L4-用戶管理與安全策略課件

1、第四講用戶管理與安全策略用戶管理與安全策略本章要點定義用戶和組的概念掌握添加更改刪除用戶的方法掌握添加更改刪除組的方法掌握用戶口令的管理掌握與用戶通信的方法掌握控制root 特權的原則掌握許可權位的含義及使用2022/7/15用戶登陸和初始化gettylogin用戶輸入用戶名系統(tǒng)驗證用戶名和密碼設置用戶環(huán)境顯示/etc/motdshell 讀取/etc/environment /etc/profile $HOME/.profile2022/7/15用戶登陸 對直接連接的可用端口，由init啟動的getty進程 將在終端上顯示登錄提示信息，該提示可在文件 /etc/security/login.

2、cfg中設置 用戶鍵入登錄名后,系統(tǒng)將根據(jù)文件/etc/passwd 和/etc/security/passwd檢查用戶名及用戶口令提示信息 用戶名 口令 2022/7/15用戶環(huán)境用戶環(huán)境由以下文件建立：/etc/passwd 合法用戶（無口令內(nèi)容）/etc/group 合法用戶組/etc/security/passwd 含有加密形式的用戶口令/etc/security/user 用戶屬性，口令限制/etc/security/limits對用戶的限制/etc/security/environ 用戶環(huán)境設定/etc/security/login.cfg登錄設置/etc/security/gro

3、up 用戶組屬性/usr/lib/security/mkuser.default 建立新用戶的一些默認設置存放文件中2022/7/15/etc/motdlogin過程將當前目錄設置為用戶的主目錄，并且在$HOME/.hushlogin文件不存在的情況下，將顯示/etc/motd文件的內(nèi)容和關于上次登錄的信息最后控制權被傳遞給登錄shell(在/etc/passwd中定義) ，對于Bourne和Korn Shell，將運行/etc/profile和$HOME/.profile文件，對Csh,則執(zhí)行$HOME/.login和$HOME/.cshrc文件/etc/motd shell2022/7/1

4、5環(huán)境變量用戶登錄時系統(tǒng)設置用戶環(huán)境主要依據(jù)下述文件/etc/profile設置系統(tǒng)范圍內(nèi)公共變量的shell文件，設置如TERM、MAILMSG 、MAIL等環(huán)境變量/etc/environment指定對所有進程適用的基本環(huán)境變量。如HOME、 LANG、TZ 、NLSPATH等$HOME/.profile用戶在主目錄下的設置文件2022/7/15組的分類組的特點組是用戶的集合，組成員需要存取組內(nèi)的共享文件每個用戶至少屬于一個組，同時也可以充當多個組的成員用戶可以存取自己組集合(group set )中的共享文件，列出組集合可用groups 或者setgroups 命令文件主修改主組可用ne

5、wgrp 或setgroups 命令2022/7/15分組策略組的劃分盡量與系統(tǒng)的安全性策略相一致，不要定義太多的組，如果按照數(shù)據(jù)類型和用戶類型的每種可能組合來劃分組，又將走向另一個極端，會使得日常管理過于復雜每個組可以任命一到多個組管理員，組管理員有權增減組成員和任命本組的管理員2022/7/15用戶組系統(tǒng)管理員按照用戶共享文件的需要創(chuàng)建的，例如同一部門，同一工程組的成員所創(chuàng)建的組系統(tǒng)管理員組系統(tǒng)管理員自動成為system組的成員，該組的成員可以執(zhí)行某些系統(tǒng)管理任務而無需是root用戶三種類型組系統(tǒng)定義的組系統(tǒng)預先定義了幾個組，如staff是系統(tǒng)中新創(chuàng)建的非管理用戶的缺省組，security

6、組則可以完成有限的安全性管理工作。其他系統(tǒng)定義的組用來控制一些子系統(tǒng)的管理任務2022/7/15組的劃分在AIX系統(tǒng)中，一些組的成員如system 、security 、printq 、adm等能夠執(zhí)行特定的系統(tǒng)管理任務2022/7/15system 管理大多數(shù)系統(tǒng)配置和維護標準軟硬件printq 管理打印隊列。該組成員有權執(zhí)行的典型命令有enable、disable、qadm、qpri等security 管理用戶和組、口令和控制資源限制。該組成員有權執(zhí)行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系統(tǒng)定義的組2022/7/15adm 執(zhí)行性能、cron

7、 、記帳等監(jiān)控功能staff 為所有新用戶提供的缺省的組，管理員可以在文件/usr/lib/security/mkuser.defaults中修改該設置audit 管理事件監(jiān)視系統(tǒng)系統(tǒng)定義的組(2)2022/7/15用戶劃分root用戶管理用戶普通用戶2022/7/15root用戶超級用戶（特權用戶）可執(zhí)行所有的系統(tǒng)管理工作，不受任何權限限制大多數(shù)系統(tǒng)管理工作可以由非root的其他用戶來完成，如指定的 system、 security、printq、cron、adm、audit組的成員。2022/7/15管理用戶為了保護重要的用戶和組不受security組成員的控制，AIX設置管理用戶和管理組

8、只有root才能添加刪除和修改管理用戶和管理組系統(tǒng)中的用戶均可以被指定為管理用戶,可查看文件/etc/security/user的admin屬性# cat /etc/security/useruser1:admin=true2022/7/15安全性和用戶菜單# smitty security2022/7/15用戶管理# smitty users2022/7/15列示用戶# smitty lsuser2022/7/15lsuser命令在SMIT菜單選擇List All Users選項時，得到的輸出是用戶名、用戶id、和主目錄的列表；也可以直接用lsuser命令來列示所有用戶(ALL)或部分用戶的

9、屬性lsuser命令的輸出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user2022/7/15lsuser命令(2)命令格式：lsuser -c | -f -a attribute ALL | username lsuser列表按行顯示；lsuser -c顯示的域以冒號分隔lsuser f按分節(jié)式的格式顯示，可以指定列出全部屬性或部分屬性2022/7/15創(chuàng)建用戶# smitty mkuser2022/7/15用戶缺省值缺省用戶的ID號取自/etc/security/.ids設置ID的shell程序/usr/lib/secu

10、rity/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile2022/7/15用戶屬性文件/etc/passwd 包含用戶的基本屬性/etc/group 包含組的基本屬性/etc/security/user 包含用戶的擴展屬性/etc/security/limits 包含用戶的運行資源限制/etc/security/lastlog 包含用戶最后登陸屬性2022/7/15修改用戶屬性# smitty chuser2022/7/15刪除用戶#

11、 smitty rmuser2022/7/15rmuser命令example:# rmuser test01刪除用戶test01# rmuser -p test01刪除用戶test01，并刪除與用戶認證相關的信息# rm -r /home/test01手工刪除用戶的主目錄(rmuser命令并未刪除用戶主目錄)2022/7/15用戶口令 新建用戶只有在管理員設置了初始口令之后才能使用 更改口令的兩個命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成員可用2022/7/15root口令緊急情況下刪

12、除root口令的步驟1、從AIX 5L CD-ROM引導2、引導時鍵入F5，進入安裝和維護（Installation and Maintenance）菜單下選擇3：Start Maintenance Mode For System Recovery3、選擇 Obtain a shell by activating the root volume group并按提示繼續(xù)4、設置TERM變量，例如：# export TERM=vt1005、通過 # vi /etc/security/passwd刪除root口令的密文6、# sync；sync(系統(tǒng)同步)7、# reboot(從硬盤引導)8、從新登

13、陸后給root設置口令2022/7/15組管理# smitty groups2022/7/15組管理(2)建立組的目的是讓同組的成員對共享的文件具有同樣的許可權(文件的組許可權位一致)要創(chuàng)建組并成為其管理員，必須是root或security組成員。組管理員有權往組里添加其他用戶系統(tǒng)中已經(jīng)定義了幾個組，如system 組是管理用戶的組，staff 組是普通用戶的組 ，其他的組與特定應用和特定文件的所有權相聯(lián)系2022/7/15列示組# smitty lsgroup2022/7/15lsgroup命令lsgroup缺省格式，列表按行顯示lsgroup -c顯示時每個組的屬性之間用冒號分隔lsgro

14、up f按組名以分節(jié)式格式輸出2022/7/15添加組# smitty mkgroup2022/7/15mkgroup命令mkgroup groupname-a 用來指定該組是管理組（只有root才有權在 系統(tǒng)中添加管理組）-A 用于任命創(chuàng)建者為組管理員一個用戶可屬于132個組。ADMINISTRATOR list是組管理員列表，組管理員有權添加或刪除組成員2022/7/15更改組的屬性# smitty chgroup2022/7/15更改組的屬性(2)smit chgroup和chgroup命令用來更改組的特性。只有root和security組的成員有權執(zhí)行該操作組的屬性包括：Group I

15、D (id=groupid) Administrative group?(admin=true|false)Administrator List (adms=adminnames) User List (users=usernames) 2022/7/15刪除組# smitty rmgroup2022/7/15刪除組rmgroup用來刪除一個組對管理組而言，只有root才有權刪除組管理員可以用chgrpmen命令來增刪組管理員和組成員2022/7/15motd文件write命令wall命令talk命令mesg命令管理員和用戶通信工具2022/7/15管理員和用戶通信工具(2)文件/etc/mo

16、td在用戶從終端成功登錄時將會顯示在屏幕上。 特別適合存放版權或系統(tǒng)使用須知等長期信息只應包含用戶須知的內(nèi)容用戶的主目錄下如果存在文件$HOME/.hushlogin則該用戶登錄時不顯示motd 文件的內(nèi)容motd 文件2022/7/15安全性的概念系統(tǒng)缺省用戶root：超級用戶adm、sys、bin ：系統(tǒng)文件的所有者但不允許登錄系統(tǒng)缺省組system ：管理員組staff ：普通用戶組2022/7/15安全性原則用戶被賦予唯一的用戶名、用戶ID (UID)和口令。用戶登錄后，對文件訪問的合法性取決于UID文件創(chuàng)建時，UID自動成為文件主。只有文件主和root才能修改文件的訪問許可權需要共享

