用戶管理與安全策略

第六章,用戶管理與安全策略,第六章 用戶管理與安全策略, 6.1 用戶和組管理 6.1.1 用戶登陸和初始化 6.1.2 組的分類 6.1.3 用戶劃分 6.1.4 安全性和用戶菜單 6.1.5 用戶管理 6.1.6 組的管理 6.1.7 管理員和用戶通信工具, 6.2 安全性策略 6.2.1 安全性的概念 6.2.2 文件和目錄的存取許可權 6.2.3 安全性文件 6.2.4 合法性檢查 6.2.5 安全性策略要旨 6.2.6 測試題,第六章 用戶管理與安全策略(2),第六章 用戶管理與安全策略(3),本章要點,定義用戶和組的概念 掌握添加更改刪除用戶的方法 掌握添加更改刪除組的方法 掌握用戶口令的管理 掌握與用戶通信的方法 掌握控制root 特權的原則 掌握許可權位的含義及使用,6. 1. 1 用戶登陸和初始化,getty,login,用戶輸入用戶名,系統(tǒng)驗證用戶 名和密碼,設置用戶環(huán)境,顯示/etc/motd,shell,讀取 /etc/environment /etc/profile $HOME/.profile,用戶登陸,對直接連接的可用端口，由init啟動的getty進程 將在終端上顯示登錄提示信息，該提示可在文件 /etc/security/login.cfg中設置 用戶鍵入登錄名后,系統(tǒng)將根據文件/etc/passwd 和/etc/security/passwd檢查用戶名及用戶口令,提示信息 用戶名 口令,用戶環(huán)境,用戶環(huán)境由以下文件來建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user,/etc/motd,login過程將當前目錄設置為用戶的主目錄，并 且在$HOME/.hushlogin文件不存在的情況下， 將顯示/etc/motd文件的內容和關于上次登錄的 信息 最后控制權被傳遞給登錄shell(在/etc/passwd 中定義) ，對于Bourne和Korn Shell，將運行 /etc/profile和$HOME/.profile文件，對Csh,則 執(zhí)行$HOME/.login和$HOME/.cshrc文件,/etc/motd shell,環(huán)境變量,用戶登錄時系統(tǒng)設置用戶環(huán)境主要依據下述文件 /etc/profile 設置系統(tǒng)范圍內公共變量的shell文件，設置如TERM、 MAILMSG 、MAIL等環(huán)境變量 /etc/environment 指定對所有進程適用的基本環(huán)境變量。如HOME、 LANG、TZ 、NLSPATH等 $HOME/.profile 用戶在主目錄下的設置文件,6. 1. 2 組的分類,組的特點,組是用戶的集合，組成員需要存取組內的共享文件 每個用戶至少屬于一個組，同時也可以充當多個組 的成員 用戶可以存取自己組集合(group set )中的共享文件， 列出組集合可用groups 或者setgroups 命令 文件主修改主組可用newgrp 或setgroups 命令,分組策略,組的劃分盡量與系統(tǒng)的安全性策略相一致，不要 定義太多的組，如果按照數據類型和用戶類型的 每種可能組合來劃分組，又將走向另一個極端， 會使得日常管理過于復雜 每個組可以任命一到多個組管理員，組管理員有 權增減組成員和任命本組的管理員,三種類型組,用戶組 系統(tǒng)管理員組 系統(tǒng)定義的組,用戶組,系統(tǒng)管理員按照用戶共享文件的需要創(chuàng)建的，例 如同一部門，同一工程組的成員所創(chuàng)建的組,系統(tǒng)管理員組,系統(tǒng)管理員自動成為system組的成員，該組的成 員可以執(zhí)行某些系統(tǒng)管理任務而無需是root用戶,三種類型組(2),系統(tǒng)定義的組,系統(tǒng)預先定義了幾個組，如staff是系統(tǒng)中新創(chuàng)建 的非管理用戶的缺省組，security組則可以完成 有限的安全性管理工作。其他系統(tǒng)定義的組用來 控制一些子系統(tǒng)的管理任務,三種類型組(3),組的劃分,在AIX系統(tǒng)中，一些組的成員如system 、security 、printq 、adm等能夠執(zhí)行特定的系統(tǒng)管理任務,system 管理大多數系統(tǒng)配置和維護標準軟硬件 printq 管理打印隊列。該組成員有權執(zhí)行的典型 命令有enable、disable、qadm、qpri等 security 管理用戶和組、口令和控制資源限制。該 組成員有權執(zhí)行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等,系統(tǒng)定義的組,adm 執(zhí)行性能、cron 、記帳等監(jiān)控功能 staff 為所有新用戶提供的缺省的組，管理員可以 在文件/usr/lib/security/mkuser.defaults中 修改該設置 audit 管理事件監(jiān)視系統(tǒng),系統(tǒng)定義的組(2),6. 1. 3 用戶劃分,root用戶 管理用戶 普通用戶,root用戶,超級用戶（特權用戶） 可執(zhí)行所有的系統(tǒng)管理工作，不受任何權限限制 大多數系統(tǒng)管理工作可以由非root的其他用戶來完成，如指定的 system、 security、printq、cron、adm、audit組的成員。,管理用戶,為了保護重要的用戶和組不受security組成員的 控制，AIX設置管理用戶和管理組 只有root才能添加刪除和修改管理用戶和管理組 系統(tǒng)中的用戶均可以被指定為管理用戶,可查看文 件/etc/security/user的admin屬性 # cat /etc/security/user user1: admin=true,6. 