06用户管理与安全策略PPT
- 1. 第六章用户管理与安全策略
- 2. 第六章 用户管理与安全策略§ 6.1 用户和组管理 § 6.1.1 用户登陆和初始化 § 6.1.2 组的分类 § 6.1.3 用户划分 § 6.1.4 安全性和用户菜单 § 6.1.5 用户管理 § 6.1.6 组的管理 § 6.1.7 管理员和用户通信工具
- 3. § 6.2 安全性策略 § 6.2.1 安全性的概念 § 6.2.2 文件和目录的存取许可权 § 6.2.3 安全性文件 § 6.2.4 合法性检查 § 6.2.5 安全性策略要旨 § 6.2.6 测试题 第六章 用户管理与安全策略(2)
- 4. 第六章 用户管理与安全策略(3)本章要点定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用
- 5. 6. 1. 1 用户登陆和初始化gettylogin用户输入用户名系统验证用户 名和密码设置用户环境显示/etc/motdshell 读取 /etc/environment /etc/profile $HOME/.profile
- 6. 用户登陆 对直接连接的可用端口,由init启动的getty进程 将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令 提示信息 用户名 口令
- 7. 用户环境用户环境由以下文件来建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user
- 8. /etc/motdlogin过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息 最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对Csh,则 执行$HOME/.login和$HOME/.cshrc文件 /etc/motd shell
- 9. 环境变量 用户登录时系统设置用户环境主要依据下述文件 /etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量 /etc/environment 指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等 $HOME/.profile 用户在主目录下的设置文件
- 10. 6. 1. 2 组的分类组的特点组是用户的集合,组成员需要存取组内的共享文件 每个用户至少属于一个组,同时也可以充当多个组 的成员 用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令 文件主修改主组可用newgrp 或setgroups 命令
- 11. 分组策略组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂 每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员
- 12. 三种类型组用户组 系统管理员组 系统定义的组
- 13. 用户组系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组 系统管理员组系统管理员自动成为system组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户 三种类型组(2)
- 14. 系统定义的组系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务 三种类型组(3)
- 15. 组的划分在AIX系统中,一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务
- 16. system 管理大多数系统配置和维护标准软硬件 printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri等 security 管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等系统定义的组
- 17. adm 执行性能、cron 、记帐等监控功能 staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置 audit 管理事件监视系统 系统定义的组(2)
- 18. 6. 1. 3 用户划分root用户 管理用户 普通用户
- 19. root用户超级用户(特权用户) 可执行所有的系统管理工作,不受任何权限限制 大多数系统管理工作可以由非root的其他用户来完成,如指定的 system、 security、printq、cron、adm、audit组的成员。
- 20. 管理用户为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组 只有root才能添加删除和修改管理用户和管理组 系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性 # cat /etc/security/user user1: admin=true
- 21. 6. 1. 4 安全性和用户菜单# smitty security
- 22. 6. 1. 5 用户管理# smitty users
- 23. 列示用户# smitty lsuser
- 24. lsuser命令在SMIT菜单选择List All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性 lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user
- 25. lsuser命令(2)命令格式: lsuser [-c | -f ] [-a attribute ] { ALL | username } lsuser 列表按行显示; lsuser -c 显示的域以冒号分隔 lsuser –f 按分节式的格式显示,可以指定列出全部属性或部分属性
- 26. 创建用户# smitty mkuser
