Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Guida all'amministrazione di sistemi HP-UX: Gestione della sicurezza: HP-UX 11i versione 3 > Capitolo 2 Gestione della protezione di utenti e sistema

Definizione degli attributi di protezione di sistema
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Glossario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

Gli attributi di protezione offrono ulteriori possibilità di controllo delle configurazioni di sistema, accrescendo la protezione delle password, degli accessi e dell'auditing.

Esistono più di 20 attributi. Questi attributi sono descritti in security(4). Le categorie degli attributi sono riassunte di seguito:

Attributi di accesso

Questi attributi controllano le attività di accesso, come l'ora in cui eseguire l'operazione, il numero di accessi consentiti e il numero di accessi non riusciti consentito prima del blocco dell'account.

Attributi delle password

Questi attributi controllano le caratteristiche delle password, come la loro lunghezza, il numero e il tipo di caratteri, la cronologia della password, il numero di giorni dopo i quali è necessario cambiarla e la loro scadenza.

Attributi di avvio

Questi attributi controllano l'autenticazione, definendo gli utenti autorizzati ad avviare il sistema in modalità utente singolo. Consultare le informazioni sull'autenticazione all'avvio nel Capitolo 1.

Attributi per il cambiamento di utente (su)

Questi attributi definiscono la variabile ambientale PATH, il nome del gruppo root per il comando su e se su potrà distribuire determinate variabili ambientali. Per ulteriori informazioni, vedere su(1).

Attributo audit

Questo attributo determina se gli utenti devono essere sottoposti all'auditing. L'attribuito audit è controllato durante la procedura di accesso. Per ulteriori informazioni sulle funzionalità di auditing di HP-UX, vedere audit(5).

Attributo umask

Questo attributo controlla il valore di umask() di tutte le sessioni iniziate da pam_unix o pam_hpsec. Per ulteriori informazioni, vedere pam_unix(5) and pam_hpsec(5). L'attribuito umask è controllato durante la procedura di accesso.

Il sistema usa questi file per elaborare gli attributi:

  • /etc/default/security

  • /var/adm/userdb

  • /etc/security.dsc

  • /etc/passwd

  • /etc/shadow

Ogni attributo ha un valore per singolo utente in una soltanto di queste ubicazioni: /etc/password, /etc/shadow o il database degli utenti in /var/adm/userdb. Ogni attributo e la sua ubicazione per singolo utente sono spiegati nella manpage security(4).

Il sistema controlla quali attributi saranno applicati, nel modo seguente:

  • Il sistema esamina i valori per utente degli attributi nel database degli utenti /var/adm/userdb, nel file /etc/passwd o in quello /etc/shadow.

  • Se non ci sono valori per utente, il sistema esaminerà quindi gli attributi predefiniti configurabili per l'intero sistema in /etc/default/security.

  • Se non ci sono valori configurabili per l'intero sistema, il sistema utilizzerà gli attributi predefiniti in /etc/security.dsc.

Il file che descrive gli attributi di protezione /etc/security.dsc, elenca gli attributi che è possibile definire in /etc/default/security e nel database degli utenti in /var/adm/userdb. Alcuni attributi sono configurabili, altri sono interni. Il contenuto del file /etc/security.dsc non deve essere alterato in nessun modo.

Configurazione degli attributi per l'intero sistema

I punti seguenti spiegano come definire gli attributi di protezione per l'intero sistema.

  1. Consultare la manpage security(4), che descrive i valori configurabili predefiniti degli attributi per l'intero sistema. Questi attributi sono configurati nel file /etc/default/security, descritto anche dalla manpage security(4).

    Se un attributo non è definito nel file /etc/default/security, il sistema utilizzerà il valore predefinito del file /etc/security.dsc. Per una descrizione del file /etc/security.dsc, consultare la manpage userdb(4).

  2. Per modificare un'impostazione predefinita per l'intero sistema, modificare con un editor di testo, come vi, il file delle impostazioni predefinite di protezione, /etc/default/security. Il file è leggibile da qualsiasi utente e modificabile solo da root.

    Ogni riga del file /etc/default/security è un commento o un dato di configurazione di un attributo. Le righe che iniziano con # sono commenti. Le righe non destinate ai commenti sono formate da coppie attributo=valore, ad esempio PASSWORD_MAXDAYS=30.

Configurazione degli attributi per ogni utente

Per configurare gli attributi specifici dei singoli utenti, utilizzare i comandi seguenti. Gli attributi configurati per i singoli utenti hanno la precedenza su quelli configurati per l'intero sistema.

userdbset

Cambia l'attributo dell'utente specificato, in modo che sia ignorato il valore predefinito di sistema del file /etc/default/security. Per un esempio, vedere la Sezione ; per maggiori informazioni, consultare userdbset(1M).

userdbget

Visualizza i valori definiti dall'utente di uno o di tutti gli utenti. Per ulteriori informazioni, consultare userdbget(1M).

userdbck

Controlla o corregge i valori definiti dall'utente. Per ulteriori informazioni, consultare userdbck(1M).

