AIX用户管理与安全策略

上传人:pu****.1 文档编号:592634051 上传时间:2024-09-21 格式:PPT 页数:70 大小:559KB
返回 下载 相关 举报
AIX用户管理与安全策略_第1页
第1页 / 共70页
AIX用户管理与安全策略_第2页
第2页 / 共70页
AIX用户管理与安全策略_第3页
第3页 / 共70页
AIX用户管理与安全策略_第4页
第4页 / 共70页
AIX用户管理与安全策略_第5页
第5页 / 共70页
点击查看更多>>
资源描述

《AIX用户管理与安全策略》由会员分享,可在线阅读,更多相关《AIX用户管理与安全策略(70页珍藏版)》请在金锄头文库上搜索。

1、第六章第六章用户管理与安全策略用户管理与安全策略第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略 6.1 6.1 用户和组管理用户和组管理用户和组管理用户和组管理 6.1.1 6.1.1 用户登陆和初始化用户登陆和初始化用户登陆和初始化用户登陆和初始化 6.1.2 6.1.2 组的分类组的分类组的分类组的分类 6.1.3 6.1.3 用户划分用户划分用户划分用户划分 6.1.4 6.1.4 安全性和用户菜单安全性和用户菜单安全性和用户菜单安全性和用户菜单 6.1.5 6.1.5 用户管理用户管理用户管理用户管理 6.1.6 6.1.6 组的管理

2、组的管理组的管理组的管理 6.1.7 6.1.7 管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具 6.2 6.2 安全性策略安全性策略安全性策略安全性策略 6.2.1 6.2.1 安全性的概念安全性的概念安全性的概念安全性的概念 6.2.2 6.2.2 文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权 6.2.3 6.2.3 安全性文件安全性文件安全性文件安全性文件 6.2.4 6.2.4 合法性检查合法性检查合法性检查合法性检查 6.2.5 6.2.5 安全性策略要旨安全性策略要旨安全性策略要旨安全性策略要旨 6.2.

3、6 6.2.6 测试题测试题测试题测试题 第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略(2)(2)第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略(3)(3)本章要点本章要点本章要点本章要点定义用户和组的概念定义用户和组的概念定义用户和组的概念定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握用户口令的管理掌握用户口令的管

4、理掌握用户口令的管理掌握用户口令的管理掌握与用户通信的方法掌握与用户通信的方法掌握与用户通信的方法掌握与用户通信的方法掌握控制掌握控制掌握控制掌握控制root root 特权的原则特权的原则特权的原则特权的原则掌握许可权位的含义及使用掌握许可权位的含义及使用掌握许可权位的含义及使用掌握许可权位的含义及使用6. 1. 1 6. 1. 1 用户登陆和初始化用户登陆和初始化用户登陆和初始化用户登陆和初始化gettygettyloginlogin用户输入用户名用户输入用户名用户输入用户名用户输入用户名系统验证用户系统验证用户系统验证用户系统验证用户名和密码名和密码名和密码名和密码设置用户环境设置用户环

5、境设置用户环境设置用户环境显示显示显示显示/etc/motd/etc/motdshellshell 读取读取读取读取/etc/environment/etc/environment /etc/profile /etc/profile $HOME/.profile $HOME/.profile用户登陆用户登陆用户登陆用户登陆 对直接连接的可用端口,由对直接连接的可用端口,由对直接连接的可用端口,由对直接连接的可用端口,由initinit启动的启动的启动的启动的gettygetty进程进程进程进程 将在终端上显示登录提示信息,该提示可在文件将在终端上显示登录提示信息,该提示可在文件将在终端上显示登

6、录提示信息,该提示可在文件将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg /etc/security/login.cfg中设置中设置中设置中设置 用户键入登录名后用户键入登录名后用户键入登录名后用户键入登录名后, ,系统将根据文件系统将根据文件系统将根据文件系统将根据文件/etc/passwd/etc/passwd 和和和和/etc/security/passwd/etc/security/passwd检查用户名及用户口令检查用户名及用户口令检查用户名及用户口令检查用户名及用户口令提示信息提示信息提示信息提示信息 用户名用户名用户名用户名 口令口令口

7、令口令 用户环境用户环境用户环境用户环境用户环境由以下文件来建立用户环境由以下文件来建立用户环境由以下文件来建立用户环境由以下文件来建立/etc/environment/etc/environment/etc/security/environ/etc/security/environ/etc/security/limits/etc/security/limits/etc/security/user/etc/security/user/etc/motd/etc/motdloginlogin过程将当前目录设置为用户的主目录,并过程将当前目录设置为用户的主目录,并过程将当前目录设置为用户的主目录,并

