【文章內(nèi)容簡介】 . 最大周數(shù)(第一個字符)小于最小周數(shù)(第二個字符),則不允許用戶修改口令,僅超級用戶可以修改用戶的口令. . 第一個字符和第二個字符都是.,這時用戶下次登錄時被要求修改口令,修改口令后,passwd命令將.刪除,此后再不會要求用戶修改口令. (2)UID和GID /etc/passwd中UID信息很重要,用戶 的UID應當是獨一無二的,從0到99的UID保留用作系統(tǒng)用戶的UID(root,bin,uucp 等).如果在/etc/passwd文件中有兩個不同的入口項有相同的UID,則這兩個用戶對相互的文件具有相同的存取權限. 6./etc/group文件 /etc/group文件含有關于小組的信息,/etc/passwd中的每個GID在本文件中應當有相應的入口項,入口項中列出了小組名 ,否則必須根據(jù)GID在/etc/passwd文件中從頭至尾地尋找同組用戶./etc/group文件 對小組的許可權限的控制并不是必要的,因為系統(tǒng)用UID,GID(取自/etc/passwd)決定文件存取權限,即使/etc/group文件不存在于 系統(tǒng)中,則將被認為是加密口令,newgrp命令將要求用戶給出口令,然后將口令加密,如果 小組內(nèi)共享文件,若有某人猜著小組口令,則該組的所有用戶的文件就可能泄漏。其次,管理小組口令很費事, /usr/lib/makekey生成一個口令寫入/etc/: (1)可能要增加新用戶,該用戶不屬于任何一個現(xiàn)有的小組. (2)有的用戶可能時常需要獨自為一個小組. (3)有的用戶可能有一個SGID程序,需要獨自為一個小組. (4)有時可能要安裝運行SGID的軟件系統(tǒng),該軟件系統(tǒng)需要建立一個新組. 要 增加一個新組,必須編輯該文件,為新組加一個入口項. 由于用戶登錄時,系統(tǒng)從/etc/passwd文件中取GID,而不是從/etc/group中取GID,所以group文件和口令文件應當具有一致性. 對于一個用戶的小組,一般為5位數(shù),這樣在查看/etc/passwd文件 時,就可根據(jù)5位數(shù)據(jù)的GID識別多用戶小組,這將減少增加新組,新用戶時可能產(chǎn)生的混淆. ,刪除,移走用戶 (1)增加用戶 增加用戶有三個過程: . 在/etc/passwd文件中寫入新用戶的入口項. . 為新登錄用戶建立一個HOME目錄. . 在/etc/group中為新用戶增加一個入口項. 在 /etc/passwd文件中寫入新的入口項時,口令部分可先設置為NOLOGIN,應mkdir /etc/ptmp,GID號與UID號相同(除非他要加入目前已存在的一個新組),UID號必須和 其他人不同,HOME目錄一般設置在/usr或/home目錄下建立一個以用戶登錄名為名稱的目錄做為其主目錄. (2)刪除用戶 刪除用戶與加用戶的工作正好相反,首先在/etc/passwd和/etc/group文件中刪除用戶的入口 項, r /usr/loginname ,也應當刪除. (3)將用戶移到另一個系統(tǒng) 這是一個復雜的問題,不只是拷貝用戶的文件和用戶在/etc/ 一個問題是用戶的UID和GID可能已經(jīng)用于另一個系統(tǒng),若是出現(xiàn)這種情況,必須給要移的用戶分配另外的UID和GID,如果改變了用戶的UID和 GID,則必須搜索該用戶的全部文件,: find . user olduid exec chown newuid {} \。 find . group oldgid exec chgrp newgid {} \。 