系统管理员安全（2）Web服务器教程

6./etc/group文件
    /etc/group文件含有关于小组的信息,/etc/passwd中的每个GID在本文件中应当有相应的入口项,入口项中列出了小组名和小组中的用户.这样可方便地了解每个小组的用户,否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组用户.
    /etc/group文件对小组的许可权限的控制并不是必要的,因为系统用UID,GID(取自/etc/passwd)决定文件存取权限,即使/etc/group文件不存在于系统中,具有相同的GID用户也可以小组的存取许可权限共享文件.
    小组就像登录用户一样可以有口令.如果/etc/group文件入口项的第二个域为非空,则将被认为是加密口令,newgrp命令将要求用户给出口令,然后将口令加密,再与该域的加密口令比较.
    给小组建立口令一般不是个好作法.第一,如果小组内共享文件,若有某人猜着小组口令,则该组的所有用户的文件就可能泄漏;其次,管理小组口令很费事,因为对于小组没有类似的passwd命令.可用/usr/lib/makekey生成一个口令写入
/etc/group.
以下情况必须建立新组:
(1)可能要增加新用户,该用户不属于任何一个现有的小组.
(2)有的用户可能时常需要独自为一个小组.
(3)有的用户可能有一个SGID程序,需要独自为一个小组.
(4)有时可能要安装运行SGID的软件系统,该软件系统需要建立一个新组.要增加一个新组,必须编辑该文件,为新组加一个入口项.
    由于用户登录时,系统从/etc/passwd文件中取GID,而不是从/etc/group中取GID,所以group文件和口令文件应当具有一致性.对于一个用户的小组,UID和GID应当是相同的.多用户小组的GID应当不同于任何用户的UID,一般为5位数,这样在查看/etc/passwd文件时,就可根据5位数据的GID识别多用户小组,这将减少增加新组,新用户时可能产生的混淆.

7.增加,删除,移走用户

(1)增加用户
增加用户有三个过程:
. 在/etc/passwd文件中写入新用户的入口项.
. 为新登录用户建立一个HOME目录.
. 在/etc/group中为新用户增加一个入口项.
    在/etc/passwd文件中写入新的入口项时,口令部分可先设置为NOLOGIN,以免有人做为此新用户登录.在修改文件前,应mkdir /etc/ptmp,以免他人同时修改此文件.新用户一般独立为一个新组,GID号与UID号相同(除非他要加入目前已存在的一个新组),UID号必须和其他人不同,HOME目录一般设置在/usr或/home目录下建立一个以用户登录名为名称的目录做为其主目录.

(2)删除用户
    删除用户与加用户的工作正好相反,首先在/etc/passwd和/etc/group文件中删除用户的入口项,然后删除用户的HOME目录和所有文件.
rm -r /usr/loginname 删除整个目录树.
    如果用户在/usr/spool/cron/crontabs中有crontab文件,也应当删除.

(3)将用户移到另一个系统
    这是一个复杂的问题,不只是拷贝用户的文件和用户在/etc/passwd文件中的入口项.首先一个问题是用户的UID和GID可能已经用于另一个系统,若是出现这种情况,必须给要移的用户分配另外的UID和GID,如果改变了用户的UID和GID,则必须搜索该用户的全部文件,将文件的原UID和GID改成新的UID和GID.用find命令可以完成这一修改:
find . -user olduid -exec chown newuid {} \;
find . -group oldgid -exec chgrp newgid {} \;
也许还要为用户移走其它一些文件:
/usr/mail/user和/usr/spool/cron/crontabs/user.
    如果用户从一个不是本系统管理员的系统移来,则应对该用户的目录结构运行程序来检查.一个不安全系统的用户,可能有与该用户其它文件存在一起的SUID/SGID程序,而这个SUID/SGID程序属于另一个用户.在这种情况下,如果用cpio或tar命令将用户的目录结构拷贝到本系统,SUID/SGID程序也将会拷贝到本系统而没有任何警告信息.应当在允许用户使用新系统以前先删除这种文件的SUID/SGID许可.总之,始终坚持检查所移用户的文件总是更安全些.也可以用su命令进入用户的户头,再拷贝用户文件,这样文件的所有者就是该用户,而不是root.

8.安全检查
    像find和secure这样的程序称为检查程序,它们搜索[] [返回上一页] [打 印] [收 藏]