第六章 用戶管理與安全策略 第六章用戶管理與安全策略 6 1用戶和組管理 6 1 1用戶登陸和初始化 6 1 2組的分類 6 1 3用戶劃分 6 1 4安全性和用戶菜單 6 1 5用戶管理 6 1 6組的管理 6 1 7管理員和用戶通信工具 6 2安全性策略 6 2 1安全性的概念 6 2 2文件和目錄的存取許可權(quán) 6 2 3安全性文件 6 2 4合法性檢查 6 2 5安全性策略要旨 6 2 6測(cè)試題 第六章用戶管理與安全策略 2 第六章用戶管理與安全策略 3 本章要點(diǎn) 定義用戶和組的概念掌握添加更改刪除用戶的方法掌握添加更改刪除組的方法掌握用戶口令的管理掌握與用戶通信的方法掌握控制root特權(quán)的原則掌握許可權(quán)位的含義及使用 6 1 1用戶登陸和初始化 getty login 用戶輸入用戶名 系統(tǒng)驗(yàn)證用戶名和密碼 設(shè)置用戶環(huán)境 顯示 etc motd shell 讀取 etc environment etc profile HOME profile 用戶登陸 對(duì)直接連接的可用端口 由init啟動(dòng)的getty進(jìn)程將在終端上顯示登錄提示信息 該提示可在文件 etc security login cfg中設(shè)置用戶鍵入登錄名后 系統(tǒng)將根據(jù)文件 etc passwd和 etc security passwd檢查用戶名及用戶口令 提示信息用戶名口令 用戶環(huán)境 用戶環(huán)境由以下文件來建立 etc environment etc security environ etc security limits etc security user etc motd login過程將當(dāng)前目錄設(shè)置為用戶的主目錄 并且在 HOME hushlogin文件不存在的情況下 將顯示 etc motd文件的內(nèi)容和關(guān)于上次登錄的信息最后控制權(quán)被傳遞給登錄shell 在 etc passwd中定義 對(duì)于Bourne和KornShell 將運(yùn)行 etc profile和 HOME profile文件 對(duì)Csh 則執(zhí)行 HOME login和 HOME cshrc文件 etc motdshell 環(huán)境變量 用戶登錄時(shí)系統(tǒng)設(shè)置用戶環(huán)境主要依據(jù)下述文件 etc profile設(shè)置系統(tǒng)范圍內(nèi)公共變量的shell文件 設(shè)置如TERM MAILMSG MAIL等環(huán)境變量 etc environment指定對(duì)所有進(jìn)程適用的基本環(huán)境變量 如HOME LANG TZ NLSPATH等 HOME profile用戶在主目錄下的設(shè)置文件 6 1 2組的分類 組的特點(diǎn) 組是用戶的集合 組成員需要存取組內(nèi)的共享文件每個(gè)用戶至少屬于一個(gè)組 同時(shí)也可以充當(dāng)多個(gè)組的成員用戶可以存取自己組集合 groupset 中的共享文件 列出組集合可用groups或者setgroups命令文件主修改主組可用newgrp或setgroups命令 分組策略 組的劃分盡量與系統(tǒng)的安全性策略相一致 不要定義太多的組 如果按照數(shù)據(jù)類型和用戶類型的每種可能組合來劃分組 又將走向另一個(gè)極端 會(huì)使得日常管理過于復(fù)雜每個(gè)組可以任命一到多個(gè)組管理員 組管理員有權(quán)增減組成員和任命本組的管理員 三種類型組 用戶組系統(tǒng)管理員組系統(tǒng)定義的組 用戶組 系統(tǒng)管理員按照用戶共享文件的需要?jiǎng)?chuàng)建的 例如同一部門 同一工程組的成員所創(chuàng)建的組 系統(tǒng)管理員組 系統(tǒng)管理員自動(dòng)成為system組的成員 該組的成員可以執(zhí)行某些系統(tǒng)管理任務(wù)而無需是root用戶 三種類型組 2 系統(tǒng)定義的組 系統(tǒng)預(yù)先定義了幾個(gè)組 如staff是系統(tǒng)中新創(chuàng)建的非管理用戶的缺省組 security組則可以完成有限的安全性管理工作 其他系統(tǒng)定義的組用來控制一些子系統(tǒng)的管理任務(wù) 三種類型組 3 組的劃分 在AIX系統(tǒng)中 一些組的成員如system security printq adm等能夠執(zhí)行特定的系統(tǒng)管理任務(wù) system管理大多數(shù)系統(tǒng)配置和維護(hù)標(biāo)準(zhǔn)軟硬件printq管理打印隊(duì)列 該組成員有權(quán)執(zhí)行的典型命令有enable