用户管理与安全策略.ppt

第六章 用户管理与安全策略 第六章用户管理与安全策略 6 1用户和组管理 6 1 1用户登陆和初始化 6 1 2组的分类 6 1 3用户划分 6 1 4安全性和用户菜单 6 1 5用户管理 6 1 6组的管理 6 1 7管理员和用户通信工具 6 2安全性策略 6 2 1安全性的概念 6 2 2文件和目录的存取许可权 6 2 3安全性文件 6 2 4合法性检查 6 2 5安全性策略要旨 6 2 6测试题 第六章用户管理与安全策略 2 第六章用户管理与安全策略 3 本章要点 定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root特权的原则掌握许可权位的含义及使用 6 1 1用户登陆和初始化 getty login 用户输入用户名 系统验证用户名和密码 设置用户环境 显示 etc motd shell 读取 etc environment etc profile HOME profile 用户登陆 对直接连接的可用端口 由init启动的getty进程将在终端上显示登录提示信息 该提示可在文件 etc security login cfg中设置用户键入登录名后 系统将根据文件 etc passwd和 etc security passwd检查用户名及用户口令 提示信息用户名口令 用户环境 用户环境由以下文件来建立 etc environment etc security environ etc security limits etc security user etc motd login过程将当前目录设置为用户的主目录 并且在 HOME hushlogin文件不存在的情况下 将显示 etc motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell 在 etc passwd中定义 对于Bourne和KornShell 将运行 etc profile和 HOME profile文件 对Csh 则执行 HOME login和 HOME cshrc文件 etc motdshell 环境变量 用户登录时系统设置用户环境主要依据下述文件 etc profile设置系统范围内公共变量的shell文件 设置如TERM MAILMSG MAIL等环境变量 etc environment指定对所有进程适用的基本环境变量 如HOME LANG TZ NLSPATH等 HOME profile用户在主目录下的设置文件 6 1 2组的分类 组的特点 组是用户的集合 组成员需要存取组内的共享文件每个用户至少属于一个组 同时也可以充当多个组的成员用户可以存取自己组集合 groupset 中的共享文件 列出组集合可用groups或者setgroups命令文件主修改主组可用newgrp或setgroups命令 分组策略 组的划分尽量与系统的安全性策略相一致 不要定义太多的组 如果按照数据类型和用户类型的每种可能组合来划分组 又将走向另一个极端 会使得日常管理过于复杂每个组可以任命一到多个组管理员 组管理员有权增减组成员和任命本组的管理员 三种类型组 用户组系统管理员组系统定义的组 用户组 系统管理员按照用户共享文件的需要创建的 例如同一部门 同一工程组的成员所创建的组 系统管理员组 系统管理员自动成为system组的成员 该组的成员可以执行某些系统管理任务而无需是root用户 三种类型组 2 系统定义的组 系统预先定义了几个组 如staff是系统中新创建的非管理用户的缺省组 security组则可以完成有限的安全性管理工作 其他系统定义的组用来控制一些子系统的管理任务 三种类型组 3 组的划分 在AIX系统中 一些组的成员如system security printq adm等能够执行特定的系统管理任务 system管理大多数系统配置和维护标准软硬件printq管理打印队列 该组成员有权执行的典型命令有enable disable qadm qpri等security管理用户和组 口令和控制资源限制 该组成员有权执行的典型命令有mkuser rmuser pwdadm chuser chgroup等 系统定义的组 adm执行性能 cron 记帐等监控功能staff为所有新用户提供的缺省的组 管理员可以在文件 usr lib security mkuser defaults中修改该设置audit管理事件监视系统 系统定义的组 2 6 1 3用户划分 root用户管理用户普通用户 root用户 超级用户 特权用户 可执行所有的系统管理工作 不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成 如指定的system security printq cron adm audit组的成员 管理用户 为了保护重要的用户和组不受security组成员的控制 AIX设置管理用户和管理组只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户 可查看文件 etc security user的admin属性 cat etc security useruser1 admin true 6 1 4安全性和用户菜单 smittysecurity 6 1 5用户管理 smittyusers 列示用户 smittylsuser lsuser命令 在SMIT菜单选择ListAllUsers选项时 得到的输出是用户名 用户id 和主目录的列表 也可以直接用lsuser命令来列示所有用户 ALL 或部分用户的属性lsuser命令的输出用到以下文件 etc passwd etc security limits和 