AIX 系統(tǒng)培訓(xùn)教材--6章AIX 用戶管理與安全策略

《AIX 系統(tǒng)培訓(xùn)教材--6章AIX 用戶管理與安全策略》由會員上傳分享，免費在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

第六章用戶管理與安全策略 第六章用戶管理與安全策略§6.1用戶和組管理§6.1.1用戶登陸和初始化§6.1.2組的分類§6.1.3用戶劃分§6.1.4安全性和用戶菜單§6.1.5用戶管理§6.1.6組的管理§6.1.7管理員和用戶通信工具 §6.2安全性策略§6.2.1安全性的概念§6.2.2文件和目錄的存取許可權(quán)§6.2.3安全性文件§6.2.4合法性檢查§6.2.5安全性策略要旨§6.2.6測試題第六章用戶管理與安全策略(2) 第六章用戶管理與安全策略(3)本章要點定義用戶和組的概念掌握添加更改刪除用戶的方法掌握添加更改刪除組的方法掌握用戶口令的管理掌握與用戶通信的方法掌握控制root特權(quán)的原則掌握許可權(quán)位的含義及使用 6.1.1用戶登陸和初始化gettylogin用戶輸入用戶名系統(tǒng)驗證用戶名和密碼設(shè)置用戶環(huán)境顯示/etc/motdshell讀取/etc/environment/etc/profile$HOME/.profile 用戶登陸對直接連接的可用端口，由init啟動的getty進程將在終端上顯示登錄提示信息，該提示可在文件/etc/security/login.cfg中設(shè)置用戶鍵入登錄名后,系統(tǒng)將根據(jù)文件/etc/passwd和/etc/security/passwd檢查用戶名及用戶口令提示信息用戶名口令 用戶環(huán)境用戶環(huán)境由以下文件來建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user /etc/motdlogin過程將當(dāng)前目錄設(shè)置為用戶的主目錄，并且在$HOME/.hushlogin文件不存在的情況下，將顯示/etc/motd文件的內(nèi)容和關(guān)于上次登錄的信息最后控制權(quán)被傳遞給登錄shell(在/etc/passwd中定義)，對于Bourne和KornShell，將運行/etc/profile和$HOME/.profile文件，對Csh,則執(zhí)行$HOME/.login和$HOME/.cshrc文件/etc/motdshell 環(huán)境變量用戶登錄時系統(tǒng)設(shè)置用戶環(huán)境主要依據(jù)下述文件/etc/environment指定對所有進程適用的基本環(huán)境變量。如HOME、LANG、TZ、NLSPATH等/etc/profile設(shè)置系統(tǒng)范圍內(nèi)公共變量的shell文件，設(shè)置如TERM、MAILMSG、MAIL等環(huán)境變量$HOME/.profile用戶在主目錄下的設(shè)置文件，覆蓋/etc/profile文件中的命令和選項 6.1.2組的分類組的特點組是用戶的集合，組成員需要存取組內(nèi)的共享文件每個用戶至少屬于一個組，同時也可以充當(dāng)多個組的成員用戶可以存取自己組集合(groupset)中的共享文件，列出組集合可用groups或者setgroups命令文件主修改主組可用newgrp或setgroups命令 分組策略組的劃分盡量與系統(tǒng)的安全性策略相一致，不要定義太多的組，如果按照數(shù)據(jù)類型和用戶類型的每種可能組合來劃分組，又將走向另一個極端，會使得日常管理過于復(fù)雜每個組可以任命一到多個組管理員，組管理員有權(quán)增減組成員和任命本組的管理員 三種類型組用戶組系統(tǒng)管理員組系統(tǒng)定義的組 用戶組系統(tǒng)管理員按照用戶共享文件的需要創(chuàng)建的，例如同一部門，同一工程組的成員所創(chuàng)建的組系統(tǒng)管理員組系統(tǒng)管理員自動成為system組的成員，該組的成員可以執(zhí)行某些系統(tǒng)管理任務(wù)而無需是root用戶三種類型組(2) 系統(tǒng)定義的組系統(tǒng)預(yù)先定義了幾個組，如staff是系統(tǒng)中新創(chuàng)建的非管理用戶的缺省組，security組則可以完成有限的安全性管理工作。其他系統(tǒng)定義的組用來控制一些子系統(tǒng)的管理任務(wù)三種類型組(3) 組的劃分在AIX系統(tǒng)中，一些組的成員如system、security、printq、adm等能夠執(zhí)行特定的系統(tǒng)管理任務(wù) system管理大多數(shù)系統(tǒng)配置和維護標(biāo)準(zhǔn)軟硬件printq管理打印隊列。