disable qadm qpri等security管理用戶和組 口令和控制資源限制 該組成員有權(quán)執(zhí)行的典型命令有mkuser rmuser pwdadm chuser chgroup等 系統(tǒng)定義的組 adm執(zhí)行性能 cron 記帳等監(jiān)控功能staff為所有新用戶提供的缺省的組 管理員可以在文件 usr lib security mkuser defaults中修改該設(shè)置audit管理事件監(jiān)視系統(tǒng) 系統(tǒng)定義的組 2 6 1 3用戶劃分 root用戶管理用戶普通用戶 root用戶 超級(jí)用戶 特權(quán)用戶 可執(zhí)行所有的系統(tǒng)管理工作 不受任何權(quán)限限制大多數(shù)系統(tǒng)管理工作可以由非root的其他用戶來完成 如指定的system security printq cron adm audit組的成員 管理用戶 為了保護(hù)重要的用戶和組不受security組成員的控制 AIX設(shè)置管理用戶和管理組只有root才能添加刪除和修改管理用戶和管理組系統(tǒng)中的用戶均可以被指定為管理用戶 可查看文件 etc security user的admin屬性 cat etc security useruser1 admin true 6 1 4安全性和用戶菜單 smittysecurity 6 1 5用戶管理 smittyusers 列示用戶 smittylsuser lsuser命令 在SMIT菜單選擇ListAllUsers選項(xiàng)時(shí) 得到的輸出是用戶名 用戶id 和主目錄的列表 也可以直接用lsuser命令來列示所有用戶 ALL 或部分用戶的屬性lsuser命令的輸出用到以下文件 etc passwd etc security limits和 etc security user lsuser命令 2 命令格式 lsuser c f aattribute ALL username lsuser列表按行顯示 lsuser c顯示的域以冒號(hào)分隔lsuser f按分節(jié)式的格式顯示 可以指定列出全部屬性或部分屬性 創(chuàng)建用戶 smittymkuser 用戶缺省值 缺省用戶的ID號(hào)取自 etc security ids設(shè)置ID的shell程序 usr lib security mkuser sys缺省特性取自 usr lib security mkuser default etc security user缺省的 profile文件取自 etc security profile 用戶屬性文件 etc passwd包含用戶的基本屬性 etc group包含組的基本屬性 etc security user包含用戶的擴(kuò)展屬性 etc security limits包含用戶的運(yùn)行資源限制 etc security lastlog包含用戶最后登陸屬性 修改用戶屬性 smittychuser 刪除用戶 smittyrmuser rmuser命令 example rmusertest01刪除用戶test01 rmuser ptest01刪除用戶test01 并刪除與用戶認(rèn)證相關(guān)的信息 rm r home test01手工刪除用戶的主目錄 rmuser命令并未刪除用戶主目錄 用戶口令 新建用戶只有在管理員設(shè)置了初始口令之后才能使用更改口令的兩個(gè)命令1 passwdusername此命令只有root和username本人可用2 pwdadmusernameroot和security成員可用 root口令 緊急情況下刪除root口令的步驟 1 從AIX5LCD ROM引導(dǎo)2 引導(dǎo)時(shí)鍵入F5 進(jìn)入安裝和維護(hù) InstallationandMaintenance 菜單下選擇3 StartMaintenanceModeForSystemRecovery3 選擇Obtainashellbyactivatingtherootvolumegroup并按提示繼續(xù)4 設(shè)置TERM變量 例如 exportTERM vt100 5 通過 vi etc security passwd刪除root口令的密文6 sync sync 系統(tǒng)同步 7 reboot 從硬盤引導(dǎo) 8 從新登陸后給root設(shè)置口令 緊急情況下刪除root口令的步驟 root口令 2 6 1 6組的管理 smittygroups 組的管理 2 建立組的目的是讓同組的成員對(duì)共享的文件具有同樣的許可權(quán) 文件的組許可權(quán)位一致 要?jiǎng)?chuàng)建組并成為其管理員 必須是root或security組成員 