Trusted & !trusted system

jessiezhouj

設(shè)置trusted system是HP UNIX安全機(jī)制的一部分，首先看下trusted system增加了哪些安全特性：
口令放置在單獨(dú)的且只有root用戶可讀的文件中
可以設(shè)置更多的口令與登錄屬性
可以進(jìn)行審計(jì)

怎樣由!trusted system轉(zhuǎn)換為trusted system
對(duì)于一個(gè)在用的并且有運(yùn)行應(yīng)用的系統(tǒng)上，一定要對(duì)在用的應(yīng)用進(jìn)行分析，對(duì)更改后的限制是否會(huì)影響應(yīng)用（尤其注意用戶umask值更改帶來的隱患）
由以上的分析規(guī)劃適合的安全方案（比如在更改后是否要對(duì)特定用戶設(shè)置環(huán)境變量等）
備份文件系統(tǒng)，以便以后可以恢復(fù)用戶文件，還應(yīng)將/etc/passwd備份到磁帶或其他地方（這是一個(gè)建議做法）
轉(zhuǎn)換到trusted system（這是一個(gè)可逆操作）
方法一：通過SAM操作
運(yùn)行SAM-->Auditing and Security,激活任何審核屏幕，直到出現(xiàn)convert to trusted system的提示框，點(diǎn)擊Y開始轉(zhuǎn)換
方法二：command
#/usr/lbin/tsconvert

轉(zhuǎn)換過程做了哪些更改：
在/tcb/files/auth中新建口令數(shù)據(jù)庫(kù)
將加密口令從/etc/passwd文件移動(dòng)到受保護(hù)的口令數(shù)據(jù)庫(kù)中，并用*替代/etc/passwd文件中的password字段
強(qiáng)制所有用戶使用口令
為每個(gè)用戶建立一個(gè)審核ID
對(duì)現(xiàn)有的用戶打開審核標(biāo)志
從HP UNIX 11.0開始，umask的缺省值為077（這一點(diǎn)至關(guān)重要，在轉(zhuǎn)換前一定要分析現(xiàn)有用戶的文件創(chuàng)建權(quán)限需求，否則可能帶來意想不到的錯(cuò)誤）

確認(rèn)已轉(zhuǎn)換為trusted system

對(duì)于用戶而言，確認(rèn)最直接的方法是在用戶登錄時(shí)顯示"last successful /unsuccessful login"的消息

回退操作即從trusted system轉(zhuǎn)換為!trusted system
方法一：通過SAM 操作
啟動(dòng)sam：
"Auditing and Security" ->
"Audited Events" -> "Actions" -> "Unconvert the System"

方法二：command
#/usr/lbin/tsconvert -r

確認(rèn)：
可通過一個(gè)簡(jiǎn)單命令檢查：
#/usr/lbin/getprpw root
如果已經(jīng)轉(zhuǎn)換成!trusted system,會(huì)顯示"system is not trusted"









本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u3/94611/showart_1905138.html