Управление счетами пользователя - наиболее стандартная функция администратора системы.
"Традиционная" система UNIX для добавления или удаления пользователя требует, чтобы администратор редактировал несколько файлов (типа /etc/passwd и /etc/group). Более поздние поколения UNIX обеспечивают команды (или сценарии оболочки), типа mkuser, для общих действий управления пользователями.
AIX, и некоторые другие современные версии UNIX, обеспечивает инструментальные средства с более высоким уровнем управления пользователями. Инструмент AIX - SMIT.
Возможно выполнять управление пользователями в AIX, редактируя различные файлы, или используя mkuser и подобные этой команды. Однако, настоятельно рекомендуется использовать SMIT.
Управление пользователями включает в себя использование теневых файлов (для лучшей защиты), различные квоты пользователей (для лучшего управления ресурсами), ограничения входа в систему (для лучшей защиты), критерии пароля (для лучших паролей) и т.д.
Для управления пользователями в AIX имеется больше административных файлов, которые должны модифицироваться, с взаимно непротиворечивыми параметрами, чем в традиционных системах UNIX.
Использование SMIT упрощает и намного снижает вероятность ошибки в этом деле, в отличие прямого редактирования всех этих файлов или использования команд низшего уровня. Используйте SMIT!
Вы будете иногда сталкиваться с утверждениями о том, что "реальные гуру UNIX" всегда управляют системами редактируя базисные файлы (типа /etc/passwd). Это утверждение было верно несколько лет назад. Это не верно сегодня.
Обратите внимание: Эта глава игнорирует эффект использования NIS.
Нижеследующее обсуждение относится к администрированию, которое выполняется непосредственно на системе.
Когда пользователь входит в систему система устанавливает для него окружение используя информацию из трех файлов:
· /etc/profile командный сценарий оболочки, который контролирует общесистемные переменные по умолчанию. Например, TERM, MAILMSG, MAIL.
· /etc/environment В этом файле определяется базовое окружение для всех процессов. Для примера: HOME, LANG, TZ, NLSPATH.
· $HOME/.profile Собственный профиль пользователя в его директории. Пользователь лично может указать свои собственные предпочтения отменяя команды и значения переменных заданных в файле /etc/profile.
процесс getty | стартуется процессом initпараметры портов в ODM | |
login | Файл /etc/security/login.cfg | |
Пользователь вводит свое имя входа | ||
Пользователь вводит свой пароль | ||
Проверка имени и пароля пользователя | Файлы /etc/password и/etc/security/password | В случае ошибки делается запись в файл /etc/security/failedlogin |
Установка окружения | Файлы /etc/security/environ,/etc/security/limits, /etc/security/user | |
Сообщение дня | Файл /etc/motd | Если в директории пользователя существует файл $HOME/.hushlogin то сообщение дня ему не показывается |
shell | Запуск оболочки | |
Установка окружения пользователя | Файлы /etc/environment, /etc/profile и $HOME/.profile |
Когда пользователь выходит из системы оболочка прекращает работу и процесс init создает новый процесс getty для данного порта.
Нижеследующее меню SMIT используется для добавления или изменения областей определения пользователя. Подмножества этих тех же самых единиц меню произведены другими меню SMIT. Ознакомьтесь с системными значениями по умолчанию перед решением, как использовать элементы в нижеследующем меню.
