Datei /etc/security/group

Online bearbeiten

Zweck

Enthält erweiterte Gruppenattribute.

Beschreibung

Die Datei /etc/security/group enthält erweiterte Gruppenattribute. Dies ist eine ASCII-Datei, die eine Zeilengruppe für jede Systemgruppe enthält. Jede Zeilengruppe wird durch einen Gruppennamen aus der Datei /etc/group gefolgt von einem Doppelpunkt ( : ) identifiziert und enthält Attribute im Format Attribut=Wert. Jedes Attributpaar endet wie jede Zeilengruppe mit einem Zeilenvorschubzeichen. Die Datei unterstützt eine Standardzeilengruppe. Wenn ein Attribut nicht für eine Gruppe definiert ist, wird der Standardwert für das Attribut verwendet.

Eine Zeilengruppe kann eines oder mehrere der folgenden Attribute enthalten:

Attribut Beschreibung
Adms Definiert die Gruppenadministratoren. Administratoren sind Benutzer, die Verwaltungsaufgaben für die Gruppe ausführen können, z. B. die Mitglieder und Administratoren der Gruppe festlegen. Dieses Attribut wird ignoriert, wenn admin auf true gesetzt ist, da nur der Rootbenutzer eine als Verwaltungsgruppe definierte Gruppe ändern kann. Der Wert ist eine Liste mit durch Kommas getrennten Benutzeranmeldenamen. Der Standardwert ist eine leere Zeichenfolge.
Administrator Definiert den Verwaltungsstatus der Gruppe. Mögliche Werte sind:
wahr
Definiert die Gruppe als Verwaltungsgruppe. Nur der Rootbenutzer kann die Attribute von Gruppen ändern, die als Verwaltungsgruppe definiert sind.
falsch
Definiert eine Standardgruppe. Die Attribute dieser Gruppen können vom Rootbenutzer und von Mitgliedern der Gruppe "security" geändert werden. Dies ist der Standardwert.
dce_export Ermöglicht dem DCE-Register das Überschreiben der lokalen Gruppeninformationen mit den DCE-Gruppeninformationen während einer DCE-Exportoperation. Mögliche Werte sind:
true
Lokale Gruppeninformationen werden überschrieben.
falsch
Lokale Gruppeninformationen werden nicht überschrieben.
efs_initialks_modus Definiert den Anfangsmodus des Gruppen-Keystores Sie können die folgenden Werte angeben:
guard
Wenn sich ein Gruppenschlüsselspeicher im Rootschutzmodus befindet, können die in diesem Schlüsselspeicher enthaltenen Schlüssel nur mit dem richtigen Zugriffsschlüssel dieses Schlüsselspeichers abgerufen werden.
admin
Wenn sich ein Keystore im Rootverwaltungsmodus befindet, können die in diesem Keystore enthaltenen Schlüssel mit dem Administratorschlüssel EFS (Encrypted File System) abgerufen werden.
Hinweise:
  • Dieses Attribut ist nur gültig, wenn das System für EFSaktiviert ist.
  • Dieses Attribut definiert den Anfangsmodus für den Keystore. Wenn Sie diesen Wert mit dem Befehl Benutzer chuser , dem Befehl ChGroup oder dem Befehl Chsec oder mit manueller Bearbeitung ändern, ändert sich der Modus des Keystores nicht. Dieses Attribut wird nur verwendet, wenn der Keystore erstellt wird, und erst wieder verwendet, wenn der Keystore gelöscht und ein neuer Keystore erstellt wird. Verwenden Sie den Befehl efskeymgr , um den Keystore-Modus zu ändern.
efs_Keystore-Zugriff Definiert die Position des Gruppenschlüsselspeichers. Sie können die folgenden Werte angeben:
keine
Es ist kein Keystore vorhanden.
Datei
Der Keystore ist im Verzeichnis /var/efs/groups/ gespeichert.
Anmerkung: Dieses Attribut ist nur gültig, wenn das System für EFSaktiviert ist.
efs_Keystore-Algorithmus Definiert den Algorithmus, der zum Generieren des privaten Gruppenschlüssels verwendet wird. Sie können die folgenden Werte angeben:
  • RSA_1024
  • RSA_2048
  • RSA_4096
Hinweise:
  • Dieses Attribut ist nur gültig, wenn das System für EFSaktiviert ist.
  • Wenn Sie den Wert dieses Attributs mit dem Befehl Benutzer chuser , dem Befehl ChGroup oder dem Befehl Chsec oder mit manueller Bearbeitung ändern, wird der private Schlüssel nicht neu generiert. Dieses Attribut wird nur verwendet, wenn der Keystore erstellt wird, und erst wieder verwendet, wenn der Keystore gelöscht und ein neuer Keystore erstellt wird. Verwenden Sie zum Ändern des Algorithmus für die Schlüssel den Befehl efskeymgr .
projects Definiert die Liste der Projekte, denen die Prozesse des Benutzers zugewiesen werden können Der Wert ist eine durch Kommas getrennte Liste von Projektnamen und wird von links nach rechts ausgewertet. Der Projektname muss ein gültiger Projektname sein, der im System definiert ist. Wird ein ungültiger Projektname in der Liste gefunden, wird er von den Gruppenbefehlen als Fehler gemeldet.