組管理員有權(quán)往組里添加其他用戶系統(tǒng)中已經(jīng)定義了幾個(gè)組 如system組是管理用戶的組 staff組是普通用戶的組 其他的組與特定應(yīng)用和特定文件的所有權(quán)相聯(lián)系 列示組 smittylsgroup lsgroup命令 lsgroup缺省格式 列表按行顯示lsgroup c顯示時(shí)每個(gè)組的屬性之間用冒號(hào)分隔lsgroup f按組名以分節(jié)式格式輸出 添加組 smittymkgroup mkgroup命令 mkgroupgroupname a用來指定該組是管理組 只有root才有權(quán)在系統(tǒng)中添加管理組 A用于任命創(chuàng)建者為組管理員一個(gè)用戶可屬于1 32個(gè)組 ADMINISTRATORlist是組管理員列表 組管理員有權(quán)添加或刪除組成員 更改組的屬性 smittychgroup 更改組的屬性 2 smitchgroup和chgroup命令用來更改組的特性 只有root和security組的成員有權(quán)執(zhí)行該操作組的屬性包括 GroupID id groupid Administrativegroup admin true false AdministratorList adms adminnames UserList users usernames 刪除組 smittyrmgroup 刪除組 rmgroup用來刪除一個(gè)組對(duì)管理組而言 只有root才有權(quán)刪除組管理員可以用chgrpmen命令來增刪組管理員和組成員 motd文件write命令wall命令talk命令mesg命令 6 1 7管理員和用戶通信工具 管理員和用戶通信工具 2 文件 etc motd在用戶從終端成功登錄時(shí)將會(huì)顯示在屏幕上 特別適合存放版權(quán)或系統(tǒng)使用須知等長(zhǎng)期信息只應(yīng)包含用戶須知的內(nèi)容用戶的主目錄下如果存在文件 HOME hushlogin 則該用戶登錄時(shí)不顯示motd文件的內(nèi)容 motd文件 6 2 1安全性的概念 系統(tǒng)缺省用戶 root 超級(jí)用戶adm sys bin 系統(tǒng)文件的所有者但不允許登錄 安全性的概念 2 系統(tǒng)缺省組 system 管理員組staff 普通用戶組 安全性原則 用戶被賦予唯一的用戶名 用戶ID UID 和口令 用戶登錄后 對(duì)文件訪問的合法性取決于UID文件創(chuàng)建時(shí) UID自動(dòng)成為文件主 只有文件主和root才能修改文件的訪問許可權(quán)需要共享一組文件的用戶可以歸入同一個(gè)組中 每個(gè)用戶可屬于多個(gè)組 每個(gè)組被賦予唯一的組名和組ID GID GID也被賦予新創(chuàng)建的文件 root特權(quán)的控制 嚴(yán)格限制具有root特權(quán)的人數(shù)root口令應(yīng)由系統(tǒng)管理員以不公開的周期更改不同的機(jī)器采用不同的root口令系統(tǒng)管理員應(yīng)以不同用戶的身份登錄 然后用su命令進(jìn)入特權(quán)root所用的PATH環(huán)境變量不要隨意更改 su命令 su命令允許切換到root或者指定用戶 從而創(chuàng)建了新的會(huì)話例如 sutest01 whoamitest01 su命令帶 號(hào)表示將用戶環(huán)境切換到該用戶初始登錄環(huán)境例如 su test02 pwd home test02su命令不指定用戶時(shí) 表示切換到root su命令 2 安全性日志 var adm sulogsu日志文件 可用pg more cat命令查看 etc utmp在線用戶記錄 可用who命令查看 who a etc utmp etc security failedlogin非法和失敗登錄的記錄 未知的登錄名記為UNKNOWN 可用who命令查看 who a etc security failedlogin 安全性日志 2 last命令查看 var adm wtmp文件中的登錄 退出歷史記錄 如 last顯示所有用戶的登錄 退出歷史記錄 lastroot顯示root用戶登錄 退出歷史記錄 lastreboot顯示系統(tǒng)啟動(dòng)和重啟的時(shí)間 安全性日志 3 6 2 2文件和目錄的存取許可權(quán) 許可權(quán) ls ld bin passwd tmp r sr xr x1rootsecurity17018Jul302000 bin passwddrwxrwxrwt8binbin16384Apr1620 08 tmp用戶執(zhí)行passwd命令時(shí)他們的有效UID將改為root的UID 更改許可權(quán) example