smit
Security and Users
Users
ADD a User
1 * User NAME [alex]
2 User ID [ ]
3 ADMINISTRATIVE User? false
4 Primary GROUP [staff]
5 Group SET [staff]
6 ADMINISTRATIVE GROUPS []
7 Another user can SU TO USER true
8 SU GROUPS [ALL]
9 HOME Directory [/usr/guest]
10 Initial PROGRAM []
11 User INFORMATION []
12 EXPIRATION date (MMDDhhmmyy) 0
13 Is this user ACCOUNT LOCKED? false
14 User can LOGIN? true
15 User can LOGIN REMOTELY? true
16 Allowed LOGIN TIMES
17 Number of FAILED LOGINS before [0] user account is locked
18 Login AUTHENTICATION GRAMMAR [compat]
19 Valid TTYs [ALL]
20 Days WARN USER before pw expires [0]
21 Password CHECK METHODS []
22 Password DICTIONARY FILES []
23 Number of PASSWORDS before reuse [0]
24 WEEKS before password reuse [0]
25 Weeks between pw expire & lockout[-1]
26 Password MAX. AGE [0]
27 Password MIN. AGE [0]
28 Password MIN. ALPHA characters [0]
29 Password MIN. OTHER characters [0]
30 Password MAX. REPEATED chars [0]
31 Password MIN. DIFFERENT chars [0]
32 Password REGISTRY []
33 MAX FILE Size [2097151]
34 MAX CPU Time [-1]
35 MAX DATA Segment [262144]
36 MAX STACK Size [65536]
37 MAX CORE File Size [2048]
38 File creation UMASK [22]
39 AUDIT classes []
40 Trusted path? nosak
41 PRIMARY Authentication Method [SYSTEM]
42 SECONDARY Authentication [NONE]
Номера строк (цифры с 1 до 42) не показываются на экране, но помогают нижеследующему обсуждению. Некоторые из этих опций важны для защиты и должны быть поняты администратором.
Введите userid (строка 1, User NAME) для нового пользователя. Userid должен быть уникален на данной системе. Идентификатор пользователя (строка 2) - UID. Процесс SMIT автоматически назначит следующий UID; без явной необходимости администратор не должен отменить предложенное значение этого поля. Оставьте значение этого поля пустым.
Административные поля (строки 3 и 6) описаны позже. Оставьте эти поля неизменяемыми (то есть "false" и пробел) для обычных пользователей.
Пользователь может поле входа в систему (строка 14) определяет, может ли этот пользователь входить в систему непосредственно (косвенный вход в систему частично управляется строками 7,8 и 15). Обычному пользователю нужно позволять регистрироваться в системе. Стандартные счета системы, типа bin, являются специальными случаями, которым не нужно разрешать никакого входа в систему. Другой специальный случай - пользователь root, который обсужден позже. Этот параметр устанавливает флажок в станзе файла /etc/security/user в отношении этого пользователя. Это не устанавливает звездочку в поле пароля в /etc/passwd, чтобы запретить вход в систему.
ГРУППЫ SU (строка 8), SU ПОЛЬЗОВАТЕЛЮ (строка 7), и ВХОД В СИСТЕМУ ДИСТАНЦИОННО (строка 15) средствами управления могут использоваться, чтобы ограничить доступ к этому счету. Показываются нормальные (и значение по умолчанию) значения. Эти значения по умолчанию разрешают доступ к счету несколькими способами.
SU ПОЛЬЗОВАТЕЛЮ определяет, может ли любой другой пользователь использовать этот счет, используя команду su. Только root может su к счету, если этот флажок установлен в false. Если SU ПОЛЬЗОВАТЕЛЮ установлен в true, поле ГРУППЫ SU обеспечивает некоторый контроль над тем, какие пользователи могут su к этому счету. Только членам групп пользователей, перечисленных в этом поле разрешено su к этому счету. Это поле не эффективно для root, так как root может su к счету независимо от ограничений группы. Значение по умолчанию all - ключевое слово, означающее все группы (знак восклицания, предшествующий группе служит символом отрицания, то есть членов именованной группы не разрешено su к этому userid.)
Поле ВХОДА В СИСТЕМУ ДИСТАНЦИОННО управляет доступом через rlogin и telnet средства TCP/IP. Если значение установлено в true (значение по умолчанию), любой может регистрировать под этим счетом, используются telnet, если он знает пароль счета. Этот параметр не управляет доступом через функцию ftp TCP/IP.
НАЧАЛЬНАЯ ПРОГРАММА (строка 10) - имя (с полным путем) программы, которой будет дано управление, когда этот пользователь зарегистрируется в системе. Это - обычно имя оболочки, типа /usr/ksh. Если это поле пусто (нормальный случай), начальное имя программы берется из файла /etc/security/mkuser.default.
В поле ДАТА ОКОНЧАНИЯ (строка 12) обычно ставят значение 0 (означающий никакую дату окончания). Формат даты показывается в меню. Типичным значением могло бы быть число "0330000099" (MMDDhhmmyy). Этот параметр полезен для временных счетов, типа счетов для посетителей или подрядчиков. Счет будет заблокирован после определенной даты.
