第六章用户管理与安全策略第六章用户管理与安全策略§6.1用户和组管理§6.1.1用户登陆和初始化§6.1.2组的分类§6.1.3用户划分§6.1.4安全性和用户菜单§6.1.5用户管理§6.1.6组的管理§6.1.7管理员和用户通信工具§6.2安全性策略§6.2.1安全性的概念§6.2.2文件和目录的存取许可权§6.2.3安全性文件§6.2.4合法性检查§6.2.5安全性策略要旨§6.2.6测试题第六章用户管理与安全策略(2)第六章用户管理与安全策略(3)本章要点定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root特权的原则掌握许可权位的含义及使用6.1.1用户登陆和初始化gettylogin用户输入用户名系统验证用户名和密码设置用户环境显示/etc/motdshell读取/etc/environment/etc/profile$HOME/.profile用户登陆对直接连接的可用端口,由init启动的getty进程将在终端上显示登录提示信息,该提示可在文件/etc/security/login.cfg中设置用户键入登录名后,系统将根据文件/etc/passwd和/etc/security/passwd检查用户名及用户口令提示信息用户名口令用户环境用户环境由以下文件来建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user/etc/motdlogin过程将当前目录设置为用户的主目录,并且在$HOME/.hushlogin文件不存在的情况下,将显示/etc/motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell(在/etc/passwd中定义),对于Bourne和KornShell,将运行/etc/profile和$HOME/.profile文件,对Csh,则执行$HOME/.login和$HOME/.cshrc文件/etc/motdshell环境变量用户登录时系统设置用户环境主要依据下述文件/etc/profile设置系统范围内公共变量的shell文件,设置如TERM、MAILMSG、MAIL等环境变量/etc/environment指定对所有进程适用的基本环境变量。如HOME、LANG、TZ、NLSPATH等$HOME/.profile用户在主目录下的设置文件,覆盖/etc/profile文件中的命令和选项6.1.2组的分类组的特点组是用户的集合,组成员需要存取组内的共享文件每个用户至少属于一个组,同时也可以充当多个组的成员用户可以存取自己组集合(groupset)中的共享文件,列出组集合可用groups或者setgroups命令文件主修改主组可用newgrp或setgroups命令分组策略组的划分尽量与系统的安全性策略相一致,不要定义太多的组,如果按照数据类型和用户类型的每种可能组合来划分组,又将走向另一个极端,会使得日常管理过于复杂每个组可以任命一到多个组管理员,组管理员有权增减组成员和任命本组的管理员三种类型组用户组系统管理员组系统定义的组用户组系统管理员按照用户共享文件的需要创建的,例如同一部门,同一工程组的成员所创建的组系统管理员组系统管理员自动成为system组的成员,该组的成员可以执行某些系统管理任务而无需是root用户三种类型组(2)系统定义的组系统预先定义了几个组,如staff是系统中新创建的非管理用户的缺省组,security组则可以完成有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务三种类型组(3)组的划分在AIX系统中,一些组的成员如system、security、printq、adm等能够执行特定的系统管理任务system管理大多数系统配置和维护标准软硬件printq管理打印队列。该组成员有权执行的典型命令有enable、disable、qadm、qpri等security管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系统定义的组adm执行性能、cron、记帐等监控功能staff为所有新用户提供的缺省的组,管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置audit管理事件监视系统系统定义的组(2)6.1.3用户划分root用户管理用户普通用户root用户超级用户(特权用户)可执行所有的系统管理工作,不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成,如指定的system、security、printq、cron、adm、audit组的成员。管理用户为了保护重要的用户和组不受security组成员的控制,AIX设置管理用户和管理组只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性#cat/etc/security/useruser1:admin=true6.1.4安全性和用户菜单#smittysecurity6.1.5用户管理#smittyusers列示用户#smittylsuserlsuser命令在SMIT菜单选择ListAllUsers选项时,得到的输出是用户名、用户id、和主目录的列表;也可以直接用lsuser命令来列示所有用户(ALL)或部分用户的属性lsuser命令的输出用到以下文件:/etc/passwd、/etc/security/limits和/etc/security/userlsuser命令(2)命令格式:lsuser[-c|-f][-aattribute]{ALL|username}lsuser列表按行显示;lsuser-c显示的域以冒号分隔lsuser–f按分节式的格式显示,可