📄 system-safety.html
字号:
<br> 有的父目录也仅对root可写.
<p> (7)/etc/profile
<br> 每当用户(包括root在内)登录时,由shell执行/etc/profile文件,应确保
<br> 这个文件以及从这个文件运行的程序和命令都仅对root可写.
<p>5./etc/passwd文件
<br> /etc/passwd文件是UNIX安全的关键文件之一.该文件用于用户登录时校验
<br>用户的口令,当然应当仅对root可写.文件中每行的一般格式为:
<br> LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL
<br> 每行的头两项是登录名和加密后的口令,后面的两个数是UID和GID,接着的
<br>一项是系统管理员想写入的有关该用户的任何信息,最后两项是两个路径名:
<br>一个是分配给用户的HOME目录,第二个是用户登录后将执行的shell(若为空格则
<br>缺省为/bin/sh).
<p> (1)口令时效
<br> /etc/passwd文件的格式使系统管理员能要求用户定期地改变他们的口令.
<br> 在口令文件中可以看到,有些加密后的口令有逗号,逗号后有几个字符和一个
<br> 冒号.如:
<br> steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
<br> restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
<br> pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
<br> 可以看到,steve的口令逗号后有4个字符,restrict有2个,pat没有逗号.
<br> 逗号后第一个字符是口令有效期的最大周数,第二个字符决定了用户再次
<br> 修改口信之前,原口令应使用的最小周数(这就防止了用户改了新口令后立刻
<br> 又改回成老口令).其余字符表明口令最新修改时间.
<br> 要能读懂口令中逗号后的信息,必须首先知道如何用passwd_esc计数,计
<br> 数的方法是: .=0 /=1 0-9=2-11 A-Z=12-37
a-z=38-63
<br> 系统管理员必须将前两个字符放进/etc/passwd文件,以要求用户定期的
<br> 修改口令,另外两个字符当用户修改口令时,由passwd命令填入.
<br> 注意:若想让用户修改口令,可在最后一次口令被修改时,放两个".",则下
<br> 一次用户登录时将被要求修改自己的口令.
<br> 有两种特殊情况:
<br> . 最大周数(第一个字符)小于最小周数(第二个字符),则不允许用户修改
<br> 口令,仅超级用户可以修改用户的口令.
<br> . 第一个字符和第二个字符都是".",这时用户下次登录时被要求修改口
<br> 令,修改口令后,passwd命令将"."删除,此后再不会要求用户修改口令.
<p> (2)UID和GID
<br> /etc/passwd中UID信息很重要,系统使用UID而不是登录名区别用户.一般
<br> 来说,用户的UID应当是独一无二的,其他用户不应当有相同的UID数值.根据惯
<br> 例,从0到99的UID保留用作系统用户的UID(root,bin,uucp等).
<br> 如果在/etc/passwd文件中有两个不同的入口项有相同的UID,则这两个用
<br> 户对相互的文件具有相同的存取权限.
<p>6./etc/group文件
<br> /etc/group文件含有关于小组的信息,/etc/passwd中的每个GID在本文件中
<br>应当有相应的入口项,入口项中列出了小组名和小组中的用户.这样可方便地了
<br>解每个小组的用户,否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组
<br>用户.
<br> /etc/group文件对小组的许可权限的控制并不是必要的,因为系统用UID,GID
<br>(取自/etc/passwd)决定文件存取权限,即使/etc/group文件不存在于系统中,具
<br>有相同的GID用户也可以小组的存取许可权限共享文件.
<br> 小组就像登录用户一样可以有口令.如果/etc/group文件入口项的第二个域
<br>为非空,则将被认为是加密口令,newgrp命令将要求用户给出口令,然后将口令加
<br>密,再与该域的加密口令比较.
<br> 给小组建立口令一般不是个好作法.第一,如果小组内共享文件,若有某人猜
<br>着小组口令,则该组的所有用户的文件就可能泄漏;其次,管理小组口令很费事,
<br>因为对于小组没有类似的passwd命令.可用/usr/lib/makekey生成一个口令写入
<br>/etc/group.
<br> 以下情况必须建立新组:
<br> (1)可能要增加新用户,该用户不属于任何一个现有的小组.
<br> (2)有的用户可能时常需要独自为一个小组.
<br> (3)有的用户可能有一个SGID程序,需要独自为一个小组.