Поле БЛОКИРОВКА СЧЕТА (строка 13) обычно установлено в false, и может использоваться как средство управления, чтобы отключить userid. (Это не будет вынуждать пользователя выйти из системы, если он в настоящее время зарегистрирован в ней.)
Вы можете ограничивать время регистрации пользователя определенными часами, используя ВРЕМЯ ВХОДА В СИСТЕМУ (строка 16). Имеются несколько форматов для этого параметра, и они объяснены в комментариях для файла /etc/security/user (см.Файл /etc/security/user). Это время относится только к допустимому времени регистрации в системе и не относится к допустимому времени работы в системе.
ДОПУСТИМЫЕ TTYs (строка 19) определяет терминалы, которые этот счет может использовать (эта строка не управляет псевдо-терминалами, какие используется telnet и другими удаленными соединениями). Полные имена пути терминалов должны быть заданы явно, например /dev/tty1. Символ "!" перед именем терминала означает, что терминал не может использоваться. Ключевое слово ALL означает, что могут использоваться все терминалы. Способность ограничивать конкретных пользователей конкретными терминалами может быть сильным инструментом защиты, но должна использоваться с осторожностью. Например, пользователь root мог бы быть ограничен локальным пультом, хотя это может стать проблемой в случае аппаратной проблемы.
Параметр WARN USER (строка 20) заставляет выдать предупреждающее сообщение при регистрации пользователя в системе, если его пароль должен в скором времени истечь. Рекомендуется использовать этот параметр, если предписано изменение пароля (строка 25). Пользователь нуждается в некотором времени, чтобы выдумать новый хороший пароль.
Поле ОПОЗНАВАТЕЛЬНАЯ ГРАММАТИКА (строка 18) должен быть оставлен со значением по умолчанию "compat". Это поле будет использоваться с будущими расширениями для распределенных систем.
Различные средства управления паролем (строки 21 - 31) обсуждены позже. Предлагается, чтобы вы оставили эти линии неизменными. Не введите что-нибудь в поле РЕГИСТРАЦИИ ПАРОЛЯ (строка 32). Это поле введено для будущего использования с DCE или другими удаленными функциями регистрации.
Ограничения процесса (строки с 33 по 37) обеспечивают некоторую защиту против программ выходящих из-под контроля.
Максимальный размер ФАЙЛА (строка 33) оп-ределяет верхний ограничение для параметра ulimit. Ulimit - максимальный размер (в модулях 512 байтов) файла, созданного этим пользователем. Пользователь может изменять значение с командой ulimit, но не может превышать набор значений в поле, указанное администратором в SMIT. Минимальное значение, предлагаемое SMIT - 8192. Обратите внимание, что этот максимальный размер файла - для одного файла; это значение не ограничивает общее количество дискового пространства, использованного этим пользователем.
Параметр ВРЕМЯ ЦЕНТРАЛЬНОГО ПРОЦЕССОРА (строка 34) ограничивает максимальную продолжительность течения любой одиночной программы. Значение указывается в секундах. Когда процесс превышает это ограничение времени, он прерывается AIX. Пользователь видит сообщение об ошибке и новую подсказку оболочки.
UMASK (строка 38) - значение по умолчанию переменной umask для пользователя. Пользователь может изменить это значение во время одиночного сеанса командой umask.
Не измените строки 39-42 (КЛАССЫ АУДИТА, ДОВЕРЕННЫЙ ПУТЬ, ПЕРВИЧНЫЙ МЕТОД АУТЕНТИФИКАЦИИ, ВТОРИЧНАЯ АУТЕНТИФИКАЦИЯ) если вы не имеете специфических требований.
В результате определения нового пользователя (используя панель SMIT, показанную выше) будут внесены следующие добавления к следующим файлам:
1. Файл /etc/passwd будет содержать новую строку, определяющую пользователя.
2. Файл /etc/security/passwd будет содержать новую станзу для шифрованного пароля пользователя и нескольких флажков.
3. Файл /etc/security/user будет содержать новую станзу, содержащую некоторые из ограничений пользователя.
4. Файл /etc/group будет изменен, чтобы добавить нового пользователя в одну или большее количество групп.
