用户管理与安全策略教材(PPT 71页).ppt

第六章,用户管理与安全策略,第六章用户管理与安全策略,6.1用户和组管理6.1.1用户登陆和初始化6.1.2组的分类6.1.3用户划分6.1.4安全性和用户菜单6.1.5用户管理6.1.6组的管理6.1.7管理员和用户通信工具,6.2安全性策略6.2.1安全性的概念6.2.2文件和目录的存取许可权6.2.3安全性文件6.2.4合法性检查6.2.5安全性策略要旨6.2.6测试题,第六章用户管理与安全策略(2),第六章用户管理与安全策略(3),本章要点,定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root特权的原则掌握许可权位的含义及使用,6.1.1用户登陆和初始化,getty,login,用户输入用户名,系统验证用户名和密码,设置用户环境,显示/etc/motd,shell,读取/etc/environment/etc/profile$HOME/.profile,用户登陆,对直接连接的可用端口，由init启动的getty进程将在终端上显示登录提示信息，该提示可在文件/etc/security/login.cfg中设置用户键入登录名后,系统将根据文件/etc/passwd和/etc/security/passwd检查用户名及用户口令,提示信息用户名口令,用户环境,用户环境由以下文件来建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user,/etc/motd,login过程将当前目录设置为用户的主目录，并且在$HOME/.hushlogin文件不存在的情况下，将显示/etc/motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell(在/etc/passwd中定义)，对于Bourne和KornShell，将运行/etc/profile和$HOME/.profile文件，对Csh,则执行$HOME/.login和$HOME/.cshrc文件,/etc/motdshell,环境变量,用户登录时系统设置用户环境主要依据下述文件/etc/profile设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG、MAIL等环境变量/etc/environment指定对所有进程适用的基本环境变量。如HOME、LANG、TZ、NLSPATH等$HOME/.profile用户在主目录下的设置文件,6.1.2组的分类,组的特点,组是用户的集合，组成员需要存取组内的共享文件每个用户至少属于一个组，同时也可以充当多个组的成员用户可以存取自己组集合(groupset)中的共享文件，列出组集合可用groups或者setgroups命令文件主修改主组可用newgrp或setgroups命令,分组策略,组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员,三种类型组,用户组系统管理员组系统定义的组,用户组,系统管理员按照用户共享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组,系统管理员组,系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户,三种类型组(2),系统定义的组,系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组则可以完成有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务,三种类型组(3),组的划分,在AIX系统中，一些组的成员如system、security、printq、adm等能够执行特定的系统管理任务,system管理大多数系统配置和维护标准软硬件printq管理打印队列。该组成员有权执行的典型命令有enable、disable、qadm、qpri等security管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等,系统定义的组,adm执行性能、cron、记帐等监控功能staff为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置audit管理事件监视系统,系统定义的组(2),6.1.3用户划分,root用户管理用户普通用户,root用户,超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成，如指定的system、security、printq、cron、adm、audit组的成员。,管理用户,为了保护重要的用户和组不受security组成员的控制，AIX设置管理用户和管理组只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性#cat/etc/security/useruser1:admin=true,6.1.4安全性和用户菜单,#smittysecurity,6.1.5用户管理,#smittyusers,列示用户,#smittylsuser,lsuser命令,在SMIT菜单选择ListAllUsers选项时，得到的输出是用户名、用户id、和主目录的列表；也可以直接用lsuser命令来列示所有用户(ALL)或部分用户的属性lsuser命令的输出用到以下文件:/etc/passwd、/etc/security/limits和/etc/security/user,lsuser命令(2),命令格式：lsuser-c|-f-aattributeALL|usernamelsuser列表按行显示；lsuser-c显示的域以冒号分隔lsuserf按分节式的格式显示，可以指定列出全部属性或部分属性,创建用户,#smittymkuser,用户缺省值,缺省用户的ID号取自/etc/security/.ids设置ID的shell程序/usr/lib/security/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile,用户属性文件,/etc/passwd包含用户的基本属性/etc/group包含组的基本属性/etc/security/user包含用户的扩展属性/etc/security/limits包含用户的运行资源限制/etc/security/lastlog包含用户最后登陆属性,修改用户属性,#smittychuser,删除用户,#smittyrmuser,rmuser命令,example:#rmusertest01删除用户test01#rmuser-ptest01删除用户test01，并删除与用户认证相关的信息#rm-r/home/test01手工删除用户的主目录(rmuser命令并未删除用户主目录),用户口令,新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令1、passwdusername此命令只有root和username本人可用2、pwdadmusernameroot和security成员可用,root口令,紧急情况下删除root口令的步骤,1、从AIX5LCD-ROM引导2、引导时键入F5，进入安装和维护（InstallationandMaintenance）菜单下选择3：StartMaintenanceModeForSystemRecovery3、选择Obtainashellbyactivatingtherootvolumegroup并按提示继续4、设置TERM变量，例如：#exportTERM=vt100,5、通过#vi/etc/security/passwd删除root口令的密文6、#sync；sync(系统同步)7、#reboot(从硬盘引导)8、从新登陆后给root设置口令,紧急情况下删除root口令的步骤,root口令(2),6.1.6组的管理,#smittygroups,组的管理(2),建立组的目的是让同组的成员对共享的文件具有同样的许可权(文件的组许可权位一致)要创建组并成为其管理员，必须是root或security组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组，如system组是管理用户的组，staff组是普通用户的组，其他的组与特定应用和特定文件的所有权相联系,列示组,#smittylsgroup,lsgroup命令,lsgroup缺省格式，列表按行显示lsgroup-c显示时每个组的属性之间用冒号分隔lsgroupf按组名以分节式格式输出,添加组,#smittymkgroup,mkgroup命令,mkgroupgroupname-a用来指定该组是管理组（只有root才有权在系统中添加管理组）-A用于任命创建者为组管理员一个用户可属于132个组。ADMINISTRATORlist是组管理员列表，组管理员有权添加或删除组成员,更改组的属性,#smittychgroup,更改组的属性(2),smitchgroup和chgroup命令用来更改组的特性。只有root和security组的成员有权执行该操作组的属性包括：GroupID(id=groupid)Administrativegroup?(admin=true|false)AdministratorList(adms=adminnames)UserList(users=usernames),删除组,#smittyrmgroup,删除组,rmgroup用来删除一个组对管理组而言，只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员,motd文件write命令wall命令talk命令mesg命令,6.1.7管理员和用户通信工具,管理员和用户通信工具(2),文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin，则该用户登录时不显示motd文件的内容,motd文件,6.2.1安全性的概念,系统缺省用户,root：超级用户adm、sys、bin：系统文件的所有者但不允许登录,安全性的概念(2),系统缺省组,system：管理员组staff：普通用户组,安全性原则,用户被赋予唯一的用户名、用户ID(UID)和口令。用户登录后，对文件访问的合法性取决于UID文件创建时，UID自动成为文件主。只有文件主和root才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID(GID)，GID也被赋予新创建的文件,root特权的控制,严格限制具有root特权的人数root口令应由系统管理员以不公开的周期更改不同的机器采用不同的root口令系统管理员应以不同用户的身份登录，然后用su命令进入特权root所用的PATH环境变量不要随意更改,su命令,su命令允许切换到root或者指定用户，从而创建了新的会话例如：#sutest01$whoamitest01,su命令带“-”号表示将用户环境切换到该用户初始登录环境例如：$su-test02$pwd/home/test02su命令不指定用户时，表示切换到root,su命令(2),安全性日志,/var/adm/sulogsu日志文件。可用pg、more、cat命令查看/etc/utmp在线用户记录。可用who命令查看#who-a/etc/utmp,/etc/security/failedlogin非法和失败登录的记录，未知的登录名记为UNKNOWN，可用who命令查看#who-a/etc/security/failedlogin,安全性日志(2),last命令查看/var/adm/wtmp文件中的登录、退出历史记录。如：#last显示所有用户的登录、退出历史记录#lastroot显示root用户登录、退出历史记录#lastreboot显示系统启动和重启的时间,安全性日志(3),6.2.2文件和目录的存取许可权,许可权,#ls-ld/bin/passwd/tmp-r-sr-xr-x1rootsecurity17018Jul302000/bin/passwddrwxrwxrwt8binbin16384Apr1620:08/tmp用户执行passwd命令时他们的有效UID将改为root的UID,更改许可权,example:#chmod+tdir1or#chmod1770dir1(SVTX)#chmodg+sdir2or#chmod2775dir2(SGID)#chmodu+sdir3or#chmod4750dir3(SUID),更改所有者,example:#chownzhangfile1#chgrpstafffile1#chownzhang:stafffile,umask,umask决定新建文件和目录的缺省许可权/etc/security/user指定缺省的和个别用户的umask值系统缺省umask=022，取umask=027则提供更严格的许可权限制umask=022创建的文件和目录缺省许可权如下：普通文件rw-r-r-目录rwxr-xr-x,6.2.3安全性文件,/etc/passwd合法用户（不含口令）/etc/group合法组/etc/security普通用户无权访问此目录/etc/security/passwd用户口令/etc/security/user用户属性、口令约束等,安全性文件(2),/etc/security/limits用户使用资源限制/etc/security/environ用户环境限制/etc/security/login.cfg登录限制/etc/security/group组的属性,6.2.4合法性检查,pwdck验证本机认证信息的合法性,命令格式：pwdck-n|-p|-t|-pALL|username该命令用来验证本机认证信息的合法性，它将检查/etc/passwd和/etc/security/passwd的一致性以及/etc/security/login.cfg和/etc/security/user的一致性,usrck验证用户定义的合法性,命令格式：usrck-n|-p|-t|-yALL|username该命令检查/etc/passwd、/etc/security/user、/etc/limits和/etc/security/passwd中的用户信息，同时也检查/etc/group和/etc/security/group以保证数据的一致性,合法性检查(2),grpck验证组的一致性,命令格式：grpck-n|-p|-t|-yALL|username该命令检查/etc/group和/etc/security/group、/etc/passwd和/etc/security/user之间的数据一致性,合法性检查(3),命令参数的含义：,-n报告错误但不作修改-p修改错误但是不输出报告-t报告错误并等候管理员指示是否修改-y修改错误并输出报告,合法性检查(4),6.2.5安全性策略要旨,划分不同类型的用户和数据按照分工的性质组织用户和组遵循分组结构为数据设置所有者为共享目录设置SVTX位,6.2.6测试题,Auserisabletogetaloginpromptfort