用戶管理與安全策略

第六章,用戶管理與安全策略,第六章 用戶管理與安全策略, 6.1 用戶和組管理 6.1.1 用戶登陸和初始化 6.1.2 組的分類(lèi) 6.1.3 用戶劃分 6.1.4 安全性和用戶菜單 6.1.5 用戶管理 6.1.6 組的管理 6.1.7 管理員和用戶通信工具, 6.2 安全性策略 6.2.1 安全性的概念 6.2.2 文件和目錄的存取許可權(quán) 6.2.3 安全性文件 6.2.4 合法性檢查 6.2.5 安全性策略要旨 6.2.6 測(cè)試題,第六章 用戶管理與安全策略(2),第六章 用戶管理與安全策略(3),本章要點(diǎn),定義用戶和組的概念 掌握添加更改刪除用戶的方法 掌握添加更改刪除組的方法 掌握用戶口令的管理 掌握與用戶通信的方法 掌握控制root 特權(quán)的原則 掌握許可權(quán)位的含義及使用,6. 1. 1 用戶登陸和初始化,getty,login,用戶輸入用戶名,系統(tǒng)驗(yàn)證用戶 名和密碼,設(shè)置用戶環(huán)境,顯示/etc/motd,shell,讀取 /etc/environment /etc/profile $HOME/.profile,用戶登陸,對(duì)直接連接的可用端口，由init啟動(dòng)的getty進(jìn)程 將在終端上顯示登錄提示信息，該提示可在文件 /etc/security/login.cfg中設(shè)置 用戶鍵入登錄名后,系統(tǒng)將根據(jù)文件/etc/passwd 和/etc/security/passwd檢查用戶名及用戶口令,提示信息 用戶名 口令,用戶環(huán)境,用戶環(huán)境由以下文件來(lái)建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user,/etc/motd,login過(guò)程將當(dāng)前目錄設(shè)置為用戶的主目錄，并 且在$HOME/.hushlogin文件不存在的情況下， 將顯示/etc/motd文件的內(nèi)容和關(guān)于上次登錄的 信息 最后控制權(quán)被傳遞給登錄shell(在/etc/passwd 中定義) ，對(duì)于Bourne和Korn Shell，將運(yùn)行 /etc/profile和$HOME/.profile文件，對(duì)Csh,則 執(zhí)行$HOME/.login和$HOME/.cshrc文件,/etc/motd shell,環(huán)境變量,用戶登錄時(shí)系統(tǒng)設(shè)置用戶環(huán)境主要依據(jù)下述文件 /etc/profile 設(shè)置系統(tǒng)范圍內(nèi)公共變量的shell文件，設(shè)置如TERM、 MAILMSG 、MAIL等環(huán)境變量 /etc/environment 指定對(duì)所有進(jìn)程適用的基本環(huán)境變量。如HOME、 LANG、TZ 、NLSPATH等 $HOME/.profile 用戶在主目錄下的設(shè)置文件,6. 1. 2 組的分類(lèi),組的特點(diǎn),組是用戶的集合，組成員需要存取組內(nèi)的共享文件 每個(gè)用戶至少屬于一個(gè)組，同時(shí)也可以充當(dāng)多個(gè)組 的成員 用戶可以存取自己組集合(group set )中的共享文件， 列出組集合可用groups 或者setgroups 命令 文件主修改主組可用newgrp 或setgroups 命令,分組策略,組的劃分盡量與系統(tǒng)的安全性策略相一致，不要 定義太多的組，如果按照數(shù)據(jù)類(lèi)型和用戶類(lèi)型的 每種可能組合來(lái)劃分組，又將走向另一個(gè)極端， 會(huì)使得日常管理過(guò)于復(fù)雜 每個(gè)組可以任命一到多個(gè)組管理員，組管理員有 權(quán)增減組成員和任命本組的管理員,三種類(lèi)型組,用戶組 系統(tǒng)管理員組 系統(tǒng)定義的組,用戶組,系統(tǒng)管理員按照用戶共享文件的需要?jiǎng)?chuàng)建的，例 如同一部門(mén)，同一工程組的成員所創(chuàng)建的組,系統(tǒng)管理員組,系統(tǒng)管理員自動(dòng)成為system組的成員，該組的成 員可以執(zhí)行某些系統(tǒng)管理任務(wù)而無(wú)需是root用戶,三種類(lèi)型組(2),系統(tǒng)定義的組,系統(tǒng)預(yù)先定義了幾個(gè)組，如staff是系統(tǒng)中新創(chuàng)建 的非管理用戶的缺省組，security組則可以完成 有限的安全性管理工作。