AIX 系统培训教材--6章AIX 用户管理与安全策略

《AIX 系统培训教材--6章AIX 用户管理与安全策略》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

第六章用户管理与安全策略 第六章用户管理与安全策略§6.1用户和组管理§6.1.1用户登陆和初始化§6.1.2组的分类§6.1.3用户划分§6.1.4安全性和用户菜单§6.1.5用户管理§6.1.6组的管理§6.1.7管理员和用户通信工具 §6.2安全性策略§6.2.1安全性的概念§6.2.2文件和目录的存取许可权§6.2.3安全性文件§6.2.4合法性检查§6.2.5安全性策略要旨§6.2.6测试题第六章用户管理与安全策略(2) 第六章用户管理与安全策略(3)本章要点定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root特权的原则掌握许可权位的含义及使用 6.1.1用户登陆和初始化gettylogin用户输入用户名系统验证用户名和密码设置用户环境显示/etc/motdshell读取/etc/environment/etc/profile$HOME/.profile 用户登陆对直接连接的可用端口，由init启动的getty进程将在终端上显示登录提示信息，该提示可在文件/etc/security/login.cfg中设置用户键入登录名后,系统将根据文件/etc/passwd和/etc/security/passwd检查用户名及用户口令提示信息用户名口令 用户环境用户环境由以下文件来建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user /etc/motdlogin过程将当前目录设置为用户的主目录，并且在$HOME/.hushlogin文件不存在的情况下，将显示/etc/motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell(在/etc/passwd中定义)，对于Bourne和KornShell，将运行/etc/profile和$HOME/.profile文件，对Csh,则执行$HOME/.login和$HOME/.cshrc文件/etc/motdshell 环境变量用户登录时系统设置用户环境主要依据下述文件/etc/environment指定对所有进程适用的基本环境变量。如HOME、LANG、TZ、NLSPATH等/etc/profile设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG、MAIL等环境变量$HOME/.profile用户在主目录下的设置文件，覆盖/etc/profile文件中的命令和选项 6.1.2组的分类组的特点组是用户的集合，组成员需要存取组内的共享文件每个用户至少属于一个组，同时也可以充当多个组的成员用户可以存取自己组集合(groupset)中的共享文件，列出组集合可用groups或者setgroups命令文件主修改主组可用newgrp或setgroups命令 分组策略组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员 三种类型组用户组系统管理员组系统定义的组 用户组系统管理员按照用户共享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户三种类型组(2) 系统定义的组系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组则可以完成有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务三种类型组(3) 组的划分在AIX系统中，一些组的成员如system、security、printq、adm等能够执行特定的系统管理任务 system管理大多数系统配置和维护标准软硬件printq管理打印队列。该组成员有权执行的典型命令有enable、disable、qadm、qpri等security管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系统定义的组 adm执行性能、cron、记帐等监控功能staff为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置audit管理事件监视系统系统定义的组(2) 6.1.3用户划分root用户管理用户普通用户 root用户超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成，如指定的system、security、printq、cron、adm、audit组的成员。 