8、过程将当前目录设置为用户的主目录,并且在且在且在且在$HOME/.hushlogin$HOME/.hushlogin文件不存在的情况下,文件不存在的情况下,文件不存在的情况下,文件不存在的情况下,将显示将显示将显示将显示/etc/motd/etc/motd文件的内容和关于上次登录的文件的内容和关于上次登录的文件的内容和关于上次登录的文件的内容和关于上次登录的信息信息信息信息最后控制权被传递给登录最后控制权被传递给登录最后控制权被传递给登录最后控制权被传递给登录shell(shell(在在在在/etc/passwd/etc/passwd中定义中定义中定义中定义) ) ,对于,对于,对于,对于Bo

9、urneBourne和和和和Korn ShellKorn Shell,将运行,将运行,将运行,将运行/etc/profile/etc/profile和和和和$HOME/.profile$HOME/.profile文件,对文件,对文件,对文件,对Csh,Csh,则则则则执行执行执行执行$HOME/.login$HOME/.login和和和和$HOME/.cshrc$HOME/.cshrc文件文件文件文件/etc/motd shell/etc/motd shell环境变量环境变量环境变量环境变量用户登录时系统设置用户环境主要依据下述文件用户登录时系统设置用户环境主要依据下述文件用户登录时系统设置用

10、户环境主要依据下述文件用户登录时系统设置用户环境主要依据下述文件/etc/profile/etc/profile设置系统范围内公共变量的设置系统范围内公共变量的设置系统范围内公共变量的设置系统范围内公共变量的shellshell文件,设置如文件,设置如文件,设置如文件,设置如TERMTERM、MAILMSG MAILMSG 、MAILMAIL等环境变量等环境变量等环境变量等环境变量/etc/environment/etc/environment指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如HOME

11、HOME、 LANG LANG、TZ TZ 、NLSPATHNLSPATH等等等等$HOME/.profile$HOME/.profile用户在主目录下的设置文件用户在主目录下的设置文件用户在主目录下的设置文件用户在主目录下的设置文件6. 1. 2 6. 1. 2 组的分类组的分类组的分类组的分类组的特点组的特点组的特点组的特点组是用户的集合,组成员需要存取组内的共享文件组是用户的集合,组成员需要存取组内的共享文件组是用户的集合,组成员需要存取组内的共享文件组是用户的集合,组成员需要存取组内的共享文件每个用户至少属于一个组,同时也可以充当多个组每个用户至少属于一个组,同时也可以充当多个组每个用

12、户至少属于一个组,同时也可以充当多个组每个用户至少属于一个组,同时也可以充当多个组的成员的成员的成员的成员用户可以存取自己组集合用户可以存取自己组集合用户可以存取自己组集合用户可以存取自己组集合(group set )(group set )中的共享文件,中的共享文件,中的共享文件,中的共享文件,列出组集合可用列出组集合可用列出组集合可用列出组集合可用groups groups 或者或者或者或者setgroups setgroups 命令命令命令命令文件主修改主组可用文件主修改主组可用文件主修改主组可用文件主修改主组可用newgrp newgrp 或或或或setgroups setgroups

13、 命令命令命令命令分组策略分组策略分组策略分组策略组的划分尽量与系统的安全性策略相一致,不要组的划分尽量与系统的安全性策略相一致,不要组的划分尽量与系统的安全性策略相一致,不要组的划分尽量与系统的安全性策略相一致,不要定义太多的组,如果按照数据类型和用户类型的定义太多的组,如果按照数据类型和用户类型的定义太多的组,如果按照数据类型和用户类型的定义太多的组,如果按照数据类型和用户类型的每种可能组合来划分组,又将走向另一个极端,每种可能组合来划分组,又将走向另一个极端,每种可能组合来划分组,又将走向另一个极端,每种可能组合来划分组,又将走向另一个极端,会使得日常管理过于复杂会使得日常管理过于复杂会

14、使得日常管理过于复杂会使得日常管理过于复杂每个组可以任命一到多个组管理员,组管理员有每个组可以任命一到多个组管理员,组管理员有每个组可以任命一到多个组管理员,组管理员有每个组可以任命一到多个组管理员,组管理员有权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员三种类型组三种类型组三种类型组三种类型组用户组用户组用户组用户组系统管理员组系统管理员组系统管理员组系统管理员组系统定义的组系统定义的组系统定义的组系统定义的组用户组用户组用户组用户组系统管理员按照用户共享文件的需要创建的,例系统管理员按照用户共享文件的需要创建的,例系

15、统管理员按照用户共享文件的需要创建的,例系统管理员按照用户共享文件的需要创建的,例如同一部门,同一工程组的成员所创建的组如同一部门,同一工程组的成员所创建的组如同一部门,同一工程组的成员所创建的组如同一部门,同一工程组的成员所创建的组系统管理员组系统管理员组系统管理员组系统管理员组系统管理员自动成为系统管理员自动成为系统管理员自动成为系统管理员自动成为systemsystem组的成员,该组的成组的成员,该组的成组的成员,该组的成组的成员,该组的成员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是rootroo

