Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Guida all'amministrazione di sistemi HP-UX: Gestione della sicurezza: HP-UX 11i versione 3 > Capitolo 2 Gestione della protezione di utenti e sistema

Amministrazione dell'accesso degli utenti
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Glossario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

Gli utenti autorizzati accedono al sistema fornendo un nome utente – nome di accesso – ed una password validi. Ogni utente è definito da una voce nel file /etc/passwd. Utilizzare HP System Management Homepage – HP SMH – per aggiungere, rimuovere, disattivare, riattivare o modificare un account utente.

Per informazioni aggiuntive sulle password, consultare passwd(4), passwd(1) e la sezione Sezione  di questo documento.

Monitoraggio degli account utente

Di seguito sono presentate le linee guida per il monitoraggio degli account utente:

  • Controllare regolarmente l'output dei comandi last, lastb e who per individuare eventuali accessi inconsueti.

  • Controllare che tutti gli utenti con un account abbiano una legittima necessità di accesso al sistema.

  • Fare attenzione alla presenza di più utenti che condividono lo stesso account. Non consentire che due utenti condividano il medesimo account.

  • Controllare che nessun account condivida l'ID utente (UID).

  • Assicurarsi che tutti gli account abbiano password protette, modificate periodicamente.

  • Controllare che tutte le directory home degli utenti abbiano le autorizzazioni appropriate. La maggior parte delle directory home consentono agli altri utenti l'accesso in lettura, ma non quello in scrittura. Per una maggior protezione, impostare le autorizzazioni di scrittura, lettura ed esecuzione al solo proprietario della directory.

  • Assicurarsi che tutti gli utenti conoscano i criteri di protezione. Collocare in ogni directory home un file che descrive i criteri di protezione dell'azienda.

  • Cercare gli account inutilizzati nel file /etc/passwd o in altri database degli utenti, in particolare quelli di chi ha lasciato l'azienda.

  • Esaminare gli account root per controllare chi ha accesso di root.

  • Considerare l'installazione di HP-UX Role-based Access Control, per minimizzare i rischi associati all'accesso di più utenti con l'account root. Per ulteriori informazioni, vedere il Capitolo 9.

  • Esaminare gli account guest per controllare la frequenza del loro utilizzo.

Monitoraggio degli account guest

Per ottenere il livello più elevato di protezione, non consentire l'uso di account guest o aperti. Se sono presenti account guest, eseguire le operazione seguenti:

  • Modificare di frequente le password dei guest. È possibile specificare la password.

  • Usare una shell con restrizioni (rsh) per limitare gli accessi al sistema. Per informazioni sul comando rsh, consultare sh(1) e sh-posix(1).

  • Spesso la presenza di account guest è trascurata. Per disabilitare gli account guest inutilizzati, utilizzare uno dei metodi seguenti:

    • Usare attributi di protezione specifici per il singolo utente per disabilitare automaticamente l'account dopo un certo numero di giorni di inattività. Per ulteriori informazioni, consultare security(4) e vedere la Sezione .

    • Usare il comando seguente per bloccare l'account guest:

      # passwd -l guest

    • Usare il comando seguente per eliminare l'account guest:

      # userdel guest

  • Pianificare un'operazione con at che blocchi automaticamente gli account temporanei: 

    # at now +14 days passwd -l account_temporaneo

  • Esaminare con regolarità i file /var/adm/wtmp e /var/adm/sulog per individuare gli account inutilizzati.

Per ulteriori informazioni, consultare sh(1) e su(1).

Creazione di account utente per le applicazioni

Se gli utenti utilizzano soltanto HP-UX per lanciare un'applicazione, non è necessario fornire loro l'accesso a una shell. Questi utenti devono usare soltanto l'applicazione, ad esempio un sistema per la gestione di database, e non necessitano dell'accesso ad una funzionalità di HP-UX.

Per limitare l'accesso ad HP-UX, modificare il file /etc/passwd in modo che sia possibile eseguire, dopo l'accesso, soltanto un comando specifico. Il file /etc/passwd contiene le informazioni essenziali richieste al momento dell'accesso:

  • Nome utente

  • Password crittografata

  • ID utente

  • ID gruppo

  • Campo per il commento

  • Directory home

  • Programma di accesso

Di solito, il programma di accesso è una shell, ad esempio /bin/sh, ma non necessariamente deve esserlo. È possibile creare un account passivo, che cioè accede direttamente ad un'applicazione, identificandola come shell di accesso.

Quello seguente è un esempio di limitazione, che consente ad un utente di utilizzare soltanto il comando date. La voce nel file /etc/passwd è:

nome_utente:rc70x.4,sx2:20:1:run only date command:/home/date:/usr/bin/date

Al prompt d'accesso, l'utente immette il nome_utente e la password corrispondente. È eseguito il comando date, la sessione utente sarà quindi chiusa immediatamente.

login:nome_utente

Password:xxxxxx

Tue Nov 14 18:38:38 PDT 2006

Amministrazione degli account di gruppo

Quando un gruppo deve condividere o avere accesso a file relativi a un progetto, per assicurare la protezione eseguire queste operazioni:

  1. Controllare che ogni membro abbia una voce nel file /etc/passwd.

  2. Creare una voce per il gruppo nel file /etc/group.

  3. Creare una directory condivisa per il gruppo.

    drwxrwx-- root project /home/projects

  4. Impostare il valore di umask in ogni ~/.profile dei membri del gruppo. Nell'esempio successivo, gli utenti del gruppo (e solo questi utenti) potranno leggere, scrivere ed eseguire un file:

    umask u=rwx,g=rwx, o=



Capitolo 2 Gestione della protezione di utenti e sistema
  		 


Autenticazione degli utenti durante l'accesso  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© 2008 Hewlett-Packard Development Company, L.P.