1. 4 安全性和用戶菜單,# smitty security,6. 1. 5 用戶管理,# smitty users,列示用戶,# smitty lsuser,lsuser命令,在SMIT菜單選擇List All Users選項時，得到的 輸出是用戶名、用戶id、和主目錄的列表；也可 以直接用lsuser命令來列示所有用戶(ALL)或部 分用戶的屬性 lsuser命令的輸出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user,lsuser命令(2),命令格式： lsuser -c | -f -a attribute ALL | username lsuser 列表按行顯示； lsuser -c 顯示的域以冒號分隔 lsuser f 按分節(jié)式的格式顯示，可以指定列出全部屬性或部分屬性,創(chuàng)建用戶,# smitty mkuser,用戶缺省值,缺省用戶的ID號取自/etc/security/.ids 設置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user 缺省的.profile文件取自/etc/security/.profile,用戶屬性文件,/etc/passwd 包含用戶的基本屬性 /etc/group 包含組的基本屬性 /etc/security/user 包含用戶的擴展屬性 /etc/security/limits 包含用戶的運行資源限制 /etc/security/lastlog 包含用戶最后登陸屬性,修改用戶屬性,# smitty chuser,刪除用戶,# smitty rmuser,rmuser命令,example: # rmuser test01 刪除用戶test01 # rmuser -p test01 刪除用戶test01，并刪除與用戶認證相關的信息 # rm -r /home/test01 手工刪除用戶的主目錄 (rmuser命令并未刪除用戶主目錄),用戶口令,新建用戶只有在管理員設置了初始口令之后才能使用 更改口令的兩個命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成員可用,root口令,緊急情況下刪除root口令的步驟,1、從AIX 5L CD-ROM引導 2、引導時鍵入F5，進入安裝和維護（Installation and Maintenance）菜單下選擇3：Start Maintenance Mode For System Recovery 3、選擇 Obtain a shell by activating the root volume group并按提示繼續(xù) 4、設置TERM變量，例如：# export TERM=vt100,5、通過 # vi /etc/security/passwd刪除root 口令的密文 6、# sync；sync(系統(tǒng)同步) 7、# reboot(從硬盤引導) 8、從新登陸后給root設置口令,緊急情況下刪除root口令的步驟,root口令(2),6. 1. 6 組的管理,# smitty groups,組的管理(2),建立組的目的是讓同組的成員對共享的文件具有同 樣的許可權(文件的組許可權位一致) 要創(chuàng)建組并成為其管理員，必須是root或security 組成員。組管理員有權往組里添加其他用戶 系統(tǒng)中已經定義了幾個組，如system 組是管理用 戶的組，staff 組是普通用戶的組 ，其他的組與特 定應用和特定文件的所有權相聯系,列示組,# smitty lsgroup,lsgroup命令,lsgroup 缺省格式，列表按行顯示 lsgroup -c 顯示時每個組的屬性之間用冒號分隔 lsgroup f 按組名以分節(jié)式格式輸出,添加組,# smitty mkgroup,mkgroup命令,mkgroup groupname -a 用來指定該組是管理組（只有root才有權在 系統(tǒng)中添加管理組） -A 用于任命創(chuàng)建者為組管理員 一個用戶可屬于132個組。ADMINISTRATOR list是組管理員列表，組管理員有權添加或刪除組 成員,更改組的屬性,# smitty chgroup,更改組的屬性(2),smit chgroup和chgroup命令用來更改組的特性。 只有root和security組的成員有權執(zhí)行該操作 組的屬性包括： Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames),刪除組,# smitty rmgroup,刪除組,rmgroup用來刪除一個組 對管理組而言，只有root才有權刪除 組管理員可以用chgrpmen命令來增刪組管理員 和組成員,motd文件 write命令 wall命令 talk命令 mesg命令,6. 1. 7 管理員和用戶通信工具,管理員和用戶通信工具(2),文件/etc/motd在用戶從終端成功登錄時將會顯示在屏幕上。 特別適合存放版權或系統(tǒng)使用須知等長期信息 只應包含用戶須知的內容 用戶的主目錄下如果存在文件$HOME/.hushlogin ， 則該用戶登錄時不顯示motd 文件的內容,motd 文件,6. 2. 1 安全性的概念,系統(tǒng)缺省用戶,root：超級用戶 adm、sys、bin ：系統(tǒng)文件的所有者但不允許登錄,安全性的概念(2),系統(tǒng)缺省組,system ：管理員組 staff ：普通用戶組,安全性原則,用戶被賦予唯一的用戶名、用戶ID (UID)和 口令。