17、一組文件的用戶可以歸入同一個組中。每個用戶可屬于多個組。每個組被賦予唯一的組名和組ID (GID)，GID也被賦予新創(chuàng)建的文件2022/7/15root特權的控制嚴格限制具有root 特權的人數(shù)root 口令應由系統(tǒng)管理員以不公開的周期更改不同的機器采用不同的root 口令系統(tǒng)管理員應以不同用戶的身份登錄，然后用su 命令進入特權root 所用的PATH環(huán)境變量不要隨意更改2022/7/15su命令su 命令允許切換到root 或者指定用戶，從而創(chuàng)建了新的會話例如：# su student$ whoamistudent 2022/7/15 su 命令帶“-” 號表示將用戶環(huán)境切換到該用戶初始

18、登錄環(huán)境 例如： $ su - test02 $ pwd /home/test02 su 命令不指定用戶時，表示切換到rootsu命令(2)2022/7/15安全性日志/var/adm/sulogsu 日志文件?？捎胮g、 more 、cat命令查看/etc/utmp在線用戶記錄?？捎脀ho 命令查看# who -a /etc/utmp/etc/security/failedlogin非法和失敗登錄的記錄，未知的登錄名記為UNKNOWN ，可用who命令查看# who -a /etc/security/failedlogin 2022/7/15last命令查看/var/adm/wtmp文件中的

19、登錄、退出歷史記錄。如：# last 顯示所有用戶的登錄、退出歷史記錄# last root 顯示root用戶登錄、退出歷史記錄# last reboot 顯示系統(tǒng)啟動和重啟的時間安全性日志(3)2022/7/15許可權# ls -ld /bin/passwd /tmp-r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwddrwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp用戶執(zhí)行passwd 命令時他們的有效UID將改為root 的UID2022/7/15更改許可權example:# chmod +

20、t dir1 or # chmod 1770 dir1 (SVTX)# chmod g+s dir2 or # chmod 2775 dir2 (SGID)# chmod u+s dir3 or # chmod 4750 dir3 (SUID)2022/7/15更改所有者example:# chown zhang file1# chgrp staff file1# chown zhang:staff file2022/7/15umaskumask 決定新建文件和目錄的缺省許可權/etc/security/user 指定缺省的和個別用戶的umask 值系統(tǒng)缺省umask=022 ，取umask=

21、027 則提供更嚴格的許可權限制umask=022 創(chuàng)建的文件和目錄缺省許可權如下： 普通文件 rw-r-r- 目錄 rwxr-xr-x2022/7/15安全性文件/etc/passwd 合法用戶（不含口令）/etc/group 合法組/etc/security 普通用戶無權訪問此目錄/etc/security/passwd 用戶口令/etc/security/user 用戶屬性、口令約束等2022/7/15安全性文件(2)/etc/security/limits 用戶使用資源限制/etc/security/environ 用戶環(huán)境限制/etc/security/login.cfg 登錄限制/

22、etc/security/group 組的屬性2022/7/15合法性檢查pwdck 驗證本機認證信息的合法性命令格式：pwdck -n|-p|-t|-p ALL | username 該命令用來驗證本機認證信息的合法性，它將檢查/etc/passwd 和/etc/security/passwd 的一致性以及/etc/security/login.cfg 和/etc/security/user 的一致性2022/7/15usrck 驗證用戶定義的合法性命令格式：usrck -n | -p | -t | -y ALL | username 該命令檢查 /etc/passwd、 /etc/secu

23、rity/user 、/etc/limits 和/etc/security/passwd中的用戶信息，同時也檢查/etc/group和/etc/security/group 以保證數(shù)據(jù)的一致性合法性檢查(2)2022/7/15grpck 驗證組的一致性命令格式：grpck -n| -p| -t |-y ALL |username 該命令檢查 /etc/group 和 /etc/security/group 、/etc/passwd 和/etc/security/user之間的數(shù)據(jù)一致性合法性檢查(3)命令參數(shù)的含義：-n 報告錯誤但不作修改-p 修改錯誤但是不輸出報告-t 報告錯誤并等候管理員

24、指示是否修改-y 修改錯誤并輸出報告2022/7/15安全性策略要旨劃分不同類型的用戶和數(shù)據(jù)按照分工的性質(zhì)組織用戶和組遵循分組結構為數(shù)據(jù)設置所有者為共享目錄設置SVTX位2022/7/15每一種UNIX都有cron，但有關定義文件的目錄位置會不同cron表文件/var/spool/cron/crontabs/記錄文件 /var/adm/cron/log允許/拒絕文件/var/adm/cron/cron.allow,deny使用crontab -e編輯cron文件 cron2022/7/15測試題(1)A user is able to get a login prompt for the se

25、rver but gets a failed login error message when trying tologin with an ID. Which of the following is the mostlikely cause of this problem?A. The hard drive is bad.B. The /home is full.C. The server is low on paging space.D. The user has entered an invalid ID or password.2022/7/15測試題(2)2. Which of the following files contains UID, home directory, and shell information?A. /etc/passwdB. /etc/securi