Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Guida all'amministrazione di sistemi HP-UX: Gestione della sicurezza: HP-UX 11i versione 3 > Capitolo 2 Gestione della protezione di utenti e sistema

Protezione dell'account root
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Glossario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

Seguono alcuni suggerimenti per la protezione dell'account root:

  • Non condividere la password di root.

  • Non utilizzare / come directory home di root.

  • Controllare l'output restituito da last -R e lastb -R, per individuare accessi di root inusuali o non riusciti e per controllare chi ha eseguito l'accesso come utente root.

  • Controllare /var/adm/sulog, per individuare i tentativi di usare il comando su root.

  • Individuare gli account non autorizzati con ID utente zero (0), usando il comando logins -d.

Le sezioni seguenti descrivono con maggior dettaglio come proteggere l'account root.

Monitoraggio dell'accesso dell'account root

Se ci sono due o più amministratori di sistema che necessitano dell'accesso come root, i suggerimenti seguenti saranno utili a tenere sotto controllo la loro attività:

  • Consentire soltanto gli accessi di root diretti nella console del sistema. Creare il file /etc/securetty con una singola voce console, nel modo seguente:

    #echo console > /etc/securetty

    Questa limitazione vale per tutti i nomi di accesso con ID utente zero (0). Per ulteriori dettagli, consultare login(1).

  • Richiedere che gli amministratori utilizzino per accedere come root il comando su root dal loro account personale. Ad esempio:

    login:me
$ su root
password:xxxx

  • Monitorare /var/adm/sulog, per individuare chi ha fatto accesso come root con il comando su.

  • Configurare un account root diverso per ogni amministratore di sistema. 

    # vipw
root:xxx:0:3::/home/root:/sbin/sh
root1:xxx:0:3::/home/root1:/sbin/sh
root2:xxx:0:3::/home/root2:/sbin/sh

  • Monitorare il file cronologico di ogni amministratore di sistema nel modo seguente: 

    #more ~root1/.sh_history
#more ~root2/.sh_history

  • Monitorare in /var/adm/syslog i tentativi su riusciti e non riusciti.

Utilizzo di SMH Builder limitato per limitare gli accessi dei superutenti

Nel caso sia necessario fornire accesso limitato come superutente ad un non superutente, è possibile attivare SMH Builder limitato. Usando SMH Builder limitato, sarà possibile abilitare o disabilitare aree scelte di SMH per gli utenti. Per attivare SMH Builder limitato, digitare:

# smh -r

Quando gli utenti con accesso limitato eseguiranno SMH, avranno stato di superutente nelle aree definite e nel menu vedranno soltanto quelle aree di SMH. Tutte le altre aree di SMH saranno nascoste. Quando gli utenti non autorizzati eseguiranno SMH, riceveranno un messaggio di errore che li informerà della necessità di avere stato di superutenti.

È anche possibile aggiungere a SMH altre applicazioni e configurarle per l'accesso limitato.

Esame degli accessi dei superutenti

Il file /var/adm/sulog registra tutti i tentativi di utilizzo del comando su root, compresi quelli non riusciti. I tentativi riusciti sono contrassegnati con il carattere "più" (+) e quelli non riusciti con il carattere "meno" (-). Solo gli utenti root possono visualizzare il file /var/adm/sulog. Ad esempio:

# su root

Password:

# ll /var/adm/sulog

-rw------- 1 root root 690 Aug 17 19:37 /var/adm/sulog

Nell'esempio successivo, utente_1 ha utilizzato il comando su per accedere come root. Un altro utente, utente_2, non è riuscito. Inoltre, utente_2 non è riuscito ad utilizzare su per accedere anche a utente_autorizzato_1.

# more /var/adm/sulog

SU 08/17 19:10:00 + 0 utente_1-root

SU 08/17 19:36 - 0 utente_2-root

SU 08/17 19:36 - 0 utente_2-root

SU 08/17 19:36 + 0 utente_1-root

SU 08/17 19:37 - 0 utente_2-utente_autorizzato_1



Protezione delle intestazioni di accesso
  		 


Capitolo 3 HP-UX Bastille  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© 2008 Hewlett-Packard Development Company, L.P.