其他系統(tǒng)定義的組用來(lái) 控制一些子系統(tǒng)的管理任務(wù),三種類(lèi)型組(3),組的劃分,在AIX系統(tǒng)中，一些組的成員如system 、security 、printq 、adm等能夠執(zhí)行特定的系統(tǒng)管理任務(wù),system 管理大多數(shù)系統(tǒng)配置和維護(hù)標(biāo)準(zhǔn)軟硬件 printq 管理打印隊(duì)列。該組成員有權(quán)執(zhí)行的典型 命令有enable、disable、qadm、qpri等 security 管理用戶和組、口令和控制資源限制。該 組成員有權(quán)執(zhí)行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等,系統(tǒng)定義的組,adm 執(zhí)行性能、cron 、記帳等監(jiān)控功能 staff 為所有新用戶提供的缺省的組，管理員可以 在文件/usr/lib/security/mkuser.defaults中 修改該設(shè)置 audit 管理事件監(jiān)視系統(tǒng),系統(tǒng)定義的組(2),6. 1. 3 用戶劃分,root用戶 管理用戶 普通用戶,root用戶,超級(jí)用戶（特權(quán)用戶） 可執(zhí)行所有的系統(tǒng)管理工作，不受任何權(quán)限限制 大多數(shù)系統(tǒng)管理工作可以由非root的其他用戶來(lái)完成，如指定的 system、 security、printq、cron、adm、audit組的成員。,管理用戶,為了保護(hù)重要的用戶和組不受security組成員的 控制，AIX設(shè)置管理用戶和管理組 只有root才能添加刪除和修改管理用戶和管理組 系統(tǒng)中的用戶均可以被指定為管理用戶,可查看文 件/etc/security/user的admin屬性 # cat /etc/security/user user1: admin=true,6. 1. 4 安全性和用戶菜單,# smitty security,6. 1. 5 用戶管理,# smitty users,列示用戶,# smitty lsuser,lsuser命令,在SMIT菜單選擇List All Users選項(xiàng)時(shí)，得到的 輸出是用戶名、用戶id、和主目錄的列表；也可 以直接用lsuser命令來(lái)列示所有用戶(ALL)或部 分用戶的屬性 lsuser命令的輸出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user,lsuser命令(2),命令格式： lsuser -c | -f -a attribute ALL | username lsuser 列表按行顯示； lsuser -c 顯示的域以冒號(hào)分隔 lsuser f 按分節(jié)式的格式顯示，可以指定列出全部屬性或部分屬性,創(chuàng)建用戶,# smitty mkuser,用戶缺省值,缺省用戶的ID號(hào)取自/etc/security/.ids 設(shè)置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user 缺省的.profile文件取自/etc/security/.profile,用戶屬性文件,/etc/passwd 包含用戶的基本屬性 /etc/group 包含組的基本屬性 /etc/security/user 包含用戶的擴(kuò)展屬性 /etc/security/limits 包含用戶的運(yùn)行資源限制 /etc/security/lastlog 包含用戶最后登陸屬性,修改用戶屬性,# smitty chuser,刪除用戶,# smitty rmuser,rmuser命令,example: # rmuser test01 刪除用戶test01 # rmuser -p test01 刪除用戶test01，并刪除與用戶認(rèn)證相關(guān)的信息 # rm -r /home/test01 手工刪除用戶的主目錄 (rmuser命令并未刪除用戶主目錄),用戶口令,新建用戶只有在管理員設(shè)置了初始口令之后才能使用 更改口令的兩個(gè)命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成員可用,root口令,緊急情況下刪除root口令的步驟,1、從AIX 5L CD-ROM引導(dǎo) 2、引導(dǎo)時(shí)鍵入F5，進(jìn)入安裝和維護(hù)（Installation and Maintenance）菜單下選擇3：Start Maintenance Mode For System Recovery 3、選擇 Obtain a shell by activating the root volume group并按提示繼續(xù) 4、設(shè)置TERM變量，例如：# export TERM=vt100,5、通過(guò) # vi /etc/security/passwd刪除root 口令的密文 6、# sync；sync(系統(tǒng)同步) 7、# reboot(從硬盤(pán)引導(dǎo)) 8、從新登陸后給root設(shè)置口令,緊急情況下刪除root口令的步驟,root口令(2),6. 1. 6 組的管理,# smitty groups,組的管理(2),建立組的目的是讓同組的成員對(duì)共享的文件具有同 樣的許可權(quán)(文件的組許可權(quán)位一致) 要?jiǎng)?chuàng)建組并成為其管理員，必須是root或security 組成員。組管理員有權(quán)往組里添加其他用戶 系統(tǒng)中已經(jīng)定義了幾個(gè)組，如system 組是管理用 戶的組，staff 組是普通用戶的組 ，其他的組與特 定應(yīng)用和特定文件的所有權(quán)相聯(lián)系,列示組,# smitty lsgroup,lsgroup命令,lsgroup 缺省格式，列表按行顯示 lsgroup -c 顯示時(shí)每個(gè)組的屬性之間用冒號(hào)分隔 lsgroup f 按組名以分節(jié)式格式輸出,添加組,# smitty mkgroup,mkgroup命令,mkgroup groupname -a 用來(lái)指定該組是管理組（只有root才有權(quán)在 系統(tǒng)中添加管理組） -A 用于任命創(chuàng)建者為組管理員 一個(gè)用戶可屬于132個(gè)組。ADMINISTRATOR list是組管理員列表，組管理員有權(quán)添加或刪除組 成員,更改組的屬性,# smitty chgroup,更改組的屬性(2),smit chgroup和chgroup命令用來(lái)更改組的特性。 只有root和security組的成員有權(quán)執(zhí)行該操作 組的屬性包括： Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames),刪除組,# smitty rmgroup,刪除組,rmgroup用來(lái)刪除一個(gè)組 對(duì)管理組而言，只有root才有權(quán)刪除 組管理員可以用chgrpmen命令來(lái)增刪組管理員 和組成員,motd文件 write命令 wall命令 talk命令 mesg命令,6. 1. 7 管理員和用戶通信工具,管理員和用戶通信工具(2),文件/etc/motd在用戶從終端成功登錄時(shí)將會(huì)顯示在屏幕上。 特別適合存放版權(quán)或系統(tǒng)使用須知等長(zhǎng)期信息 只應(yīng)包含用戶須知的內(nèi)容 用戶的主目錄下如果存在文件$HOME/.hushlogin ， 則該用戶登錄時(shí)不顯示motd 文件的內(nèi)容,motd 文件,6. 2. 1 安全性的概念,系統(tǒng)缺省用戶,root：超級(jí)用戶 adm、sys、bin ：系統(tǒng)文件的所有者但不允許登錄,安全性的概念(2),系統(tǒng)缺省組,system ：管理員組 staff ：普通用戶組,安全性原則,用戶被賦予唯一的用戶名、用戶ID (UID)和 口令。用戶登錄后，對(duì)文件訪問(wèn)的合法性取決 于UID 文件創(chuàng)建時(shí)，UID自動(dòng)成為文件主。只有文 件主和root才能修改文件的訪問(wèn)許可權(quán) 需要共享一組文件的用戶可以歸入同一個(gè)組 中。每個(gè)用戶可屬于多個(gè)組。每個(gè)組被賦予唯 一的組名和組ID (GID)，GID也被賦予新創(chuàng)建的 文件,root特權(quán)的控制,嚴(yán)格限制具有root 特權(quán)的人數(shù) root 口令應(yīng)由系統(tǒng)管理員以不公開(kāi)的周期更改 不同的機(jī)器采用不同的root 口令 系統(tǒng)管理員應(yīng)以不同用戶的身份登錄，然后用su 命令進(jìn)入特權(quán) root 所用的PATH環(huán)境變量不要隨意更改,su命令,su 命令允許切換到root 或者指定用戶，從而創(chuàng)建 了新的會(huì)話 例如： # su test01 $ whoami test01,su 命令帶“-” 號(hào)表示將用戶環(huán)境切換到該用戶初始 登錄環(huán)境 例如： $ su - test02 $ pwd /home/test02 su 命令不指定用戶時(shí)，表示切換到root,su命令(2),安全性日志,/var/adm/sulog su 日志文件?？捎胮g、 more 、cat命令查看 /etc/utmp 在線用戶記錄。