[Español] Pues sí, estimados lectores, recientemente tuve que auditar entornos AIX (ya sabéis, esos UNIX propietarios de IBM), por lo que he pensado que sería interesante exponer una serie de consejos sobre cómo auditarlos.
[English] True, my dear readers, recently I had to perform an audit on AIX systems (you know, those proprietary IBM UNIX), so I thought it would be interesting to expose a series of tips on how to audit them.
Guías de seguridad AIX recomendadas: / Recommended AIX security guides:
• AIX Security Expert
• AIX Version 6.1: Security
• Securing an IBM Aix Server
• Hardening your AIX Security
• Santosh Gupta’s passion for AIX
Algunos mis consejos para una rápida revisión:
• Revisar los permisos en el directorio /etc
• Revisar y desactivar los servicios innecesarios en /etc/inted.conf, /etc/inittab, /etc/rc.nfs y /etc/rc.tcpip
• Ejecutar el comando oslevel para obtener la versión
• Ejecutar el comando instfix –I | grep ML para ver los parches instalados
• Aunque parezca mentira recientemente salió una vulnerabilidad en Sendmail (CVE-2012-2200)
• Revisar las políticas de seguridad y permisos de Java
• El fichero /etc/motd tiene que incluir un mensaje corporativo
• Determinar si se instaló con TCB, ejecutando: tcbck –y ALL
• Buscar programas con SETUID / SETGID: find / \( -perm -004000 –o perm -002000 \) –type f -ls
• Establecer el umask a los usuarios en /etc/security/user
• Mirar en los directorios de /root y usuarios por certificados privados
• Si tienes licencia de Nessus o Nexpose serán tus amigos, o Metasploit si eres más atrevido 😉
Some my tips for a quick review:
• Review the permissions on /etc directory
• Check and disable unnecessary services in /etc/inittab, /etc/rc.nfs, /etc/inted.conf and /etc/rc.tcpip
• Execute the oslevel command to obtain the version
• Execute the command instfix – I | grep ML to see installed patches
• Oddly enough recently a vulnerability in Sendmail (CVE-2012-2200) was released
• Review the security policies and permissions of Java
• The /etc/motd file must include a corporate message
• Determine if system was installed with TCB, run: tcbck – y ALL
• Look for programs with SETUID / SETGID: find / \( -perm -004000 –o perm -002000 \) –type f –ls
• Set the umask for users in /etc/security/user file
• Look in /root and users directories for private certificates / keys
• If you have a license for Nessus or Nexpose they are your friends, or Metasploit if you’re more daring 😉
Si sabemos Shell Scripting podemos automatizar prácticamente todo el proceso por lo que nuestra labor será más fácil, segura y rápida.
¿Y tú qué utilizas para auditar AIX?
If we know Shell Scripting we can automatize the entire process by which our work will be easier, safer and faster.
What do you use for AIX audits?
— Simon Roses Femerling