注册
个人空间
系统安全
管理系统安全概述
。维护密码和登陆控制
。监视系统使用
。限制对包含有数据的文件的访问
。跟踪root登陆
。监视setuid程序
。控制在网络上的远程访问
管理登陆和访问控制
所有的帐号在系统上必须有一个密码。任何帐号在没有密码的情况在,都是为经授权的,所以不能访问本地主机和进入网络。
pwconv命令
pwconv命令用来从/etc/passwd文件中建立和升级/etc/shadow文件
pwconv文件依赖于/etc/passwd文件中密码区域中的x。x指出密码已经存在于/etc/passwd文件。
如果/etc/shadow文件不存在,pwconv将利用/etc/passwd文件来建立
如果/etc/shadow是存在的,则执行下面的步骤
。如果条目在/etc/passwd文件中存在,而不在/etc/shadow文件中,则在shadow文件中添加
。如果条目在/etc/shadow文件中存在,而不在/etc/passwd文件中,则在shadow文件中删除
记录不良登陆记录
当一个用从本地或者远程利用命令行方式登陆进系统。login程序参考/etc/passwd和/etc/shadow文件中有授权的用户来检测用户名和密码。
如果拥护提供的是/etc/passwd中的登陆名,并且提供了这个登陆名的正确的密码,login程序就会允许访问系统。
如果用户名不存在于/etc/passwd文件中或者密码不是这个用户名的正确密码。login程序就拒绝访问系统。
可以保存不良的登陆尝试到一个文件。/var/adm/loginlog
系统默认这个文件是不存在的,需要用#touche /var/adm/loginlog来建立他,并且赋予他只有root才有的读写权限。
loginlog中的每个条目都包含一次不良登陆记录,每个条目包括用户登陆名,TTY设备和不良登陆尝试时的时间。
监视系统访问
显示在系统上的用户
#who
who命令信息来自于/var/adm/utmpx
登陆设备类型
。console:用于显示系统启动和错误信息的设备
。pts:表示一个不需要物理设备的登陆或者窗口会话的伪设备。
。term:一个在物理上连接的设备。如串口。包括一个终端或者一个modem
显示用户信息
finger -m username
finger -m username@remotehostname
-m 只与用户名相匹配
finger显示用户登陆名,home目录路径,登陆时间,登陆设备名,/etc/passwd文件中的描述部分的数据,登陆shell和主机名。
如果用户建立了标准的ASCII文件.plan或者.projects在他们的home目录中,这些文件中的内容就会在finger命令中输出。
这些文件传统意义上用于用户当前的计划和项目的大纲。并且必须建立文件访问权限为644
显示登陆活动的记录
使用last命令来记录所有的登陆和登出。last信息来自于/var/adm/wtmpx
每一条目包含用户名,登陆设备,登陆的主机,日期和时间,总共用时。包括reboot时间。
显示远程系统上的用户
rusers命令的显示类似于who命令,但是显示用户登陆地点的远程主机名。如果rps.rusersd后台程序(既守护程序)是打开的,远程主机只回应rusers命令。网络服务器则返回远程主机上的列表。
控制root访问
系统管理员应该仅仅在完成管理任务时使用root帐号,尽量避免利用root帐号完成日常工作。
这样可以保护系统不被未经授权的访问威胁。
可以用以下方式变更为root
。直接使用root登陆,并且提供正确的root口令
。使用正常的用户登陆,然后调用su命令并且提供正确的root口令
使用su命令变更为其他用户
su [-] [username]
使用su,必须提供正确的密码除非用户已经是root。root拥护可以运行su而不需要密码。
如果密码是正确的,su建立一个新的shell进程,根据新用户在/etc/passwd中shell区域中的定义。
su -(破折号)选项指定一个完整的登陆。他改变用户的工作环境为期待的用户。
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 笔记 读书 文件 用户 登陆 回复 root 命令 一个 系统 |