可用who 命令查看 # who -a /etc/utmp,/etc/security/failedlogin 非法和失敗登錄的記錄，未知的登錄名記為 UNKNOWN ，可用who命令查看 # who -a /etc/security/failedlogin,安全性日志(2),last命令 查看/var/adm/wtmp文件中的登錄、退出歷史記錄。如： # last 顯示所有用戶的登錄、退出歷史記錄 # last root 顯示root用戶登錄、退出歷史記錄 # last reboot 顯示系統(tǒng)啟動(dòng)和重啟的時(shí)間,安全性日志(3),6. 2. 2 文件和目錄的存取許可權(quán),許可權(quán),# ls -ld /bin/passwd /tmp -r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd drwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp 用戶執(zhí)行passwd 命令時(shí)他們的有效UID將改為root 的UID,更改許可權(quán),example: # chmod +t dir1 or # chmod 1770 dir1 (SVTX) # chmod g+s dir2 or # chmod 2775 dir2 (SGID) # chmod u+s dir3 or # chmod 4750 dir3 (SUID),更改所有者,example: # chown zhang file1 # chgrp staff file1 # chown zhang:staff file,umask,umask 決定新建文件和目錄的缺省許可權(quán) /etc/security/user 指定缺省的和個(gè)別用戶的umask 值 系統(tǒng)缺省umask=022 ，取umask=027 則提供更嚴(yán)格的 許可權(quán)限制 umask=022 創(chuàng)建的文件和目錄缺省許可權(quán)如下： 普通文件 rw-r-r- 目錄 rwxr-xr-x,6. 2. 3 安全性文件,/etc/passwd 合法用戶（不含口令） /etc/group 合法組 /etc/security 普通用戶無(wú)權(quán)訪問(wèn)此目錄 /etc/security/passwd 用戶口令 /etc/security/user 用戶屬性、口令約束等,安全性文件(2),/etc/security/limits 用戶使用資源限制 /etc/security/environ 用戶環(huán)境限制 /etc/security/login.cfg 登錄限制 /etc/security/group 組的屬性,6. 2. 4 合法性檢查,pwdck 驗(yàn)證本機(jī)認(rèn)證信息的合法性,命令格式： pwdck -n|-p|-t|-p ALL | username 該命令用來(lái)驗(yàn)證本機(jī)認(rèn)證信息的合法性，它將檢查 /etc/passwd 和/etc/security/passwd 的一致性以 及/etc/security/login.cfg 和/etc/security/user 的 一致性,usrck 驗(yàn)證用戶定義的合法性,命令格式： usrck -n | -p | -t | -y ALL | username 該命令檢查 /etc/passwd、 /etc/security/user 、 /etc/limits 和/etc/security/passwd中的用戶信息， 同時(shí)也檢查/etc/group和/etc/security/group 以保 證數(shù)據(jù)的一致性,合法性檢查(2),grpck 驗(yàn)證組的一致性,命令格式： grpck -n| -p| -t |-y ALL |username 該命令檢查 /etc/group 和 /etc/security/group 、 /etc/passwd 和/etc/security/user之間的數(shù)據(jù)一致 性,合法性檢查(3),命令參數(shù)的含義：,-n 報(bào)告錯(cuò)誤但不作修改 -p 修改錯(cuò)誤但是不輸出報(bào)告 -t 報(bào)告錯(cuò)誤并等候管理員指示是否修改 -y 修改錯(cuò)誤并輸出報(bào)告,合法性檢查(4),6. 2. 5 安全性策略要旨,劃分不同類(lèi)型的用戶和數(shù)據(jù) 按照分工的性質(zhì)組織用戶和組 遵循分組結(jié)構(gòu)為數(shù)據(jù)設(shè)置所有者 為共享目錄設(shè)置SVTX位,6. 2. 6 測(cè)試題,A user is able to get a login prompt for the server but gets a failed login error message when trying to l