etc security user lsuser命令 2 命令格式 lsuser c f aattribute ALL username lsuser列表按行显示 lsuser c显示的域以冒号分隔lsuser f按分节式的格式显示 可以指定列出全部属性或部分属性 创建用户 smittymkuser 用户缺省值 缺省用户的ID号取自 etc security ids设置ID的shell程序 usr lib security mkuser sys缺省特性取自 usr lib security mkuser default etc security user缺省的 profile文件取自 etc security profile 用户属性文件 etc passwd包含用户的基本属性 etc group包含组的基本属性 etc security user包含用户的扩展属性 etc security limits包含用户的运行资源限制 etc security lastlog包含用户最后登陆属性 修改用户属性 smittychuser 删除用户 smittyrmuser rmuser命令 example rmusertest01删除用户test01 rmuser ptest01删除用户test01 并删除与用户认证相关的信息 rm r home test01手工删除用户的主目录 rmuser命令并未删除用户主目录 用户口令 新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令1 passwdusername此命令只有root和username本人可用2 pwdadmusernameroot和security成员可用 root口令 紧急情况下删除root口令的步骤 1 从AIX5LCD ROM引导2 引导时键入F5 进入安装和维护 InstallationandMaintenance 菜单下选择3 StartMaintenanceModeForSystemRecovery3 选择Obtainashellbyactivatingtherootvolumegroup并按提示继续4 设置TERM变量 例如 exportTERM vt100 5 通过 vi etc security passwd删除root口令的密文6 sync sync 系统同步 7 reboot 从硬盘引导 8 从新登陆后给root设置口令 紧急情况下删除root口令的步骤 root口令 2 6 1 6组的管理 smittygroups 组的管理 2 建立组的目的是让同组的成员对共享的文件具有同样的许可权 文件的组许可权位一致 要创建组并成为其管理员 必须是root或security组成员 组管理员有权往组里添加其他用户系统中已经定义了几个组 如system组是管理用户的组 staff组是普通用户的组 其他的组与特定应用和特定文件的所有权相联系 列示组 smittylsgroup lsgroup命令 lsgroup缺省格式 列表按行显示lsgroup c显示时每个组的属性之间用冒号分隔lsgroup f按组名以分节式格式输出 添加组 smittymkgroup mkgroup命令 mkgroupgroupname a用来指定该组是管理组 只有root才有权在系统中添加管理组 A用于任命创建者为组管理员一个用户可属于1 32个组 ADMINISTRATORlist是组管理员列表 组管理员有权添加或删除组成员 更改组的属性 smittychgroup 更改组的属性 2 smitchgroup和chgroup命令用来更改组的特性 只有root和security组的成员有权执行该操作组的属性包括 GroupID id groupid Administrativegroup admin true false AdministratorList adms adminnames UserList users usernames 删除组 smittyrmgroup 删除组 rmgroup用来删除一个组对管理组而言 只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员 motd文件write命令wall命令talk命令mesg命令 6 1 7管理员和用户通信工具 管理员和用户通信工具 2 文件 etc motd在用户从终端成功登录时将会显示在屏幕上 特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件 HOME hushlogin 则该用户登录时不显示motd文件的内容 motd文件 6 2 1安全性的概念 系统缺省用户 root 超级用户adm sys bin 系统文件的所有者但不允许登录 安全性的概念 2 系统缺省组 system 管理员组staff 普通用户组 安全性原则 用户被赋予唯一的用户名 用户ID UID 和口令 用户登录后 对文件访问的合法性取决于UID文件创建时 UID自动成为文件主 只有文件主和root才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组中 每个用户可属于多个组 每个组被赋予唯一的组名和组ID GID GID也被赋予新创建的文件 root特权的控制 严格限制具有root特权的人数root口令应由系统管理员以不公开的周期更改不同的机器采用不同的root口令系统管理员应以不同用户的身份登录 然后用su命令进入特权root所用的PATH环境变量不要随意更改 su命令 su命令允许切换到root或者指定用户 从而创建了新的会话例如 sutest01 whoamitest01 su命令带 