2-11-PerformingSystemSecurity
1
Monitor system access
2
Switch users on a system
3
Control system access
4
Restrict access to data in files
1,管理系统访问
172.16.10.112连接到sunblade150主机上
who 查看登录的用户
用户
方式
时间
连接的主机
root
console
172.16.10.112
root
dtremote
172.16.10.112:0
这是远程桌面
root
pts/1
172.16.10.112
远程telnet
rusers -l 可以查看到远程主机 并显示 连接到远程主机的用户
用户
远程主机名/方式
登录时间
idle(空闲时间)
连接的主机
root
sunblade150:pts/1
1
172.16.10.112
root
sunblade150:dtremote
172.16.10.112:0
finger 显示用户登录信息:用户名,用户的home目录,登录时间,空闲时间,登录的shell
finger -m 用户名
finger -m root
在用户home目录下创建了.plan文件或.project文件,将在命令finger -m 用户名 的输出中显示
svcs -a |grep rusers或svcs -a |grep finger或inetadm |grep finger
last命令读取/var/adm/wtmpx二进制文件,显示系统最近登录登出或reboot的记录
记录条目中包含 用户或操作 登录设备 登录IP 登录时间 连接总时长
login全过程
当有用户请求login时,系统检查/etc/passwd和/etc/shadow文件,若用户名和密码都正确,登录成功
系统管理员可以把登录失败的记录,记录到/var/adm/loginlog文件里,但是这个文件需要手动添加
touch /var/adm/loginlog
chown root:sys /var/adm/loginlog
chmod 600 /var/adm/loginlog
开启记录需要修改/etc/default/login文件内的SYSLOG_FAILED_LOGINS=5这个参数
当连续尝试5次登录且失败后,将该事件记录到logilog文件
2.Switch users on a system
交换用户登录
su - cxm 以cxm用户登录,且使用cxm用户的环境变量
su cxm
以cxm用户登录,并不使用cxm用户的环境变量
su 不接用户名,那么直接登录root用户,需要输入root用户密码,但是不使用root用户的环境变量
su - 登录到root用户并使用root用户的环境变量
/usr/ucb/whoami
还有命令 who am i查看最原始的登录用户,id查看当前所用的用户
管理su
/etc/adm/sulog记录su登录
如果su登录为成功,将在/var/adm/messages文件中有记录
在/etc/default/su文件管理2个参数
PASSREQ=YES 用户登录需要密码,如果设置为NO,用户密码为空也可以登录,但是需要使用命令passwd设置空密码才有效,否则用户密码被*LK*
CONSOLE=/dev/console没有注释的话是不允许root用户远程telnet的,但是允许其他用户使用su登录到root用户
3.Control system access
控制系统访问
Telnet:
/etc/default/login文件控制系统访问
允许root用户访问
注释CONSOLE=/dev/console这行
如果该变量没有任何值,root用户将在任何地方都不能登录
但是可以通过其他用户使用su命令登录到root用户
当CONSOLE=/dev/term/a时只能通过串口A连接
PASSREQ参数YES,不允许用户没有密码登录,NO允许用户使用空密码,但是空密码需要使用passwd命令设置才行
FTP:守护进程 /usr/sbin/in.ftpd 只有在有用户ftp时才有该进程
修改文件/etc/ftpd/ftpusers 注释root用户以允许root用户ftp
该文件用来记录禁止ftp访问的用户
---
当远程系统使用rcp,rsh,rlogin命令登录到本地系统时,首先检查/etc/passwd文件,如果用户名和密码匹配,进入系统
/etc/hosts.equiv文件 和 $HOME/.rhosts文件 忽略/etc/passwd文件密码认证,提供一个远程连接进程,该进程首先检查这2个文件
文件内容格式
hostname
hostname
username
+
+号代表网络上所有主机都可以不用密码访问,这是不安全的
这2个文件的内容格式相同,但是作用效果不同。
如果hostname和用户名都存在于远程主机,那么允许不用密码访问该系统
如果/etc/hosts.equiv只包含了远程主机名,那么只要是该远程主机上的用户都可以不用密码便可以登录到本系统上,被信任。
hosts.equiv限定非root用户
影响整个系统
.rhosts限定所有用户,包括root用户
只影响某一用户
这2个文件默认都不存在,需要用户手动创建
--------------练习-------------
finger -m root@sunblade150
查看远程主机root用户的连接情况
last命令查看历史重启 和 用户登录情况
echo $HOME回显
-------------------------
在文件中限定访问数据
groups命令
groups root 查看root用户所属组
groups oracle 查看oracle用户所属组
id命令
id -a oracle
id oracle
id
chown命令
chown -R oracle cxmdir
将cxmdir这个目录归属于oracle用户
chgrp命令
chgrp dba cxmdir 将cxmdir这个目录 归属于dba这个组
chgrp GID filename(s)
-------------从535页开始没看懂--------------
------------setuid permission
SUID -r-s--x--x 在用户区段执行权限设置成了s,
比如说该文件属于A用户,当其他用户B执行该文件时是以A用户身份执行的
ls -l /usr/bin/su
-r-sr-xr-x 1 root sys 22292 jan 15 17:49 /usr/bin/su
chmod 4### executable_file
###三个相当于u g o区段权限
find / -perm -4000
SGID -r-xr-sr-x 在othoer区段执行权限设置s,
比如说该文件属于A,其他用户other在执行该文件时,是以与A同组身份执行的
------------setgid permission
创建共享目录时,必须设置setgid bit为符号模式
chmod g+s shared_directory
共享目录
chmod 2### executable_file
可执行文件
find / -perm -2000
drwxrwxrwt 该目录other执行权限为t表明知有所属用户和root用户才可以将其删除
chmod +t dir_name
chmod 1### dir_name
find / -type d -perm -1000
---------------到537页为止------------
linux_特殊权限
查看一个文件的属性,发现它是“-r-s--x--x”,这就是所谓的SUID,如果它是“-r-xr-sr-x”,那么就是所谓的SGID了.当一个文件具有SUID时,同时others群组具有可执行权限,那么当others群组执行该程序时,other将拥有该文件的owner权限
. chmod 4xxx 是设置SUID属性,chmod 2xxx是设置SGID属性。chmod 1xxx是设置(restricted deletion flag or sticky bit)位。
设置SUID或SGID后,文件执行时将以所设置的“身份”来运行。例如,如果用户A对文件file设置了SUID,那么当用户B执行文件file时,将以用户A的身份来运行,也就是说在执行file时将拥有跟A一样的权限。
设置一个文件的SUID: #chmod 4777 file_name 或 #chmod u+s file_name
设置一个文件的SGID: #chmod g+s file_name 或 #chmod 2777 file_name
如果一个没有x属性的文件被设置了SUID或GUID时,s将会被S代替."-rwSrw-rw-".
当一个文件具有SUID时,同时others群组具有可执行权限,那么当others群组执行该程序时,other将拥有该文件的owner权限.
Sticky bit
Sticky bit属性(t),具有sticky bit属性的目录,基下的文件或目录只有文件拥有者及root才有权删除.
#chmod +t folder_name "drwxrwxrwt"
默认的情况下创建普通文件的权限为644, 默认的情况下创建普通目录的权限为644每个用户的主目录的默认的权限为700
可以修改新建文件的默认权限
umask u=rw,g=,o=
umask 777
----------------