以指定列出全部属性或部分属性创建用户#smittymkuser用户缺省值缺省用户的ID号取自/etc/security/.ids设置ID的shell程序/usr/lib/security/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile用户属性文件/etc/passwd包含用户的基本属性/etc/group包含组的基本属性/etc/security/user包含用户的扩展属性/etc/security/limits包含用户的运行资源限制/etc/security/lastlog包含用户最后登陆属性修改用户属性#smittychuser删除用户#smittyrmuserrmuser命令example:#rmusertest01删除用户test01#rmuser-ptest01删除用户test01,并删除与用户认证相关的信息#rm-r/home/test01手工删除用户的主目录(rmuser命令并未删除用户主目录)用户口令新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令1、passwdusername此命令只有root和username本人可用2、pwdadmusernameroot和security成员可用root口令紧急情况下删除root口令的步骤1、从AIX5LCD-ROM引导2、引导时键入F5,进入安装和维护(InstallationandMaintenance)菜单下选择3:StartMaintenanceModeForSystemRecovery3、选择Obtainashellbyactivatingtherootvolumegroup并按提示继续4、设置TERM变量,例如:#exportTERM=vt1005、通过#vi/etc/security/passwd删除root口令的密文6、#sync;sync(系统同步)7、#reboot(从硬盘引导)8、从新登陆后给root设置口令紧急情况下删除root口令的步骤root口令(2)6.1.6组的管理#smittygroups组的管理(2)建立组的目的是让同组的成员对共享的文件具有同样的许可权(文件的组许可权位一致)要创建组并成为其管理员,必须是root或security组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组,如system组是管理用户的组,staff组是普通用户的组,其他的组与特定应用和特定文件的所有权相联系列示组#smittylsgrouplsgroup命令lsgroup缺省格式,列表按行显示lsgroup-c显示时每个组的属性之间用冒号分隔lsgroup–f按组名以分节式格式输出添加组#smittymkgroupmkgroup命令mkgroupgroupname-a用来指定该组是管理组(只有root才有权在系统中添加管理组)-A用于任命创建者为组管理员一个用户可属于1—32个组。ADMINISTRATORlist是组管理员列表,组管理员有权添加或删除组成员更改组的属性#smittychgroup更改组的属性(2)smitchgroup和chgroup命令用来更改组的特性。只有root和security组的成员有权执行该操作组的属性包括:GroupID(id=groupid)Administrativegroup?(admin=true|false)AdministratorList(adms=adminnames)UserList(users=usernames)删除组#smittyrmgroup删除组rmgroup用来删除一个组对管理组而言,只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员motd文件write命令wall命令talk命令mesg命令6.1.7管理员和用户通信工具管理员和用户通信工具(2)文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin,则该用户登录时不显示motd文件的内容motd文件6.2.1安全性的概念系统缺省用户root:超级用户adm、sys、bin:系统文件的所有者但不允许登录安全性的概念(2)系统缺省组system:管理员组staff:普通用户组安全性原则用户被赋予唯一的用户名、用户ID(UID)和口令。用户登录后,对文件访问的合法性取决于UID文件创建时,UID自动成为文件主。只有文件主和root才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID(GID),GID也被赋予新创建的文件root特权的控制严格限制具有root特权的人数root口令应由系统管理员以不公开的周期更改不同的机器采用不同的root口令系统管理员应以不同用户的身份登录,然后用su命令进入特权root所用的PATH环境变量不要随意更改su命令su命令允许切换到root或者指定用户,从而创建了新的会话例如:#sutest01$whoamitest01su命令带“-”号表示将用户环境切换到该用户初始登录环境例如:$su-test02$pwd/home/test02su命令不指定用户时,表示切换到rootsu命令(2)安全性日志/var/adm/sulogsu日志文件。可用pg、more、cat命令查看/etc/utmp在线用户记录。可用who命令查看#who-a/etc/utmp/etc/security/failedlogin非法和失败登录的记录,未知的登录名记为UNKNOWN,可用who命令查看#who-a/etc/security/failedlogin安全性日志(2)last命令查看/var/adm/wtmp文件中的登录、退出历史记录。如:#last显示所有用户的登