L4-用户管理与安全策略课件

1、第四讲用户管理与安全策略用户管理与安全策略本章要点定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root 特权的原则掌握许可权位的含义及使用2022/7/15用户登陆和初始化gettylogin用户输入用户名系统验证用户名和密码设置用户环境显示/etc/motdshell 读取/etc/environment /etc/profile $HOME/.profile2022/7/15用户登陆 对直接连接的可用端口，由init启动的getty进程 将在终端上显示登录提示信息，该提示可在文件 /etc/security/login.

2、cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令提示信息 用户名 口令 2022/7/15用户环境用户环境由以下文件建立：/etc/passwd 合法用户（无口令内容）/etc/group 合法用户组/etc/security/passwd 含有加密形式的用户口令/etc/security/user 用户属性，口令限制/etc/security/limits对用户的限制/etc/security/environ 用户环境设定/etc/security/login.cfg登录设置/etc/security/gro

3、up 用户组属性/usr/lib/security/mkuser.default 建立新用户的一些默认设置存放文件中2022/7/15/etc/motdlogin过程将当前目录设置为用户的主目录，并且在$HOME/.hushlogin文件不存在的情况下，将显示/etc/motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell(在/etc/passwd中定义) ，对于Bourne和Korn Shell，将运行/etc/profile和$HOME/.profile文件，对Csh,则执行$HOME/.login和$HOME/.cshrc文件/etc/motd shell2022/7/1

4、5环境变量用户登录时系统设置用户环境主要依据下述文件/etc/profile设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG 、MAIL等环境变量/etc/environment指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等$HOME/.profile用户在主目录下的设置文件2022/7/15组的分类组的特点组是用户的集合，组成员需要存取组内的共享文件每个用户至少属于一个组，同时也可以充当多个组的成员用户可以存取自己组集合(group set )中的共享文件，列出组集合可用groups 或者setgroups 命令文件主修改主组可用ne

5、wgrp 或setgroups 命令2022/7/15分组策略组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员2022/7/15用户组系统管理员按照用户共享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户三种类型组系统定义的组系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security

6、组则可以完成有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务2022/7/15组的划分在AIX系统中，一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务2022/7/15system 管理大多数系统配置和维护标准软硬件printq 管理打印队列。该组成员有权执行的典型命令有enable、disable、qadm、qpri等security 管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系统定义的组2022/7/15adm 执行性能、cron

7、 、记帐等监控功能staff 为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置audit 管理事件监视系统系统定义的组(2)2022/7/15用户划分root用户管理用户普通用户2022/7/15root用户超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成，如指定的 system、 security、printq、cron、adm、audit组的成员。2022/7/15管理用户为了保护重要的用户和组不受security组成员的控制，AIX设置管理用户和管理组

8、只有root才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户,可查看文件/etc/security/user的admin属性# cat /etc/security/useruser1:admin=true2022/7/15安全性和用户菜单# smitty security2022/7/15用户管理# smitty users2022/7/15列示用户# smitty lsuser2022/7/15lsuser命令在SMIT菜单选择List All Users选项时，得到的输出是用户名、用户id、和主目录的列表；也可以直接用lsuser命令来列示所有用户(ALL)或部分用户的

9、属性lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user2022/7/15lsuser命令(2)命令格式：lsuser -c | -f -a attribute ALL | username lsuser列表按行显示；lsuser -c显示的域以冒号分隔lsuser f按分节式的格式显示，可以指定列出全部属性或部分属性2022/7/15创建用户# smitty mkuser2022/7/15用户缺省值缺省用户的ID号取自/etc/security/.ids设置ID的shell程序/usr/lib/secu

10、rity/mkuser.sys缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user缺省的.profile文件取自/etc/security/.profile2022/7/15用户属性文件/etc/passwd 包含用户的基本属性/etc/group 包含组的基本属性/etc/security/user 包含用户的扩展属性/etc/security/limits 包含用户的运行资源限制/etc/security/lastlog 包含用户最后登陆属性2022/7/15修改用户属性# smitty chuser2022/7/15删除用户#

11、 smitty rmuser2022/7/15rmuser命令example:# rmuser test01删除用户test01# rmuser -p test01删除用户test01，并删除与用户认证相关的信息# rm -r /home/test01手工删除用户的主目录(rmuser命令并未删除用户主目录)2022/7/15用户口令 新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成员可用2022/7/15root口令紧急情况下删

12、除root口令的步骤1、从AIX 5L CD-ROM引导2、引导时键入F5，进入安装和维护（Installation and Maintenance）菜单下选择3：Start Maintenance Mode For System Recovery3、选择 Obtain a shell by activating the root volume group并按提示继续4、设置TERM变量，例如：# export TERM=vt1005、通过 # vi /etc/security/passwd删除root口令的密文6、# sync；sync(系统同步)7、# reboot(从硬盘引导)8、从新登

13、陆后给root设置口令2022/7/15组管理# smitty groups2022/7/15组管理(2)建立组的目的是让同组的成员对共享的文件具有同样的许可权(文件的组许可权位一致)要创建组并成为其管理员，必须是root或security组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组，如system 组是管理用户的组，staff 组是普通用户的组 ，其他的组与特定应用和特定文件的所有权相联系2022/7/15列示组# smitty lsgroup2022/7/15lsgroup命令lsgroup缺省格式，列表按行显示lsgroup -c显示时每个组的属性之间用冒号分隔lsgro

14、up f按组名以分节式格式输出2022/7/15添加组# smitty mkgroup2022/7/15mkgroup命令mkgroup groupname-a 用来指定该组是管理组（只有root才有权在 系统中添加管理组）-A 用于任命创建者为组管理员一个用户可属于132个组。ADMINISTRATOR list是组管理员列表，组管理员有权添加或删除组成员2022/7/15更改组的属性# smitty chgroup2022/7/15更改组的属性(2)smit chgroup和chgroup命令用来更改组的特性。只有root和security组的成员有权执行该操作组的属性包括：Group I