管理用户为了保护重要的用户和组不受security组成员的控制，AIX设置管理用户和管理组只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性#cat/etc/security/useruser1:admin=true 6.1.4安全性和用户菜单#smittysecurity 6.1.5用户管理#smittyusers 列示用户#smittylsuser lsuser命令在SMIT菜单选择ListAllUsers选项时，得到的输出是用户名、用户id、和主目录的列表；也可以直接用lsuser命令来列示所有用户(ALL)或部分用户的属性lsuser命令的输出用到以下文件:/etc/passwd、/etc/security/limits和/etc/security/user lsuser命令(2)命令格式：lsuser[-c|-f][-aattribute]{ALL|username}lsuser列表按行显示；lsuser-c显示的域以冒号分隔lsuser–f按分节式的格式显示，可以指定列出全部属性或部分属性 创建用户#smittymkuser 用户缺省值缺省用户的ID号取自/etc/security/.ids设置ID的shell程序/usr/lib/security/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile 用户属性文件/etc/passwd包含用户的基本属性/etc/group包含组的基本属性/etc/security/user包含用户的扩展属性/etc/security/limits包含用户的运行资源限制/etc/security/lastlog包含用户最后登陆属性 修改用户属性#smittychuser 删除用户#smittyrmuser rmuser命令example:#rmusertest01删除用户test01#rmuser-ptest01删除用户test01，并删除与用户认证相关的信息#rm-r/home/test01手工删除用户的主目录(rmuser命令并未删除用户主目录) 用户口令新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令1、passwdusername此命令只有root和username本人可用2、pwdadmusernameroot和security成员可用 root口令紧急情况下删除root口令的步骤1、从AIX5LCD-ROM引导2、引导时键入F5，进入安装和维护（InstallationandMaintenance）菜单下选择3：StartMaintenanceModeForSystemRecovery3、选择Obtainashellbyactivatingtherootvolumegroup并按提示继续4、设置TERM变量，例如：#exportTERM=vt100 5、通过#vi/etc/security/passwd删除root口令的密文6、#sync；sync(系统同步)7、#reboot(从硬盘引导)8、从新登陆后给root设置口令紧急情况下删除root口令的步骤root口令(2) 6.1.6组的管理#smittygroups 组的管理(2)建立组的目的是让同组的成员对共享的文件具有同样的许可权(文件的组许可权位一致)要创建组并成为其管理员，必须是root或security组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组，如system组是管理用户的组，staff组是普通用户的组，其他的组与特定应用和特定文件的所有权相联系 列示组#smittylsgroup lsgroup命令lsgroup缺省格式，列表按行显示lsgroup-c显示时每个组的属性之间用冒号分隔lsgroup–f按组名以分节式格式输出 添加组#smittymkgroup mkgroup命令mkgroupgroupname-a用来指定该组是管理组（只有root才有权在系统中添加管理组）-A用于任命创建者为组管理员一个用户可属于1—32个组。ADMINISTRATORlist是组管理员列表，组管理员有权添加或删除组成员 更改组的属性#smittychgroup 更改组的属性(2)smitchgroup和chgroup命令用来更改组的特性。只有root和security组的成员有权执行该操作组的属性包括：GroupID(id=groupid)Administrativegroup?(admin=true|false)AdministratorList(adms=adminnames)UserList(users=usernames) 删除组#smittyrmgroup 删除组rmgroup用来删除一个组对管理组而言，只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员 motd文件write命令wall命令talk命令mesg命令6.1.7管理员和用户通信工具 管理员和用户通信工具(2)文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin，则该用户登录时不显示motd文件的内容motd文件 6.2.1安全性的概念系统缺省用户root：超级用户adm、sys、bin：系统文件的所有者但不允许登录 安全性的概念(2)系统缺省组system：管理员组staff：普通用户组 安全性原则用户被赋予唯一的用户名、用户ID(UID)和口令。用户登录后，对文件访问的合法性取决于UID文件创建时，UID自动成为文件主。只有文件主和root才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID(GID)，GID也被赋予新创建的文件 root特权的控制严格限制具有root特权的人数root口令应由系统管理员以不公开的周期更改不同的机器采用不同的root口令系统管理员应以不同用户的身份登录，然后用su命令进入特权root所用的PATH环境变量不要随意更改 su命令su命令允许切换到root或者指定用户，从而创建了新的会话例如：#sutest01$whoamitest01 su命令带“-”号表示将用户环境切换到该用户初始登录环境例如：$su-test02$pwd/home/test02su命令不指定用户时，表示切换到rootsu命令(2) 安全性日志/var/adm/sulogsu日志文件。