也 許還要為用戶移走其它一些文件:/usr/mail/user和/usr/spool/cron/crontabs/ 管理員的系統(tǒng)移來,可能有與該用戶其它文件存在一起的SUID/SGID程序,而這個 SUID/,如果用cpio或tar命令將用戶的目錄結構拷貝到本系統(tǒng),SUID/SGID程序也將會拷貝到本 , 用su命令進入用戶的戶頭,再拷貝用戶文件,這樣文件的所有者就是該用戶,而不是root. 像find和secure這樣的程序稱為檢查程序,它們搜索文件系統(tǒng),尋找出SUID/SGID文件,設備文件,任何人可寫的系統(tǒng)文件,設有口令的登錄用戶,具有相同UID/GID的用戶等等. (1)記帳 UNIX記帳軟件包可用作安全檢查工具,除最后登錄時間的記錄外,記帳系統(tǒng)還能保存全天運行的所有進程的完整記錄,對 于一個進程所存貯的信息包括UID,命令名,進程開始執(zhí)行與結束的時間,CPU時間和實際消耗的時間,該進程是否是root進程,這將有助于系統(tǒng)管理員了 ,系統(tǒng)中有多個記帳數(shù)據(jù)文件,記帳信息保存在文件/usr/adm/pacct* 中,/usr/adm/pacct是當前記錄文件,/usr/adm/pacctn是以前的記帳文件(n為整型數(shù)).若有若干個記帳文件要查看,可在 acct命令中指定文件名: acct /usr/adm/pacct? /usr/adm/pacct要檢查的問題的其中之一是:在acct的輸出中查找一個用戶過多的登錄過程,若有,則說明可能有人一遍遍地嘗試登錄, 猜測口令,還應查看root進程,除了系統(tǒng)管理員用su命令從終端進入root,系統(tǒng)啟動,系統(tǒng)停止時間,以及由init(通常 init只啟動getty,login,登錄shell),cron啟動的進程和具有root SUID許可的命令外,運行的進程數(shù)等統(tǒng)計數(shù)據(jù). (2)其它檢查命令 *du:報告在層次目錄結構(當前工作目錄或指定目錄起). *df:. *ps: , 同時運行了許多進程的用戶,未注銷戶頭就 關終端的用戶(一般發(fā)生在直接連線的終端). *who:可以告訴系統(tǒng)管理員系統(tǒng)中工作的進展情況等等許多信息,檢查用戶的登錄時間,登錄終端. *su:每當用戶試圖使用su命令進入系統(tǒng)用戶時,命令將在/usr/adm/sulog文件中寫一條信息,若該文件記錄了大量試圖用su進入root的無效操作信息,則表明了可能有人企圖破譯root口令. *login: 在一些系統(tǒng)中,login程序記錄了無效的登錄企圖(若本系統(tǒng)的login程序不做這項工作而系統(tǒng)中有l(wèi)ogin源程序,則應修改login).每天總有 少量的無效登錄,若無效登錄的次數(shù)突然增加了兩倍,則表明可能有人企圖通過猜測登錄名和口令,非法進入系統(tǒng). (3)安全檢查程序的問題 關于以上的檢查方法的一個警告,若有誘騙,如果碰 到路徑名長于256個字符的文件或含有多于200個文件的目錄,將放棄處理該文件或目錄,用戶就有可能利用建立多層目錄結構或大目錄隱藏SUID程序,使 其逃避檢查(但find命令會給出一個錯誤信息,系統(tǒng)管理員應手工檢查這些目錄和文件).也可用ncheck命令搜索文件系統(tǒng),但它沒有find命令指定 , 用戶用su命令時,除非用參數(shù),. 有三種方法可尋找久未登錄的帳戶: . UNIX記帳系統(tǒng)在文件/usr/adm/acct/sum/,該文件由系統(tǒng)維護,所 ,如果在清晨(午夜后)運行記帳程序,一天的登錄日期可能就被 清除了. . /etc/passwd文件中的口令時效域將能告訴系統(tǒng)管理員,用戶的口令是否過期了,若過期,則意味著自過期以來, 系統(tǒng)記