06用户管理与安全策略

第六章,用户管理与安全策略,第六章 用户管理与安全策略, 6.1 用户和组管理, 6.1.1,用户登陆和初始化, 6.1.2,组的分类, 6.1.3,用户划分, 6.1.4,安全性和用户菜单, 6.1.5,用户管理, 6.1.6,组的管理, 6.1.7,管理员和用户通信工具, 6.2 安全性策略, 6.2.1,安全性的概念, 6.2.2,文件和目录的存取许可权, 6.2.3,安全性文件, 6.2.4,合法性检查, 6.2.5,安全性策略要旨, 6.2.6,测试题,第六章 用户管理与安全策略(2),第六章 用户管理与安全策略(3),本章要点,定义用户和组的概念,掌握添加更改删除用户的方法,掌握添加更改删除组的方法,掌握用户口令的管理,掌握与用户通信的方法,掌握控制root 特权的原则,掌握许可权位的含义及使用,6. 1. 1 用户登陆和初始化,getty,login,用户输入用户名,系统验证用户,名和密码,设置用户环境,显示/etc/motd,shell,读取,/etc/environment,/etc/profile,$HOME/.profile,用户登陆,对直接连接的可用端口，由init启动的getty进程,将在终端上显示登录提示信息，该提示可在文件,/etc/security/login.cfg中设置,用户键入登录名后,系统将根据文件/etc/passwd,和/etc/security/passwd检查用户名及用户口令,提示信息 用户名 口令,用户环境,用户环境由以下文件来建立,/etc/environment,/etc/security/environ,/etc/security/limits,/etc/security/user,/etc/motd,login过程将当前目录设置为用户的主目录，并,且在$HOME/.hushlogin文件不存在的情况下，,将显示/etc/motd文件的内容和关于上次登录的,信息,最后控制权被传递给登录shell(在/etc/passwd,中定义) ，对于Bourne和Korn Shell，将运行,/etc/profile和$HOME/.profile文件，对Csh,则,执行$HOME/.login和$HOME/.cshrc文件,/etc/motd shell,环境变量,用户登录时系统设置用户环境主要依据下述文件,/etc/profile,设置系统范围内公共变量的shell文件，设置如TERM、,MAILMSG 、MAIL等环境变量,/etc/environment,指定对所有进程适用的基本环境变量。如HOME、,LANG、TZ 、NLSPATH等,$HOME/.profile,用户在主目录下的设置文件,6. 1. 2 组的分类,组的特点,组是用户的集合，组成员需要存取组内的共享文件,每个用户至少属于一个组，同时也可以充当多个组,的成员,用户可以存取自己组集合(group set )中的共享文件，,列出组集合可用groups 或者setgroups 命令,文件主修改主组可用newgrp 或setgroups 命令,分组策略,组的划分尽量与系统的安全性策略相一致，不要,定义太多的组，如果按照数据类型和用户类型的,每种可能组合来划分组，又将走向另一个极端，,会使得日常管理过于复杂,每个组可以任命一到多个组管理员，组管理员有,权增减组成员和任命本组的管理员,三种类型组,用户组,系统管理员组,系统定义的组,用户组,系统管理员按照用户共享文件的需要创建的，例,如同一部门，同一工程组的成员所创建的组,系统管理员组,系统管理员自动成为system组的成员，该组的成,员可以执行某些系统管理任务而无需是root用户,三种类型组(2),系统定义的组,系统预先定义了几个组，如staff是系统中新创建,的非管理用户的缺省组，security组则可以完成,有限的安全性管理工作。其他系统定义的组用来,控制一些子系统的管理任务,三种类型组(3),组的划分,在AIX系统中，一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务,system,管理大多数系统配置和维护标准软硬件,printq,管理打印队列。该组成员有权执行的典型,命令有enable、disable、qadm、qpri等,security,管理用户和组、口令和控制资源限制。该,组成员有权执行的典型命令有mkuser、,rmuser、pwdadm、chuser、chgroup等,系统定义的组,adm,执行性能、cron 、记帐等监控功能,staff,为所有新用户提供的缺省的组，管理员可以,在文件/usr/lib/security/mkuser.defaults中,修改该设置,audit,管理事件监视系统,系统定义的组(2),6. 1. 3 用户划分,root用户,管理用户,普通用户,root用户,超级用户（特权用户）,可执行所有的系统管理工作，不受任何权限限制,大多数系统管理工作可以由非root的其他用户来完成，如指定的 system、 security、printq、cron、adm、audit组的成员。,管理用户,为了保护重要的用户和组不受security组成员的,控制，AIX设置管理用户和管理组,只有root才能添加删除和修改管理用户和管理组,系统中的用户均可以被指定为管理用户,可查看文,件/etc/security/user的admin属性,# cat /etc/security/user,user1:,admin=true,6. 1. 4 安全性和用户菜单,# smitty security,6. 1. 