Fichier /etc/security/group

Editer en ligne

Objectif

Contient des attributs de groupe étendus.

Descriptif

Le fichier /etc/security/group contient des attributs de groupe étendu. Il s'agit d'un fichier ASCII qui contient une strophe pour chaque groupe de systèmes. Chaque strophe est identifiée par un nom de groupe issu du fichier /etc/group suivi d'un signe deux-points ( : ) et contient des attributs au format Attribut=Valeur. Chaque paire d'attributs se termine par un caractère de nouvelle ligne, comme chaque strophe. Le fichier prend en charge une section par défaut. Si un attribut n'est pas défini pour un groupe, la valeur par défaut de l'attribut est utilisée.

Une strophe peut contenir un ou plusieurs des attributs suivants:

Attribut Descriptif
Adms Définit les administrateurs de groupe. Les administrateurs sont des utilisateurs qui peuvent effectuer des tâches d'administration pour le groupe, telles que la définition des membres et des administrateurs du groupe. Cet attribut est ignoré si Admin = True, car seul l'utilisateur root peut modifier un groupe défini comme étant d'administration. La valeur est une liste de noms de connexion utilisateur séparés par des virgules. La valeur par défaut est une chaîne vide.
Admin Définit le statut administratif du groupe. Les valeurs possibles sont les suivantes :
vrai
Définit le groupe comme étant d'administration. Seul l'utilisateur root peut modifier les attributs des groupes définis comme étant d'administration.
faux
Définit un groupe standard. Les attributs de ces groupes peuvent être modifiés par l'utilisateur root ou un membre du groupe de sécurité. Il s'agit de la valeur par défaut.
dce_export Permet au registre DCE de remplacer les informations de groupe local par les informations de groupe DCE lors d'une opération d'exportation DCE. Les valeurs possibles sont les suivantes :
vrai
Les informations de groupe local seront remplacées.
faux
Les informations de groupe local ne seront pas remplacées.
Modèles_initialeurs_initials_f Définit le mode initial du magasin de clés du groupe. Vous pouvez indiquer les valeurs suivantes :
garde
Lorsqu'un magasin de clés de groupe est en mode de garde racine, les clés contenues dans ce fichier de clés ne peuvent être extraites qu'avec la clé d'accès correcte de ce fichier de clés.
administrateur
Lorsqu'un magasin de clés est en mode d'administration racine, les clés qu'il contient peuvent être extraites à l'aide de la clé d'administration EFS (Encrypted File System).
Remarque :
  • Cet attribut n'est valide que si le système est activé pour EFS.
  • Cet attribut définit le mode initial du fichier de clés. La modification de cette valeur à l'aide de la commande Chuser , de la commande Groupe ou de la commande Chsec , ou de l'édition manuelle, ne modifie pas le mode du fichier de clés. Cet attribut est utilisé uniquement lorsque le fichier de clés est créé et qu'il n'est pas utilisé de nouveau tant que le fichier de clés n'est pas supprimé et qu'un nouveau fichier de clés est créé. Pour modifier le mode de fichier de clés, utilisez la commande Efskeymgr .
Accès_keystore_access Définit l'emplacement du fichier de clés du groupe. Vous pouvez indiquer les valeurs suivantes :
aucun
Il n'y a pas de fichier de clés.
Fichier
Le magasin de clés est stocké dans le répertoire /var/efs/groups/ .
Remarque: Cet attribut est valide uniquement si le système est activé pour EFS.
Efs_keystore_algo Définit l'algorithme utilisé pour générer la clé privée de groupe. Vous pouvez indiquer les valeurs suivantes :
  • RSA_1024
  • RSA_2048
  • RSA_4096
Remarque :
  • Cet attribut n'est valide que si le système est activé pour EFS.
  • La modification de la valeur de cet attribut à l'aide de la commande Chuser , de la commande Groupe ou de la commande Chsec , ou de l'édition manuelle, ne régénère pas la clé privée. Cet attribut est utilisé uniquement lorsque le fichier de clés est créé et qu'il n'est pas utilisé de nouveau tant que le fichier de clés n'est pas supprimé et qu'un nouveau fichier de clés est créé. Pour modifier l'algorithme des clés, utilisez la commande Efskeymgr .
projects Définit la liste des projets auxquels les processus de l'utilisateur peuvent être affectés. La valeur est une liste de noms de projet séparés par des virgules et est évaluée de gauche à droite. Le nom du projet doit être un nom de projet valide tel que défini dans le système. Si un nom de projet non valide est trouvé dans la liste, il est signalé comme une erreur par les commandes de groupe.

Pour une strophe standard, voir la section "Exemples":

Vous devez accéder au fichier /etc/security/group via les commandes système et les sous-routines définies à cet effet. Vous pouvez utiliser les commandes suivantes pour gérer des groupes:

  • mkgroup
  • chgroup
  • Chgrpmem
  • lsgroup
  • rmgroup

La commande mkgroup ajoute de nouveaux groupes au fichier /etc/group et au fichier /etc/security/group . Utilisez cette commande pour créer un groupe d'administration. Vous pouvez également utiliser Mkgroup pour définir l'administrateur de groupe.

Utilisez la commande Groupe pour modifier tous les attributs. Si vous êtes un administrateur d'un groupe standard, vous pouvez modifier l'attribut Adms de ce groupe à l'aide de la commande Chgrpmem .

La commande Lsgroup affiche les attributs Adms et Admin . La commande rmgroup supprime l'entrée du fichier /etc/group et du fichier /etc/security/group .

Pour écrire des programmes qui affectent les attributs dans le fichier /etc/security/group , utilisez les sous-programmes répertoriés dans la section Informations connexes.

Security

Contrôle d'accès: Ce fichier doit accorder un accès en lecture (r) à l'utilisateur root et aux membres du groupe de sécurité, ainsi qu'aux autres utilisateurs autorisés par la stratégie de sécurité pour le système. Seul l'utilisateur root doit avoir accès en écriture (w).

Evénements d'audit :

Evénement Informations
ECRIT_GROUPE_S nom de fichier

Exemples

Une strophe standard ressemble à l'exemple suivant pour lefinanceGroupe:

finance:
          admin = false
          adms = cjf, scott, sah

Fichiers

Article Descriptif
/etc/security/group Indique le chemin d'accès au fichier.
/etc/group Contient les attributs de base des groupes.
/etc/passwd Contient les attributs de base des utilisateurs.
/etc/security/passwd Contient des informations de mot de passe.
/etc/security/user Contient les attributs étendus des utilisateurs.
/etc/security/environ Contient les attributs d'environnement des utilisateurs.
/etc/security/limits Contient les limites de ressources de processus des utilisateurs.
/etc/security/audit/config Contient des informations de configuration du système d'audit.
/etc/security/lastlog Contient les informations de dernière connexion.