Eine typische Zeilengruppe finden Sie im Abschnitt "Beispiele":

Sie sollten auf die Datei /etc/security/group über die Systembefehle und Subroutinen zugreifen, die für diesen Zweck definiert sind. Sie können die folgenden Befehle verwenden, um Gruppen zu verwalten:

  • mkgroup
  • chgroup
  • Chgrpmem
  • lsgroup
  • rmgroup

Der Befehl mkgroup fügt neue Gruppen zur Datei /etc/group und zur Datei /etc/security/group hinzu. Mit diesem Befehl können Sie eine Verwaltungsgruppe erstellen. Sie können auch Mkgroup verwenden, um den Gruppenadministrator festzulegen.

Verwenden Sie den Befehl ChGroup , um alle Attribute zu ändern. Als Administrator einer Standardgruppe können Sie das Adms -Attribut für diese Gruppe mit dem Befehl Chgrpmem ändern.

Der Befehl Protokollgruppe zeigt die Attribute Adms und Administrator an. Der Befehl rmgroup entfernt den Eintrag aus der Datei /etc/group und aus der Datei /etc/security/group .

Um Programme zu schreiben, die sich auf Attribute in der Datei /etc/security/group auswirken, verwenden Sie die unter "Zugehörige Informationen" aufgelisteten Subroutinen.

Sicherheit

Zugriffssteuerung: Diese Datei sollte dem Rootbenutzer und den Mitgliedern der Sicherheitsgruppe sowie anderen Benutzern gemäß der Sicherheitsrichtlinie für das System Lesezugriff (r) erteilen. Nur der Rootbenutzer sollte Schreibzugriff (w) haben.

Prüfereignisse:

Ereignis Informationen
S_GROUP_WRITE (Schreibzugriff) Dateiname

Beispiele

Eine typische Zeilengruppe ähnelt dem folgenden Beispiel für diefinanceGruppe:

finance:
          admin = false
          adms = cjf, scott, sah

Dateien

Element Beschreibung
/etc/security/group Gibt den Pfad zu der Datei an.
/etc/group Enthält die Basisattribute von Gruppen.
/etc/passwd Enthält die Basisattribute von Benutzern.
/etc/security/passwd Enthält Kennwortinformationen.
/etc/security/user Enthält die erweiterten Attribute von Benutzern.
/etc/security/environ Enthält die Umgebungsattribute von Benutzern.
/etc/security/limits Enthält die Prozessressourcengrenzwerte von Benutzern.
/etc/security/audit/config Enthält Konfigurationsinformationen für das Prüfsystem.
/etc/security/lastlog Enthält Informationen zur letzten Anmeldung.