如何对用户的登录进行控制Login Control-aixcq-ChinaUnix博客
1个回答
展开全部
通常黑客能够从AIX缺省的登陆屏幕上得到有价值的信息,如主机名(hostname)、操作系统的版本等。这些信息能够帮助他们选择进攻的策略。出于安全性的考虑,系统管理员应该在系统安装完成后尽快进行一些安全设置。
1.设置/etc/security/login.cfg文件。
参数
是否对pty有效(网络登陆)
是否对tty有效
建议值
说明
Sak_enabled
Y
Y
false
SAK很少使用
Logintimes
N
Y
允许登录的时间
Logindisable
N
Y
4
在logininterval规定的时间内(60秒),当出现logindisable所定义的(4次)连续的登录失败后,禁止在此终端登陆
logininterval
N
Y
60
loginreenable
N
Y
30
被禁止登录的终端,在30分钟后从新被激活
Logindelay
Y
Y
5
登录失败后下次提示符出现前所延迟的时间,此值乘以登陆失败的次数,如 5,10,15,20秒
防止在登录屏幕的欢迎信息里出现有用的信息,需要改变/etc/security/login.cfg文件中的herald参数,可以通过chsec命令或直接编辑此文件进行。
如下所示是使用chsec命令改变缺省的herald参数:
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.\n\nlogin: "
或直接编辑/etc/security/login.cfg文件
default:
herald ="Unauthorized use of this system is prohibited\n\nlogin:"
sak_enable = false
logintimes = 0800-2200
logindisable = 5
logininterval = 80
loginreenable = 20
logindelay = 5
2. 改变在CDE环境下的登录屏幕
CDE的登录屏幕缺省会显示主机名和操作系统的版本,系统管理员可以编辑/usr/dt/config/$LANG/Xresources文件,改变系统缺省的欢迎信息,$LANG是指当前系统的语言环境。
假设$LANG为C,则编辑/etc/dt/config/C/Xresources文件,改变包含主机名和操作系统版本的缺省的欢迎信息。
虽然CDE的图形界面对用户十分友好,但它也带来潜在的安全问题。对于安全性要求较高的系统我们建议不要安装CDE的软件包(带有dt的 fileset)。
xwd和xwud命令可以被用来监视X server的活动,它们可以截取用户击键的顺序,从而报漏用户密码或其他有价值的信息。要解决这个问题可以删除这两个文件,或将这两个文件设置成只有root可以运行。
xwd和xwud包含在X11.apps.clients文件集中。
如果你确实需要xwd和xwud提供的功能可以考虑使用OpenSSH或MIT Magic Cookies这些第三方所提供的工具。
xhost + 命令允许远程系统连接你系统的X server,在运行xhost + 命令时一定要在后面跟你所允许的主机名,也就是只给特定的主机访问权限。
#xhost + hostname
另外不允许除root外的其他的用户运行xhost 命令:
chmod 744 /usr/bin/X11/xhost
3.设置自动退出系统(logoff)
另一个潜在的安全漏洞是当用户在登录的状态下离开终端,在这种情况下,其他人可能控制此用户的终端,对系统的安全造成威胁。
为避免这种情况的出现,系统管理员可以设置自动退出系统。编辑/etc/security/.profile文件如下所示:
TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT
600的单位为秒,相当于10分钟,然而此参数只在shell的状态下有效。
1.设置/etc/security/login.cfg文件。
参数
是否对pty有效(网络登陆)
是否对tty有效
建议值
说明
Sak_enabled
Y
Y
false
SAK很少使用
Logintimes
N
Y
允许登录的时间
Logindisable
N
Y
4
在logininterval规定的时间内(60秒),当出现logindisable所定义的(4次)连续的登录失败后,禁止在此终端登陆
logininterval
N
Y
60
loginreenable
N
Y
30
被禁止登录的终端,在30分钟后从新被激活
Logindelay
Y
Y
5
登录失败后下次提示符出现前所延迟的时间,此值乘以登陆失败的次数,如 5,10,15,20秒
防止在登录屏幕的欢迎信息里出现有用的信息,需要改变/etc/security/login.cfg文件中的herald参数,可以通过chsec命令或直接编辑此文件进行。
如下所示是使用chsec命令改变缺省的herald参数:
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.\n\nlogin: "
或直接编辑/etc/security/login.cfg文件
default:
herald ="Unauthorized use of this system is prohibited\n\nlogin:"
sak_enable = false
logintimes = 0800-2200
logindisable = 5
logininterval = 80
loginreenable = 20
logindelay = 5
2. 改变在CDE环境下的登录屏幕
CDE的登录屏幕缺省会显示主机名和操作系统的版本,系统管理员可以编辑/usr/dt/config/$LANG/Xresources文件,改变系统缺省的欢迎信息,$LANG是指当前系统的语言环境。
假设$LANG为C,则编辑/etc/dt/config/C/Xresources文件,改变包含主机名和操作系统版本的缺省的欢迎信息。
虽然CDE的图形界面对用户十分友好,但它也带来潜在的安全问题。对于安全性要求较高的系统我们建议不要安装CDE的软件包(带有dt的 fileset)。
xwd和xwud命令可以被用来监视X server的活动,它们可以截取用户击键的顺序,从而报漏用户密码或其他有价值的信息。要解决这个问题可以删除这两个文件,或将这两个文件设置成只有root可以运行。
xwd和xwud包含在X11.apps.clients文件集中。
如果你确实需要xwd和xwud提供的功能可以考虑使用OpenSSH或MIT Magic Cookies这些第三方所提供的工具。
xhost + 命令允许远程系统连接你系统的X server,在运行xhost + 命令时一定要在后面跟你所允许的主机名,也就是只给特定的主机访问权限。
#xhost + hostname
另外不允许除root外的其他的用户运行xhost 命令:
chmod 744 /usr/bin/X11/xhost
3.设置自动退出系统(logoff)
另一个潜在的安全漏洞是当用户在登录的状态下离开终端,在这种情况下,其他人可能控制此用户的终端,对系统的安全造成威胁。
为避免这种情况的出现,系统管理员可以设置自动退出系统。编辑/etc/security/.profile文件如下所示:
TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT
600的单位为秒,相当于10分钟,然而此参数只在shell的状态下有效。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
