1、第六章,用户管理与安全策略,第六章 用户管理与安全策略, 6.1 用户和组管理 6.1.1 用户登陆和初始化 6.1.2 组的分类 6.1.3 用户划分 6.1.4 安全性和用户菜单 6.1.5 用户管理 6.1.6 组的管理 6.1.7 管理员和用户通信工具, 6.2 安全性策略 6.2.1 安全性的概念 6.2.2 文件和目录的存取许可权 6.2.3 安全性文件 6.2.4 合法性检查 6.2.5 安全性策略要旨 6.2.6 测试题,第六章 用户管理与安全策略(2),第六章 用户管理与安全策略(3),本章要点,定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用
2、户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用,6. 1. 1 用户登陆和初始化,getty,login,用户输入用户名,系统验证用户 名和密码,设置用户环境,显示/etc/motd,shell,读取 /etc/environment/etc/profile$HOME/.profile,用户登陆,对直接连接的可用端口,由init启动的getty进程将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg中设置用户键入登录名后,系统将根据文件/etc/passwd和/etc/security/passwd检查用户名及用
3、户口令,提示信息 用户名 口令,用户环境,用户环境由以下文件来建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user,/etc/motd,login过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对Csh,则 执行$
4、HOME/.login和$HOME/.cshrc文件,/etc/motd shell,环境变量,用户登录时系统设置用户环境主要依据下述文件/etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量/etc/environment 指定对所有进程适用的基本环境变量。如HOME、LANG、TZ 、NLSPATH等$HOME/.profile 用户在主目录下的设置文件,覆盖/etc/profile文件中 的命令和选项,6. 1. 2 组的分类,组的特点,组是用户的集合,组成员需要存取组内的共享文件每个用户至少属于一个组,同时也可以充当多个
5、组 的成员用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令文件主修改主组可用newgrp 或setgroups 命令,分组策略,组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员,三种类型组,用户组系统管理员组系统定义的组,用户组,系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组,系统管理员组,系统管理员自动成为sy
6、stem组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户,三种类型组(2),系统定义的组,系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务,三种类型组(3),组的划分,在AIX系统中,一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务,system 管理大多数系统配置和维护标准软硬件printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri等security
7、管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等,系统定义的组,adm 执行性能、cron 、记帐等监控功能staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置audit 管理事件监视系统,系统定义的组(2),6. 1. 3 用户划分,root用户管理用户普通用户,root用户,超级用户(特权用户)可执行所有的系统管理工作,不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成,如指定的 system、 se
8、curity、printq、cron、adm、audit组的成员。,管理用户,为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性# cat /etc/security/user user1: admin=true,6. 1. 4 安全性和用户菜单,# smitty security,6. 1. 5 用户管理,# smitty users,列示用户,# smitty lsuser,lsuser命令,在SMIT菜单选择L
9、ist All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user,lsuser命令(2),命令格式: lsuser -c | -f -a attribute ALL | username lsuser 列表按行显示;lsuser -c 显示的域以冒号分隔lsuser f 按分节式的格式显示,可以指定列出全部属性或部分属性,创建用户,# smitty mkuser,用
10、户缺省值,缺省用户的ID号取自/etc/security/.ids设置ID的shell程序/usr/lib/security/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile,用户属性文件,/etc/passwd 包含用户的基本属性 /etc/group 包含组的基本属性 /etc/security/user 包含用户的扩展属性 /etc/security/limits 包含用户的运行资源限制 /etc/security/lastlog
11、 包含用户最后登陆属性,修改用户属性,# smitty chuser,删除用户,# smitty rmuser,rmuser命令,example:# rmuser test01 删除用户test01# rmuser -p test01 删除用户test01,并删除与用户认证相关的信息# rm -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录),用户口令,新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令1、passwd username此命令只有root和username本人可用2、pwdadm usernameroot和security
12、成员可用,root口令,紧急情况下删除root口令的步骤,1、从AIX 5L CD-ROM引导2、引导时键入F5,进入安装和维护(Installation and Maintenance)菜单下选择3:Start Maintenance Mode For System Recovery3、选择 Obtain a shell by activating the root volume group并按提示继续4、设置TERM变量,例如:# export TERM=vt100,5、通过 # vi /etc/security/passwd删除root口令的密文6、# sync;sync(系统同步)7、
13、# reboot(从硬盘引导)8、从新登陆后给root设置口令,紧急情况下删除root口令的步骤,root口令(2),6. 1. 6 组的管理,# smitty groups,组的管理(2),建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可权位一致)要创建组并成为其管理员,必须是root或security 组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组,如system 组是管理用 户的组,staff 组是普通用户的组 ,其他的组与特 定应用和特定文件的所有权相联系,列示组,# smitty lsgroup,lsgroup命令,lsgroup 缺省格式,列表按
14、行显示lsgroup -c 显示时每个组的属性之间用冒号分隔lsgroup f 按组名以分节式格式输出,添加组,# smitty mkgroup,mkgroup命令,mkgroup groupname-a 用来指定该组是管理组(只有root才有权在系统中添加管理组)-A 用于任命创建者为组管理员一个用户可属于132个组。ADMINISTRATOR list是组管理员列表,组管理员有权添加或删除组 成员,更改组的属性,# smitty chgroup,更改组的属性(2),smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作组的属性包