- 27. 用户缺省值缺省用户的ID号取自/etc/security/.ids 设置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user 缺省的.profile文件取自/etc/security/.profile
- 28. 用户属性文件/etc/passwd 包含用户的基本属性 /etc/group 包含组的基本属性 /etc/security/user 包含用户的扩展属性 /etc/security/limits 包含用户的运行资源限制 /etc/security/lastlog 包含用户最后登陆属性
- 29. 修改用户属性# smitty chuser
- 30. 删除用户# smitty rmuser
- 31. rmuser命令example: # rmuser test01 删除用户test01 # rmuser -p test01 删除用户test01,并删除与用户认证相关的信息 # rm -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录)
- 32. 用户口令 新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成员可用
- 33. root口令紧急情况下删除root口令的步骤1、从AIX 5L CD-ROM引导 2、引导时键入F5,进入安装和维护(Installation and Maintenance)菜单下选择3:Start Maintenance Mode For System Recovery 3、选择 Obtain a shell by activating the root volume group并按提示继续 4、设置TERM变量,例如:# export TERM=vt100
- 34. 5、通过 # vi /etc/security/passwd删除root 口令的密文 6、# sync;sync(系统同步) 7、# reboot(从硬盘引导) 8、从新登陆后给root设置口令紧急情况下删除root口令的步骤root口令(2)
- 35. 6. 1. 6 组的管理# smitty groups
- 36. 组的管理(2)建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可权位一致) 要创建组并成为其管理员,必须是root或security 组成员。组管理员有权往组里添加其他用户 系统中已经定义了几个组,如system 组是管理用 户的组,staff 组是普通用户的组 ,其他的组与特 定应用和特定文件的所有权相联系
- 37. 列示组# smitty lsgroup
- 38. lsgroup命令 lsgroup 缺省格式,列表按行显示 lsgroup -c 显示时每个组的属性之间用冒号分隔 lsgroup –f 按组名以分节式格式输出
- 39. 添加组# smitty mkgroup
- 40. mkgroup命令mkgroup groupname -a 用来指定该组是管理组(只有root才有权在 系统中添加管理组) -A 用于任命创建者为组管理员 一个用户可属于1—32个组。ADMINISTRATOR list是组管理员列表,组管理员有权添加或删除组 成员
- 41. 更改组的属性# smitty chgroup
- 42. 更改组的属性(2)smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作 组的属性包括: Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames)
- 43. 删除组# smitty rmgroup
- 44. 删除组rmgroup用来删除一个组 对管理组而言,只有root才有权删除 组管理员可以用chgrpmen命令来增删组管理员 和组成员
- 45. motd文件 write命令 wall命令 talk命令 mesg命令6. 1. 7 管理员和用户通信工具
- 46. 管理员和用户通信工具(2)文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息 只应包含用户须知的内容 用户的主目录下如果存在文件$HOME/.hushlogin , 则该用户登录时不显示motd 文件的内容motd 文件
- 47. 6. 2. 1 安全性的概念系统缺省用户 root:超级用户 adm、sys、bin :系统文件的所有者但不允许登录
- 48. 安全性的概念(2)系统缺省组 system :管理员组 staff :普通用户组
- 49. 安全性原则用户被赋予唯一的用户名、用户ID (UID)和 口令。用户登录后,对文件访问的合法性取决 于UID 文件创建时,UID自动成为文件主。只有文 件主和root才能修改文件的访问许可权 需要共享一组文件的用户可以归入同一个组 中。每个用户可属于多个组。每个组被赋予唯 一的组名和组ID (GID),GID也被赋予新创建的 文件
- 50. root特权的控制严格限制具有root 特权的人数 root 口令应由系统管理员以不公开的周期更改 不同的机器采用不同的root 口令 系统管理员应以不同用户的身份登录,然后用su 命令进入特权 root 所用的PATH环境变量不要随意更改
- 51. su命令su 命令允许切换到root 或者指定用户,从而创建 了新的会话 例如: # su test01 $ whoami test01
- 52. su 命令带“-” 号表示将用户环境切换到该用户初始 登录环境 例如: $ su - test02 $ pwd /home/test02 su 命令不指定用户时,表示切换到root su命令(2)
- 53. 安全性日志 /var/adm/sulog su 日志文件。可用pg、 more 、cat命令查看 /etc/utmp 在线用户记录。可用who 命令查看 # who -a /etc/utmp
- 54. /etc/security/failedlogin 非法和失败登录的记录,未知的登录名记为 UNKNOWN ,可用who命令查看 # who -a /etc/security/failedlogin 安全性日志(2)
