROOT口令。
或者帮助台操作者也可能知道ROOT口令(帮助台用于帮助忘记口令的用户)。
在一个组织机构或企业中,为了方便某些用户的访问,有一些帐户包括ROOT经常是通用、共享的ID。
在UNIX中,没有方法保护这种访问不被滥用。
通过eTrustAccessControl,用户可以对ROOTID进行控制。
它要求用户必须使用它们自己的用户ID而不是ROOT帐户。
在UNIX中,除了限制只能将ROOT用户在主控台使用外,不能用别的方式限制ROOT登录。
用户可以从网络中登录,然后转为用户帐户。
一旦进入UNIX系统,他们可以通过各种方式获得ROOT帐户。
eTrustAccessControl只允许授权用户SU到ROOT。
未授权的用户即使知道ROOT口令也不能SU到ROOT。
而且,eTrustAccessControl能对ROOT执行的所有操作记录日志,并根据操作者的原始身份进行跟踪。
权限分解
系统管理员通常共享RootID,进行各种只有ROOT可进行的操作。
这样会使UNIX审计功能实际上失去作用。
传统的UNIX不能提供ROOT在其它用户的活动可信的跟踪记录。
eTrustAccessControl可以将ROOT权限分解。
每一管理员根据其功能角色获得超级用户ROOT权限的一个子集。
这样,企业能将传统定义的全能的超级用户消除。
如果因为各种原因,企业的组织结构不能进行这样的操作,企业可以让一些管理员仍就拥有安全的ROOT访问权限,而给其他有需求的用户ROOT访问权限的子集。
例如,在企业系统中区别管理员和操作者操作员可能只需要有限的ROOT访问子集。
eTrustAccessControl可以做到这种功能。
另外,对于有ROOT全部权限的管理员,eTrustAccessControl可以监控它们的操作。
eTrustAccessControl分权给用户作特定活动的功能,由资源类SUDO完成。
例如,我们可以在ROOT或其它用户(如ORACLE、SYBASE或WEB)上进行这种SUDO操作。
SUDO类允许一个企业定义UNIX进程在哪个用户下运行,以什么参数运行该进程。
例如:
这可以允许操作员启动备份操作、连CD-ROM或进行数据库export。
一个客户最近配置它的系统,使之允许ORACLE管理员安装和管理数据库,但不必使用ROOT帐户和密码。
程序控制
“后门”和“特洛伊木马”保护
eTrustAccessControl提供方案可以防护“后门”和“特洛伊木马”问题。
除了利用系统口令的质量问题,一些最流行的攻击UNIX的机制是基于“后门”或“特洛伊木马”方式。
“后门”是为恶意开发者有意创建产生,也有可能是由于糟糕的程序和对操作系统和程序开发语言知识了解的不足无意导致。
通过这些后门,攻击者可以欺骗操作系统,给它很大的操作权限。
另一个安全的威胁是“特洛伊木马”。
“特洛伊木马”是一个执行程序,它的功能是为了通过这一程序可以完成另外的功能的程序。
例如有这样一个程序,管理员用户一运行就能秘密被攻击者利用进入系统。
通过访问控制PROGRAM和SECFILE类,管理员可以防止这些攻击发生、控制程序。
通过使用授权(SUID/SGID)程序的使用,非ROOT用户能临时获得ROOT授权。
如果PROGRAM类与活动的,eTrustAccessControl将为允许执行被定义的SUID/SGID程序或脚本。
eTrustAccessControl拒绝任何其它SETUID/SETGID程序或脚本的执行。
它也禁止已被修改的程序或脚本的执行。
eTrustAccessControl定时检验看已登记的受信任程序已被改变。
如果一个受信任的程序被修改或替代,eTrustAccessControl将它标记为“不被信认”(UNTRUSTED)并禁止其执行。
在创建这些已授权的程序和脚本后,管理员可以定义这些程序如何被执行。
这个程序路径功能的工作方式与eTrustAccessControl对文件的控制是一样的。
被监控的文件
通过eTrustAccessControl的SECFILE类,管理员可以定义一些关键的,一段时间内不大会改变的文件。
如果这些文件被修改,用于检验的eTrustAccessControl的进程就会发现,将审计记录写入审计文件。
这一功能与免费软件TRIPWIRE程序提供的功能类似。
但eTrustAccessControl可以保护那些审计记录和基线信息不被攻击。