号表示将用户环境切换到该用户初始登录环境例如 su test02 pwd home test02su命令不指定用户时 表示切换到root su命令 2 安全性日志 var adm sulogsu日志文件 可用pg more cat命令查看 etc utmp在线用户记录 可用who命令查看 who a etc utmp etc security failedlogin非法和失败登录的记录 未知的登录名记为UNKNOWN 可用who命令查看 who a etc security failedlogin 安全性日志 2 last命令查看 var adm wtmp文件中的登录 退出历史记录 如 last显示所有用户的登录 退出历史记录 lastroot显示root用户登录 退出历史记录 lastreboot显示系统启动和重启的时间 安全性日志 3 6 2 2文件和目录的存取许可权 许可权 ls ld bin passwd tmp r sr xr x1rootsecurity17018Jul302000 bin passwddrwxrwxrwt8binbin16384Apr1620 08 tmp用户执行passwd命令时他们的有效UID将改为root的UID 更改许可权 example chmod tdir1or chmod1770dir1 SVTX chmodg sdir2or chmod2775dir2 SGID chmodu sdir3or chmod4750dir3 SUID 更改所有者 example chownzhangfile1 chgrpstafffile1 chownzhang stafffile umask umask决定新建文件和目录的缺省许可权 etc security user指定缺省的和个别用户的umask值系统缺省umask 022 取umask 027则提供更严格的许可权限制umask 022创建的文件和目录缺省许可权如下 普通文件rw r r 目录rwxr xr x 6 2 3安全性文件 etc passwd合法用户 不含口令 etc group合法组 etc security普通用户无权访问此目录 etc security passwd用户口令 etc security user用户属性 口令约束等 安全性文件 2 etc security limits用户使用资源限制 etc security environ用户环境限制 etc security login cfg登录限制 etc security group组的属性 6 2 4合法性检查 pwdck验证本机认证信息的合法性 命令格式 pwdck n p t p ALL username 该命令用来验证本机认证信息的合法性 它将检查 etc passwd和 etc security passwd的一致性以及 etc security login cfg和 etc security user的一致性 usrck验证用户定义的合法性 命令格式 usrck n p t y ALL username 该命令检查 etc passwd etc security user etc limits和 etc security passwd中的用户信息 同时也检查 etc group和 etc security group以保证数据的一致性 合法性检查 2 grpck验证组的一致性 命令格式 grpck n p t y ALL username 该命令检查 etc group和 etc security group etc passwd和 etc security user之间的数据一致性 合法性检查 3 命令参数的含义 n 报告错误但不作修改 p 修改错误但是不输出报告 t 报告错误并等候管理员指示是否修改 y 修改错误并输出报告 合法性检查 4 6 2 5安全性策略要旨 划分不同类型的用户和数据按照分工的性质组织用户和组遵循分组结构为数据设置所有者为共享目录设置SVTX位 6 2 6测试题 AuserisabletogetaloginpromptfortheserverbutgetsafailedloginerrormessagewhentryingtologinwithanID Whichofthefollowingisthemostlikelycauseofthisproblem A Theharddriveisbad B The homefilesystemisfull C Theserverislowonpagingspace D TheuserhasenteredaninvalidIDorpassword 测试题 2 2 WhichofthefollowingfilescontainsUID homedirectory andshellinformation A etc passwdB etc security userC etc security environD etc security passwd 测试题 3 3 AftercompletingtheinstallationoftheBaseOperatingSystemononeoftheservers thesystemadministratorwouldlikeforalluserswhotelnetintothismachinetoseeaspecificmessageeachtimetheysuccessfullylogin Whichfileshouldbeeditedtoprovidethismessage A etc motdB etc profileC etc environmentD etc security login cfg 测试题 4 答案1 D2 A3 A