AIX命令参考大全,卷 4,n - r - pwdck 命令

[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]

AIX命令参考大全,卷 4,n - r

pwdck 命令

用途

验证本地认证信息的正确性。

语法

pwdck { -p | -n | -t | -y } { ALL | User ... }

描述

pwdck 命令通过检查所有用户的定义或 User 参数指定的用户的定义来验证用户数据库文件中密码信息的正确性。如果指定不止一个用户,那么在名称之间必须有一个空格。

注:此命令将其信息写入 stderr

必须选择标志指示系统是否应该尝试修正错误属性。对于 /etc/passwd 文件中定义的本地用户,检查以下属性:

entry 确保每个条目可读并且它至少包含两个 :(冒号)。如果指示系统修正错误,那么将废弃整个条目。
passwd 确保密码字段是一个 !(感叹号)。如果指示系统修正错误,它将密码字段中的信息传输至 /etc/security/passwd 文件,更新 /etc/security/passwd 文件中的 lastupdate 属性,然后用 ! 替换 /etc/passwd 文件中的密码字段。通常,如果 /etc/security/user 文件中的 minalphaminotherminlen 的密码约束被设置为非零值,则密码是必需的。
user 确保用户名是唯一的不多于八个字节的字符串。 它不能以 +(加号)、:(冒号)、-(减号)、或 ~ (代字号) 开始。在字符串中不能包含 :(冒号),并且不能是 ALLdefault* 这些关键字。如果指示系统修正错误,它会从 /etc/passwd 文件中除去用户的条目行。如果用户名以符号 + 或 - 开始,则此用户不是本地定义的,且不对他执行检查。

/etc/security/passwd 文件中检查的属性有:

line 确保每行可读并且是节的一部分。废弃任何无效行。
password 如果系统中必需密码,确保 password 属性存在且不是空白。如果指示系统修正错误,则密码被设置为 *(星号),且废弃 lastupdate 属性。

通常,如果 /etc/security/user 文件中的 minalphaminother 密码约束被设置为非零值,则密码是必需的。 如果用户的 flags 属性指定 NOCHECK 关键字,则对这个用户而言密码不是必需的,且忽略检查。
lastupdate 对于有效的非空白的密码,确保 lastupdate 属性存在,而且它的时间在当前时间之前。如果指示系统修正错误,lastupdate 属性是废弃还是更新,取决于 password 属性。如果 password 属性不存在,或是一个空格,或是一个 *(星号),则废弃 lastupdate 属性。否则,lastupdate 时间被设置为当前时间。
flags 确保 flags 属性仅包含关键字 ADMINADMCHGNOCHECK。如果指示系统修正错误,它删除所有的未定义的标志。

/etc/security/user 文件中检查的属性有:

auth1 确保为本地用户定义的每个 SYSTEM;username 条目在 /etc/security/passwd 文件中都具有一 username 条目。如果指示系统修正错误,那么将采用以下格式对每个缺少的条目在 /etc/security/passwd 文件中添加节: 

username:
          password = *

如果 /etc/security/user 文件中缺少用户条目和缺省条目,系统假定以下值并在 auth1 上执行以下检查:

auth1 = SYSTEM;user
auth2 确保为本地用户定义的每个 authname;username 条目在 /etc/security/passwd 文件中都具有一 username 条目。如果指示系统修正错误,将为每个缺少的条目添加一个条目。

如果 /etc/security/user 文件中缺少用户条目和缺省条目,系统假定以下值并在 auth2 上执行以下检查:

auth2 = NONE

指定 ALL 时,pwdck 命令确保 /etc/security/passwd 文件中的每节相应于 /etc/security/user 文件中 SYSTEM;username 条目形式的本地用户认证名称。如果指示系统修正错误,那么与 /etc/security/user 文件中的用户名条目不相应的节将从 /etc/security/passwd 文件中废弃。

更新 /etc/passwd 文件和 /etc/security/passwd 文件时,pwdck 命令锁定它们。如果这两个文件之一被另一个进程锁定,pwdck 命令将为了这些文件被解锁而等候几分钟,如果这些文件没有被解锁则命令终止。

当前 pwdck 进程运行时,pwdck 命令检查以了解 /etc/passwd 文件和 /etc/security/passwd 文件是否已被另一个进程修改。如果指示系统修正错误,pwdck 命令更新 /etc/passwd 文件和 /etc/security/passwd 文件,并且可能覆盖其它进程造成的任何更改。

pwdck 命令也检查以了解数据库管理安全性文件(/etc/passwd.nm.idx/etc/passwd.id.idx/etc/security/passwd.idx/etc/security/lastlog.idx)相对于系统安全性文件是最新的还是更新。请注意,/etc/security/lastlog.idx 不比 /etc/security/lastlog 更新是好的。如果数据库管理安全性文件已过时,出现警告消息指示 root 用户应运行 mkpasswd 命令。

通常,sysck 命令调用 pwdck 命令作为可信系统安装验证的一部分。另外, root 用户或者安全组成员可输入此命令。

标志

-n 报告错误但不修正。
-p 修正错误但不报告。
-t 报告错误并询问是否修正。
-y 修正错误并报告。

安全性

访问控制:命令应授权执行(x)访问权限给 root 用户和安全组的成员。需要将该命令 setuid 到 root 用户,以读写认证信息,并具有 trusted computing base 属性。

文件访问:

方式 文件
rw /etc/passwd
r /etc/security/user
rw /etc/security/passwd
r /etc/security/login.cfg

审计事件:

事件 信息
PASSWORD_Check 用户、错误/修正、状态
PASSWORD_Ckerr 文件/用户、错误、状态

示例

  1. 要验证全部本地用户具有有效的密码,请输入:
    pwdck  -y ALL
    这将报告错误,并修正它们。
  2. 要确保用户 ariel/etc/security/passwd 文件中具有有效的节,请输入:
    pwdck  -y ariel

文件

/usr/bin/pwdck 包含 pwdck 命令。
/etc/passwd 包含基本用户属性。
/etc/security/passwd 包含现行密码和安全性信息。
/etc/security/user 包含用户的扩展属性。
/etc/security/login.cfg 包含配置信息和密码限制。

相关信息

grpck 命令、mkpasswd 命令、sysck 命令和 usrck 命令。

《AIX 5L V5.2 安全指南》中的 Standalone System Security 描述了用户标识和认证、任意访问控制、可信计算基础和审计。

[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]