16、t用户用户用户用户三种类型组三种类型组三种类型组三种类型组(2)(2)系统定义的组系统定义的组系统定义的组系统定义的组系统预先定义了几个组,如系统预先定义了几个组,如系统预先定义了几个组,如系统预先定义了几个组,如staffstaff是系统中新创建是系统中新创建是系统中新创建是系统中新创建的非管理用户的缺省组,的非管理用户的缺省组,的非管理用户的缺省组,的非管理用户的缺省组,securitysecurity组则可以完成组则可以完成组则可以完成组则可以完成有限的安全性管理工作。其他系统定义的组用来有限的安全性管理工作。其他系统定义的组用来有限的安全性管理工作。其他系统定义的组用来有限的安全性管理

17、工作。其他系统定义的组用来控制一些子系统的管理任务控制一些子系统的管理任务控制一些子系统的管理任务控制一些子系统的管理任务三种类型组三种类型组三种类型组三种类型组(3)(3)组的划分组的划分组的划分组的划分在在在在AIXAIX系统中,一些组的成员如系统中,一些组的成员如系统中,一些组的成员如系统中,一些组的成员如system system 、security security 、printq printq 、admadm等能够执行特定的系统管理等能够执行特定的系统管理等能够执行特定的系统管理等能够执行特定的系统管理任务任务任务任务system system 管理大多数系统配置和维护标准软硬件管

18、理大多数系统配置和维护标准软硬件管理大多数系统配置和维护标准软硬件管理大多数系统配置和维护标准软硬件printq printq 管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型命令有命令有命令有命令有enableenable、disabledisable、qadmqadm、qpriqpri等等等等security security 管理用户和组、口令和控制资源限制。该管理用户和组、口令和控制资源限制。该管理用户和组、口令和控制资源限制。该管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有

19、组成员有权执行的典型命令有组成员有权执行的典型命令有组成员有权执行的典型命令有mkusermkuser、rmuserrmuser、pwdadmpwdadm、chuserchuser、chgroupchgroup等等等等系统定义的组系统定义的组系统定义的组系统定义的组adm adm 执行性能、执行性能、执行性能、执行性能、cron cron 、记帐等监控功能、记帐等监控功能、记帐等监控功能、记帐等监控功能staff staff 为所有新用户提供的缺省的组,管理员可以为所有新用户提供的缺省的组,管理员可以为所有新用户提供的缺省的组,管理员可以为所有新用户提供的缺省的组,管理员可以在文件在文件在文件

20、在文件/usr/lib/security/mkuser.defaults/usr/lib/security/mkuser.defaults中中中中修改该设置修改该设置修改该设置修改该设置audit audit 管理事件监视系统管理事件监视系统管理事件监视系统管理事件监视系统系统定义的组系统定义的组系统定义的组系统定义的组(2)(2)6. 1. 3 6. 1. 3 用户划分用户划分用户划分用户划分rootroot用户用户用户用户管理用户管理用户管理用户管理用户普通用户普通用户普通用户普通用户rootroot用户用户用户用户超级用户(特权用户)超级用户(特权用户)超级用户(特权用户)超级用户(特权

21、用户)可执行所有的系统管理工作,不受任何权限限制可执行所有的系统管理工作,不受任何权限限制可执行所有的系统管理工作,不受任何权限限制可执行所有的系统管理工作,不受任何权限限制大多数系统管理工作可以由非大多数系统管理工作可以由非大多数系统管理工作可以由非大多数系统管理工作可以由非rootroot的其他用户来的其他用户来的其他用户来的其他用户来完成,如指定的完成,如指定的完成,如指定的完成,如指定的 system system、 security security、printqprintq、croncron、admadm、auditaudit组的成员。组的成员。组的成员。组的成员。管理用户管理用户

22、管理用户管理用户为了保护重要的用户和组不受为了保护重要的用户和组不受为了保护重要的用户和组不受为了保护重要的用户和组不受securitysecurity组成员的组成员的组成员的组成员的控制,控制,控制,控制,AIXAIX设置管理用户和管理组设置管理用户和管理组设置管理用户和管理组设置管理用户和管理组只有只有只有只有rootroot才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理

23、用户, ,可查看文可查看文可查看文可查看文件件件件/etc/security/user/etc/security/user的的的的adminadmin属性属性属性属性# cat /etc/security/user# cat /etc/security/useruser1:user1:admin=trueadmin=true6. 1. 4 6. 1. 4 安全性和用户菜单安全性和用户菜单安全性和用户菜单安全性和用户菜单# smitty security# smitty security6. 1. 5 6. 1. 5 用户管理用户管理用户管理用户管理# smitty users# smitty

24、users列示用户列示用户列示用户列示用户# smitty lsuser# smitty lsuserlsuserlsuser命令命令命令命令在在在在SMITSMIT菜单选择菜单选择菜单选择菜单选择List All UsersList All Users选项时,得到的选项时,得到的选项时,得到的选项时,得到的输出是用户名、用户输出是用户名、用户输出是用户名、用户输出是用户名、用户idid、和主目录的列表;也可、和主目录的列表;也可、和主目录的列表;也可、和主目录的列表;也可以直接用以直接用以直接用以直接用lsuserlsuser命令来列示所有用户命令来列示所有用户命令来列示所有用户命令来列示所