chmod tdir1or chmod1770dir1 SVTX chmodg sdir2or chmod2775dir2 SGID chmodu sdir3or chmod4750dir3 SUID 更改所有者 example chownzhangfile1 chgrpstafffile1 chownzhang stafffile umask umask決定新建文件和目錄的缺省許可權(quán) etc security user指定缺省的和個(gè)別用戶的umask值系統(tǒng)缺省umask 022 取umask 027則提供更嚴(yán)格的許可權(quán)限制umask 022創(chuàng)建的文件和目錄缺省許可權(quán)如下 普通文件rw r r 目錄rwxr xr x 6 2 3安全性文件 etc passwd合法用戶 不含口令 etc group合法組 etc security普通用戶無權(quán)訪問此目錄 etc security passwd用戶口令 etc security user用戶屬性 口令約束等 安全性文件 2 etc security limits用戶使用資源限制 etc security environ用戶環(huán)境限制 etc security login cfg登錄限制 etc security group組的屬性 6 2 4合法性檢查 pwdck驗(yàn)證本機(jī)認(rèn)證信息的合法性 命令格式 pwdck n p t p ALL username 該命令用來驗(yàn)證本機(jī)認(rèn)證信息的合法性 它將檢查 etc passwd和 etc security passwd的一致性以及 etc security login cfg和 etc security user的一致性 usrck驗(yàn)證用戶定義的合法性 命令格式 usrck n p t y ALL username 該命令檢查 etc passwd etc security user etc limits和 etc security passwd中的用戶信息 同時(shí)也檢查 etc group和 etc security group以保證數(shù)據(jù)的一致性 合法性檢查 2 grpck驗(yàn)證組的一致性 命令格式 grpck n p t y ALL username 該命令檢查 etc group和 etc security group etc passwd和 etc security user之間的數(shù)據(jù)一致性 合法性檢查 3 命令參數(shù)的含義 n 報(bào)告錯(cuò)誤但不作修改 p 修改錯(cuò)誤但是不輸出報(bào)告 t 報(bào)告錯(cuò)誤并等候管理員指示是否修改 y 修改錯(cuò)誤并輸出報(bào)告 合法性檢查 4 6 2 5安全性策略要旨 劃分不同類型的用戶和數(shù)據(jù)按照分工的性質(zhì)組織用戶和組遵循分組結(jié)構(gòu)為數(shù)據(jù)設(shè)置所有者為共享目錄設(shè)置SVTX位 6 2 6測(cè)試題 AuserisabletogetaloginpromptfortheserverbutgetsafailedloginerrormessagewhentryingtologinwithanID Whichofthefollowingisthemostlikelycauseofthisproblem A Theharddriveisbad B The homefilesystemisfull C Theserverislowonpagingspace D TheuserhasenteredaninvalidIDorpassword 測(cè)試題 2 2 WhichofthefollowingfilescontainsUID homedirectory andshellinformation A etc passwdB etc security userC etc security environD etc security passwd 測(cè)試題 3 3 AftercompletingtheinstallationoftheBaseOperatingSystemononeoftheservers thesystemadministratorwouldlikeforalluserswhotelnetintothismachinetoseeaspecificmessageeachtimetheysuccessfullylogin Whichfileshouldbeeditedtoprovidethismessage A etc motdB etc profileC etc environmentD etc security login cfg 測(cè)試題 4 答案1 D2 A3 A