該組成員有權(quán)執(zhí)行的典型命令有enable、disable、qadm、qpri等security管理用戶和組、口令和控制資源限制。該組成員有權(quán)執(zhí)行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系統(tǒng)定義的組 adm執(zhí)行性能、cron、記帳等監(jiān)控功能staff為所有新用戶提供的缺省的組，管理員可以在文件/usr/lib/security/mkuser.defaults中修改該設(shè)置audit管理事件監(jiān)視系統(tǒng)系統(tǒng)定義的組(2) 6.1.3用戶劃分root用戶管理用戶普通用戶 root用戶超級用戶（特權(quán)用戶）可執(zhí)行所有的系統(tǒng)管理工作，不受任何權(quán)限限制大多數(shù)系統(tǒng)管理工作可以由非root的其他用戶來完成，如指定的system、security、printq、cron、adm、audit組的成員。 管理用戶為了保護重要的用戶和組不受security組成員的控制，AIX設(shè)置管理用戶和管理組只有root才能添加刪除和修改管理用戶和管理組系統(tǒng)中的用戶均可以被指定為管理用戶,可查看文件/etc/security/user的admin屬性#cat/etc/security/useruser1:admin=true 6.1.4安全性和用戶菜單#smittysecurity 6.1.5用戶管理#smittyusers 列示用戶#smittylsuser lsuser命令在SMIT菜單選擇ListAllUsers選項時，得到的輸出是用戶名、用戶id、和主目錄的列表；也可以直接用lsuser命令來列示所有用戶(ALL)或部分用戶的屬性lsuser命令的輸出用到以下文件:/etc/passwd、/etc/security/limits和/etc/security/user lsuser命令(2)命令格式：lsuser[-c|-f][-aattribute]{ALL|username}lsuser列表按行顯示；lsuser-c顯示的域以冒號分隔lsuser–f按分節(jié)式的格式顯示，可以指定列出全部屬性或部分屬性 創(chuàng)建用戶#smittymkuser 用戶缺省值缺省用戶的ID號取自/etc/security/.ids設(shè)置ID的shell程序/usr/lib/security/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile 用戶屬性文件/etc/passwd包含用戶的基本屬性/etc/group包含組的基本屬性/etc/security/user包含用戶的擴展屬性/etc/security/limits包含用戶的運行資源限制/etc/security/lastlog包含用戶最后登陸屬性 修改用戶屬性#smittychuser 刪除用戶#smittyrmuser rmuser命令example:#rmusertest01刪除用戶test01#rmuser-ptest01刪除用戶test01，并刪除與用戶認(rèn)證相關(guān)的信息#rm-r/home/test01手工刪除用戶的主目錄(rmuser命令并未刪除用戶主目錄) 用戶口令新建用戶只有在管理員設(shè)置了初始口令之后才能使用更改口令的兩個命令1、passwdusername此命令只有root和username本人可用2、pwdadmusernameroot和security成員可用 root口令緊急情況下刪除root口令的步驟1、從AIX5LCD-ROM引導(dǎo)2、引導(dǎo)時鍵入F5，進入安裝和維護（InstallationandMaintenance）菜單下選擇3：StartMaintenanceModeForSystemRecovery3、選擇Obtainashellbyactivatingtherootvolumegroup并按提示繼續(xù)4、設(shè)置TERM變量，例如：#exportTERM=vt100 5、通過#vi/etc/security/passwd刪除root口令的密文6、#sync；sync(系統(tǒng)同步)7、#reboot(從硬盤引導(dǎo))8、從新登陸后給root設(shè)置口令緊急情況下刪除root口令的步驟root口令(2) 6.1.6組的管理#smittygroups 組的管理(2)建立組的目的是讓同組的成員對共享的文件具有同樣的許可權(quán)(文件的組許可權(quán)位一致)要創(chuàng)建組并成為其管理員，必須是root或security組成員。