即使是超级用户ROOT也不能修改审计记录。
这里,eTrustAccessControl的优势就不言而喻了。
进程控制
在UNIX中,WEB服务器、数据库服务器和所有其它服务在系统中都是以DAEMON方式运行的。
这些活动进程动态回复来自客户端的请求。
从系统的安全性考虑,保护这些服务的可用性显然是非常重要的。
当未授权的个人试图进行入侵时,维护进程的可用性就成为一个安全挑战了。
同时,任何以ROOT用户登录的人可能因为误操作或恶意地关闭这些服务进程(使用KILL命令)。
使用eTrustAccessControlPROCESS类,一个管理员可以控制局面。
它保证只有授权的用户可以终止相关进程。
这种授权包括时间、日期、从那个终端进行处理等。
网络控制
控制网络访问
网络访问的挑战来自如何保证在网络中允许授权用户进行访问,阻止非授权用户的访问。
eTrustAccessControl提供对网络通讯中入口和出口的双向的控制。
这使由eTrustAccessControl保护的服务器拥有自身的防火墙功能。
eTrustAccessControl网络安全和配置是通过TERMINAL、HOST、CONNECT和TCP类实现的。
TERMINAL类以主机(终端)和用户名为基础控制对一个机器的访问。
HOST类对一台机器的访问控制以主机和服务(TCP端口号或名称)为基础。
CONNECT类对出口的控制对目标机器和服务为基础。
TCP类控制入口和出口连接,它以服务和主机为基础,对出口的类被激活。
HOST和CONNECT类必须关闭。
TCP类组织访问规则是以服务而非主机;而HOST和CONNECT是以主机组织控制规则。
控制也能时间和一周中的日期来施行。
例如,如果用户有一台机器叫做SAVING,它上面运行eTrustAccessControl。
你可以允许WEB流量。
这样雇员可以看他们的401(k)信息。
为了实现这一功能。
你可以定义一个TCP资源称做TCP,缺省的访问是读(对入口网络流量)。
你可以接着用设置TCP资源_default拒绝其它TCP访问。
从管理角度而言,你可以有选择地授权其它TCP服务。
相反,使用HOST类,这将比较困难实施。
因为你必须显性地对所有可能需要访问WEB的主机授权。
如TCPWRAPPER不同,eTrustAccessControl的保护可以应用于所有网络端口,而不管的使用什么程序访问网络。
eTrustAccessControl也能锁住特定用户,在一个机器中,使它们不能以一台机器作跳板,访问别的机器。
这通常在供应商对某一个应用提供远程支持时非常有用。
他们被授权可以访问这一个机器,但他们没有理由和可能去你网络中的其它机器。
使用一个单独的进程,SEREVU,eTrustAccessControl能指明在UNIX登录时猜口令的企图,并根据配置作出反应。
这种反应甚至可包括锁住用户的动作。
审计控制
在一个好的安全管理方案中必须有完善的审计跟踪。
安全管理员是必须在可靠的审计数据基础上跟踪系统配制的变化和对安全事件的反应,所以审计数据必须完整和精确。
在普通UNIX环境下,你永远不能保证你在日志文件中看到的信息是精确和完整的。
任何获得ROOT访问权限的人可以删除和修改操作系统中任何日志文件,这样,系统对他们的操做的审计形同虚设。
eTrustAccessControl运行时,系统的审计文件不会被任何人篡改。
另外,对eTrustAccessControl规则的任何变化始终会被进行审计。
eTrustAccessControl保护审计记录,它也能将日志转发到任何别的地方。
这样,审计数据就绝对可靠。
eTrustAccessControl可以在以下情况下记录系统安全审计事件:
访问成功、失败、两者都有或没有。
审计与否都取决于管理员的认可和访问资源的重要程度。
除了对特定资源的审计访问,eTrustAccessControl还能对单一用户配置审计活动。
eTrustAccessControl也能在所有系统事件发生时动态监控、跟踪也能用于排错或对用户活动的详细信息的需求。
eTrustAccessControl具有审计转发的机制。
它的日志转发和日志搜集机制是通过selogrd和selogrcd的搜集者DAEMON完成。
eTrustAccessControl在一个企业中可以有多个审计信息搜集点,搜集以不同过滤规则创建的不同版本的数据。
