==維護密碼和登錄控制

pwconv命令：使用/etc/passwd文件的信息創(chuàng)建和升級/etc/shadow文件。

如果系統(tǒng)中/etc/shadow文件不存在，使用/etc/passwd文件信息創(chuàng)建/etc/shadow文件。

如果系統(tǒng)中/etc/shadow文件存在，執(zhí)行如下操作：

存在在/etc/passwd文件但不存在在/etc/shadow文件中的用戶將被增加到/etc/shadow文件中。

存在在/etc/shadow文件但不存在在/etc/passwd文件中的用戶將被從/etc/shadow文件中刪除。一般我們會在用名后面加上*LK*來鎖定該用戶。

==監(jiān)控系統(tǒng)使用情況

顯示系統(tǒng)中登錄的用戶

#who(調(diào)用/var/adm/utmpx文件中的信息)

顯示系統(tǒng)中登錄的用戶的詳細信息

#fingerusername

#fingerusername@remotehostname

-m：僅僅匹配用戶名

顯示系統(tǒng)中所有登錄活動的記錄

#last(調(diào)用/var/adm/wtmpx文件中的信息)

#lastusername

#lastreboot

顯示遠程系統(tǒng)中登錄的用戶

#rusers-l

==改變文件權(quán)限

chown命令：用于改變文件的屬主

命令格式：chown[option(s)]user_namefilename(s)

chown[option(s)]UIDfilename(s)

例如：

#chownuser2file7

#chown-Ruser2dir4

#chownuser3:classfile2

#chown-Ruser3:classdir1chgrp命令：用于改變文件的數(shù)組

命令格式：chgrpgroupnamefilename(s)

chgrpGIDfilename(s)

例如：

#chgrpclassfile4==Root用戶登錄

直接使用root用戶名登錄，輸入root用戶的密碼。

使用普通用戶登錄，然后調(diào)用su命令轉(zhuǎn)變?yōu)閞oot用戶。

su命令：允許用戶不用登錄就可以改變成另外一個用戶。

命令格式：su[-][username]

root用戶可以不需要密碼使用su命令轉(zhuǎn)換到其它任何用戶。

除root用戶外，其它任何用戶使用su命令轉(zhuǎn)換時都必須首先知道轉(zhuǎn)換后的用戶的密碼。

-：執(zhí)行一個完整登錄。根據(jù)創(chuàng)建用戶時設(shè)定的配置文件來改變用戶工作環(huán)境。

管理用戶訪問

/etc/default/su

/etc/default/login

/etc/default/passwd#moresu

#ident"@(#)su.dfl1.693/08/14SMI"/*SVr4.01.2*/

#SULOGdeterminesthelocationofthefileusedtologallsuattempts

SULOG=/var/adm/sulog

#CONSOLEdetermineswhetherattemptstosutorootshouldbelogged

#tothenameddevice

#CONSOLE=/dev/console

#PATHsetstheinitialshellPATHvariable

#PATH=/usr/bin:

#SUPATHsetstheinitialshellPATHvariableforroot

#SUPATH=/usr/sbin:/usr/bin

#SYSLOGdetermineswhetherthesyslog(3)LOG_AUTHfacilityshouldbeused

#tologallsuattempts.LOG_NOTICEmessagesaregeneratedforsu'sto

#root,LOG_INFOmessagesaregeneratedforsu'stootherusers,andLOG_CRIT

#messagesaregeneratedforfailedsuattempts.

SYSLOG=YES#morelogin

#ident"@(#)login.dfl1.1099/08/04SMI"/*SVr4.01.1.1.1*/

#SettheTZenvironmentvariableoftheshell.

#

#TIMEZONE=EST5EDT

#ULIMITsetsthefilesizelimitforthelogin.Unitsarediskblocks.

#Thedefaultofzeromeansnolimit.

#

#ULIMIT=0

#IfCONSOLEisset,rootcanonlyloginonthatdevice.

#Commentthislineouttoallowremoteloginbyroot.

#

CONSOLE=/dev/console限制root訪問

CONSOLE=/dev/console

Root用戶只能在console口上登錄，任何其它的root用戶登錄都將報錯。

#CONSOLE=/dev/console

Root用戶能夠從任何設(shè)備上登錄，包括網(wǎng)絡(luò)、Modem、其它終端等。

CONSOLE=

Root用戶不能從任何地方登錄。要成為root用戶只有一個辦法，首先使用普通用戶登錄，然后使用su命令轉(zhuǎn)換為root用戶。切記，在禁用root遠程登錄之前一定要確保系統(tǒng)里還有其它的用戶可以登錄。不然就會出現(xiàn)驚險的Solaris加固過程[http://www.amxku.net/archives/reinforcement-solaris/]。

用戶密碼策略

#morepasswd

#ident"@(#)passwd.dfl1.392/07/14SMI"

MAXWEEKS=27#密碼最長存活周期

MINWEEKS=1#密碼最短存活周期

PASSLENGTH=8#密碼長度最小值

MINALPHA=2;MINNONALPHA=1#至少包括兩個字母和一個非字母

#注意：/etc/shadow文件中設(shè)置的時間優(yōu)先級高于/etc/default/passwd文件中設(shè)置的時間

管理遠程訪問

/etc/hosts.equiv文件

$HOME/.rhosts文件

/etc/ftpusers文件==遠程訪問流程

amxku_at_msn.com

給用戶培訓(xùn)時寫的一個文檔。個人拙見，有不妥之處還望斧正。