組管理員有權(quán)往組里添加其他用戶系統(tǒng)中已經(jīng)定義了幾個組，如system組是管理用戶的組，staff組是普通用戶的組，其他的組與特定應(yīng)用和特定文件的所有權(quán)相聯(lián)系 列示組#smittylsgroup lsgroup命令lsgroup缺省格式，列表按行顯示lsgroup-c顯示時每個組的屬性之間用冒號分隔lsgroup–f按組名以分節(jié)式格式輸出 添加組#smittymkgroup mkgroup命令mkgroupgroupname-a用來指定該組是管理組（只有root才有權(quán)在系統(tǒng)中添加管理組）-A用于任命創(chuàng)建者為組管理員一個用戶可屬于1—32個組。ADMINISTRATORlist是組管理員列表，組管理員有權(quán)添加或刪除組成員 更改組的屬性#smittychgroup 更改組的屬性(2)smitchgroup和chgroup命令用來更改組的特性。只有root和security組的成員有權(quán)執(zhí)行該操作組的屬性包括：GroupID(id=groupid)Administrativegroup?(admin=true|false)AdministratorList(adms=adminnames)UserList(users=usernames) 刪除組#smittyrmgroup 刪除組rmgroup用來刪除一個組對管理組而言，只有root才有權(quán)刪除組管理員可以用chgrpmen命令來增刪組管理員和組成員 motd文件write命令wall命令talk命令mesg命令6.1.7管理員和用戶通信工具 管理員和用戶通信工具(2)文件/etc/motd在用戶從終端成功登錄時將會顯示在屏幕上。特別適合存放版權(quán)或系統(tǒng)使用須知等長期信息只應(yīng)包含用戶須知的內(nèi)容用戶的主目錄下如果存在文件$HOME/.hushlogin，則該用戶登錄時不顯示motd文件的內(nèi)容motd文件 6.2.1安全性的概念系統(tǒng)缺省用戶root：超級用戶adm、sys、bin：系統(tǒng)文件的所有者但不允許登錄 安全性的概念(2)系統(tǒng)缺省組system：管理員組staff：普通用戶組 安全性原則用戶被賦予唯一的用戶名、用戶ID(UID)和口令。用戶登錄后，對文件訪問的合法性取決于UID文件創(chuàng)建時，UID自動成為文件主。只有文件主和root才能修改文件的訪問許可權(quán)需要共享一組文件的用戶可以歸入同一個組中。每個用戶可屬于多個組。每個組被賦予唯一的組名和組ID(GID)，GID也被賦予新創(chuàng)建的文件 root特權(quán)的控制嚴(yán)格限制具有root特權(quán)的人數(shù)root口令應(yīng)由系統(tǒng)管理員以不公開的周期更改不同的機器采用不同的root口令系統(tǒng)管理員應(yīng)以不同用戶的身份登錄，然后用su命令進入特權(quán)root所用的PATH環(huán)境變量不要隨意更改 su命令su命令允許切換到root或者指定用戶，從而創(chuàng)建了新的會話例如：#sutest01$whoamitest01 su命令帶“-”號表示將用戶環(huán)境切換到該用戶初始登錄環(huán)境例如：$su-test02$pwd/home/test02su命令不指定用戶時，表示切換到rootsu命令(2) 安全性日志/var/adm/sulogsu日志文件?？捎胮g、more、cat命令查看/etc/utmp在線用戶記錄。可用who命令查看#who-a/etc/utmp /etc/security/failedlogin非法和失敗登錄的記錄，未知的登錄名記為UNKNOWN，可用who命令查看#who-a/etc/security/failedlogin安全性日志(2) last命令查看/var/adm/wtmp文件中的登錄、退出歷史記錄。