用戶管理與安全策略.ppt

《用戶管理與安全策略.ppt》由會員分享，可在線閱讀，更多相關《用戶管理與安全策略.ppt（71頁珍藏版）》請在裝配圖網上搜索。

第六章 用戶管理與安全策略 第六章用戶管理與安全策略 6 1用戶和組管理 6 1 1用戶登陸和初始化 6 1 2組的分類 6 1 3用戶劃分 6 1 4安全性和用戶菜單 6 1 5用戶管理 6 1 6組的管理 6 1 7管理員和用戶通信工具 6 2安全性策略 6 2 1安全性的概念 6 2 2文件和目錄的存取許可權 6 2 3安全性文件 6 2 4合法性檢查 6 2 5安全性策略要旨 6 2 6測試題 第六章用戶管理與安全策略 2 第六章用戶管理與安全策略 3 本章要點 定義用戶和組的概念掌握添加更改刪除用戶的方法掌握添加更改刪除組的方法掌握用戶口令的管理掌握與用戶通信的方法掌握控制root特權的原則掌握許可權位的含義及使用 6 1 1用戶登陸和初始化 getty login 用戶輸入用戶名 系統(tǒng)驗證用戶名和密碼 設置用戶環(huán)境 顯示 etc motd shell 讀取 etc environment etc profile HOME profile 用戶登陸 對直接連接的可用端口 由init啟動的getty進程將在終端上顯示登錄提示信息 該提示可在文件 etc security login cfg中設置用戶鍵入登錄名后 系統(tǒng)將根據文件 etc passwd和 etc security passwd檢查用戶名及用戶口令 提示信息用戶名口令 用戶環(huán)境 用戶環(huán)境由以下文件來建立 etc environment etc security environ etc security limits etc security user etc motd login過程將當前目錄設置為用戶的主目錄 并且在 HOME hushlogin文件不存在的情況下 將顯示 etc motd文件的內容和關于上次登錄的信息最后控制權被傳遞給登錄shell 在 etc passwd中定義 對于Bourne和KornShell 將運行 etc profile和 HOME profile文件 對Csh 則執(zhí)行 HOME login和 HOME cshrc文件 etc motdshell 環(huán)境變量 用戶登錄時系統(tǒng)設置用戶環(huán)境主要依據下述文件 etc profile設置系統(tǒng)范圍內公共變量的shell文件 設置如TERM MAILMSG MAIL等環(huán)境變量 etc environment指定對所有進程適用的基本環(huán)境變量 如HOME LANG TZ NLSPATH等 HOME profile用戶在主目錄下的設置文件 6 1 2組的分類 組的特點 組是用戶的集合 組成員需要存取組內的共享文件每個用戶至少屬于一個組 同時也可以充當多個組的成員用戶可以存取自己組集合 groupset 中的共享文件 列出組集合可用groups或者setgroups命令文件主修改主組可用newgrp或setgroups命令 分組策略 組的劃分盡量與系統(tǒng)的安全性策略相一致 不要定義太多的組 如果按照數據類型和用戶類型的每種可能組合來劃分組 又將走向另一個極端 會使得日常管理過于復雜每個組可以任命一到多個組管理員 組管理員有權增減組成員和任命本組的管理員 三種類型組 用戶組系統(tǒng)管理員組系統(tǒng)定義的組 用戶組 系統(tǒng)管理員按照用戶共享文件的需要創(chuàng)建的 例如同一部門 同一工程組的成員所創(chuàng)建的組 系統(tǒng)管理員組 系統(tǒng)管理員自動成為system組的成員 該組的成員可以執(zhí)行某些系統(tǒng)管理任務而無需是root用戶 三種類型組 2 系統(tǒng)定義的組 系統(tǒng)預先定義了幾個組 如staff是系統(tǒng)中新創(chuàng)建的非管理用戶的缺省組 security組則可以完成有限的安全性管理工作 其他系統(tǒng)定義的組用來控制一些子系統(tǒng)的管理任務 三種類型組 3 組的劃分 在AIX系統(tǒng)中 一些組的成員如system security printq adm等能夠執(zhí)行特定的系統(tǒng)管理任務 system管理大多數系統(tǒng)配置和維護標準軟硬件printq管理打印隊列 該組成員有權執(zhí)行的典型命令有enable disable qadm qpri等security管理用戶和組 口令和控制資源限制 該組成員有權執(zhí)行的典型命令有mkuser rmuser pwdadm chuser chgroup等 系統(tǒng)定義的組 adm執(zhí)行性能 cron 記帳等監(jiān)控功能staff為所有新用戶提供的缺省的組 管理員可以在文件 usr lib security mkuser defaults中修改該設置audit管理事件監(jiān)視系統(tǒng) 系統(tǒng)定義的組 2 6 1 3用戶劃分 root用戶管理用戶普通用戶 root用戶 超級用戶 特權用戶 可執(zhí)行所有的系統(tǒng)管理工作 不受任何權限限制大多數系統(tǒng)管理工作可以由非root的其他用戶來完成 如指定的system security printq cron adm audit組的成員 管理用戶 為了保護重要的用戶和組不受security組成員的控制 AIX設置管理用戶和管理組只有root才能添加刪除和修改管理用戶和管理組系統(tǒng)中的用戶均可以被指定為管理用戶 可查看文件 etc security user的admin屬性 cat etc security useruser1 admin true 6 1 4安全性和用戶菜單 smittysecurity 6 1 5用戶管理 smittyusers 列示用戶 smittylsuser