日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

SCO UNIX 系統(tǒng)管理員必看---系統(tǒng)安全( 六 )

云知道


(2)UID和GID
/etc/passwd中UID信息很重要,系統(tǒng)使用UID而不是登錄名區(qū)別用戶.一般
來(lái)說(shuō),用戶的UID應(yīng)當(dāng)是獨(dú)一無(wú)二的,其他用戶不應(yīng)當(dāng)有相同的UID數(shù)值.根據(jù)慣例,從0到99的UID保留用作系統(tǒng)用戶的UID(root,bin,uucp等).
如果在/etc/passwd文件中有兩個(gè)不同的入口項(xiàng)有相同的UID,則這兩個(gè)用
戶對(duì)相互的文件具有相同的存取權(quán)限.
6./etc/group文件
/etc/group文件含有關(guān)于小組的信息,/etc/passwd中的每個(gè)GID在本文件中
應(yīng)當(dāng)有相應(yīng)的入口項(xiàng),入口項(xiàng)中列出了小組名和小組中的用戶.這樣可方便地了解每個(gè)小組的用戶,否則必須根據(jù)GID在/etc/passwd文件中從頭至尾地尋找同組用戶.
/etc/group文件對(duì)小組的許可權(quán)限的控制并不是必要的,因?yàn)橄到y(tǒng)用UID,GID
(取自/etc/passwd)決定文件存取權(quán)限,即使/etc/group文件不存在于系統(tǒng)中,具
有相同的GID用戶也可以小組的存取許可權(quán)限共享文件.小組就像登錄用戶一樣可以有口令.如果/etc/group文件入口項(xiàng)的第二個(gè)域?yàn)榉强?則將被認(rèn)為是加密口令,newgrp命令將要求用戶給出口令,然后將口令加密,再與該域的加密口令比較.給小組建立口令一般不是個(gè)好作法.第一,如果小組內(nèi)共享文件,若有某人猜著小組口令,則該組的所有用戶的文件就可能泄漏;其次,管理小組口令很費(fèi)事,因?yàn)閷?duì)于小組沒有類似的passwd命令.可用/usr/lib/makekey生成一個(gè)口令寫入
/etc/group.
以下情況必須建立新組:
(1)可能要增加新用戶,該用戶不屬于任何一個(gè)現(xiàn)有的小組.
(2)有的用戶可能時(shí)常需要獨(dú)自為一個(gè)小組.
(3)有的用戶可能有一個(gè)SGID程序,需要獨(dú)自為一個(gè)小組.
(4)有時(shí)可能要安裝運(yùn)行SGID的軟件系統(tǒng),該軟件系統(tǒng)需要建立一個(gè)新組.
要增加一個(gè)新組,必須編輯該文件,為新組加一個(gè)入口項(xiàng).
由于用戶登錄時(shí),系統(tǒng)從/etc/passwd文件中取GID,而不是從/etc/group中
取GID,所以group文件和口令文件應(yīng)當(dāng)具有一致性.對(duì)于一個(gè)用戶的小組,UID和GID應(yīng)當(dāng)是相同的.多用戶小組的GID應(yīng)當(dāng)不同于任何用戶的UID,一般為5位數(shù),這樣在查看/etc/passwd文件時(shí),就可根據(jù)5位數(shù)據(jù)的GID識(shí)別多用戶小組,這將減少增加新組,新用戶時(shí)可能產(chǎn)生的混淆.
8.安全檢查
像find和secure這樣的程序稱為檢查程序,它們搜索文件系統(tǒng),尋找出SUID/
SGID文件,設(shè)備文件,任何人可寫的系統(tǒng)文件,設(shè)有口令的登錄用戶,具有相同UID/GID的用戶等等.
(1)記帳
UNIX記帳軟件包可用作安全檢查工具,除最后登錄時(shí)間的記錄外,記帳系
