配置 ASET

本节介绍了如何配置 ASET，还介绍了 ASET 的运行环境。

ASET 所需的管理和配置操作最少。在大多数情况下，可以使用缺省值运行 ASET。但是，也可以微调某些影响 ASET 操作和行为的参数，以便最大程度发挥此工具的优点。更改缺省值之前，应了解 ASET 如何运行以及它如何影响系统组件。

ASET 依靠四个配置文件来控制其任务的行为：

• /usr/aset/asetenv

• /usr/aset/masters/tune.low

• /usr/aset/masters/tune.med

• /usr/aset/masters/tune.high

修改环境文件 (asetenv )

/usr/aset/asetenv 文件包含两个主要部分：

• 用户可配置的环境变量部分

• 内部环境变量部分

您可以更改用户可配置的参数部分。但是，内部环境变量部分中的设置仅供内部使用，不应修改这些设置。

您可以编辑用户可配置部分中的各项以执行以下操作：

• 选择要运行的任务

• 指定系统文件检查任务的目录

• 安排 ASET 执行

• 指定 UID 别名文件

• 将检查扩展到 NIS+ 表

选择要运行的任务： TASKS

ASET 执行的每项任务都会监视系统安全的特定方面。在大多数系统环境中，必须执行所有任务以便在各方面都可保证安全性。但是，您可能会决定删除一项或多项任务。

例如，防火墙任务可以在所有安全级别下运行，但是仅在高安全级别下执行操作。您可能希望在高安全级别运行 ASET，但是不需要防火墙保护。

可以将 ASET 设置为在没有防火墙功能的情况下在高安全级别运行。为此，可编辑 asetenv 文件中的环境变量的 TASKS 列表。缺省情况下，TASKS 列表包含所有的 ASET 任务。要删除某项任务，请从此文件中删除与此任务相关的环境变量。在这种情况下，可从列表中删除 firewall 环境变量。下次运行 ASET 时，便不会执行已排除的任务。

以下示例显示了包含所有 ASET 任务的 TASKS 列表。

TASKS=”env sysconfig usrgrp tune cklist eeprom firewall”

指定系统文件检查任务的目录： CKLISTPATH

系统文件检查会检查选定系统目录中的文件属性。可以使用以下环境变量来定义要检查的目录。

CKLISTPATH_LOW 变量定义要在低安全级别检查的目录。CKLISTPATH_MED 和 CKLISTPATH_HIGH 环境变量可分别在中安全级别和高安全级别实现类似的功能。

环境变量在较低安全级别定义的目录列表应该是在下一个较高级别定义的目录列表的子集。例如，为 CKLISTPATH_LOW 指定的所有目录应该包括在 CKLISTPATH_MED 中。同样，为 CKLISTPATH_MED 指定的所有目录应该包括在 CKLISTPATH_HIGH 中。

针对这些目录执行的检查并不是递归的。ASET 仅检查在环境变量中显式列出的那些目录，而不检查其子目录。

可以编辑这些环境变量定义，以添加或删除需要 ASET 检查的目录。请注意，这些核对表仅适用于通常不会每日更改的系统文件。例如，用户的起始目录通常动态地频繁更新，因此不适合选择用作核对表的目录。

安排 ASET 执行： PERIODIC_SCHEDULE

您可以交互地启动 ASET，也可以使用 -p 选项来请求 ASET 任务在预定时间运行。您可以定期在系统需求较少时运行 ASET。例如，ASET 可参阅 PERIODIC_SCHEDULE 来确定执行 ASET 任务的频率以及运行这些任务的时间。有关设置 ASET 使其定期运行的详细说明，请参见如何定期运行 ASET。

PERIODIC_SCHEDULE 的格式遵循 crontab 项的格式。有关完整信息，请参见 crontab(1)。

指定别名文件： UID_ALIASES

UID_ALIASES 变量可指定用于列出共享 UID 的别名文件。缺省文件为 /usr/aset/masters/uid_aliases。

将检查扩展到 NIS+ 表： YPCHECK

YPCHECK 环境变量可指定 ASET 是否也应该检查系统配置文件表。YPCHECK 为布尔变量。 只能将 YPCHECK 指定为 true 或 false。缺省值为 false，它将禁用 NIS+ 表检查。

要了解此环境变量如何运行，请考虑其对 passwd 文件的影响。设置为 false 时，ASET 会检查本地 passwd 文件。如果设置 true，此任务还将检查系统域的 NIS+ passwd 表。

尽管 ASET 会自动修复本地文件，但是 ASET 仅报告 NIS+ 表中的潜在问题，而不会更改这些表。

修改调优文件

ASET 使用三个主调优文件 tune.low、tune.med 和 tune.high 来放松或加强对关键系统文件的访问。这些主文件位于 /usr/aset/masters 目录中。可以修改这些文件以适合您的环境。有关示例，请参见调优文件示例。

tune.low 文件可将权限设置为适合于缺省系统设置的值。tune.med 文件可进一步限制这些权限。tune.med 文件还包括 tune.low 中没有的项。tune.high 文件可更进一步限制这些权限。

可以通过添加或删除文件项来修改调优文件中的设置。无法有效地将权限设置为比当前设置限制少的值。除非将系统安全降至更低的级别，否则 ASET 任务不会放松权限。