SA-238读书笔记4

系统安全
管理系统安全概述
。维护密码和登陆控制
。监视系统使用
。限制对包含有数据的文件的访问
。跟踪root登陆
。监视setuid程序
。控制在网络上的远程访问

管理登陆和访问控制
所有的帐号在系统上必须有一个密码。任何帐号在没有密码的情况在，都是为经授权的，所以不能访问本地主机和进入网络。

pwconv命令
pwconv命令用来从/etc/passwd文件中建立和升级/etc/shadow文件

pwconv文件依赖于/etc/passwd文件中密码区域中的x。x指出密码已经存在于/etc/passwd文件。

如果/etc/shadow文件不存在，pwconv将利用/etc/passwd文件来建立

如果/etc/shadow是存在的，则执行下面的步骤
。如果条目在/etc/passwd文件中存在，而不在/etc/shadow文件中，则在shadow文件中添加
。如果条目在/etc/shadow文件中存在，而不在/etc/passwd文件中，则在shadow文件中删除

记录不良登陆记录
当一个用从本地或者远程利用命令行方式登陆进系统。login程序参考/etc/passwd和/etc/shadow文件中有授权的用户来检测用户名和密码。

如果拥护提供的是/etc/passwd中的登陆名，并且提供了这个登陆名的正确的密码，login程序就会允许访问系统。

如果用户名不存在于/etc/passwd文件中或者密码不是这个用户名的正确密码。login程序就拒绝访问系统。

可以保存不良的登陆尝试到一个文件。/var/adm/loginlog

系统默认这个文件是不存在的，需要用#touche /var/adm/loginlog来建立他，并且赋予他只有root才有的读写权限。

loginlog中的每个条目都包含一次不良登陆记录，每个条目包括用户登陆名，TTY设备和不良登陆尝试时的时间。

监视系统访问
显示在系统上的用户
#who
who命令信息来自于/var/adm/utmpx
登陆设备类型
。console：用于显示系统启动和错误信息的设备
。pts：表示一个不需要物理设备的登陆或者窗口会话的伪设备。
。term：一个在物理上连接的设备。如串口。包括一个终端或者一个modem

显示用户信息
finger -m username
finger -m username@remotehostname
-m 只与用户名相匹配

finger显示用户登陆名，home目录路径，登陆时间，登陆设备名，/etc/passwd文件中的描述部分的数据，登陆shell和主机名。

如果用户建立了标准的ASCII文件.plan或者.projects在他们的home目录中，这些文件中的内容就会在finger命令中输出。
这些文件传统意义上用于用户当前的计划和项目的大纲。并且必须建立文件访问权限为644

显示登陆活动的记录
使用last命令来记录所有的登陆和登出。last信息来自于/var/adm/wtmpx
每一条目包含用户名，登陆设备，登陆的主机，日期和时间，总共用时。包括reboot时间。

显示远程系统上的用户
rusers命令的显示类似于who命令，但是显示用户登陆地点的远程主机名。如果rps.rusersd后台程序（既守护程序）是打开的，远程主机只回应rusers命令。网络服务器则返回远程主机上的列表。

控制root访问
系统管理员应该仅仅在完成管理任务时使用root帐号，尽量避免利用root帐号完成日常工作。

这样可以保护系统不被未经授权的访问威胁。

可以用以下方式变更为root
。直接使用root登陆，并且提供正确的root口令
。使用正常的用户登陆，然后调用su命令并且提供正确的root口令

使用su命令变更为其他用户
su [-] [username]
使用su，必须提供正确的密码除非用户已经是root。root拥护可以运行su而不需要密码。
如果密码是正确的，su建立一个新的shell进程，根据新用户在/etc/passwd中shell区域中的定义。

su -（破折号）选项指定一个完整的登陆。他改变用户的工作环境为期待的用户。

有效的用户ID和有效的组ID
当运行新的su命令，有效的UID和有效的GID就切换到新用户了，并且由EUID和EGID来决定访问文件和目录的权限。

使用whoami命令显示有效的当前用户名
whoami命令显示当前的用户ID

sysadmin组
任何用户属于sysadmin组（GID 14）就可以运行admintool来管理本地系统文件和功能。添加和删除用户，组，软件，打印机和串行设备。