5. Файл /etc/security/limits будет содержать новую станзу, содержащую некоторые из относящихся к окружению ограничений пользователя.
6. Файл /etc/security/.ids будет модифицирован, чтобы содержать следующий доступный UID.
7. Директория /home будет содержать новую директорию, которая является исходной директорией для нового пользователя.
Многие из полей меню, перечисленных выше могли бы быть лучше всего установлены как значения по умолчанию для всех пользователей, вместо индивидуальных значений каждого пользователя. Например, вы могли бы хотеть установить максимальный возраст пароля (строка 26) для всех пользователей.
Большинство параметров пользователя хранится в файле /etc/security/user. В нем имеется станза для каждого определяемого пользователя в системе и станза для значений по умолчанию. Как root, администратор может редактировать заданную по умолчанию станзу (используя vi или другой ваш любимый редактор) и изменить значения по умолчанию.
Изменения вступают в силу немедленно при следующей регистрации пользователей в системе, если, конечно, конкретный пользователь не имеет значения отмены в его станзе. Также, параметры в заданной по умолчанию станзе появятся как значения по умолчанию при добавлении нового пользователя с помощью SMIT.
Из 42 строк меню, отображаемых SMIT при добавлении или изменении параметров пользователя, 30 строк хранятся в файле /etc/security/user.
Файл /etc/security/limits организован таким же образом, и значения по умолчанию для шести ограничений пользователя (максимальный размер файла и т.д) могут быть установлены в этом файле.
Преимущества установки значений по умолчанию вместо многих индивидуальных значений пользователя очевидны. Значения по умолчанию могут быть изменены легко. Индивидуальные же значения пользователя должны быть четко определены, если только они должны быть отличными от значений по умолчанию.
Файлы /etc/security/user и /etc/security/limits используются всякий раз, когда пользователь регистрируется в системе; на тех пользователей, которые в момент изменений зарегистрированы в системе изменения не будут воздействовать.
Традиционный UNIX для управления пользователями использует файл /etc/passwd. Пользователь создается добавлением строки в этот файл. Пароль пользователя в зашифрованной форме хранится в этой строке. Другие ключевые параметры, такие как UID пользователя, заданная по умолчанию группа, его исходная директория, и его начальная программа (обычно оболочка) также определены в этой строке.
Строки в файле /etc/passwd используются многими программами, чтобы транслировать между UID (внутренняя числовая идентификация пользователя) и userid (внешняя идентификация пользователя). По этой причине файл /etc/passwd должен быть читаем любой программой и любым пользователем. То есть этот файл должен быть читаемым всеми. Это означает, что все пароли пользователей, хотя и в шифрованном виде, может прочитать любой. То есть, хотя и зашифрованные, пароли выставлены для любого пользователя для исследования.
Стандартная схема шифрования пароля UNIX (используемая фактически всеми системами UNIX, включая AIX) при ее разработке рассматривалась как очень хорошая. Появление более скоростных процессоров сделало эту схему шифрования не такой уж и надежной, а будущее усиление вычислительной техники будут делать эту ситуацию еще хуже. Вскрытие паролей основано в основном при предположении паролей. Автоматизировав процесс, основанный на больших словарях вероятных паролей, программа предположения пароля будет часто преуспевать в расшифровке паролей для некоторых пользователей в любой большей системе UNIX. Программы вскрытия паролей требуют доступа к шифрованным паролям. Если шифрованные пароли находятся в файле /etc/passwd, они легко доступны любому.
Решение было найдено: требуется чтобы (факультативно) переместить шифрованные пароли в другой файл. Этот "другой" файл называется теневым файлом.
Для AIX теневым файлом является файл /etc/security/passwd. Строка в файле /etc/passwd может иметь четыре значения в поле пароля (второе поле в строке):
1. Поле пароля имеет нулевое (пустое) значение. Нулевое (пустое) поле пароля означает, что не требуется пароля для этого userid.
2. Звездочка. Это означает, что userid отключен. (AIX обычно использует другое поле в /etc/security/user, чтобы отключить пользователя, но использует метод звездочки, когда пользователь уже определен.)
3. Символ восклицания. Это означает, что шифрованный пароль находится в теневом файле /etc/security/passwd. Это - стандартный вариант для AIX.
4. Шифрованный пароль (длина шифрованного пароля всегда 13 символов).
