04 用管理安全策略

1用户管理与安全策略2•用户和组的概念•掌握添加更改删除用户的方法•掌握添加更改删除组的方法•查看与用户和组相关的控制文件•掌握用户口令的管理本章要点:3用户•用户是系统的使用者•每个用户拥有唯一的名称，用户ID和密码–用户名最多由8字符组成，不能以：”+“”-“@、~字符作为用户名的第一个字符，也不能使用关键字ALL和default，字符：”#“、“=“、“,”、“/”、“\”、“?”、“‘“、也不能出现在用户名中，也不能包含空格和Tab键–用户ID是操作系统使用来处理每个用户–密码是证明用户具有使用系统的权限，默认最长长度是8个字符–用户名和用户ID存放在/etc/passwd文件中，用户密码存放在/etc/security/passwd文件中，文件/etc/security/user中存放用户扩展属性4组•组是用户的集合，组成员可以共享文件和数据，便于协同工作•每个组都有组名和组ID–组名主要用于操作系统和用户之间，组名唯一，不超过8个字符–组ID：操作系统内部使用组ID来处理每个组–组名和组ID由/etc/group文件控制，/etc/group文件存放组的一些基本属性，在/etc/security/group文件中存放组的扩展属性•每个用户至少属于一个组，同时也可以充当多个组的成员5组的分类•用户组是由系统管理员在系统运行以后增加的，目的是将需要共享相同文件信息的用户放在一组里，例如同一部门，同一工程组的成员所创建的组•系统管理员组具有管理系统权力的用户所在的组，系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户。root属于system组•系统定义的组系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组是负责安全管理的组。如adm组主要监视系统的性能，audit组主要对系统的运行进行审计6系统定义的组•system管理大多数系统配置和维护标准软硬件•printq管理打印队列。该组成员有权执行的典型命令有enabledisable、qadm、qpri等•security管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等•adm执行性能、cron、记帐等监控功能•staff为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.default中修改该设置•audit管理事件监视系统7用户分类超级用户root:UserID=0•管理用户(系统默认的管理用户adm,sys,bin,…大多数系统文件的所有者，但不能用这些用户登录，用户ID从0到199•普通用户用户ID从200开始8•root用户–超级用户（特权用户）–可执行所有的系统管理工作，不受任何权限限制–大多数系统管理工作可以由非root的其他用户来完成，如指定的system、security、printq、cron、adm、audit组的成员。•root用户的管理–严格限制具有root特权的人数–root口令应由系统管理员以不公开的周期更改–不同的机器采用不同的root口令–系统管理员应以不同用户的身份登录，然后用su命令进入特权–root所用的PATH环境变量不要随意更改9•管理用户–为了保护重要的用户和组不受security组成员的控制，AIX设置管理用户和管理组–只有root才能添加删除和修改管理用户和管理组–系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性#cat/etc/security/useruser1:admin=true10组管理•添加组–#smittymkgroup(#mkgroup)•更改组的属性–#smittychgroup(#chgroup)•删除组–#smittyrmgroup(#rmgroup)如果要删除的组是单个或某些用户的基本组，必须修改这些用户的基本组为其他组，否则无法删除该组11组管理---列出组•lsgroup命令lsgroup[-c|-f][-aattribute]{ALL|groupname}•lsgroupgroupname列表按行显示；•lsgroup–cgroupname显示的域以冒号分隔•lsgroup–fgroupname按分节式的格式显示，可以指定列出全部属性或部分属性12用户管理•创建用户–#smittymkuser(#mkuser)•删除用户–#smittyrmuser(#rmuser)注：删除用户并未删除用户的HOME目录,普通用户只能有root和security组的用户来删除，管理型用户只能有root用户来删除•修改用户的属性–#smittychuser（#chuser)13用户管理---创建用户•#smittymkuser14列出用户•lsuser命令命令格式：lsuser[-c|-f][-aattribute]{ALL|username}lsuser列表按行显示；lsuser-c显示的域以冒号分隔lsuser–f按分节式的格式显示，可以指定列出全部属性或部分属性15创建和更改用户口令•新建用户只有在管理员设置了初始口令之后才能使用•更改口令的两个命令–passwdusername此命令只有root和username本人可用–pwdadmusernameroot和security成员可用•查看文件/etc/passwd和/etc/security/passwduserlyn:!:202:1::/home/userlyn:/usr/bin/ksh#smittypasswdattrs显示和修改用户密码属性16恢复root用户口令•从AIX5LCD-ROM引导•引导时键入1，进入安装和维护（InstallationandMaintenance）菜单下选择3：StartMaintenanceModeForSystemRecovery•选择Obtainashellbyactivatingtherootvolumegroup并按提示继续•出现shell字符后，执行passwd修改root口令•#sync；sync(系统同步)•#reboot系统17用户登录和初始化gettylogin用户输入用户名系统验证用户名和密码设置用户环境显示/etc/motdshell读取/etc/profile/etc/environment$HOME/.profile/etc/security/environ/etc/security/limits/etc/security/user/etc/passwd/etc/security/passwd19用户初始化过程指定对所有进程适用的基本环境变量。如PATH、LANG、TZ、NLSPATH等设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG、MAIL等环境变量用户在主目录下，用户自定义环境变量PATH,PS1用户kronshell环境设置，set–ovi,alias/etc/profile/etc/environment$HOME/.profile/etc/.kshrc20用户自定制环境设置.profile•PATH–.表示当前路径–PS1:系统主提示符（缺省是$)–PS1=`$PWD$`–ENV=“$HOME/.kshrc”•.profile样例PATH＝/bin:/usr/bin:/etc:$HOME/bin:.(.表示当前路径）PS1=`$PWD$`PS1系统主提示符，缺省是$ENV=$HOME/.kshrcif[-s“$MAIL”]thenecho“$MAILMSG”fiecho“enterTerminalType(Default:vt100):\c”ReadaIf[-n“$a”]thenTERM=$aelseTERM=vt100fiexportTERMPS1ENVPATH21•命令提示符–3个变量PS1,PS2,PS3•PS1：主提示符变量•PS2：副提示符变量•PS3：root用户提示符变量•su命令–su命令允许切换到root或者指定用户，从而创建了新的会话–su命令带“-”号表示将用户环境切换到该用户初始登录环境–su命令不指定用户时，表示切换到root22用户缺省值•缺省用户的ID号取自/etc/security/.ids•设置ID的shell程序/usr/lib/security/mkuser.sys•缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user•缺省的.profile文件取自/etc/security/.profile23用户管理相关的文件文件描述/etc/passwd系统中所有用户的清单文件，存放用户的基本信息/etc/security/passwd存放所有用户的密码/etc/security/user存放用户的扩展信息文件/etc/group系统中所有组的清单文件，存放组的基本信息/etc/security/group存放组的扩展信息/user/lib/security/mkuser.default存放新创建用户默认属性值的文件/etc/security/login.cfg存放控制用户登录系统和身份验证配置的文件/etc/security/environ存放用户进入系统后的工作环境配置文件/etc/security/limits限制用户使用系统资源的配置文件/etc/security/lastlog记录上次登录系统情况的文件24•/etc/passwd–记录格式：用户名：口令：UID：主组ID：用户全名：HOME目录：SHELLroot:!:0:0::/:/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/25•/etc/security/passwdroot:password=dkeGmPMf/GCyQlastupdate=1289293503flags=daemon:password=*bin:password=*sys:password=*26•/etc/security/user–login:能否登陆–admin是否为管理型用户–su:是否允许其他用户su到此用户–rlogin:能否从远程以telnet和rlogin命令以此用户身份登陆–loginretries:在从该用户上次成功登录系统到该用户被锁住时这段时间内，允许该用户登录系统失败的次数，一个正整数–口令管理：•Histexpire:指该用户在多少星期内不能重复使用相同的密码，是一个正整数，0-260•Minage:指出再次修改密码之间相距最短的星期数，范围0-52•Maxage:密码有效的星期数，指再次修改密码之间相距最长时间•Minlen:密码的最短长度，范围0-827•/etc/group–记录格式：组名：口令：组ID：用户1，用户2，…,用户nsystem:!:0:nuucp,rootstaff:!:1:zsj,cmy,zx,zhan,zhangbin:!:2:root,binsys:!:3:root,bin,sysadm:!:4:bin,admsecurity:!:7:rootaudit:!:10:rootecs:!:28:nobody:!:4294967294:nobody,lpdusr:!:100:mayl,guest28用户使用操作系统资源的限制•/etc/security/limits•ulimit–a查看限制值属性含义fsize用户可以产生或追加文件的最大文件大小，单位512字节core用户进程能够产生core文件的最大大小，单位512字