25、有用户(ALL)(ALL)或部或部或部或部分用户的属性分用户的属性分用户的属性分用户的属性lsuserlsuser命令的输出用到以下文件命令的输出用到以下文件命令的输出用到以下文件命令的输出用到以下文件: /etc/passwd: /etc/passwd、 /etc/security/limits/etc/security/limits和和和和/etc/security/user/etc/security/userlsuserlsuser命令命令命令命令(2)(2)命令格式:命令格式:命令格式:命令格式:lsuser -c | -f -a attribute ALL | username ls

26、user -c | -f -a attribute ALL | username lsuserlsuser列表按行显示;列表按行显示;列表按行显示;列表按行显示;lsuser -clsuser -c显示的域以冒号分隔显示的域以冒号分隔显示的域以冒号分隔显示的域以冒号分隔lsuser flsuser f按分节式的格式显示,可以指定列出全部属性或部分属性按分节式的格式显示,可以指定列出全部属性或部分属性按分节式的格式显示,可以指定列出全部属性或部分属性按分节式的格式显示,可以指定列出全部属性或部分属性创建用户创建用户创建用户创建用户# smitty mkuser# smitty mkuser用户缺

27、省值用户缺省值用户缺省值用户缺省值缺省用户的缺省用户的缺省用户的缺省用户的IDID号取自号取自号取自号取自/etc/security/.ids/etc/security/.ids设置设置设置设置IDID的的的的shellshell程序程序程序程序/usr/lib/security/mkuser.sys/usr/lib/security/mkuser.sys缺省特性取自缺省特性取自缺省特性取自缺省特性取自/usr/lib/security/mkuser.default/usr/lib/security/mkuser.default、/etc/security/user/etc/security/

28、user缺省的缺省的缺省的缺省的.profile.profile文件取自文件取自文件取自文件取自/etc/security/.profile/etc/security/.profile用户属性文件用户属性文件用户属性文件用户属性文件/etc/passwd /etc/passwd 包含用户的基本属性包含用户的基本属性包含用户的基本属性包含用户的基本属性/etc/group /etc/group 包含组的基本属性包含组的基本属性包含组的基本属性包含组的基本属性/etc/security/user /etc/security/user 包含用户的扩展属性包含用户的扩展属性包含用户的扩展属性包含用户的

29、扩展属性/etc/security/limits /etc/security/limits 包含用户的运行资源限制包含用户的运行资源限制包含用户的运行资源限制包含用户的运行资源限制/etc/security/lastlog /etc/security/lastlog 包含用户最后登陆属性包含用户最后登陆属性包含用户最后登陆属性包含用户最后登陆属性修改用户属性修改用户属性修改用户属性修改用户属性# smitty chuser# smitty chuser删除用户删除用户删除用户删除用户# smitty rmuser# smitty rmuserrmuserrmuser命令命令命令命令exampl

30、e:example:# rmuser test01# rmuser test01删除用户删除用户删除用户删除用户test01test01# rmuser -p test01# rmuser -p test01删除用户删除用户删除用户删除用户test01test01,并删除与用户认证相关的信息,并删除与用户认证相关的信息,并删除与用户认证相关的信息,并删除与用户认证相关的信息# rm -r /home/test01# rm -r /home/test01手工删除用户的主目录手工删除用户的主目录手工删除用户的主目录手工删除用户的主目录(rmuser(rmuser命令并未删除用户主目录命令并未删除用

31、户主目录命令并未删除用户主目录命令并未删除用户主目录) )用户口令用户口令用户口令用户口令 新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令更改口令的两个命令更改口令的两个命令更改口令的两个命令 1 1、passwd usernamepasswd username 此命令只有此命令只有此命令只有此命令只有rootroot和和和和usernameusername本人可用本人可用本人可用本人可用 2 2、pwdadm usernamepwdad

32、m username root root和和和和securitysecurity成员可用成员可用成员可用成员可用rootroot口令口令口令口令紧急情况下删除紧急情况下删除紧急情况下删除紧急情况下删除rootroot口令的步骤口令的步骤口令的步骤口令的步骤1 1、从、从、从、从AIX 5L CD-ROMAIX 5L CD-ROM引导引导引导引导2 2、引导时键入、引导时键入、引导时键入、引导时键入F5F5,进入安装和维护(,进入安装和维护(,进入安装和维护(,进入安装和维护(Installation and Installation and Maintenance Maintenance)菜单

33、下选择)菜单下选择)菜单下选择)菜单下选择3 3:Start Maintenance Start Maintenance Mode For System Recovery Mode For System Recovery3 3、选择、选择、选择、选择 Obtain a shell by activating the root volume Obtain a shell by activating the root volume group group并按提示继续并按提示继续并按提示继续并按提示继续4 4、设置、设置、设置、设置TERMTERM变量,例如:变量,例如:变量,例如:变量,例如:#