Некоторые счета могут помещать зашифрованные пароли в файл /etc/passwd, и другие счета могут иметь их зашифрованные пароли в теневом файле /etc/security/passwd. AIX будет работать правильно в обоих случаях, но настоятельно рекомендуется не размещать шифрованные пароли в файле /etc/passwd.
SMIT и команда passwd автоматически поместит символ восклицания в файл /etc/passwd и поместит зашифрованный пароль в файл /etc/security/passwd.
Имеются некоторые другие файлы в директории /etc/security. Они все связаны со средствами управления безопасности и иногда называются "файлами теневой защиты''.
Когда новый пользователь добавляется с помощью SMIT, счет автоматически блокируется, помещая звездочку во втором поле (поле пароля) строки файла /etc/passwd для нового пользователя. Администратор (работающий как root) должен использовать SMIT или команду passwd и задать начальный пароль для пользователя.
Так как пароль был установлен административным пользователем (root), нового пользователя при первой попытке регистрации в системе попросят его изменить (флажок ADMCHG во входе пользователя в файле /etc/security/passwd указывает, что требуется изменение пароля). Установка начального пароля дает возможность новому пользователю с новым счетом зарегистрироваться в системе.
Команда passwd - обычная команда UNIX для изменения паролей. Команда может использоваться любым пользователем, чтобы изменить его собственный пароль, или использоваться root для изменения пароль любого пользователя.
Не имеется никакого специфического преимущества для использования SMIT для изменения паролей; команда passwd делает то же самое дело.
Функция SMIT для изменения пароля находится в том же самом меню что и функция для добавления нового пользователя. Это обычно удобно для администратора, чтобы установить начальный пароль для нового пользователя немедленно после того, после того как он создал нового пользователя, и здесь функции SMIT удобны.
В некоторых случаях, необходимо создать несколько новых пользователей, но не допускать их в систему (то есть не назначить им начальные пароли).
Например, новая группа студенческих userid могла бы быть создана в удобное для администратора время, но не быть допущенной для регистрации в систему, пока не начнется учебный период. В этом случае, использование команды passwd может быть более удобно, чем установка паролей через SMIT.
Не забудьте, что администратор (управляя как root) должен всегда назначать начальный пароль для активизации нового счета. И это является одним из общеизвестных дефектов безопасности.
Какой пароль должен набрать администратор как начальный пароль? Администраторы имеют тенденцию устанавливать общий пароль, типа имени пользователя или названия отдела, для всех новых пользователей. При знании этого, любой "злоумышленник", знающий принципы присвоения начального пароля, может "захватить" новый счет зарегистрировавшись в системе быстрее чем допустимый пользователь.
Имеются два решения для этой проблемы:
1. Администратор может устанавливать неизвестный пароль (различный для каждого нового пользователя) и сообщать его конкретному пользователю.
2. Администратор может не устанавливать начальный пароль, пока новый пользователь не готов зарегистрироваться в системе. Это означает, что будет иметься некий короткий период, пока определен стандартный начальный пароль.
В любом случае, новому пользователю будет выдан запрос на изменение его пароля при первой регистрации в систему.
Много взломов защиты начинаются с недостаточно "стойких" паролей. Проблема качества паролей была обсуждена много раз во многих публикациях; эти обсуждения не будут повторены здесь. Стоит отметить базисные руководящие принципы выбора "cтойких" паролей:
1. Не используйте ваше имя пользователя или любой его вариант.
2. Если Вы используете тот же самый пароль на больше чем на одной системе, будьте вдвойне осторожнее. Никогда не используйте тот же самый пароль root на разных системах.
3. Не используйте имена людей.
4. Не используйте слова, которые могут быть найдены в словаре, особенно это актуально для сетевой или большой многопользовательской системы.
5. Не используйте пароли короче чем пять или шесть символов.
6. Не используйте ругательные или непристойные слова; они - среди первых слов, которые пробуют при вскрытии паролей.
7. Используйте пароли, которые вы можете помнить. Не записывайте ваш пароль.
8. Используйте по возможности пароли, которые состоят из букв и чисел.
9. Используйте пароли, которые вы можете быстро набрать на клавиатуре.
10. Два слова, с числом между ними, обычно являются "хорошим" паролем.