5 用户管理,# smitty users,列示用户,# smitty lsuser,lsuser命令,在SMIT菜单选择List All Users选项时，得到的,输出是用户名、用户id、和主目录的列表；也可,以直接用lsuser命令来列示所有用户(ALL)或部,分用户的属性,lsuser命令的输出用到以下文件: /etc/passwd、,/etc/security/limits和/etc/security/user,lsuser命令(2),命令格式：,lsuser -c | -f -a attribute ALL | username ,lsuser,列表按行显示；,lsuser -c,显示的域以冒号分隔,lsuser f,按分节式的格式显示，可以指定列出全部属性或部分属性,创建用户,# smitty mkuser,用户缺省值,缺省用户的ID号取自/etc/security/.ids,设置ID的shell程序/usr/lib/security/mkuser.sys,缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user,缺省的.profile文件取自/etc/security/.profile,用户属性文件,/etc/passwd 包含用户的基本属性,/etc/group 包含组的基本属性,/etc/security/user 包含用户的扩展属性,/etc/security/limits 包含用户的运行资源限制,/etc/security/lastlog 包含用户最后登陆属性,修改用户属性,# smitty chuser,删除用户,# smitty rmuser,rmuser命令,example:,# rmuser test01,删除用户test01,# rmuser -p test01,删除用户test01，并删除与用户认证相关的信息,# rm -r /home/test01,手工删除用户的主目录,(rmuser命令并未删除用户主目录),用户口令,新建用户只有在管理员设置了初始口令之后才能使用,更改口令的两个命令,1、passwd username,此命令只有root和username本人可用,2、pwdadm username,root和security成员可用,root口令,紧急情况下删除root口令的步骤,1、从AIX 5L CD-ROM引导,2、引导时键入F5，进入安装和维护（Installation and,Maintenance）菜单下选择3：Start Maintenance,Mode For System Recovery,3、选择 Obtain a shell by activating the root volume,group并按提示继续,4、设置TERM变量，例如：# export TERM=vt100,5、通过 # vi /etc/security/passwd删除root,口令的密文,6、# sync；sync(系统同步),7、# reboot(从硬盘引导),8、从新登陆后给root设置口令,紧急情况下删除root口令的步骤,root口令(2),6. 1. 6 组的管理,# smitty groups,组的管理(2),建立组的目的是让同组的成员对共享的文件具有同,样的许可权(文件的组许可权位一致),要创建组并成为其管理员，必须是root或security,组成员。组管理员有权往组里添加其他用户,系统中已经定义了几个组，如system 组是管理用,户的组，staff 组是普通用户的组 ，其他的组与特,定应用和特定文件的所有权相联系,列示组,# smitty lsgroup,lsgroup命令,lsgroup,缺省格式，列表按行显示,lsgroup -c,显示时每个组的属性之间用冒号分隔,lsgroup f,按组名以分节式格式输出,添加组,# smitty mkgroup,mkgroup命令,mkgroup groupname,-a 用来指定该组是管理组（只有root才有权在,系统中添加管理组）,-A 用于任命创建者为组管理员,一个用户可属于132个组。ADMINISTRATOR,list是组管理员列表，组管理员有权添加或删除组,成员,更改组的属性,# smitty chgroup,更改组的属性(2),smit chgroup和chgroup命令用来更改组的特性。,只有root和security组的成员有权执行该操作,组的属性包括：,Group ID (id=groupid),Administrative group?(admin=true|false),Administrator List (adms=adminnames),User List (users=usernames),删除组,# smitty rmgroup,删除组,rmgroup用来删除一个组,对管理组而言，只有root才有权删除,组管理员可以用chgrpmen命令来增删组管理员,和组成员,motd文件,write命令,wall命令,talk命令,mesg命令,6. 1. 7 管理员和用户通信工具,管理员和用户通信工具(2),文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息,只应包含用户须知的内容,用户的主目录下如果存在文件$HOME/.hushlogin ，,则该用户登录时不显示motd 文件的内容,motd 文件,6. 2. 1 安全性的概念,系统缺省用户,root：超级用户,adm、sys、bin ：系统文件的所有者但不允许登录,安全性的概念(2),系统缺省组,system ：管理员组,staff ：普通用户组,安全性原则,用户被赋予唯一的用户名、用户ID (UID)和,口令。用户登录后，对文件访问的合法性取决,于UID,文件创建时，UID自动成为文件主。只有文,件主和root才能修改文件的访问许可权,需要共享一组文件的用户可以归入同一个组,中。每个用户可属于多个组。每个组被赋予唯,一的组名和组ID (GID)，GID也被赋予新创建的,文件,root特权的控制,严格限制具有root 特权的人数,root 口令应由系统管理员以不公开的周期更改,不同的机器采用不同的root 口令,系统管理员应以不同用户的身份登录，然后用su,命令进入特权,root 所用的PATH环境变量不要随意更改,su命令,su 命令允许切换到root 或者指定用户，从而创建,了新的会话,例如：,# su test01,$ whoami,test01,su 命令带“-” 号表示将用户环境切换到该用户初始,登录环境,例如：,$ su - test02,$ pwd,/home/test02,su 命令不指定用户时，表示切换到root,su命令(2),安全性日志,/var/adm/sulog,su 日志文件。可用pg、 more 、cat命令查看,/etc/utmp,在线用户记录。