科普Solaris系統安全常用命令小結

NO IMAGE

作者:amxku
來源:amxku’s blog
==維護密碼和登入控制
pwconv命令:使用/etc/passwd檔案的資訊建立和升級/etc/shadow檔案。
如果系統中/etc/shadow檔案不存在,使用/etc/passwd檔案資訊建立/etc/shadow檔案。
如果系統中/etc/shadow檔案存在,執行如下操作:
存在在/etc/passwd檔案但不存在在/etc/shadow檔案中的使用者將被增加到/etc/shadow檔案中。
存在在/etc/shadow檔案但不存在在/etc/passwd檔案中的使用者將被從/etc/shadow檔案中刪除。一般我們會在用名後面加上*LK*來鎖定該使用者。
==監控系統使用情況
顯示系統中登入的使用者
# who (呼叫/var/adm/utmpx檔案中的資訊)
顯示系統中登入的使用者的詳細資訊
# finger username
# finger [email protected]
-m:僅僅匹配使用者名稱

顯示系統中所有登入活動的記錄
# last (呼叫/var/adm/wtmpx檔案中的資訊)
# last username
# last reboot

顯示遠端系統中登入的使用者
# rusers -l

==改變檔案許可權
chown命令:用於改變檔案的屬主

 命令格式:chown [ option(s) ] user_name filename(s)
chown [ option(s) ] UID filename(s)
例如:
# chown user2 file7
# chown -R user2 dir4
# chown user3:class file2
# chown -R user3:class dir1  chgrp命令:用於改變檔案的陣列

 命令格式:chgrp groupname filename(s)
chgrp GID filename(s)
例如:
# chgrp class file4  ==Root 使用者登入
直接使用root使用者名稱登入,輸入root使用者的密碼。
使用普通使用者登入,然後呼叫su命令轉變為root使用者。
su命令:允許使用者不用登入就可以改變成另外一個使用者。
命令格式:su [ – ] [ username ]
root使用者可以不需要密碼使用su命令轉換到其它任何使用者。
除root使用者外,其它任何使用者使用su命令轉換時都必須首先知道轉換後的使用者的密碼。
-:執行一個完整登入。根據建立使用者時設定的配置檔案來改變使用者工作環境。

管理使用者訪問

 /etc/default/su
/etc/default/login
/etc/default/passwd   # more su
#ident     “@(#)su.dfl         1.6         93/08/14 SMI”     /* SVr4.0 1.2     */
# SULOG determines the location of the file used to log all su attempts
SULOG=/var/adm/sulog
# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#CONSOLE=/dev/console
# PATH sets the initial shell PATH variable
#PATH=/usr/bin:
# SUPATH sets the initial shell PATH variable for root
#SUPATH=/usr/sbin:/usr/bin
# SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used
# to log all su attempts.     LOG_NOTICE messages are generated for su’s to
# root, LOG_INFO messages are generated for su’s to other users, and LOG_CRIT
# messages are generated for failed su attempts.
SYSLOG=YES   # more login
#ident     “@(#)login.dfl     1.10     99/08/04 SMI”     /* SVr4.0 1.1.1.1         */
# Set the TZ environment variable of the shell.
#
#TIMEZONE=EST5EDT
# ULIMIT sets the file size limit for the login.     Units are disk blocks.
# The default of zero means no limit.
#
#ULIMIT=0
# If CONSOLE is set, root can only login on that device.
# Comment this line out to allow remote login by root.
#
CONSOLE=/dev/console  限制root訪問
CONSOLE=/dev/console
Root使用者只能在console口上登入,任何其它的root使用者登入都將報錯。
# CONSOLE=/dev/console
Root使用者能夠從任何裝置上登入,包括網路、Modem、其它終端等。
CONSOLE=
Root使用者不能從任何地方登入。要成為root使用者只有一個辦法,首先使用普通使用者登入,然後使用su命令轉換為root使用者。切記,在禁用root遠端登入之前一定要確保系統裡還有其它的使用者可以登入。不然就會出現驚險的Solaris加固過程[http://www.amxku.net/archives/reinforcement-solaris/]。

使用者密碼策略

 # more passwd
#ident     “@(#)passwd.dfl 1.3         92/07/14 SMI”
MAXWEEKS=27 #密碼最長存活週期
MINWEEKS=1 #密碼最短存活週期
PASSLENGTH=8 #密碼長度最小值
MINALPHA=2 ;MINNONALPHA=1 #至少包括兩個字母和一個非字母
#  注意:/etc/shadow檔案中設定的時間優先順序高於/etc/default/passwd檔案中設定的時間

管理遠端訪問

 /etc/hosts.equiv 檔案
$HOME/.rhosts 檔案
/etc/ftpusers 檔案  ==遠端訪問流程

amxku_at_msn.com
給使用者培訓時寫的一個文件。個人拙見,有不妥之處還望斧正。
amxku_at_msn.com
給使用者培訓時寫的一個文件。個人拙見,有不妥之處還望斧正。