15、D (id=groupid) Administrative group?(admin=true|false)Administrator List (adms=adminnames) User List (users=usernames) 2022/7/15删除组# smitty rmgroup2022/7/15删除组rmgroup用来删除一个组对管理组而言，只有root才有权删除组管理员可以用chgrpmen命令来增删组管理员和组成员2022/7/15motd文件write命令wall命令talk命令mesg命令管理员和用户通信工具2022/7/15管理员和用户通信工具(2)文件/etc/mo

16、td在用户从终端成功登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息只应包含用户须知的内容用户的主目录下如果存在文件$HOME/.hushlogin则该用户登录时不显示motd 文件的内容motd 文件2022/7/15安全性的概念系统缺省用户root：超级用户adm、sys、bin ：系统文件的所有者但不允许登录系统缺省组system ：管理员组staff ：普通用户组2022/7/15安全性原则用户被赋予唯一的用户名、用户ID (UID)和口令。用户登录后，对文件访问的合法性取决于UID文件创建时，UID自动成为文件主。只有文件主和root才能修改文件的访问许可权需要共享

17、一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID (GID)，GID也被赋予新创建的文件2022/7/15root特权的控制严格限制具有root 特权的人数root 口令应由系统管理员以不公开的周期更改不同的机器采用不同的root 口令系统管理员应以不同用户的身份登录，然后用su 命令进入特权root 所用的PATH环境变量不要随意更改2022/7/15su命令su 命令允许切换到root 或者指定用户，从而创建了新的会话例如：# su student$ whoamistudent 2022/7/15 su 命令带“-” 号表示将用户环境切换到该用户初始

18、登录环境 例如： $ su - test02 $ pwd /home/test02 su 命令不指定用户时，表示切换到rootsu命令(2)2022/7/15安全性日志/var/adm/sulogsu 日志文件。可用pg、 more 、cat命令查看/etc/utmp在线用户记录。可用who 命令查看# who -a /etc/utmp/etc/security/failedlogin非法和失败登录的记录，未知的登录名记为UNKNOWN ，可用who命令查看# who -a /etc/security/failedlogin 2022/7/15last命令查看/var/adm/wtmp文件中的

19、登录、退出历史记录。如：# last 显示所有用户的登录、退出历史记录# last root 显示root用户登录、退出历史记录# last reboot 显示系统启动和重启的时间安全性日志(3)2022/7/15许可权# ls -ld /bin/passwd /tmp-r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwddrwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp用户执行passwd 命令时他们的有效UID将改为root 的UID2022/7/15更改许可权example:# chmod +

20、t dir1 or # chmod 1770 dir1 (SVTX)# chmod g+s dir2 or # chmod 2775 dir2 (SGID)# chmod u+s dir3 or # chmod 4750 dir3 (SUID)2022/7/15更改所有者example:# chown zhang file1# chgrp staff file1# chown zhang:staff file2022/7/15umaskumask 决定新建文件和目录的缺省许可权/etc/security/user 指定缺省的和个别用户的umask 值系统缺省umask=022 ，取umask=

21、027 则提供更严格的许可权限制umask=022 创建的文件和目录缺省许可权如下： 普通文件 rw-r-r- 目录 rwxr-xr-x2022/7/15安全性文件/etc/passwd 合法用户（不含口令）/etc/group 合法组/etc/security 普通用户无权访问此目录/etc/security/passwd 用户口令/etc/security/user 用户属性、口令约束等2022/7/15安全性文件(2)/etc/security/limits 用户使用资源限制/etc/security/environ 用户环境限制/etc/security/login.cfg 登录限制/

22、etc/security/group 组的属性2022/7/15合法性检查pwdck 验证本机认证信息的合法性命令格式：pwdck -n|-p|-t|-p ALL | username 该命令用来验证本机认证信息的合法性，它将检查/etc/passwd 和/etc/security/passwd 的一致性以及/etc/security/login.cfg 和/etc/security/user 的一致性2022/7/15usrck 验证用户定义的合法性命令格式：usrck -n | -p | -t | -y ALL | username 该命令检查 /etc/passwd、 /etc/secu

23、rity/user 、/etc/limits 和/etc/security/passwd中的用户信息，同时也检查/etc/group和/etc/security/group 以保证数据的一致性合法性检查(2)2022/7/15grpck 验证组的一致性命令格式：grpck -n| -p| -t |-y ALL |username 该命令检查 /etc/group 和 /etc/security/group 、/etc/passwd 和/etc/security/user之间的数据一致性合法性检查(3)命令参数的含义：-n 报告错误但不作修改-p 修改错误但是不输出报告-t 报告错误并等候管理员

24、指示是否修改-y 修改错误并输出报告2022/7/15安全性策略要旨划分不同类型的用户和数据按照分工的性质组织用户和组遵循分组结构为数据设置所有者为共享目录设置SVTX位2022/7/15每一种UNIX都有cron，但有关定义文件的目录位置会不同cron表文件/var/spool/cron/crontabs/记录文件 /var/adm/cron/log允许/拒绝文件/var/adm/cron/cron.allow,deny使用crontab -e编辑cron文件 cron2022/7/15测试题(1)A user is able to get a login prompt for the se

25、rver but gets a failed login error message when trying tologin with an ID. Which of the following is the mostlikely cause of this problem?A. The hard drive is bad.B. The /home is full.C. The server is low on paging space.D. The user has entered an invalid ID or password.2022/7/15测试题(2)2. Which of the following files contains UID, home directory, and shell information?A. /etc/passwdB. /etc/securi