統(tǒng)還能保存全天運(yùn)行的所有進(jìn)程的完整記錄,對(duì)于一個(gè)進(jìn)程所存貯的信息包括UID,命令名,進(jìn)程開始執(zhí)行與結(jié)束的時(shí)間,CPU時(shí)間和實(shí)際消耗的時(shí)間,該進(jìn)程是否是root進(jìn)程,這將有助于系統(tǒng)管理員了解系統(tǒng)中的用戶在干什么.acctcom命令可以列出一天的帳目表.有明,系統(tǒng)中有多個(gè)記帳數(shù)據(jù)文件,記帳信息保存在文件/usr/adm/pacct*中,/usr/adm/pacct是當(dāng)前記錄文件,/usr/adm/pacctn是以前的記帳文件(n為整型數(shù)).若有若干個(gè)記帳文件要查看,可在acctcom命令中指定文件名: acctcom /usr/adm/pacct? /usr/adm/pacct
要檢查的問題的其中之一是:在acctcom的輸出中查找一個(gè)用戶過(guò)多的登
錄過(guò)程,若有,則說(shuō)明可能有人一遍遍地嘗試登錄,猜測(cè)口令,企圖非法進(jìn)入系統(tǒng).此外,還應(yīng)查看root進(jìn)程,除了系統(tǒng)管理員用su命令從終端進(jìn)入root,系統(tǒng)啟動(dòng),系統(tǒng)停止時(shí)間,以及由init(通常init只啟動(dòng)getty,login,登錄shell),cron啟動(dòng)的進(jìn)程和具有root SUID許可的命令外,不應(yīng)當(dāng)有任何root進(jìn)程.由記帳系統(tǒng)也可獲得有關(guān)每個(gè)用戶的CPU利用率,運(yùn)行的進(jìn)程數(shù)等統(tǒng)計(jì)數(shù)據(jù).
(2)其它檢查命令
*du:報(bào)告在層次目錄結(jié)構(gòu)(當(dāng)前工作目錄或指定目錄起)中各目錄占用的磁盤塊數(shù).可用于檢查用戶對(duì)文件系統(tǒng)的使用情況.*df:報(bào)告整個(gè)文件系統(tǒng)當(dāng)前的空間使用情況.可用于合理調(diào)整磁盤空間的使用和管理.*ps:檢查當(dāng)前系統(tǒng)中正在運(yùn)行的所有進(jìn)程.對(duì)于用了大量CPU時(shí)間的進(jìn)程,同時(shí)運(yùn)行了許多進(jìn)程的用戶,運(yùn)行了很長(zhǎng)時(shí)間但用了很少CPU時(shí)間的用戶進(jìn)程應(yīng)當(dāng)深入檢查.還可以查出運(yùn)行了一個(gè)無(wú)限制循環(huán)的后臺(tái)進(jìn)程的用戶,未注銷戶頭就關(guān)終端的用戶(一般發(fā)生在直接連線的終端).*who:可以告訴系統(tǒng)管理員系統(tǒng)中工作的進(jìn)展情況等等許多信息,檢查用戶的登錄時(shí)間,登錄終端.*su:每當(dāng)用戶試圖使用su命令進(jìn)入系統(tǒng)用戶時(shí),命令將在/usr/adm/sulog文件中寫一條信息,若該文件記錄了大量試圖用su進(jìn)入root的無(wú)效操作信息,則表明了可能有人企圖破譯root口令.*login:在一些系統(tǒng)中,login程序記錄了無(wú)效的登錄企圖(若本系統(tǒng)的login程序不做這項(xiàng)工作而系統(tǒng)中有l(wèi)ogin源程序,則應(yīng)修改login).每天總有少量的無(wú)效登錄,若無(wú)效登錄的次數(shù)突然增加了兩倍,則表明可能有人企圖通過(guò)猜測(cè)登錄名和口令,非法進(jìn)入系統(tǒng).這里最重要的一點(diǎn)是:系統(tǒng)管理沒越熟悉自己的用戶和用戶的工作習(xí)慣,就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件,而不尋常的事件意味著系統(tǒng)已被人竊密.

推薦閱讀