11. Слово (длиной по крайней мере в шесть символов), с цифрой, вставленной в слово, является превосходным паролем (но не формируйте цифру, заменяя букву "l" на "1" или букву "o" на цифру "0'').
12. Слово с цифрой внутри - лучший пароль чем слово с первой или последней цифрой.
13. Удобопроизносимый пароль проще для запоминания.
14. AIX проверяет только первые восемь символов пароля. Однако слово может быть более длинное чем восемь символов.
Вы можете определять качество пароля и правила его составления для каждого пользователя, или для всех, редактируя заданную в файле /etc/security/user станзу по умолчанию.
Индивидуальные установки по управлению могут быть установлены, используя меню SMIT. Средства управления:
recommended default
minage 0 0 (weeks. Use 0)
maxage 12 0 (maximum age in weeks)
maxexpired 4 0 (weeks after expire)
minalpha 1 0 (alpha characters)
minother 1 0 (non-alpha characters)
minlen 6 0 (minimum length)
mindiff 3 0 (different from last pw)
maxrepeats 3 8 (repeated characters)
histexpire 26 0 (prohibit reuse, weeks)
histsize 8 0 (number of old passwords)
pwdwarntime 14 0 (warning time, days)
Значения по умолчанию не обеспечивают никаких средства управления качеством паролей. Это сделано намеренно, поскольку это соответствует ожидаемой характеристике "стандартного" UNIX.
Maxage/minage определяет максимальный/минимальный возраст пароля (в неделях). Значение по умолчанию - 0 на обеих строках, что указывает, что пароль не имеет никакого минимального или максимального возраста. Рекомендуется, чтобы вы не использовали параметр minage. Это может вызвать конфликтные ситуации.
Рассмотрите возможность использования меньших значений параметра maxage для привилегированных пользователей типа root и членов группы system. Ранее существовал спор о том необходимо ли пользователю время после окончания времени действия пароля на обдумывание нового пароля или нет. Если пользователя жестко потребуют срочно поменять его пароль, он может выбрать новый пароль тривиальным или недостаточно "стойким". Так как пользователь регистрируется в системе для своей цели, он не мог серьезно ранее подумать о своем новом пароле.
Параметр pwdwarntime (определенный в днях) заставляет AIX предупреждать пользователя прежде, чем истечет время действия его пароля. Это позволяет пользователю изменить его пароль заблаговременно и обычно обеспечивает лучшее "качество" пароля.
Параметры maxrepeat, mindiff, minlen, minalpha, и minother обеспечивают базисные средства управления качеством паролей. Они управляют максимальном числом повторения символов, минимальным числом символов, указывают на то, что новый пароль должен отличиться от предыдущего, минимальной длиной, минимальным числом буквенных символов, и минимальным числом небуквенных символов, которые должны появиться в пароле.
AIX имеет опцию, чтобы помнить старые пароли (используются файлы /etc/security/pwdhist.dir и /etc/security/pwdhist.pag). Параметр histexpire определяет число недель, которые должны протечь до того, как пароль может вторично использоваться.
Параметр histsize определяет число других паролей, которые должны использоваться прежде, чем данный пароль может использоваться снова.
AIX обеспечивает еще две функции управления качеством пароля. Может быть определен файл недопустимых паролей (с параметром dictionlist=) и может быть определен список программ пользователя (с параметром pwdchecks=) чтобы выполнить любую настроенную проверку пароля.
Файлом недопустимых паролей мог бы быть файл /usr/share/dict/words (если он присутствует в вашей системе) или любой другой файл со списком слов. Эти параметры могут быть установлены для индивидуальных пользователей через SMIT или установлены как значения по умолчанию в файле /etc/security/user.
Файлы, которые связаны с управлением пользователями, перечислены ниже с краткими комментариями. Почти все файлы, непосредственно связанные с управлением пользователями и группами находятся в директории /etc/security.
1. Файл /etc/security/.ids Не редактируйте этот файл. Он содержит последовательность чисел для использования командой mkuser так, чтобы новая группа или пользователь всегда получила уникальный uid/gid. Файл модифицируется автоматически различными командами, вызываемыми (внутренне) SMIT.