15、括: Group ID (id=groupid) Administrative group?(admin=true|false)Administrator List (adms=adminnames) User List (users=usernames),删除组,# smitty rmgroup,删除组,rmgroup用来删除一个组对管理组而言,只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员 和组成员,motd文件write命令wall命令talk命令mesg命令,6. 1. 7 管理员和用户通信工具,管理员和用户通信工具(2),文件/etc/motd在用户从终端成功
16、登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin , 则该用户登录时不显示motd 文件的内容,motd 文件,6. 2. 1 安全性的概念,系统缺省用户,root:超级用户adm、sys、bin :系统文件的所有者但不允许登录,安全性的概念(2),系统缺省组,system :管理员组staff :普通用户组,安全性原则,用户被赋予唯一的用户名、用户ID (UID)和 口令。用户登录后,对文件访问的合法性取决 于UID文件创建时,UID自动成为文件主。只有文 件主和root才能修改文件的访问许可权
17、需要共享一组文件的用户可以归入同一个组 中。每个用户可属于多个组。每个组被赋予唯 一的组名和组ID (GID),GID也被赋予新创建的 文件,root特权的控制,严格限制具有root 特权的人数root 口令应由系统管理员以不公开的周期更改不同的机器采用不同的root 口令系统管理员应以不同用户的身份登录,然后用su 命令进入特权root 所用的PATH环境变量不要随意更改,su命令,su 命令允许切换到root 或者指定用户,从而创建 了新的会话例如: # su test01 $ whoami test01,su 命令带“-” 号表示将用户环境切换到该用户初始登录环境例如:$ su - te
18、st02$ pwd/home/test02su 命令不指定用户时,表示切换到root,su命令(2),安全性日志,/var/adm/sulogsu 日志文件。可用pg、 more 、cat命令查看/etc/utmp在线用户记录。可用who 命令查看 # who -a /etc/utmp,/etc/security/failedlogin非法和失败登录的记录,未知的登录名记为 UNKNOWN ,可用who命令查看# who -a /etc/security/failedlogin,安全性日志(2),last命令查看/var/adm/wtmp文件中的登录、退出历史记录。如:# last 显示所有用
19、户的登录、退出历史记录# last root 显示root用户登录、退出历史记录# last reboot 显示系统启动和重启的时间,安全性日志(3),6. 2. 2 文件和目录的存取许可权,许可权,# ls -ld /bin/passwd /tmp-r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd drwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp用户执行passwd 命令时他们的有效UID将改为root 的UID,更改许可权,example:# chmod +t dir1 or # chmo
20、d 1770 dir1 (SVTX)# chmod g+s dir2 or # chmod 2775 dir2 (SGID)# chmod u+s dir3 or # chmod 4750 dir3 (SUID),更改所有者,example:# chown zhang file1# chgrp staff file1# chown zhang:staff file,umask,umask 决定新建文件和目录的缺省许可权/etc/security/user 指定缺省的和个别用户的umask 值系统缺省umask=022 ,取umask=027 则提供更严格的 许可权限制umask=022 创建的
21、文件和目录缺省许可权如下:普通文件 rw-r-r-目录 rwxr-xr-x,6. 2. 3 安全性文件,/etc/passwd 合法用户(不含口令)/etc/group 合法组/etc/security 普通用户无权访问此目录/etc/security/passwd 用户口令/etc/security/user 用户属性、口令约束等,安全性文件(2),/etc/security/limits 用户使用资源限制/etc/security/environ 用户环境限制/etc/security/login.cfg 登录限制/etc/security/group 组的属性,6. 2. 4 合法性检查
22、,pwdck 验证本机认证信息的合法性,命令格式: pwdck -n|-p|-t|-p ALL | username 该命令用来验证本机认证信息的合法性,它将检查 /etc/passwd 和/etc/security/passwd 的一致性以 及/etc/security/login.cfg 和/etc/security/user 的 一致性,usrck 验证用户定义的合法性,命令格式: usrck -n | -p | -t | -y ALL | username 该命令检查 /etc/passwd、 /etc/security/user 、 /etc/limits 和/etc/securit
23、y/passwd中的用户信息, 同时也检查/etc/group和/etc/security/group 以保 证数据的一致性,合法性检查(2),grpck 验证组的一致性,命令格式: grpck -n| -p| -t |-y ALL |username 该命令检查 /etc/group 和 /etc/security/group 、 /etc/passwd 和/etc/security/user之间的数据一致 性,合法性检查(3),命令参数的含义:,-n 报告错误但不作修改 -p 修改错误但是不输出报告 -t 报告错误并等候管理员指示是否修改 -y 修改错误并输出报告,合法性检查(4),6.
24、2. 5 安全性策略要旨,划分不同类型的用户和数据 按照分工的性质组织用户和组 遵循分组结构为数据设置所有者 为共享目录设置SVTX位,6. 2. 6 测试题,A user is able to get a login prompt for the server but gets a failed login error message when trying to login with an ID. Which of the following is the most likely cause of this problem?A. The hard drive is bad. B. The
25、/home file system is full. C. The server is low on paging space. D. The user has entered an invalid ID or password.,测试题(2),2. Which of the following files contains UID, home directory, and shell information?A. /etc/passwd B. /etc/security/user C. /etc/security/environ D. /etc/security/passwd,测试题(3),
26、3. After completing the installation of the Base Operating System on one of the servers,the system administrator would like for all users who telnet into this machine to see a specific message each time they successfully log in . Which file should be edited to provide this message?A. /etc/motd B. /etc/profile C. /etc/environment D. /etc/security/login.cfg,测试题(4),答案1、D2、A3、A,