lsuser命令 在SMIT菜單選擇ListAllUsers選項時 得到的輸出是用戶名 用戶id 和主目錄的列表 也可以直接用lsuser命令來列示所有用戶 ALL 或部分用戶的屬性lsuser命令的輸出用到以下文件 etc passwd etc security limits和 etc security user lsuser命令 2 命令格式 lsuser c f aattribute ALL username lsuser列表按行顯示 lsuser c顯示的域以冒號分隔lsuser f按分節(jié)式的格式顯示 可以指定列出全部屬性或部分屬性 創(chuàng)建用戶 smittymkuser 用戶缺省值 缺省用戶的ID號取自 etc security ids設置ID的shell程序 usr lib security mkuser sys缺省特性取自 usr lib security mkuser default etc security user缺省的 profile文件取自 etc security profile 用戶屬性文件 etc passwd包含用戶的基本屬性 etc group包含組的基本屬性 etc security user包含用戶的擴展屬性 etc security limits包含用戶的運行資源限制 etc security lastlog包含用戶最后登陸屬性 修改用戶屬性 smittychuser 刪除用戶 smittyrmuser rmuser命令 example rmusertest01刪除用戶test01 rmuser ptest01刪除用戶test01 并刪除與用戶認證相關的信息 rm r home test01手工刪除用戶的主目錄 rmuser命令并未刪除用戶主目錄 用戶口令 新建用戶只有在管理員設置了初始口令之后才能使用更改口令的兩個命令1 passwdusername此命令只有root和username本人可用2 pwdadmusernameroot和security成員可用 root口令 緊急情況下刪除root口令的步驟 1 從AIX5LCD ROM引導2 引導時鍵入F5 進入安裝和維護 InstallationandMaintenance 菜單下選擇3 StartMaintenanceModeForSystemRecovery3 選擇Obtainashellbyactivatingtherootvolumegroup并按提示繼續(xù)4 設置TERM變量 例如 exportTERM vt100 5 通過 vi etc security passwd刪除root口令的密文6 sync sync 系統(tǒng)同步 7 reboot 從硬盤引導 8 從新登陸后給root設置口令 緊急情況下刪除root口令的步驟 root口令 2 6 1 6組的管理 smittygroups 組的管理 2 建立組的目的是讓同組的成員對共享的文件具有同樣的許可權 文件的組許可權位一致 要創(chuàng)建組并成為其管理員 必須是root或security組成員 組管理員有權往組里添加其他用戶系統(tǒng)中已經定義了幾個組 如system組是管理用戶的組 staff組是普通用戶的組 其他的組與特定應用和特定文件的所有權相聯(lián)系 列示組 smittylsgroup lsgroup命令 lsgroup缺省格式 列表按行顯示lsgroup c顯示時每個組的屬性之間用冒號分隔lsgroup f按組名以分節(jié)式格式輸出 添加組 smittymkgroup mkgroup命令 mkgroupgroupname a用來指定該組是管理組 只有root才有權在系統(tǒng)中添加管理組 A用于任命創(chuàng)建者為組管理員一個用戶可屬于1 32個組 ADMINISTRATORlist是組管理員列表 組管理員有權添加或刪除組成員 更改組的屬性 smittychgroup 更改組的屬性 2 smitchgroup和chgroup命令用來更改組的特性 只有root和security組的成員有權執(zhí)行該操作組的屬性包括 GroupID id groupid Administrativegroup admin true false AdministratorList adms adminnames UserList users usernames 刪除組 smittyrmgroup 刪除組 rmgroup用來刪除一個組對管理組而言 只有root才有權刪除組管理員可以用chgrpmen命令來增刪組管理員和組成員 motd文件write命令wall命令talk命令mesg命令 6 1 7管理員和用戶通信工具 管理員和用戶通信工具 2 文件 etc motd在用戶從終端成功登錄時將會顯示在屏幕上 特別適合存放版權或系統(tǒng)使用須知等長期信息只應包含用戶須知的內容用戶的主目錄下如果存在文件 HOME hushlogin 則該用戶登錄時不顯示motd文件的內容 motd文件 6 2 1安全性的概念 系統(tǒng)缺省用戶 root 超級用戶adm sys bin 系統(tǒng)文件的所有者但不允許登錄 安全性的概念 2 系統(tǒng)缺省組 system 管理員組staff 普通用戶組 安全性原則 用戶被賦予唯一的用戶名 用戶ID UID 和口令 用戶登錄后 對文件訪問的合法性取決于UID文件創(chuàng)建時 UID自動成為文件主 只有文件主和root才能修改文件的訪問許可權需要共享一組文件的用戶可以歸入同一個組中 每個用戶可屬于多個組 每個組被賦予唯一的組名和組ID GID GID也被賦予新創(chuàng)建的文件 root特權的控制 嚴格限制具有root特權的人數root口令應由系統(tǒng)管理員以不公開的周期更改不同的機器采用不同的root口令系統(tǒng)管理員應以不同用戶的身份登錄 然后用su命令進入特權root所用的PATH環(huán)境變量不要隨意更改 