34、export TERM=vt100# export TERM=vt1005 5、通过、通过、通过、通过 # vi /etc/security/passwd # vi /etc/security/passwd删除删除删除删除rootroot 口令的密文口令的密文口令的密文口令的密文6 6、# sync# sync;sync(sync(系统同步系统同步系统同步系统同步) )7 7、# reboot(# reboot(从硬盘引导从硬盘引导从硬盘引导从硬盘引导) )8 8、从新登陆后给、从新登陆后给、从新登陆后给、从新登陆后给rootroot设置口令设置口令设置口令设置口令紧急情况下删除紧急情况下删除

35、紧急情况下删除紧急情况下删除rootroot口令的步骤口令的步骤口令的步骤口令的步骤rootroot口令口令口令口令(2)(2)6. 1. 6 6. 1. 6 组的管理组的管理组的管理组的管理# smitty groups# smitty groups组的管理组的管理组的管理组的管理(2)(2)建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同样的许可权样的许可权样的许可权样的许可权( (文件的组许可权位一致文件的组许可权位一致文件的组许可权位一致文件的组许可权位一致)

36、 )要创建组并成为其管理员,必须是要创建组并成为其管理员,必须是要创建组并成为其管理员,必须是要创建组并成为其管理员,必须是rootroot或或或或securitysecurity组成员。组管理员有权往组里添加其他用户组成员。组管理员有权往组里添加其他用户组成员。组管理员有权往组里添加其他用户组成员。组管理员有权往组里添加其他用户系统中已经定义了几个组,如系统中已经定义了几个组,如系统中已经定义了几个组,如系统中已经定义了几个组,如system system 组是管理用组是管理用组是管理用组是管理用户的组,户的组,户的组,户的组,staff staff 组是普通用户的组组是普通用户的组组是普通

37、用户的组组是普通用户的组 ,其他的组与特,其他的组与特,其他的组与特,其他的组与特定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系列示组列示组列示组列示组# smitty lsgroup# smitty lsgrouplsgrouplsgroup命令命令命令命令lsgrouplsgroup缺省格式,列表按行显示缺省格式,列表按行显示缺省格式,列表按行显示缺省格式,列表按行显示lsgroup -clsgroup -c显示时每个组的属性之间用冒号分隔显示时每个组的属性之间用冒号分隔显示时每个组的属性之间用冒号分隔显示时每个组的

38、属性之间用冒号分隔lsgroup flsgroup f按组名以分节式格式输出按组名以分节式格式输出按组名以分节式格式输出按组名以分节式格式输出添加组添加组添加组添加组# smitty mkgroup# smitty mkgroupmkgroupmkgroup命令命令命令命令mkgroup groupnamemkgroup groupname-a -a 用来指定该组是管理组(只有用来指定该组是管理组(只有用来指定该组是管理组(只有用来指定该组是管理组(只有rootroot才有权在才有权在才有权在才有权在 系统中添加管理组)系统中添加管理组)系统中添加管理组)系统中添加管理组)-A -A 用于任命

39、创建者为组管理员用于任命创建者为组管理员用于任命创建者为组管理员用于任命创建者为组管理员一个用户可属于一个用户可属于一个用户可属于一个用户可属于132132个组。个组。个组。个组。ADMINISTRATOR ADMINISTRATOR listlist是组管理员列表,组管理员有权添加或删除组是组管理员列表,组管理员有权添加或删除组是组管理员列表,组管理员有权添加或删除组是组管理员列表,组管理员有权添加或删除组成员成员成员成员更改组的属性更改组的属性更改组的属性更改组的属性# smitty chgroup# smitty chgroup更改组的属性更改组的属性更改组的属性更改组的属性(2)(2)

40、smit chgroupsmit chgroup和和和和chgroupchgroup命令用来更改组的特性。命令用来更改组的特性。命令用来更改组的特性。命令用来更改组的特性。只有只有只有只有rootroot和和和和securitysecurity组的成员有权执行该操作组的成员有权执行该操作组的成员有权执行该操作组的成员有权执行该操作组的属性包括:组的属性包括:组的属性包括:组的属性包括:Group ID (id=groupid) Group ID (id=groupid) Administrative group?(admin=true|false)Administrative group?(a

41、dmin=true|false)Administrator List (adms=adminnames) Administrator List (adms=adminnames) User List (users=usernames) User List (users=usernames) 删除组删除组删除组删除组# smitty rmgroup# smitty rmgroup删除组删除组删除组删除组rmgrouprmgroup用来删除一个组用来删除一个组用来删除一个组用来删除一个组对管理组而言,只有对管理组而言,只有对管理组而言,只有对管理组而言,只有rootroot才有权删除才有权删除才有

