IT系統(tǒng)的安全一直是很多人關(guān)注的熱點(diǎn)。尤其是在網(wǎng)絡(luò)互連的時(shí)代,完善的安全機(jī)制是必不可少的。系統(tǒng)安全分為許多層次,包括機(jī)房安全、網(wǎng)絡(luò)安全、服務(wù)器分區(qū)安全、操作系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。實(shí)現(xiàn)安全的方式也各異,如:設(shè)置機(jī)房門禁、關(guān)鍵服務(wù)器與INTERNET斷開、采用硬件加密卡加密傳輸、進(jìn)行分區(qū)隔離、使用JAVA認(rèn)證器進(jìn)行安全檢查等等。而本文想和大家討論的話題集中在AIX操作系統(tǒng)中的用戶安全性策略,希望為關(guān)注系統(tǒng)安全的人士提供參考。
1. AIX用戶安全性的概念
AIX的每個(gè)用戶有******的用戶名、用戶ID和口令,文件屬主取決于用戶ID;root可以更改文件屬主;系統(tǒng)缺省root為超級(jí)用戶;系統(tǒng)用戶adm、sys、bin不允許登錄;需要共享同一類文件的用戶可以歸入同一個(gè)組;***常用的組有兩個(gè),system為管理員組,staff為普通用戶組。
系統(tǒng)安全性的基本原則是:用戶被賦予******的用戶名、用戶ID(UID)和口令。用戶登錄后,對(duì)文件訪問(wèn)的合法性取決于UID。
文件創(chuàng)建時(shí),UID自動(dòng)生成為文件屬主。只有文件屬主和root才能修改訪問(wèn)許可權(quán)。需要共享同一組文件的用戶可以歸入同一個(gè)組中。每個(gè)用戶可屬于多個(gè)組。每個(gè)組被賦予******的組名和組ID(GID),GID也被賦給新創(chuàng)建的文件。
應(yīng)該特別強(qiáng)調(diào)的是對(duì)于root特權(quán)的控制:
? 應(yīng)嚴(yán)格限制使用root特權(quán)的人數(shù);
? root口令應(yīng)由系統(tǒng)管理員以不公開的周期更改;
? 不同的機(jī)器采用不同的root口令;
? 系統(tǒng)管理員應(yīng)以普通用戶的身份登錄,然后用su命令進(jìn)入特權(quán);
? root所用的PATH環(huán)境變量與系統(tǒng)安全性關(guān)系重大。
安全性日志是系統(tǒng)安全的重要保障,有經(jīng)驗(yàn)的系統(tǒng)管理員經(jīng)常使用其做安全性檢查。Su命令執(zhí)行的結(jié)果存放在/var/adm/sulog中;用戶登錄和退出登錄的記錄存放在/var/adm/wtmp和/etc/utmp中,可用who命令查看;非法和失敗登錄的記錄存放在/etc/security/failedlogin中,同樣用who命令查看,未知的登錄名記為unknown。
2. 文件和目錄的存取許可權(quán)
文件和目錄有一組許可權(quán)位,采用標(biāo)準(zhǔn)的讀、寫和執(zhí)行來(lái)定義三個(gè)級(jí)別的許可權(quán):用戶(文件屬主)、組和其他人,另外附加的三種許可權(quán)位是SUID、SGID和SVTX(粘著位)。
帶SUID位的可執(zhí)行文件意味著文件運(yùn)行時(shí),其進(jìn)程以文件的有效UID運(yùn)行。Shell程序不支持SUID,SUID對(duì)目錄無(wú)意義;帶SGID位的可執(zhí)行文件意味著文件運(yùn)行時(shí),其進(jìn)程以文件屬組的有效GID運(yùn)行;帶SGID的目錄表示在該目錄下創(chuàng)建的文件/目錄將繼承目錄的組ID,而忽略創(chuàng)建者的屬組;AIX中的粘著位對(duì)文件無(wú)意義,帶粘著位的目錄意味著:即使對(duì)目錄具有寫許可權(quán)(如/tmp),用戶也不能隨便刪除目錄下的文件,除非是文件屬主或目錄屬主。
許可權(quán)位文件目錄
R用戶具有讀許可權(quán)用戶列出目錄的內(nèi)容
W用戶可修改文件內(nèi)容用戶可在目錄下創(chuàng)建或刪除文件
X用戶可執(zhí)行該文件用戶可cd到該目錄并在PATH中引用該目錄
SUID執(zhí)行該程序時(shí)具有文件屬主的有效UID——
SGID程序運(yùn)行時(shí)具有文件組的有效GID目錄下創(chuàng)建的文件繼承目錄的GID
SVTX——只有文件或目錄屬主有權(quán)在該目錄下刪除文件
3. 安全性文件
存放用戶屬性和控制訪問(wèn)許可權(quán)的文件和目錄如下:
? /etc/passwd中包含合法用戶(不含口令)
? /etc/group中包含合法組;
? /etc/security中包含普通用戶無(wú)權(quán)訪問(wèn)的安全性文件;
? /etc/security/passwd中包含用戶口令;
? /etc/security/user中包含用戶屬性、口令約束等;
? /etc/security/limits中包含用戶使用資源限制;
? /etc/security/environ中包含用戶環(huán)境設(shè)置;
? /etc/security/login.cfg中包含登錄設(shè)置;
? /etc/security/group中包含組的屬性。
4. 用戶環(huán)境的合法性檢查
以下介紹進(jìn)行用戶環(huán)境合法性檢查的三個(gè)命令:
pwdck驗(yàn)證本機(jī)認(rèn)證信息的合法性,檢查/etc/passwd和/etc/security/passwd的一致性,以及與/etc/security/login.cfg和/etc/security/user的一致性;
usrck驗(yàn)證用戶定義的合法性,檢查/etc/passwd、/etc/security/user、/etc/security/limits和/etc/security/passwd中的用戶信息,同時(shí)也檢查/etc/group和/etc/security/group,以保證數(shù)據(jù)的一致性。
grpck驗(yàn)證組的合法性,檢查/etc/group、/etc/security/group和/etc/security/user之間的數(shù)據(jù)一致性。
上述命令由root或security組的成員執(zhí)行,用于在修改用戶配置之后做清理工作。
小結(jié):
上文介紹的AIX用戶安全性策略,是AIX系統(tǒng)安全的基礎(chǔ)。通過(guò)劃分不同類型的用戶和數(shù)據(jù),按照分工的性質(zhì)組織用戶和組,有效利用安全性日志,合理設(shè)置粘著位,可以達(dá)到用戶安全的基本要求.
本文來(lái)自ChinaUnix博客,如果查看原文請(qǐng)點(diǎn):http://blog.chinaunix.net/u/4206/showart_684203.html
中文字幕在线精品不卡_正在播放露脸一区_久久综合欧美_www.男人天堂