Пример этого файла:
6 221 12 206
Где: 6 = следующий
административный номер uid
221 = следующий
номер uid
12 = следующий административный
номер gid
206 = следующий номер gid
2. Файл /etc/group содержит базисные области определения группы.
3. Файл /etc/security/group содержит дополнительную информацию группы, типа флажков admin и adms.
4. Файл /etc/security/login.cfg содержит станзы для ряда средств управления для всей системы. Не имеется никаких станз конкретных пользователей или групп. Эти средства управления вообще связаны использованием порта и терминалов. Комментарии в файле описывают его функции и форматы очень ясно. Станзы включают:
а) группу параметров, связанных недопустимыми входами в систему. Эти параметры могут задерживать или запрещать (на определенный период или неопределенно) дополнительные попытки входа в систему после неудачного входа. Эти параметры могут обеспечивать ценную защиту для системы при нападении с попыткой взломать пароли. Если вы имеете dial-in порты или выставлены большой группе потенциальных "злоумышленников" вы должны отредактировать и использовать эти параметры.
б) sak_enabled - управление доступностью безопасной функции внимания для порта.
в) аuth_method (не определенный в заданном по умолчанию файле, отправленном с AIX) - определяет различные или дополнительные опознавательные методы.
г) параметры геральда (начального экранного сообщения перед регистрацией пользователя) находятся в этом файле. Администратор может отредактировать и перепроектировать геральд. Убедитесь, что ваш геральд содержит достаточно символов начала новой строки для очистки экрана.
д) usw - этот параметр используется только командой chsh и содержит список допус-тимых оболочек. Определяйте имена оболочек с полным путем.
е) maxlogins - этот параметр устанавливает максимальное число терминалов, с которых можно регистрироваться в одно время (этот параметр должен быть изменен командой chlicense, используется в соответствии с вашей лицензией на использование AIX).
ж) logintimeout - время за которое вход в систему должен завершиться.
5. Файл /etc/passwd содержит базисные области определения пользователя.
6. Файл /etc/security/passwd содержит зашифрованные пароли, штамп времени последней модификации, и флажок, указывающего на то, модифицировался ли пароль администратором (если да, то пользователю при следующей попытке зарегистрироваться в системе будет выдан запрос на изменение его пароля).
7. Файлы /etc/passwd.dir и /etc/passwd.pag созданы командой mkpasswd и содержат маленькие структуры базы данных, чтобы ускорить доступ к userid файлам управления. Не редактируйте эти файлы.
8. Файл /etc/security/user содержит большинство параметров управления пользователями.
9. Файл /etc/security/environ может содержать относящиеся к окружению атрибуты для пользователей.
10. Файл /etc/security/limits содержит параметры ресурсов.
11. Файл /usr/lib/security/mkuser.default содержит несколько значений по умолчанию, используемые при создании нового пользователя. Вы можете редактировать этот файл непосредственно. Он содержит заданную по умолчанию группу, заданную по умолчанию начальную программу (оболочку), и заданное по умолчанию имя исходной директории для нового пользователя.
12. Файл /etc/security/failedlogin содержит записи о каждом сбое входа в систему. Файл может отображаться командой who:
who -a /etc/security/failedlogin >> /tmp/check
Этот пример переназначит вывод в файл /tmp/check. Не редактируйте этот файл. Однако, периодически вы могли бы удалять его. Этот файл не так полезен, как могло бы показаться, потому что в нем не записываются недопустимые userid (любой userid, который не присутствует в вашем файле /etc/passwd). Недопустимые userid регистрируются как UNKNOWN.
13. Файл /etc/security/lastlog имеет одну станзу на пользователя и содержит информацию о нескольких последних входах в систему (имеющих силу и недопустимых). Информация из этого файла отображается при входе в систему пользователя. Вы можете прочитать этот файл, но не редактировать это (временные отметки (штампы) нечитабельны людьми).
14. Файл /etc/security/.profile - прототип для файла $HOME/.profile для новых пользователей. Вы можете редактировать этот файл когда требуется. Некоторые из этих файлов имеют вторую, более старую, копию в директории /etc/security, которая создается автоматически при изменении этих файлов. "Старая" копия имеет символ "o" как первый символ имени файла. Например, существуют файлы /etc/security/limits и /etc/security/olimits.