2009年3月21日金港赛道活动
2009年3月23日
看来3月份大家基本上都没闲着,几乎每个周末都连着赛道活动。的确,压抑了一个冬天,是时候该放松放松了。虽然工作很忙,周末加班,但我还是挤出点儿时间去了。这次活动来的人更多了……以后随着天气渐渐暖和了,相信赛道活动会越来越多、越来越频繁的;而参与的车与人也会越来越多的。呃~~~!
为“圈内人士”做点贡献!自己写了一个比较全的AIX系统安全加固手册
2009年3月12日
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
保时捷——我的第二梦想!
2009年3月12日
上周六的金港赛道活动,我是严重受了刺激!以前刚学会开车那会儿就梦想着哪天能够拥有一辆BMW。现在BMW开了1年了又开始不知足了……看着人家的保时捷,我口水都快流下来了。不过想想也是,人就是应该在不断的刺激下向着目标去努力,这样活着才算真正有价值。我喜欢车,特别是改装车和跑车,尤其是保时捷和法拉利,简直是疯狂的状态。赛车运动实在太有吸引力和诱惑力了,它的魅力是无限的,几乎在每个男人的心里都对赛车运动充满了渴望。赛车运动完全是一种健康的、积极向上的运动,它充满了活力、挑战、刺激,使人的心态更加年轻,更富有激情!因为,赛车运动除了能够刺激人的肾上腺素之外,还可以吸引漂亮MM!!!算一算,我今年25岁,我努力奋斗5年,希望我能在30岁之前开上保时捷(最起码也是卡雷拉级别的)!我要以此为目标,坚持不懈的努力,我相信在未来的5年中,我必将会实现我的第二个梦想!
BMW车会的DX写的,感觉不错。转载——《就国内外车价差异有感》
2009年3月12日
国内的朋友们总是在争论一个问题,国外的车价便宜.今天我来说下我的看法,对比中国和美国的车价,确实是很大差距,基本能有100%左右的价差,而且越是贵的车,价差越大,但是朋友们你们可曾想过如此便宜的车价,那么在国外是否就应该满大街都是m.amg,porsche,牛马呢?回答是不是,只有富裕阶层才能开上好车,本地人跟国内是一样的,除了留学群体以外你几乎很难看见国内的风景,10几,20岁的孩子开车豪华跑车.你们就没什么疑问吗为什么车价如此便宜,一台f430也不过150多万人民币,怎么那么便宜,911 turbo不过8,90万,m5,m6才60来万,应该无数人买的起啊.这个问题应该从以下几个方面回答:
1.首先,车价便宜不代表别的便宜,养车绝对比国内要贵的多,国外的人工是什么价位,我曾经在bmw换了一套ac的原装踏板,连部件+安装花了800,还是900加币,按当时汇率=5500多人民币.除此之外象换胎啊,其他的什么只要跟手工沾边都贵,养车不便宜,保险死贵,以前m3没折扣,一年5500加币保险=3万5rmb一年,普通3系保险也在4000加币左右=2万5rmb.
2.北美的生活花费比国内要大的多,随便外面吃个小饭馆都要5,600人民币,2个人小吃个kfc花3,400同志们觉得怎么样,随便进个超市买1000 多rmb的牛奶,生肉,水果不知道你们觉得如何,其他的就不列举了,到是是吃鲍鱼,鱼翅,龙虾,皇帝蟹比国内便宜不是一点半点,可是这些谁天天当饭吃,还是得按基本生活标准来衡量,我总结了一下,在中国贵的国外便宜,中国便宜的要死的,这边很贵.