42、权删除才有权删除组管理员可以用组管理员可以用组管理员可以用组管理员可以用chgrpmenchgrpmen命令来增删组管理员命令来增删组管理员命令来增删组管理员命令来增删组管理员和组成员和组成员和组成员和组成员motdmotd文件文件文件文件writewrite命令命令命令命令wallwall命令命令命令命令talktalk命令命令命令命令mesgmesg命令命令命令命令6. 1. 7 6. 1. 7 管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具(2)(2)文件文件文件文件/etc

43、/motd/etc/motd在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在屏幕上。屏幕上。屏幕上。屏幕上。 特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期信息信息信息信息只应包含用户须知的内容只应包含用户须知的内容只应包含用户须知的内容只应包含用户须知的内容用户的主目录下如果存在文件用户的主目录下如果存在文件用户的主目录下如果存在文件用户的主目录下如果存在文件$HOME/.hushlogin $HOME/.hushl

44、ogin ,则该用户登录时不显示则该用户登录时不显示则该用户登录时不显示则该用户登录时不显示motd motd 文件的内容文件的内容文件的内容文件的内容motd motd 文件文件文件文件6. 2. 1 6. 2. 1 安全性的概念安全性的概念安全性的概念安全性的概念系统缺省用户系统缺省用户系统缺省用户系统缺省用户rootroot:超级用户:超级用户:超级用户:超级用户admadm、syssys、bin bin :系统文件的所有者但不允许登录:系统文件的所有者但不允许登录:系统文件的所有者但不允许登录:系统文件的所有者但不允许登录安全性的概念安全性的概念安全性的概念安全性的概念(2)(2)系统

45、缺省组系统缺省组系统缺省组系统缺省组system system :管理员组:管理员组:管理员组:管理员组staff staff :普通用户组:普通用户组:普通用户组:普通用户组安全性原则安全性原则安全性原则安全性原则用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户ID (UID)ID (UID)和和和和口令。用户登录后,对文件访问的合法性取决口令。用户登录后,对文件访问的合法性取决口令。用户登录后,对文件访问的合法性取决口令。用户登录后,对文件访问的合法性取决于于于于UIDUID文件创建时,文件创建时,文件创建时,文件创建时,UI

46、DUID自动成为文件主。只有文自动成为文件主。只有文自动成为文件主。只有文自动成为文件主。只有文件主和件主和件主和件主和rootroot才能修改文件的访问许可权才能修改文件的访问许可权才能修改文件的访问许可权才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯一的组名和组一的组名和组一的组名和组一的组名和组ID (

47、GID)ID (GID),GIDGID也被赋予新创建的也被赋予新创建的也被赋予新创建的也被赋予新创建的文件文件文件文件rootroot特权的控制特权的控制特权的控制特权的控制严格限制具有严格限制具有严格限制具有严格限制具有root root 特权的人数特权的人数特权的人数特权的人数root root 口令应由系统管理员以不公开的周期更改口令应由系统管理员以不公开的周期更改口令应由系统管理员以不公开的周期更改口令应由系统管理员以不公开的周期更改不同的机器采用不同的不同的机器采用不同的不同的机器采用不同的不同的机器采用不同的root root 口令口令口令口令系统管理员应以不同用户的身份登录,然后

48、用系统管理员应以不同用户的身份登录,然后用系统管理员应以不同用户的身份登录,然后用系统管理员应以不同用户的身份登录,然后用su su 命令进入特权命令进入特权命令进入特权命令进入特权root root 所用的所用的所用的所用的PATHPATH环境变量不要随意更改环境变量不要随意更改环境变量不要随意更改环境变量不要随意更改susu命令命令命令命令su su 命令允许切换到命令允许切换到命令允许切换到命令允许切换到root root 或者指定用户,从而创建或者指定用户,从而创建或者指定用户,从而创建或者指定用户,从而创建了新的会话了新的会话了新的会话了新的会话例如:例如:例如:例如:# su te

49、st01# su test01$ whoami$ whoamitest01test01 su su 命令带命令带命令带命令带“-” “-” 号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始 登录环境登录环境登录环境登录环境 例如:例如:例如:例如: $ su - test02 $ su - test02 $ pwd $ pwd /home/test02 /home/test02 su su 命令不指定用户时,表示切换到命令不指定用户时,表示切换到命令不指定用户时,表示切换到命令不指定用户时,表示切换到rootroo

50、tsusu命令命令命令命令(2)(2)安全性日志安全性日志安全性日志安全性日志/var/adm/sulog/var/adm/sulogsu su 日志文件。可用日志文件。可用日志文件。可用日志文件。可用pgpg、 more more 、catcat命令查看命令查看命令查看命令查看/etc/utmp/etc/utmp在线用户记录。可用在线用户记录。可用在线用户记录。可用在线用户记录。可用who who 命令查看命令查看命令查看命令查看# who -a /etc/utmp# who -a /etc/utmp /etc/security/failedlogin/etc/security/failed