为了进一步保护你的eTrustAccessControl的日志,你能使用eTrustAccessControl强大的日志转发功能将在不同机器上的审计日志转发到单一的机器。
日志转发功能提供很多过滤选项,这样你可以选择发送一些或所有日志到集中的服务器。
审计数据也可以传送给任何事件监控和跟踪系统。
这可以通过日志转发配置文件来配置,或通过eTrustControl提供的API开发日志转发功能。
eTrustAccessControl已经内置转发审计数据到email、PAGER和终端的功能。
eTrustAccessControl安全监控器(SECMON)是一个实时的图形化安全信息搜集功能。
eTrustAccessControl的审计数据可以转发到对应的SECMON上显示。
操作者和监控者可以实时接收事件和反应。
审计事件
安全管理员可以选择除了缺省的访问控制启动和关闭以外,还审计什么事件。
eTrustAccessControl其它事件审计选项包括监控用户登录、退出、对资源的访问和目录改变命令的事件。
eTrustAccessControl控制谁可以定义和观看审计记录。
在eTrustAccessControl中有一个特别允许标志--审计标志来确定允许谁可以观看审计记录。
安全管理员没有审计员标志,所以可以建立一个单独的组来审计系统活动和事件。
审计过滤可以通过包含方式或排除方式。
它也支持元字符方式。
审计方式可以用类、用户、资源、访问方式、成功方式、日期、时间、登录和退出方式设置。
访问控制审计数据也包括告警方式事件。
当一个安全规则设为告警方式,对应于那条规则的访问控制限制并不实施,但访问控制被记日志。
这对eTrustAccessControl中安全管理新规则的实施是有好处的。
eTrustAccessControl审计事件可以用命令行工具SEAUDIT来观看。
该命令可以带很多命令行选项来使输出格式化,以及按选项过滤输出。
这些选项可以包括资源的类型、日期、时间等。
可以使常用的UNIX工具和脚本生成客户化的报告。
SEAUDIT还有一个GUI界面的相同命令:
SEAUDITX。
在eTrustAccessControl运行时,你仍能使用现有的审计系统,如SYSLOG。
这样做的好处是SYSLOG可以被eTrustAccessControl保护,这样SYSLOG就更可靠了。
eTrustAcessControl安装
eTrustAccessControl的安装可以分为两种情况,第一种将console端装在windows上,第二种把console装在Unix端。
在下面的叙述中,分开介绍这些安装模式。
eTrustAC5.1ForWindows安装步骤
1.在C:
\WINNT\system32\drivers\etc\hosts文件里添加主机列表
2.将光盘放入驱动器内系统将自动启动相关程序,如图点击Install
3.选择安装语言为英语;
4.单击Next
5.选择安装路径,单击Next
6.选择custon安装方式,单击Next
7.如图选择安装的选项
8.选择创建PolicyModelMaster,并选择合适的名字:
pmdb,单击Next
9.选择合适的管理用户和管理控制机,单击Next
10.选择域名bjwcb.gov,单击Next
11.选择导入WindowsNT数据,单击Next
12.选择将审计事件发往Unicnter管理机,并给出管理机名称:
tngadmin,单击Next
13.不改变加密密齿,单击Next
14.单击Finish
15.单击Ok重新启动机器
UNIX端安装
eTrustAC(Base)安装
1.以root登录
login:
root
Password:
2.创建/usr/seos目录
#cdusr
#mkdirseos
#./install_base
3.TargetDirectory:
/usr/seos
Sourceinstallationfile(s):
/usr/./_HPUX11_500.tar.Z
Groupowneroffiles:
0
Interactivesetup:
yes
InstallingthefollowingeTrustpackage(s):
-Clientpackage
-Serverpackage
Forinstallationoptions,pleaseuse'install_base-h'.
Select