用戶登錄后，對文件訪問的合法性取決 于UID 文件創(chuàng)建時，UID自動成為文件主。只有文 件主和root才能修改文件的訪問許可權 需要共享一組文件的用戶可以歸入同一個組 中。每個用戶可屬于多個組。每個組被賦予唯 一的組名和組ID (GID)，GID也被賦予新創(chuàng)建的 文件,root特權的控制,嚴格限制具有root 特權的人數 root 口令應由系統(tǒng)管理員以不公開的周期更改 不同的機器采用不同的root 口令 系統(tǒng)管理員應以不同用戶的身份登錄，然后用su 命令進入特權 root 所用的PATH環(huán)境變量不要隨意更改,su命令,su 命令允許切換到root 或者指定用戶，從而創(chuàng)建 了新的會話 例如： # su test01 $ whoami test01,su 命令帶“-” 號表示將用戶環(huán)境切換到該用戶初始 登錄環(huán)境 例如： $ su - test02 $ pwd /home/test02 su 命令不指定用戶時，表示切換到root,su命令(2),安全性日志,/var/adm/sulog su 日志文件?？捎胮g、 more 、cat命令查看 /etc/utmp 在線用戶記錄?？捎脀ho 命令查看 # who -a /etc/utmp,/etc/security/failedlogin 非法和失敗登錄的記錄，未知的登錄名記為 UNKNOWN ，可用who命令查看 # who -a /etc/security/failedlogin,安全性日志(2),last命令 查看/var/adm/wtmp文件中的登錄、退出歷史記錄。如： # last 顯示所有用戶的登錄、退出歷史記錄 # last root 顯示root用戶登錄、退出歷史記錄 # last reboot 顯示系統(tǒng)啟動和重啟的時間,安全性日志(3),6. 2. 2 文件和目錄的存取許可權,許可權,# ls -ld /bin/passwd /tmp -r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd drwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp 用戶執(zhí)行passwd 命令時他們的有效UID將改為root 的UID,更改許可權,example: # chmod +t dir1 or # chmod 1770 dir1 (SVTX) # chmod g+s dir2 or # chmod 2775 dir2 (SGID) # chmod u+s dir3 or # chmod 4750 dir3 (SUID),更改所有者,example: # chown zhang file1 # chgrp staff file1 # chown zhang:staff file,umask,umask 決定新建文件和目錄的缺省許可權 /etc/security/user 指定缺省的和個別用戶的umask 值 系統(tǒng)缺省umask=022 ，取umask=027 則提供更嚴格的 許可權限制 umask=022 創(chuàng)建的文件和目錄缺省許可權如下： 普通文件 rw-r-r- 目錄 rwxr-xr-x,6. 2. 3 安全性文件,/etc/passwd 合法用戶（不含口令） /etc/group 合法組 /etc/security 普通用戶無權訪問此目錄 /etc/security/passwd 用戶口令 /etc/security/user 用戶屬性、口令約束等,安全性文件(2),/etc/security/limits 用戶使用資源限制 /etc/security/environ 用戶環(huán)境限制 /etc/security/login.cfg 登錄限制 /etc/security/group 組的屬性,6. 2. 4 合法性檢查,pwdck 驗證本機認證信息的合法性,命令格式： pwdck -n|-p|-t|-p ALL | username 該命令用來驗證本機認證信息的合法性，它將檢查 /etc/passwd 和/etc/security/passwd 的一致性以 及/etc/security/login.cfg 和/etc/security/user 的 一致性,usrck 驗證用戶定義的合法性,命令格式： usrck -n | -p | -t | -y ALL | username 該命令檢查 /etc/passwd、 /etc/security/user 、 /etc/limits 和/etc/security/passwd中的用戶信息， 同時也檢查/etc/group和/etc/security/group 以保 證數據的一致性,合法性檢查(2),grpck 驗證組的一致性,命令格式： grpck -n| -p| -t |-y ALL |username 該命令檢查 /etc/group 和 /etc/security/group 、 /etc/passwd 和/etc/security/user之間的數據一致 性,合法性檢查(3),命令參數的含義：,-n 報告錯誤但不作修改 -p 修改錯誤但是不輸出報告 -t 報告錯誤并等候管理員指示是否修改 -y 修改錯誤并輸出報告,合法性檢查(4),6. 2. 5 安全性策略要旨,劃分不同類型的用戶和數據 按照分工的性質組織用戶和組 遵循分組結構為數據設置所有者 為共享目錄設置SVTX位,6. 2. 6 測試題,A user is able to get a login prompt for the server but gets a failed login error message when trying to l