51、login非法和失败登录的记录,未知的登录名记为非法和失败登录的记录,未知的登录名记为非法和失败登录的记录,未知的登录名记为非法和失败登录的记录,未知的登录名记为UNKNOWN UNKNOWN ,可用,可用,可用,可用whowho命令查看命令查看命令查看命令查看# who -a /etc/security/failedlogin# who -a /etc/security/failedlogin安全性日志安全性日志安全性日志安全性日志(2)(2)lastlast命令命令命令命令查看查看查看查看/var/adm/wtmp/var/adm/wtmp文件中的登录、退出历史记录。如:文件中的登录、退出

52、历史记录。如:文件中的登录、退出历史记录。如:文件中的登录、退出历史记录。如:# last # last 显示所有用户的登录、退出历史记录显示所有用户的登录、退出历史记录显示所有用户的登录、退出历史记录显示所有用户的登录、退出历史记录# last root # last root 显示显示显示显示rootroot用户登录、退出历史记录用户登录、退出历史记录用户登录、退出历史记录用户登录、退出历史记录# last reboot # last reboot 显示系统启动和重启的时间显示系统启动和重启的时间显示系统启动和重启的时间显示系统启动和重启的时间安全性日志安全性日志安全性日志安全性日志(3)

53、(3)6. 2. 2 6. 2. 2 文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权许可权许可权许可权许可权# ls -ld /bin/passwd /tmp# ls -ld /bin/passwd /tmp-r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd-r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwddrwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmpdrwxrwxrwt 8 bin bi

54、n 16384 Apr 16 20:08 /tmp用户执行用户执行用户执行用户执行passwd passwd 命令时他们的有效命令时他们的有效命令时他们的有效命令时他们的有效UIDUID将改为将改为将改为将改为root root 的的的的UIDUID更改许可权更改许可权更改许可权更改许可权example:example:# chmod +t dir1 # chmod +t dir1 or # chmod 1770 dir1 (SVTX)or # chmod 1770 dir1 (SVTX)# chmod g+s dir2 # chmod g+s dir2 or # chmod 2775 dir

55、2 (SGID)or # chmod 2775 dir2 (SGID)# chmod u+s dir3 # chmod u+s dir3 or # chmod 4750 dir3 (SUID)or # chmod 4750 dir3 (SUID)更改所有者更改所有者更改所有者更改所有者example:example:# chown zhang file1# chown zhang file1# chgrp staff file1# chgrp staff file1# chown zhang:staff file# chown zhang:staff fileumaskumaskumask u

56、mask 决定新建文件和目录的缺省许可权决定新建文件和目录的缺省许可权决定新建文件和目录的缺省许可权决定新建文件和目录的缺省许可权/etc/security/user /etc/security/user 指定缺省的和个别用户的指定缺省的和个别用户的指定缺省的和个别用户的指定缺省的和个别用户的umask umask 值值值值系统缺省系统缺省系统缺省系统缺省umask=022 umask=022 ,取,取,取,取umask=027 umask=027 则提供更严格的则提供更严格的则提供更严格的则提供更严格的许可权限制许可权限制许可权限制许可权限制umask=022 umask=022 创建的文件

57、和目录缺省许可权如下:创建的文件和目录缺省许可权如下:创建的文件和目录缺省许可权如下:创建的文件和目录缺省许可权如下: 普通文件普通文件普通文件普通文件 rw-r-r- rw-r-r- 目录目录目录目录 rwxr-xr-x rwxr-xr-x6. 2. 3 6. 2. 3 安全性文件安全性文件安全性文件安全性文件/etc/passwd /etc/passwd 合法用户(不含口令)合法用户(不含口令)合法用户(不含口令)合法用户(不含口令)/etc/group /etc/group 合法组合法组合法组合法组/etc/security /etc/security 普通用户无权访问此目录普通用户无权

58、访问此目录普通用户无权访问此目录普通用户无权访问此目录/etc/security/passwd /etc/security/passwd 用户口令用户口令用户口令用户口令/etc/security/user /etc/security/user 用户属性、口令约束等用户属性、口令约束等用户属性、口令约束等用户属性、口令约束等安全性文件安全性文件安全性文件安全性文件(2)(2)/etc/security/limits /etc/security/limits 用户使用资源限制用户使用资源限制用户使用资源限制用户使用资源限制/etc/security/environ /etc/security/e

59、nviron 用户环境限制用户环境限制用户环境限制用户环境限制/etc/security/login.cfg /etc/security/login.cfg 登录限制登录限制登录限制登录限制/etc/security/group /etc/security/group 组的属性组的属性组的属性组的属性6. 2. 4 6. 2. 4 合法性检查合法性检查合法性检查合法性检查pwdck pwdck 验证本机认证信息的合法性验证本机认证信息的合法性验证本机认证信息的合法性验证本机认证信息的合法性命令格式:命令格式:命令格式:命令格式:pwdck -n|-p|-t|-p ALL | username