3.房价,国内房子再贵,同志们别说在小城市,我就是北京的.在北京3,500 万买的房子应该很好吧,100,200万也能住吧,1000万以上的应该很不错吧.在加拿大,折合700多万人民币的房子那是最基本的,不过就是个 single house远没有国内的别墅好,4,500万的house比比皆是,这个价位的房子建筑面积都在400平米以内,好的house有,基本4000万 rmb-1.2亿rmb之间,It's totally like a dream.下面是国内普及的公寓,在我们这300多rmb万只能买个一室一厅的高级公寓,面积你们别笑70平米左右吧,象国内买的几百万一套那种公寓, 在这里都要4000万rmb以上,800万以上-2000万级别的公寓在这要1.5亿rmb左右,再好的就是国内5000万左右的,在这3亿左右.
美国比这边的生活花消水平要低一些,但是也低不了太多,基本差不太多,欧洲什么样我不清楚没生活过,希望朋友们看过我的帖子就不用质疑我们车便宜的问题了,再便宜该买不起还是买不起,跟价格无关,我觉得中国的生活花消要是跟我们一样,车就算卖的跟我们一样便宜,你们也不能随便买个 porsche,m5,m6象现在买个3系一样吧,希望国内的朋友也能真实客观的了解我们在国外的苦与乐,在国外享乐奢侈的以留学生居多,移民也有,但比例太小,以我3年的接触,正经商人家的孩子也不是很过分,奔驰宝马奥迪居多,偶尔有个m,amg,911,但基本都不是顶级型号,很多家长不是太灌孩子,我相信大多数有为商人在教育子女上是正确的,引导他们先有能力挣钱再考虑消费.而相反很多10几,20出头的小孩出入都是casino的,开车都是各车厂顶级型号的,例如 m5,m6,cls550,63,sl550,600,63,s63,911 turbo,gt3,aston martin,r8,f430我不清楚有没有留学生开,我见过的都是本地白人老头和一些体育文艺明星,但是听说留学生有3个人开lambo lp560的,我是没见过,听着挺骇人的,都是来学习的,开lambo进学校不知道老师看了怎么想,是震撼中国人的富足还是.........这些人当中一大半家里都不是经商的,都是从政的各地方官员,剩下的从说话谈吐以小城市暴发户居多,普遍地产业,煤炭资源业,剩下就是各大国企.我曾经也是留学生,所以耳濡目染了解清楚,圈子太小了,还好一直洁身自好不屑与某些人为伍,主要还是觉得丢不起人,太张扬,缺乏家教素质了.
在加拿大,在北美的兄弟,同意我观点的就顶一个.
1.首先,车价便宜不代表别的便宜,养车绝对比国内要贵的多,国外的人工是什么价位,我曾经在bmw换了一套ac的原装踏板,连部件+安装花了800,还是900加币,按当时汇率=5500多人民币.除此之外象换胎啊,其他的什么只要跟手工沾边都贵,养车不便宜,保险死贵,以前m3没折扣,一年5500加币保险=3万5rmb一年,普通3系保险也在4000加币左右=2万5rmb.
2.北美的生活花费比国内要大的多,随便外面吃个小饭馆都要5,600人民币,2个人小吃个kfc花3,400同志们觉得怎么样,随便进个超市买1000 多rmb的牛奶,生肉,水果不知道你们觉得如何,其他的就不列举了,到是是吃鲍鱼,鱼翅,龙虾,皇帝蟹比国内便宜不是一点半点,可是这些谁天天当饭吃,还是得按基本生活标准来衡量,我总结了一下,在中国贵的国外便宜,中国便宜的要死的,这边很贵.
3.房价,国内房子再贵,同志们别说在小城市,我就是北京的.在北京3,500 万买的房子应该很好吧,100,200万也能住吧,1000万以上的应该很不错吧.在加拿大,折合700多万人民币的房子那是最基本的,不过就是个 single house远没有国内的别墅好,4,500万的house比比皆是,这个价位的房子建筑面积都在400平米以内,好的house有,基本4000万 rmb-1.2亿rmb之间,It's totally like a dream.下面是国内普及的公寓,在我们这300多rmb万只能买个一室一厅的高级公寓,面积你们别笑70平米左右吧,象国内买的几百万一套那种公寓, 在这里都要4000万rmb以上,800万以上-2000万级别的公寓在这要1.5亿rmb左右,再好的就是国内5000万左右的,在这3亿左右.