可用who 命令查看,# who -a /etc/utmp,/etc/security/failedlogin,非法和失败登录的记录，未知的登录名记为,UNKNOWN ，可用who命令查看,# who -a /etc/security/failedlogin,安全性日志(2),last命令,查看/var/adm/wtmp文件中的登录、退出历史记录。如：,# last 显示所有用户的登录、退出历史记录,# last root 显示root用户登录、退出历史记录,# last reboot 显示系统启动和重启的时间,安全性日志(3),6. 2. 2 文件和目录的存取许可权,许可权,# ls -ld /bin/passwd /tmp,-r-,s,r-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd,drwxrwxrw,t,8 bin bin 16384 Apr 16 20:08 /tmp,用户执行passwd 命令时他们的有效UID将改为root 的UID,更改许可权,example:,# chmod +t dir1,or # chmod 1770 dir1 (SVTX),# chmod g+s dir2,or # chmod 2775 dir2 (SGID),# chmod u+s dir3,or # chmod 4750 dir3 (SUID),更改所有者,example:,# chown zhang file1,# chgrp staff file1,# chown zhang:staff file,umask,umask 决定新建文件和目录的缺省许可权,/etc/security/user 指定缺省的和个别用户的umask 值,系统缺省umask=022 ，取umask=027 则提供更严格的,许可权限制,umask=022 创建的文件和目录缺省许可权如下：,普通文件 rw-r-r-,目录 rwxr-xr-x,6. 2. 3 安全性文件,/etc/passwd 合法用户（不含口令）,/etc/group 合法组,/etc/security 普通用户无权访问此目录,/etc/security/passwd 用户口令,/etc/security/user 用户属性、口令约束等,安全性文件(2),/etc/security/limits 用户使用资源限制,/etc/security/environ 用户环境限制,/etc/security/login.cfg 登录限制,/etc/security/group 组的属性,6. 2. 4 合法性检查,pwdck 验证本机认证信息的合法性,命令格式：,pwdck -n|-p|-t|-p ALL | username ,该命令用来验证本机认证信息的合法性，它将检查,/etc/passwd 和/etc/security/passwd 的一致性以,及/etc/security/login.cfg 和/etc/security/user 的,一致性,usrck 验证用户定义的合法性,命令格式：,usrck -n | -p | -t | -y ALL | username ,该命令检查 /etc/passwd、 /etc/security/user 、,/etc/limits 和/etc/security/passwd中的用户信息，,同时也检查/etc/group和/etc/security/group 以保,证数据的一致性,合法性检查(2),grpck 验证组的一致性,命令格式：,grpck -n| -p| -t |-y ALL |username ,该命令检查 /etc/group 和 /etc/security/group 、,/etc/passwd 和/etc/security/user之间的数据一致,性,合法性检查(3),命令参数的含义：,-n 报告错误但不作修改,-p 修改错误但是不输出报告,-t 报告错误并等候管理员指示是否修改,-y 修改错误并输出报告,合法性检查(4),6. 2. 5 安全性策略要旨,划分不同类型的用户和数据,按照分工的性质组织用户和组,遵循分组结构为数据设置所有者,为共享目录设置SVTX位,6. 2. 6 测试题,A user is able to get a login prompt for the server,but gets a failed login error message when trying to,login with an ID. Which of the following is the most,likely cause of this problem?,A. The hard drive is bad.,B. The /home is full.,C. The server is low on paging space.,D. The user has entered an invalid ID or password.,测试题(2),2. Which of the following files contains UID, home,directory, and shell information?,A. /etc/passwd,B. /etc/security/user,C. /etc/security/environ,D. /etc/security/passwd,测试题(3),3. After completing the installation of the Base,Operating System on one of the servers，the,system administrator would like for all users,who telnet into this machine to see a specific,message each time they successfully log in .,Which file should be edited to provide this,message?,A. /etc/motd,B. /etc/profile,C. /etc/environment,D. /etc/security/login.cfg,测试题(4),答案,1、D,2、A,3、A,