AIX V6 中的可信执行环境

本文介绍 IBM® AIX® V6.1 的高级安全功能，即可信执行环境（trusted execution environment）。本文旨在为 AIX 系统管理员提供有关如何在运行时以及待机时确保系统完整性的介绍。作为了解可信执行环境的起点，本文还将介绍最常用的命令和示例。

您可以访问“AIX 6 资源中心”了解更多的 AIX 6 的新特性：

• AIX 6 资源中心

引言

在系统安全性方面，内部威胁被认为比外部威胁具有更高的严重度。系统中存在需要 root 权限才能执行的系统命令、内核扩展模块和文件。所有这些内容控制着系统的总体安全模型。这些文件是系统关键型文件，它们失去完整性会威胁到总体系统安全性。

失去完整性可能导致您在执行 ls 命令时，不是列出该目录的内容，而是删除了目录中存在的所有文件。还有更糟糕的情况，当您运行完整性受到破坏的 telnet 命令时，该命令打开到远程计算机的 telnet 会话，但是在同时，该命令存储了您的凭据（用户名和密码），并将它们发送到第三方。

这些场景提高了对安全操作系统的要求，其中只有可信的二进制文件（或 libraries/scripts/shells）才允许运行。AIX V6.1 提供了这样一个安全功能，即可信执行（Trusted Execution，TE）环境。

什么是可信执行环境？

可以将可信执行视为一组监督系统完整性的功能集合。可信执行环境维护一个可信数据库，其中存储有系统关键型文件的信任值。除了这个数据库以外，TE 还实现了安全策略，从而增添了另一个级别的系统安全性。本文稍后的各个部分将详细介绍这些功能。

可信执行环境与可信计算基础之比较

可信计算基础（Trusted Computing Base，TCB）是 4.1 版以后的 IBM AIX 版本提供的安全功能。可信计算基础涉及到定期检查系统的完整性（这是使用 cron 作业机制来实现的），以便在特定的时间间隔之后检查系统的完整性。

在运行时检查文件的完整性是非常关键的；因此，建议使用可信执行。运行时可信执行在每次执行命令时检查命令的各个重要属性。

可信执行环境是 IBM AIX V6.1 的高级安全功能，相对于 TCB 提供了以下优点：

• 可信计算基础只是一个安装时选项，并且若要在现有的 AIX 计算机上启用 TCB，您需要重新安装整个 AIX 操作系统。然而，TE 允许在任何时候启用或禁用完整性检查功能。
• 可信执行支持在每当执行任何命令的时候执行运行时完整性检查，而 TCB 主要执行定期的系统完整性检查。

总而言之，与 TCB 提供的功能相比，TE 具有更多的功能。

如何启用可信执行环境

可信执行环境功能要求将 AIX V6.1 作为操作系统。它是基本操作系统文件集 bos.rte.security 的一部分。此外，还要确保在该操作系统上安装 CryptoLite for C Library (CLiC) 及其关联的内核扩展。TE 需要这些文件集才能工作。使用以下 lslpp 命令来检查 CLiC 及其内核扩展是否已安装：

本文转自IBM Developerworks中国

      请点击此处查看全文