美国比这边的生活花消水平要低一些,但是也低不了太多,基本差不太多,欧洲什么样我不清楚没生活过,希望朋友们看过我的帖子就不用质疑我们车便宜的问题了,再便宜该买不起还是买不起,跟价格无关,我觉得中国的生活花消要是跟我们一样,车就算卖的跟我们一样便宜,你们也不能随便买个 porsche,m5,m6象现在买个3系一样吧,希望国内的朋友也能真实客观的了解我们在国外的苦与乐,在国外享乐奢侈的以留学生居多,移民也有,但比例太小,以我3年的接触,正经商人家的孩子也不是很过分,奔驰宝马奥迪居多,偶尔有个m,amg,911,但基本都不是顶级型号,很多家长不是太灌孩子,我相信大多数有为商人在教育子女上是正确的,引导他们先有能力挣钱再考虑消费.而相反很多10几,20出头的小孩出入都是casino的,开车都是各车厂顶级型号的,例如 m5,m6,cls550,63,sl550,600,63,s63,911 turbo,gt3,aston martin,r8,f430我不清楚有没有留学生开,我见过的都是本地白人老头和一些体育文艺明星,但是听说留学生有3个人开lambo lp560的,我是没见过,听着挺骇人的,都是来学习的,开lambo进学校不知道老师看了怎么想,是震撼中国人的富足还是.........这些人当中一大半家里都不是经商的,都是从政的各地方官员,剩下的从说话谈吐以小城市暴发户居多,普遍地产业,煤炭资源业,剩下就是各大国企.我曾经也是留学生,所以耳濡目染了解清楚,圈子太小了,还好一直洁身自好不屑与某些人为伍,主要还是觉得丢不起人,太张扬,缺乏家教素质了.
在加拿大,在北美的兄弟,同意我观点的就顶一个.
2009年3月7日金港赛道活动相片
2009年3月9日
2009年3月7日,我们欧德车队组织了金港赛道活动。在开始前先来几张相片刺激一下:今天的主角之一,保时捷卡雷拉,可惜不是S的。还有一辆是GT3,来的晚了一些,所以没照上。不过后面有在赛道中的相片。看看老余,他总爱站在人家车旁边一个劲儿的看呀看的,其实他自己就拥有2辆BMW。另外值得一提的是:常来欧德车队论坛的一位天津的兄弟开着他的国内首台正式进口的EVO 10专程从天津赶来参加活动,其精神可嘉,应该鼓励,请大家一起拍手为他鼓掌,“呱唧呱唧”!
大家都做好了准备,开始“豁”了。
来几张我们欧德车队的206赛车特写:
终于开始了,分小组下场:
赛道内保时捷GT3的英姿:
保时捷卡雷拉 VS GT3
结束了……大家玩的都很开心,我也看的很过瘾!
再来两张特写吧:
当然了,赛车运动除了刺激人的肾上腺素之外,还能够吸引漂亮MM,下面的这个MM是开BMW 1系来的,不过她主要是为了观战。
最后一张,其实还是飞机最快!!!
特别感谢欧德车队的“小吴”和Bimmers BMW俱乐部的“轻轻”提供的部分相片!!!
大家都做好了准备,开始“豁”了。
来几张我们欧德车队的206赛车特写:
终于开始了,分小组下场:
赛道内保时捷GT3的英姿:
保时捷卡雷拉 VS GT3
结束了……大家玩的都很开心,我也看的很过瘾!
再来两张特写吧:
当然了,赛车运动除了刺激人的肾上腺素之外,还能够吸引漂亮MM,下面的这个MM是开BMW 1系来的,不过她主要是为了观战。
最后一张,其实还是飞机最快!!!
特别感谢欧德车队的“小吴”和Bimmers BMW俱乐部的“轻轻”提供的部分相片!!!