如果没有添加任何用户到sysadmin，则只有root可以运行admintool实用程序。

管理用户访问
在/etc/default目录下的三个系统文件使root可以改变去监视谁使用了su命令，限制root访问和为每一个用户设置密码老化规则。
管理su尝试
/etc/default/su文件控制su尝试的日志。

CONSOLE变量默认是注释掉的。因此，所有的su尝试都被记录，不管是成功了还是失败了。
如果删除描述提示符（#），CONSOLE变量是定义为/dev/console和所有成功的su尝试。/var/adm/sulog中则只包含不成功的尝试

SULOG变量指定由哪个文件记录su常识的日志，如果不定义，则此功能关闭。

限制root访问
/etc/default/login文件以限定root访问指定设备的方式来保护root帐号

CONSOLE变量可以指定三个可能条件中的一个用于root登陆
。如果变量定义为CONSOLE=/dev/console，root仅可以从console登陆，任何从其他地方企图使用root登陆的尝试都将失败
。如果变量没有定义。root可以从任何设备通过网络，通过modem或者使用终端登陆进系统。
。如果变量没有分配值（CONSOLE=），则root不能从任何地方登陆。只能使用正常帐号登陆后利用su命令变更为root

执行大环境密码老化原则
/etc/default/passwd中定义了3个不同的变量
MAXWEEKS=
MINWEEKS=
PASSLENGTH=6

其中PASSLENGTH是密码的最小长度。

 :em02:  :em02:  :em02: 

久学不堪劳累，借李太白词一首消遣

清平调·其一 

云想衣裳花想容，春风拂槛露华浓。
若非群玉山头见，会向瑶台月下逢。

清平调·其二 

一枝红艳露凝香，云雨巫山枉断肠。
借问汉宫谁得似，可怜飞燕倚新妆。

清平调·其三 

名花倾国两相欢，常得君王带笑看。
解释春风无限恨，沉香亭北倚栏杆。

eigrp123 回复于：2002-10-24 14:10:17

雅量高致

nothing 回复于：2002-10-24 14:13:11

很好啊。copy之，版权归科学球所有。吹毛求疵：who am i ps:李白因为清平调其二得罪了杨玉环被逐，感叹。

eigrp123 回复于：2002-10-24 15:11:06

那要感谢她，不然就没有李白了

科学球 回复于：2002-10-24 16:22:36

老大，我是男的啊

kinux 回复于：2002-10-24 16:30:52

谢谢你的post,但你可不可告訢我哪里可以下載你的笔记..... Link please....

科学球 回复于：2002-10-24 17:37:37

没地方下载，我刚刚写的。不过我会坚持下去的。 另外，刚才忘了问了，finger命令中的-m选项是什么意思呢？没看懂

萧筱筱 回复于：2002-11-01 10:45:23

补充一点： 系统缺省的密码最大长度是8位，因此在给用户设置大于8位的密码时，只校验前8位。

旋风 回复于：2002-11-13 17:55:31

是不是还有访问控制列表啊

旋风 回复于：2002-11-14 08:30:47

ACL请看SA-238读书笔记6

zhangfatter 回复于：2002-12-05 14:24:10

谢谢，科学球。 但，我touch了一个loginlog文件，但不如上面说的那样起作用。why?

liuhust 回复于：2002-12-05 15:05:20

好，科学球你有考试教材吗，给我来一份，谢谢！hust2000@263.net.cn

科学球 回复于：2002-12-05 15:24:09

to liuhust 你可以去这里看http://202.108.44.138/phpbb2/index.php to zhangfatter 我也touch了一个，也没有生效，正在向人请教，有回音后回复