- 55. last命令 查看/var/adm/wtmp文件中的登录、退出历史记录。如: # last 显示所有用户的登录、退出历史记录 # last root 显示root用户登录、退出历史记录 # last reboot 显示系统启动和重启的时间 安全性日志(3)
- 56. 6. 2. 2 文件和目录的存取许可权
- 57. 许可权# ls -ld /bin/passwd /tmp -r-sr-xr-x 1 root security 17018 Jul 30 2000 /bin/passwd drwxrwxrwt 8 bin bin 16384 Apr 16 20:08 /tmp 用户执行passwd 命令时他们的有效UID将改为root 的UID
- 58. 更改许可权example: # chmod +t dir1 or # chmod 1770 dir1 (SVTX) # chmod g+s dir2 or # chmod 2775 dir2 (SGID) # chmod u+s dir3 or # chmod 4750 dir3 (SUID)
- 59. 更改所有者example: # chown zhang file1 # chgrp staff file1 # chown zhang:staff file
- 60. umask umask 决定新建文件和目录的缺省许可权 /etc/security/user 指定缺省的和个别用户的umask 值 系统缺省umask=022 ,取umask=027 则提供更严格的 许可权限制 umask=022 创建的文件和目录缺省许可权如下: 普通文件 rw-r--r-- 目录 rwxr-xr-x
- 61. 6. 2. 3 安全性文件/etc/passwd 合法用户(不含口令) /etc/group 合法组 /etc/security 普通用户无权访问此目录 /etc/security/passwd 用户口令 /etc/security/user 用户属性、口令约束等
- 62. 安全性文件(2) /etc/security/limits 用户使用资源限制 /etc/security/environ 用户环境限制 /etc/security/login.cfg 登录限制 /etc/security/group 组的属性
- 63. 6. 2. 4 合法性检查pwdck 验证本机认证信息的合法性命令格式: pwdck {-n|-p|-t|-p} {ALL | username } 该命令用来验证本机认证信息的合法性,它将检查 /etc/passwd 和/etc/security/passwd 的一致性以 及/etc/security/login.cfg 和/etc/security/user 的 一致性
- 64. usrck 验证用户定义的合法性 命令格式: usrck { -n | -p | -t | -y } { ALL | username } 该命令检查 /etc/passwd、 /etc/security/user 、 /etc/limits 和/etc/security/passwd中的用户信息, 同时也检查/etc/group和/etc/security/group 以保 证数据的一致性 合法性检查(2)
- 65. grpck 验证组的一致性 命令格式: grpck { -n| -p| -t |-y } {ALL |username } 该命令检查 /etc/group 和 /etc/security/group 、 /etc/passwd 和/etc/security/user之间的数据一致 性 合法性检查(3)
- 66. 命令参数的含义: -n ——报告错误但不作修改 -p ——修改错误但是不输出报告 -t ——报告错误并等候管理员指示是否修改 -y ——修改错误并输出报告合法性检查(4)
- 67. 6. 2. 5 安全性策略要旨划分不同类型的用户和数据 按照分工的性质组织用户和组 遵循分组结构为数据设置所有者 为共享目录设置SVTX位
- 68. 6. 2. 6 测试题A user is able to get a login prompt for the server but gets a failed login error message when trying to login with an ID. Which of the following is the most likely cause of this problem? A. The hard drive is bad. B. The /home file system is full. C. The server is low on paging space. D. The user has entered an invalid ID or password.
- 69. 测试题(2)2. Which of the following files contains UID, home directory, and shell information? A. /etc/passwd B. /etc/security/user C. /etc/security/environ D. /etc/security/passwd
- 70. 测试题(3)3. After completing the installation of the Base Operating System on one of the servers,the system administrator would like for all users who telnet into this machine to see a specific message each time they successfully log in . Which file should be edited to provide this message? A. /etc/motd B. /etc/profile C. /etc/environment D. /etc/security/login.cfg
- 71. 测试题(4)答案 1、D 2、A 3、A
该用户的其他文档
相关PPT