hp-unix下trustedsystem與！trustedsystem的配置

 

hp-unix下trusted system 與！trusted system的配置：

設定trusted system是HP UNIX安全機制的一部分，首先看下trusted system增加了哪些安全特性： 

口令放置在單獨的且只有root使用者可讀的檔案中 

可以設定更多的口令與登入屬性 

可以進行審計

怎樣由!trusted system轉換為trusted system 

對於一個在用的並且有執行應用的系統上，一定要對在用的應用進行分析，對更改後的限制是否會影響應用（尤其注意使用者umask值更改帶來的隱患） 

由以上的分析規劃適合的安全方案（比如在更改後是否要對特定使用者設定環境變數等） 

備份檔案系統，以便以後可以恢復使用者檔案，還應將/etc/passwd備份到磁帶或其他地方（這是一個建議做法） 

轉換到trusted system（這是一個可逆操作） 

方法一：通過SAM操作 

執行SAM–>Auditing and Security,啟用任何稽核螢幕，直到出現convert to trusted system的提示框，點選Y開始轉換 

方法二：command 

#/usr/lbin/tsconvert

轉換過程做了哪些更改： 

在/tcb/files/auth中新建口令資料庫 

將加密口令從/etc/passwd檔案移動到受保護的口令資料庫中，並用*替代/etc/passwd檔案中的password欄位 

強制所有使用者使用口令 

為每個使用者建立一個稽核ID 

對現有的使用者開啟稽核標誌 

從HP UNIX 11.0開始，umask的預設值為077（這一點至關重要，在轉換前一定要分析現有使用者的檔案建立許可權需求，否則可能帶來意想不到的錯誤）

確認已轉換為trusted system

對於使用者而言，確認最直接的方法是在使用者登入時顯示”last successful /unsuccessful login”的訊息

回退操作即從trusted system轉換為!trusted system 

方法一：通過SAM 操作 

啟動sam： 

“Auditing and Security” -> 

“Audited Events” -> “Actions” -> “Unconvert the System”

方法二：command 

#/usr/lbin/tsconvert -r

確認： 

可通過一個簡單命令檢查： 

#/usr/lbin/getprpw root 

如果已經轉換成!trusted system,會顯示”system is not trusted”