Ad esempio, è possibile cambiare il valore di PASSWORD_MAXDAYS da 60 a 30 giorni soltanto per l'utente luca. La password di luca sarà valida per 30 giorni invece di 60. A tutti gli altri utenti è applicato il valore valido per l'intero sistema, 60 giorni.

Per modificare il valore di un attributo di un utente, utilizzare la procedura seguente:

  1. Consultare la manpage security(4), che spiega i valori e gli attributi validi per l'intero sistema e come configurare un valore per il singolo utente. Non tutti gli attributi hanno un valore per singolo utente.

  2. Consultare le manpage dei comandi userdbset, userdbget e userdbck.

  3. Decidere quali utenti modificare e quali attributi applicare ad essi. Ad esempio, si può far sì che gli utenti di un servizio di contabilità modifichino le loro password ogni 30 giorni e che gli allievi di una classe le modifichino ad ogni trimestre.

  4. Usare il comando userdbset per modificare un attributo di un utente.

    Le informazioni dei singoli utenti sono archiviate nel database degli utenti, nella directory /var/adm/userdb. Il database degli utenti è descritto nella manpage userdb(4).

    Non è possibile utilizzare il comando userdbset per configurare tutti gli attributi. Alcuni valori per utente sono definiti nei file /etc/passwd e /etc/shadow. Per ulteriori informazioni, consultare security(4).

  5. Usare il comando userdbget per ottenere informazioni sugli utenti.

Esempi di definizione di attributi specifici per gli utenti con userdbset

Nell'esempio seguente, il comando userdbset elimina tutti gli attributi individuali dell'utente giovanni. Quando giovanni eseguirà l'accesso, gli saranno applicati i valori predefiniti per l'intero sistema in /etc/default/security.

# /usr/sbin/userdbset -d -u giovanni

Successivamente, userdbset imposterà la lunghezza minima della password a 7 e UMASK a 0022 (ottale 022). Queste modifiche si applicano solo a giovanni.

# /usr/sbin/userdbset -u giovanni MIN_PASSWORD_LENGTH=7 UMASK=0022

Nell'esempio seguente, il comando userdbset visualizza tutti gli attributi dell'utente luca. 

# /usr/sbin/userdbget -u luca
luca AUDIT_FLAG=1
luca DISPLAY_LAST_LOGIN=0

Nella visualizzazione, per l'utente luca il flag dell'auditing è abilitato e la funzionalità per l'ultimo accesso è disabilitata.

INACTIVITY_MAXDAYS e il file delle password shadow

L'attributo INACTIVITY_MAXDAYS definito nel file /etc/default/security consente di stabilire se far scadere gli account inattivi nell'intero sistema. Per ignorare l'impostazione predefinita per l'intero sistema e configurare INACTIVITY_MAXDAYS per ogni singolo utente, usare il comando useradd -f o il comando usermod -f. Per eliminare la configurazione di un singolo utente, usare il comando userdel. Per ulteriori informazioni, vedere le manpage useradd(1M), usermod(1M) e userdel(1M).

Non è possibile utilizzare il comando userdbset per configurare INACTIVITY_MAXDAYS per un singolo utente. L'attributo INACTIVITY_MAXDAYS è correlato al campo di inattività del file delle password shadow. I comandi useradd e usermod modificano nel file delle password shadow il campo di inattività dell'utente specificato. Per maggiori informazioni, vedere la descrizione di INACTIVITY_MAXDAYS nella manpage security(4).

Risoluzione dei problemi del database degli utenti

Per risolvere i problemi del database degli utenti, usare le seguenti procedure.

Problema 1: Gli attributi di protezione di un utente sembrano configurati impropriamente. Quando vi è il sospetto che le informazioni di un utente siano configurate impropriamente nel database degli utenti, eseguire il comando seguente:

# userdbget -u nome_utente

Saranno così visualizzati gli attributi configurati dell'utente nome_utente. Se un attributo è configurato impropriamente, riconfigurarlo.

Problema 2: Il database degli utenti non in funziona in modo appropriato. Se è necessario controllare il database degli utenti, eseguire il comando seguente:

# userdbck

Il comando userdbck identifica e risolve i problemi del database degli utenti.



Gestione delle password
  		 


Gestione dei programmi setuid e setgid  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© 2008 Hewlett-Packard Development Company, L.P.