Solaris培訓第七章：系統安全(轉)

Solaris培訓第七章：系統安全(轉)[@more@]

　　UIDs（使用者ID）

　　UIDs用於區別檔案和目錄的所有者。儲存在 /etc/passwd。

　　GIDs（使用者組ID）

　　GIDs使用者區別使用者、檔案、目錄的組成員。

　　/etc/passwd檔案記錄了系統的使用者帳號的資訊

　　格式

　　loginID:x:UID:GID:comment:home directory:login shell

　　#more /etc/passwd

　　root:x:0:1:Super-User:/:/sbin/sh

　　daemon:x:1:1::/:

　　bin:x:2:2::/usr/bin:

　　sys:x:3:3::/:

　　adm:x:4:4:Admin:/var/adm:

　　lp:x:71:8:Line Printer Admin:/usr/spool/lp:

　　uucp:x:5:5:uucp Admin:/usr/lib/uucp:

　　nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico

　　listen:x:37:4:Network Admin:/usr/net/nls:

　　nobody:x:60001:60001:Nobody:/:

　　noaccess:x:60002:60002:No Access User:/:

　　nobody4:x:65534:65534:SunOS 4.x Nobody:/:

　　jxbcpp:x:901:410:Dave Lister:/export/home/jxbcpp:/bin/sh

　　loginID 使用者名稱

　　x 隱藏的口令。加密的口令放在/etc/shadow檔案中

　　UID 使用者ID

　　GID 組ID

　　comment 描述

　　home directory 個人主目錄

　　login shell 登入後使用的shell

　　/etc/shadow檔案記錄了系統使用者的加密後口令

　　格式

　　loginID:password:lastchg:min:max:warn:inactive:expire:

　　#more /etc/shadow

　　root:LXeokt/C/oXtw:6445::::::

　　daemon:NP:6445::::::

　　bin:NP:6445::::::

　　sys:NP:6445::::::

　　adm:NP:6445::::::

　　lp:NP:6445::::::

　　smtp:NP:6445::::::

　　uucp:NP:6445::::::

　　nuucp:NP:6445::::::

　　listen:*LK*:::::::

　　nobody:NP:6445::::::

　　noaccess:NP:6445::::::

　　nobody4:NP:6445::::::

　　lister:ubQhZXEMv/lyI:10336:7:90:5:30::

　　loginID 對應使用者名稱

　　password 加密後的口令。LK表示鎖定帳號，NP表示無口令

　　lastchg 最後更改口令的日期與1970年1月1日之間相隔的天數

　　min 改變口令需要最少的天數

　　max 同一口令允許的最大天數

　　warn 口令到期時，提前通知使用者的天數

　　inactive 使用者不使用帳號多少天禁用帳號

　　expire 使用者帳號過期的天數

　　最後一個欄位未用

　　/etc/group檔案記錄了系統的使用者組的資訊

　　格式

　　groupname:password:GID:userlist

　　#more /etc/group

　　root::0:root

　　other::1:

　　bin::2:root,bin,daemon

　　sys::3:root,bin,sys,adm

　　adm::4:root,adm,daemon

　　uucp::5:root,uucp

　　mail::6:root

　　tty::7:root,tty,adm

　　lp::8:root,lp,adm

　　nuucp::9:root,nuucp

　　staff::10:

　　daemon::12:root,daemon

　　sysadmin::14:lister,torey

　　nobody::60001:

　　noaccess::60002:

　　Groupname 組名

　　password 口令。已經不使用

　　GID 組ID

　　userlist 成員列表

　　一個使用者可以同時屬於多個組。

　　id命令用於檢視使用者的id號（使用者號）

　　命令格式

　　id [ options ] [ username ]

　　$ id

　　uid=10450(student1) gid=150(learning)

　　$ id -a

　　uid=10450(student1) gid=150(learning) groups=150(learning),14(sysadmin)

　　不加引數顯示使用者所在的id號使用者和主要組id號。

　　-a引數顯示使用者的所在所有組的組id號。

　　改變使用者

　　su命令使用者改變當前的使用者。

　　$ su - jxbcpp

　　Password:

　　su命令後可以加-，也可以不跟。如果跟-，則切換到那個使用者後執行使用者的啟動指令碼，如.profile。

　　改變檔案所有者

　　chown user_name filename

　　# ls -l memo

　　-rw-r--r-- 1 rimmer other 0 Jul 6 18:30 memo

　　# chown chris memo

　　# ls -l memo

　　-rw-r--r-- 1 chris other 0 Jul 6 18:30 memo

　　# cd /export/home

　　# chown -R chris mydocs

　　－R選項把mydocs目錄下所有子目錄及其檔案的所有者都改變為chris。

　　# chown -R lister:staff mydocs

　　把mydocs目錄的所有者改為lister，所在組改為staff。

　　注：只有管理員才能改變所有者。

　　/etc/default/login檔案

　　其中包含了CONSOLE=這一行，

　　如果CONSOLE=/dev/console未註釋，則root只能在控制檯登入。如果註釋了此行，root可以遠端登入。

　　檢視登入狀態

　　命令who、finger、last可以檢視使用者登入狀態。

　　 who

　　檢視本機登入的使用者狀態。顯示使用者名稱、登入的裝置、登入時間以及登入的主機名字。

　　$ who

　　rimmer pts/1 Dec 21 07:07 (nepal)

　　lister console Dec 21 12:18 (:0)

　　使用者rimmer從機器nepal上登入。而使用者lister則在本地登入。

　　 finger

　　顯示本地和遠端系統使用者的詳細資訊。包括使用者名稱、使用者註釋資訊、終端名、空閒時間、登入時間、登入主機名。

　　$ finger bevw

　　Login name: bevw In real life: bev's account

　　Directory: /home/bevw Shell: /bin/ksh

　　Last login Wed Oct 21 08:07 on console from :0

　　No unread mail

　　No Plan.

　　 last

　　顯示系統的最近使用者登入狀況。

　　$ last

　　rimmer pts/4 pluto Fri Dec 18 10:24 - 11:00 (00:36)

　　lister pts/4 pluto Tue Dec 8 09:39 - 09:49 (00:10)

　　rimmer pts/4 pluto Thu Dec 3 15:16 - 15:17 (00:00)

　　rimmer console :0 Wed Dec 2 08:47 still logged in

　　reboot system boot Wed Dec 2 08:44

　　rimmer pts/0 pluto Tue Dec 1 17:27 - 17:28 (00:00)

　　rimmer pts/3 pluto Tue Dec 1 16:13 - 16:39 (00:26)

　　rimmer pts/2 pluto Tue Dec 1 15:32 - 15:38 (00:06)

　　holly term/a pluto Tue Dec 1 15:12 - 08:41 (17:29)