su命令 su命令允許切換到root或者指定用戶 從而創(chuàng)建了新的會話例如 sutest01 whoamitest01 su命令帶 號表示將用戶環(huán)境切換到該用戶初始登錄環(huán)境例如 su test02 pwd home test02su命令不指定用戶時 表示切換到root su命令 2 安全性日志 var adm sulogsu日志文件 可用pg more cat命令查看 etc utmp在線用戶記錄 可用who命令查看 who a etc utmp etc security failedlogin非法和失敗登錄的記錄 未知的登錄名記為UNKNOWN 可用who命令查看 who a etc security failedlogin 安全性日志 2 last命令查看 var adm wtmp文件中的登錄 退出歷史記錄 如 last顯示所有用戶的登錄 退出歷史記錄 lastroot顯示root用戶登錄 退出歷史記錄 lastreboot顯示系統(tǒng)啟動和重啟的時間 安全性日志 3 6 2 2文件和目錄的存取許可權 許可權 ls ld bin passwd tmp r sr xr x1rootsecurity17018Jul302000 bin passwddrwxrwxrwt8binbin16384Apr1620 08 tmp用戶執(zhí)行passwd命令時他們的有效UID將改為root的UID 更改許可權 example chmod tdir1or chmod1770dir1 SVTX chmodg sdir2or chmod2775dir2 SGID chmodu sdir3or chmod4750dir3 SUID 更改所有者 example chownzhangfile1 chgrpstafffile1 chownzhang stafffile umask umask決定新建文件和目錄的缺省許可權 etc security user指定缺省的和個別用戶的umask值系統(tǒng)缺省umask 022 取umask 027則提供更嚴格的許可權限制umask 022創(chuàng)建的文件和目錄缺省許可權如下 普通文件rw r r 目錄rwxr xr x 6 2 3安全性文件 etc passwd合法用戶 不含口令 etc group合法組 etc security普通用戶無權訪問此目錄 etc security passwd用戶口令 etc security user用戶屬性 口令約束等 安全性文件 2 etc security limits用戶使用資源限制 etc security environ用戶環(huán)境限制 etc security login cfg登錄限制 etc security group組的屬性 6 2 4合法性檢查 pwdck驗證本機認證信息的合法性 命令格式 pwdck n p t p ALL username 該命令用來驗證本機認證信息的合法性 它將檢查 etc passwd和 etc security passwd的一致性以及 etc security login cfg和 etc security user的一致性 usrck驗證用戶定義的合法性 命令格式 usrck n p t y ALL username 該命令檢查 etc passwd etc security user etc limits和 etc security passwd中的用戶信息 同時也檢查 etc group和 etc security group以保證數據的一致性 合法性檢查 2 grpck驗證組的一致性 命令格式 grpck n p t y ALL username 該命令檢查 etc group和 etc security group etc passwd和 etc security user之間的數據一致性 合法性檢查 3 命令參數的含義 n 報告錯誤但不作修改 p 修改錯誤但是不輸出報告 t 報告錯誤并等候管理員指示是否修改 y 修改錯誤并輸出報告 合法性檢查 4 6 2 5安全性策略要旨 劃分不同類型的用戶和數據按照分工的性質組織用戶和組遵循分組結構為數據設置所有者為共享目錄設置SVTX位 6 2 6測試題 AuserisabletogetaloginpromptfortheserverbutgetsafailedloginerrormessagewhentryingtologinwithanID Whichofthefollowingisthemostlikelycauseofthisproblem A Theharddriveisbad B The homefilesystemisfull C Theserverislowonpagingspace D TheuserhasenteredaninvalidIDorpassword 測試題 2 2 WhichofthefollowingfilescontainsUID homedirectory andshellinformation A etc passwdB etc security userC etc security environD etc security passwd 測試題 3 3 AftercompletingtheinstallationoftheBaseOperatingSystemononeoftheservers thesystemadministratorwouldlikeforalluserswhotelnetintothismachinetoseeaspecificmessageeachtimetheysuccessfullylogin Whichfileshouldbeeditedtoprovidethismessage A etc motdB etc profileC etc environmentD etc security login cfg 測試題 4 答案1 D2 A3 A