可用pg、more、cat命令查看/etc/utmp在线用户记录。可用who命令查看#who-a/etc/utmp /etc/security/failedlogin非法和失败登录的记录，未知的登录名记为UNKNOWN，可用who命令查看#who-a/etc/security/failedlogin安全性日志(2) last命令查看/var/adm/wtmp文件中的登录、退出历史记录。如：#last显示所有用户的登录、退出历史记录#lastroot显示root用户登录、退出历史记录#lastreboot显示系统启动和重启的时间安全性日志(3) 6.2.2文件和目录的存取许可权 许可权#ls-ld/bin/passwd/tmp-r-sr-xr-x1rootsecurity17018Jul302000/bin/passwddrwxrwxrwt8binbin16384Apr1620:08/tmp用户执行passwd命令时他们的有效UID将改为root的UID 更改许可权example:#chmod+tdir1or#chmod1770dir1(SVTX)#chmodg+sdir2or#chmod2775dir2(SGID)#chmodu+sdir3or#chmod4750dir3(SUID) 更改所有者example:#chownzhangfile1#chgrpstafffile1#chownzhang:stafffile umaskumask决定新建文件和目录的缺省许可权/etc/security/user指定缺省的和个别用户的umask值系统缺省umask=022，取umask=027则提供更严格的许可权限制umask=022创建的文件和目录缺省许可权如下：普通文件rw-r--r--目录rwxr-xr-x 6.2.3安全性文件/etc/passwd合法用户（不含口令）/etc/group合法组/etc/security普通用户无权访问此目录/etc/security/passwd用户口令/etc/security/user用户属性、口令约束等 安全性文件(2)/etc/security/limits用户使用资源限制/etc/security/environ用户环境限制/etc/security/login.cfg登录限制/etc/security/group组的属性 6.2.4合法性检查pwdck验证本机认证信息的合法性命令格式：pwdck{-n|-p|-t|-p}{ALL|username}该命令用来验证本机认证信息的合法性，它将检查/etc/passwd和/etc/security/passwd的一致性以及/etc/security/login.cfg和/etc/security/user的一致性 usrck验证用户定义的合法性命令格式：usrck{-n|-p|-t|-y}{ALL|username}该命令检查/etc/passwd、/etc/security/user、/etc/limits和/etc/security/passwd中的用户信息，同时也检查/etc/group和/etc/security/group以保证数据的一致性合法性检查(2) grpck验证组的一致性命令格式：grpck{-n|-p|-t|-y}{ALL|username}该命令检查/etc/group和/etc/security/group、/etc/passwd和/etc/security/user之间的数据一致性合法性检查(3) 命令参数的含义：-n——报告错误但不作修改-p——修改错误但是不输出报告-t——报告错误并等候管理员指示是否修改-y——修改错误并输出报告合法性检查(4) 6.2.5安全性策略要旨划分不同类型的用户和数据按照分工的性质组织用户和组遵循分组结构为数据设置所有者为共享目录设置SVTX位 6.2.6测试题AuserisabletogetaloginpromptfortheserverbutgetsafailedloginerrormessagewhentryingtologinwithanID.Whichofthefollowingisthemostlikelycauseofthisproblem?A.Theharddriveisbad.B.The/homefilesystemisfull.C.Theserverislowonpagingspace.D.TheuserhasenteredaninvalidIDorpassword. 测试题(2)2.WhichofthefollowingfilescontainsUID,homedirectory,andshellinformation?A./etc/passwdB./etc/security/userC./etc/security/environD./etc/security/passwd 测试题(3)3.AftercompletingtheinstallationoftheBaseOperatingSystemononeoftheservers，thesystemadministratorwouldlikeforalluserswhotelnetintothismachinetoseeaspecificmessageeachtimetheysuccessfullylogin.Whichfileshouldbeeditedtoprovidethismessage?A./etc/motdB./etc/profileC./etc/environmentD./etc/security/login.cfg 测试题(4)答案1、D2、A3、A