如：#last顯示所有用戶的登錄、退出歷史記錄#lastroot顯示root用戶登錄、退出歷史記錄#lastreboot顯示系統(tǒng)啟動和重啟的時間安全性日志(3) 6.2.2文件和目錄的存取許可權(quán) 許可權(quán)#ls-ld/bin/passwd/tmp-r-sr-xr-x1rootsecurity17018Jul302000/bin/passwddrwxrwxrwt8binbin16384Apr1620:08/tmp用戶執(zhí)行passwd命令時他們的有效UID將改為root的UID 更改許可權(quán)example:#chmod+tdir1or#chmod1770dir1(SVTX)#chmodg+sdir2or#chmod2775dir2(SGID)#chmodu+sdir3or#chmod4750dir3(SUID) 更改所有者example:#chownzhangfile1#chgrpstafffile1#chownzhang:stafffile umaskumask決定新建文件和目錄的缺省許可權(quán)/etc/security/user指定缺省的和個別用戶的umask值系統(tǒng)缺省umask=022，取umask=027則提供更嚴(yán)格的許可權(quán)限制umask=022創(chuàng)建的文件和目錄缺省許可權(quán)如下：普通文件rw-r--r--目錄rwxr-xr-x 6.2.3安全性文件/etc/passwd合法用戶（不含口令）/etc/group合法組/etc/security普通用戶無權(quán)訪問此目錄/etc/security/passwd用戶口令/etc/security/user用戶屬性、口令約束等 安全性文件(2)/etc/security/limits用戶使用資源限制/etc/security/environ用戶環(huán)境限制/etc/security/login.cfg登錄限制/etc/security/group組的屬性 6.2.4合法性檢查pwdck驗證本機認(rèn)證信息的合法性命令格式：pwdck{-n|-p|-t|-p}{ALL|username}該命令用來驗證本機認(rèn)證信息的合法性，它將檢查/etc/passwd和/etc/security/passwd的一致性以及/etc/security/login.cfg和/etc/security/user的一致性 usrck驗證用戶定義的合法性命令格式：usrck{-n|-p|-t|-y}{ALL|username}該命令檢查/etc/passwd、/etc/security/user、/etc/limits和/etc/security/passwd中的用戶信息，同時也檢查/etc/group和/etc/security/group以保證數(shù)據(jù)的一致性合法性檢查(2) grpck驗證組的一致性命令格式：grpck{-n|-p|-t|-y}{ALL|username}該命令檢查/etc/group和/etc/security/group、/etc/passwd和/etc/security/user之間的數(shù)據(jù)一致性合法性檢查(3) 命令參數(shù)的含義：-n——報告錯誤但不作修改-p——修改錯誤但是不輸出報告-t——報告錯誤并等候管理員指示是否修改-y——修改錯誤并輸出報告合法性檢查(4) 6.2.5安全性策略要旨劃分不同類型的用戶和數(shù)據(jù)按照分工的性質(zhì)組織用戶和組遵循分組結(jié)構(gòu)為數(shù)據(jù)設(shè)置所有者為共享目錄設(shè)置SVTX位 6.2.6測試題AuserisabletogetaloginpromptfortheserverbutgetsafailedloginerrormessagewhentryingtologinwithanID.Whichofthefollowingisthemostlikelycauseofthisproblem?A.Theharddriveisbad.B.The/homefilesystemisfull.C.Theserverislowonpagingspace.D.TheuserhasenteredaninvalidIDorpassword. 測試題(2)2.WhichofthefollowingfilescontainsUID,homedirectory,andshellinformation?A./etc/passwdB./etc/security/userC./etc/security/environD./etc/security/passwd 測試題(3)3.AftercompletingtheinstallationoftheBaseOperatingSystemononeoftheservers，thesystemadministratorwouldlikeforalluserswhotelnetintothismachinetoseeaspecificmessageeachtimetheysuccessfullylogin.Whichfileshouldbeeditedtoprovidethismessage?A./etc/motdB./etc/profileC./etc/environmentD./etc/security/login.cfg 測試題(4)答案1、D2、A3、A