60、pwdck -n|-p|-t|-p ALL | username 该命令用来验证本机认证信息的合法性,它将检查该命令用来验证本机认证信息的合法性,它将检查该命令用来验证本机认证信息的合法性,它将检查该命令用来验证本机认证信息的合法性,它将检查/etc/passwd /etc/passwd 和和和和/etc/security/passwd /etc/security/passwd 的一致性以的一致性以的一致性以的一致性以及及及及/etc/security/login.cfg /etc/security/login.cfg 和和和和/etc/security/user /etc/security/

61、user 的的的的一致性一致性一致性一致性usrck usrck 验证用户定义的合法性验证用户定义的合法性验证用户定义的合法性验证用户定义的合法性命令格式:命令格式:命令格式:命令格式:usrck -n | -p | -t | -y ALL | username usrck -n | -p | -t | -y ALL | username 该命令检查该命令检查该命令检查该命令检查 /etc/passwd /etc/passwd、 /etc/security/user /etc/security/user 、/etc/limits /etc/limits 和和和和/etc/security/pa

62、sswd/etc/security/passwd中的用户信息,中的用户信息,中的用户信息,中的用户信息,同时也检查同时也检查同时也检查同时也检查/etc/group/etc/group和和和和/etc/security/group /etc/security/group 以保以保以保以保证数据的一致性证数据的一致性证数据的一致性证数据的一致性合法性检查合法性检查合法性检查合法性检查(2)(2)grpck grpck 验证组的一致性验证组的一致性验证组的一致性验证组的一致性命令格式:命令格式:命令格式:命令格式:grpck -n| -p| -t |-y ALL |username grpck -

63、n| -p| -t |-y ALL |username 该命令检查该命令检查该命令检查该命令检查 /etc/group /etc/group 和和和和 /etc/security/group /etc/security/group 、/etc/passwd /etc/passwd 和和和和/etc/security/user/etc/security/user之间的数据一致之间的数据一致之间的数据一致之间的数据一致性性性性合法性检查合法性检查合法性检查合法性检查(3)(3)命令参数的含义:命令参数的含义:命令参数的含义:命令参数的含义:-n -n 报告错误但不作修改报告错误但不作修改报告错误但

64、不作修改报告错误但不作修改-p -p 修改错误但是不输出报告修改错误但是不输出报告修改错误但是不输出报告修改错误但是不输出报告-t -t 报告错误并等候管理员指示是否修改报告错误并等候管理员指示是否修改报告错误并等候管理员指示是否修改报告错误并等候管理员指示是否修改-y -y 修改错误并输出报告修改错误并输出报告修改错误并输出报告修改错误并输出报告合法性检查合法性检查合法性检查合法性检查(4)(4)6. 2. 5 6. 2. 5 安全性策略要旨安全性策略要旨安全性策略要旨安全性策略要旨划分不同类型的用户和数据划分不同类型的用户和数据划分不同类型的用户和数据划分不同类型的用户和数据按照分工的性质

65、组织用户和组按照分工的性质组织用户和组按照分工的性质组织用户和组按照分工的性质组织用户和组遵循分组结构为数据设置所有者遵循分组结构为数据设置所有者遵循分组结构为数据设置所有者遵循分组结构为数据设置所有者为共享目录设置为共享目录设置为共享目录设置为共享目录设置SVTXSVTX位位位位6. 2. 6 6. 2. 6 测试题测试题测试题测试题1.1.A user is able to get a login prompt for the server A user is able to get a login prompt for the server but gets a failed login

66、 error message when trying tobut gets a failed login error message when trying tologin with an ID. Which of the following is the mostlogin with an ID. Which of the following is the mostlikely cause of this problem?likely cause of this problem?A. The hard drive is bad.A. The hard drive is bad.B. The

67、/home is full.B. The /home is full.C. The server is low on paging space.C. The server is low on paging space.D. The user has entered an invalid ID or password.D. The user has entered an invalid ID or password.测试题测试题测试题测试题(2)(2)2. Which of the following files contains UID, home 2. Which of the follow

68、ing files contains UID, home directory, and shell information?directory, and shell information?A. /etc/passwdA. /etc/passwdB. /etc/security/userB. /etc/security/userC. /etc/security/environC. /etc/security/environD. /etc/security/passwdD. /etc/security/passwd测试题测试题测试题测试题(3)(3)3. After completing the

69、 installation of the Base 3. After completing the installation of the Base Operating System on one of the serversOperating System on one of the servers,the the system administrator would like for all userssystem administrator would like for all userswho telnet into this machine to see a specific who

70、 telnet into this machine to see a specific message each time they successfully log in .message each time they successfully log in .Which file should be edited to provide this Which file should be edited to provide this message?message?A. /etc/motdA. /etc/motdB. /etc/profileB. /etc/profileC. /etc/environmentC. /etc/environmentD. /etc/security/login.cfgD. /etc/security/login.cfg

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号