南非蜘蛛 回复于：2002-12-05 15:44:26

loginlog文件 Unix system V版本中，可以把不成功的登录行为记录在/var/adm/loginlog中。要登记不成功的注册行为，可以用下列命令建立/var/adm/loginlog文件：  touch /var/adm/loginlog  chmod 600 /var/adm/loginlog chown root /var/adm/loginlog  如果你知道一个系统的用户名，而你又想猜出密码，/var/adm/loginlog就会记录你的失败的登录尝试 管理员看看/var/adm/loginlog的内容，你的企图就露馅了： #cat /var/adm/loginlog  hacker: from 202.88.88.xx: Tue Jul 27 02:40:50 1999  hacker: from 202.88.88.xx: Tue Jul 27 02:41:50 1999  hacker: from 202.88.88.xx: Tue Jul 27 02:42:50 1999  hacker: from 202.88.88.xx: Tue Jul 27 02:43:50 1999  hacker: from 202.88.88.xx: Tue Jul 27 02:44:50 1999

lyric 回复于：2002-12-05 16:30:55

在成为坏人的道路上，我勇敢地承认，我是一个彻彻底底的失败者 - 只怪我太温柔 唉呀！！ 只怪我太粗暴了！ 所以， 总是被MM伤害！

科学球 回复于：2002-12-05 16:37:22

如果/var/adm/loginlog不成功，可以尝试修改/etc/syslogd.conf文件中的认证信息。

南非蜘蛛 回复于：2002-12-05 16:39:54

科学球说得对，可以尝试在里面在加一行，发信息发送到loginlog就可以了

mitrix 回复于：2002-12-05 16:40:09

finger -m username -m 用于匹配和username完全一致的用户 不加-m 则显示所有有username字符的用户

科学球 回复于：2002-12-05 16:49:04

那就是说，只有需要指定某个用户名的时候，才需要加-m参数。如果不需要，就不用指定这个参数了，对吗？

lyric 回复于：2002-12-05 17:16:12

阿球， 笔记都是你翻译过来的？ 狠！

科学球 回复于：2002-12-05 17:18:27

翻译是翻译了，但是有好多错误。多看看，帮我找出来：）

zhangfatter 回复于：2002-12-06 11:16:51

我按蜘蛛老师这么做了，（和用超级用户建这个文件效果一样？！）但还是没起作用。难道solaris 8不是unix sys v吗？ 关于/etc/syslog.conf我还要先看懂了。 谢谢二位。

lugyin 回复于：2002-12-06 11:24:16

[quote][b]下面引用由[u]zhangfatter[/u]在 [i]2002/12/05 02:24pm[/i] 发表的内容：[/b] 谢谢，科学球。 但，我touch了一个loginlog文件，但不如上面说的那样起作用。why? [/quote] 前天，刚touch了一个loginlog，不需做其他设置，好使呀

zhangfatter 回复于：2002-12-09 09:53:30

lugyin，你用的是solaris8 for sparc吗？我又试了一次，还是没起作用，估计有个开关之类的设置。

jdliub 回复于：2002-12-09 10:05:21

我也试了试,好用,当你输错5次后loginlog文件会有记录.

白菜梆子 回复于：2003-01-07 09:54:29

我试验了一下，loginlog文件里面还是没有内容 而且问一下：chown命令是做什么用的~~？？

psychic 回复于：2003-01-07 10:04:28

chown好象是change owner的意思吧？

clearcase/" target="_blank" >cchmail 回复于：2003-04-05 22:46:45

谢谢

hmilyyu 回复于：2003-04-22 08:48:52

我也建立了一个loginlog 文件，也是不起作用 我用的是solaris 8

yhuang95411 回复于：2004-05-07 23:31:00

您知道雷锋这个人吧? :shock:

原文转自：http://www.ltesting.net