<br> (4)有时可能要安装运行SGID的软件系统,该软件系统需要建立一个新组.
<br> 要增加一个新组,必须编辑该文件,为新组加一个入口项.
<br> 由于用户登录时,系统从/etc/passwd文件中取GID,而不是从/etc/group中
<br>取GID,所以group文件和口令文件应当具有一致性.对于一个用户的小组,UID和
<br>GID应当是相同的.多用户小组的GID应当不同于任何用户的UID,一般为5位数,这
<br>样在查看/etc/passwd文件时,就可根据5位数据的GID识别多用户小组,这将减少
<br>增加新组,新用户时可能产生的混淆.
<p>7.增加,删除,移走用户
<p> (1)增加用户
<br> 增加用户有三个过程:
<br> . 在/etc/passwd文件中写入新用户的入口项.
<br> . 为新登录用户建立一个HOME目录.
<br> . 在/etc/group中为新用户增加一个入口项.
<br> 在/etc/passwd文件中写入新的入口项时,口令部分可先设置为NOLOGIN,
<br> 以免有人做为此新用户登录.在修改文件前,应mkdir /etc/ptmp,以免他人同
<br> 时修改此文件.新用户一般独立为一个新组,GID号与UID号相同(除非他要加入
<br> 目前已存在的一个新组),UID号必须和其他人不同,HOME目录一般设置在/usr
<br> 或/home目录下建立一个以用户登录名为名称的目录做为其主目录.
<p> (2)删除用户
<br> 删除用户与加用户的工作正好相反,首先在/etc/passwd和/etc/group文
<br> 件中删除用户的入口项,然后删除用户的HOME目录和所有文件.
<br> rm -r /usr/loginname 删除整个目录树.
<br> 如果用户在/usr/spool/cron/crontabs中有crontab文件,也应当删除.
<p> (3)将用户移到另一个系统
<br> 这是一个复杂的问题,不只是拷贝用户的文件和用户在/etc/passwd文件
<br> 中的入口项.首先一个问题是用户的UID和GID可能已经用于另一个系统,若是
<br> 出现这种情况,必须给要移的用户分配另外的UID和GID,如果改变了用户的UID
<br> 和GID,则必须搜索该用户的全部文件,将文件的原UID和GID改成新的UID和GID.
<br> 用find命令可以完成这一修改:
<br> find . -user olduid -exec chown newuid
{} \;
<br> find . -group oldgid -exec chgrp newgid
{} \;
<br> 也许还要为用户移走其它一些文件:
<br> /usr/mail/user和/usr/spool/cron/crontabs/user.
<br> 如果用户从一个不是本系统管理员的系统移来,则应对该用户的目录结构
<br> 运行程序来检查.一个不安全系统的用户,可能有与该用户其它文件存在一起
<br> 的SUID/SGID程序,而这个SUID/SGID程序属于另一个用户.在这种情况下,如果
<br> 用cpio或tar命令将用户的目录结构拷贝到本系统,SUID/SGID程序也将会拷贝
<br> 到本系统而没有任何警告信息.应当在允许用户使用新系统以前先删除这种文
<br> 件的SUID/SGID许可.总之,始终坚持检查所移用户的文件总是更安全些.也可
<br> 以用su命令进入用户的户头,再拷贝用户文件,这样文件的所有者就是该用户,
<br> 而不是root.
<p>8.安全检查
<br> 像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/
<br>SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID
<br>/GID的用户等等.
<p> (1)记帐
<br> UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系
<br> 统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括
<br> UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程
<br> 是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom
<br> 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存
<br> 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn
<br> 是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命
<br> 令中指定文件名: acctcom /usr/adm/pacct? /usr/adm/pacct
<br> 要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登
<br> 录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系
<br> 统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统
<br> 启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell),
<br> cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.
<br> 由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数
<br> 据.
<p> (2)其它检查命令
<br> *du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的
<br> 磁盘块数.可用于检查用户对文件系统的使用情况.
<br> *df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的
<br> 使用和管理.
<br> *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程,
<br> 同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的
<br> 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进
<br> 程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).
<br> *who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用
<br> 户的登录时间,登录终端.
<br> *su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog
<br> 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操
<br> 作信息,则表明了可能有人企图破译root口令.
<br> *login:在一些系统中,login程序记录了无效的登录企图(若本系统的
<br> login程序不做这项工作而系统中有login源程序,则应修改login).
<br> 每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -