fichier utilisateur

Editer en ligne

Objectif

Contient des attributs utilisateur étendus.

Descriptif

Le fichier " user contient des attributs d'utilisateur étendus. Le fichier " user est un fichier ASCII qui contient des strophes d'attributs pour les utilisateurs. La commande " mkuser crée une strophe dans ce fichier pour chaque nouvel utilisateur et initialise ses attributs avec les attributs par défaut définis dans le fichier " /usr/lib/security/mkuser.default.

Chaque strophe du fichier " /etc/security/user est identifiée par un nom d'utilisateur, suivi de deux points (:), et contient des attributs de la forme " Attribute=Value. Chaque paire de valeurs d'attribut se termine par un caractère de nouvelle ligne et chaque section se termine par un caractère de nouvelle ligne supplémentaire. Pour un exemple de strophe, voir la section Exemples.

Le fichier prend en charge une section par défaut. Si un attribut n'est pas défini pour un utilisateur, la valeur par défaut de l'attribut est utilisée.

Attributs

Si vous disposez des droits d'accès corrects, vous pouvez définir les attributs utilisateur suivants :

Tableau 1. attributs
Article Descriptif
account_locked Indique si le compte utilisateur est verrouillé. Les valeurs suivantes sont les valeurs possibles pour le champ " account_locked:
true
Le compte de l'utilisateur est verrouillé. Les valeurs yes, trueet always sont équivalentes. L'accès au système est refusé à l'utilisateur.
false
Le compte utilisateur n'est pas verrouillé. Les valeurs no, falseet never sont équivalentes. L'utilisateur est autorisé à accéder au système. La valeur par défaut est false.
admin Définit le statut administratif de l'utilisateur. Les valeurs suivantes sont les valeurs possibles pour le champ " admin:
true
L'utilisateur est un administrateur. Seul l'utilisateur root peut modifier les attributs des utilisateurs définis comme administrateurs.
false
L'utilisateur n'est pas un administrateur. La valeur par défaut est false.
admgroups Liste les groupes que l'utilisateur administre. Le paramètre Valeur est une liste de noms de groupe séparés par des virgules. Pour plus d'informations sur les noms de groupes, voir l'attribut " adms du fichier " /etc/security/group ".
auditclasses Répertorie les classes d'audit de l'utilisateur. Le paramètre Valeur est une liste de classes séparées par des virgules, ou la valeur ALL pour indiquer toutes les classes d'audit.
auth1 Répertorie les méthodes obligatoires supplémentaires pour l'authentification de l'utilisateur. L'attribut " auth1 est obsolète et pourrait ne plus être pris en charge dans une version ultérieure. L'attribut " SYSTEM doit être utilisé à la place. La procédure d'authentification échoue si l'une des méthodes spécifiées par l'attribut " auth1 échoue.

Le paramètre " Valeur est une liste de paires " Méthode et " Nom séparées par des virgules, au format " Method;Name. Le paramètre Méthode est le nom de la méthode d'authentification. Le paramètre Nom est le nom de l'utilisateur à authentifier. Si vous ne spécifiez pas de paramètre Nom, c'est le nom de l'utilisateur authentifié qui est utilisé.

Les méthodes d'authentification valables pour les attributs " auth1 et " auth2 sont définies dans le fichier " /etc/security/login.cfg.
auth2 Répertorie des méthodes facultatives supplémentaires pour l'authentification de l'utilisateur. L'attribut " auth2 est obsolète et pourrait ne plus être pris en charge dans une version ultérieure. L'attribut " SYSTEM doit être utilisé à la place. La procédure d'authentification n'échoue pas si l'une des méthodes spécifiées par l'attribut " auth2 échoue.

Le paramètre " Valeur est une liste de paires " Méthode et " Nom séparées par des virgules, au format " Method;Name. Le paramètre Méthode est le nom de la méthode d'authentification. Le paramètre Nom est le nom de l'utilisateur à authentifier. Si vous ne spécifiez pas de paramètre Nom, c'est le nom de l'utilisateur authentifié qui est utilisé.
core_compress Active ou désactive la compression des fichiers core. Les valeurs valables pour cet attribut sont On et Off. Lorsque la valeur de l'attribut 'core_compress est On, la compression du fichier core est activée ; dans le cas contraire, la compression est désactivée. La valeur par défaut est Off.
core_path Active ou désactive la spécification du chemin d'accès au fichier principal. Les valeurs valables pour cet attribut sont On et Off. Si la valeur du champ 'core_path est On, les fichiers core sont placés dans le répertoire spécifié par le champ 'core_pathname Dans le cas contraire, les fichiers de base sont placés dans le répertoire de travail actuel de l'utilisateur. La valeur par défaut est Désactivé.
core_pathname Spécifie un emplacement à utiliser pour placer les fichiers de base, si l'attribut " core_path est activé. Si le fichier 'core_pathname n'est pas défini et que le fichier 'core_path est défini sur On, les fichiers core sont placés dans le répertoire de travail actuel de l'utilisateur. Cet attribut est limité à 256 caractères.
core_naming Sélectionne un choix de stratégies de nommage de fichier core. Les valeurs admises pour cet attribut sont On et Off. La valeur "On" permet de nommer les fichiers de base sous la forme " core.pid.time, ce qui est identique à ce que fait la variable d'environnement " CORE_NAMING La valeur "Off" utilise le nom par défaut " core".
daemon Indique si l'utilisateur spécifié par le paramètre Name peut exécuter des programmes en utilisant le démon 'cron ou le démon 'src (contrôleur de ressources système). Les valeurs suivantes sont les valeurs possibles du champ " daemon:
true
L'utilisateur peut lancer des sessions " cron et " src La valeur par défaut est true.
false
L'utilisateur ne peut pas lancer des sessions " cron et " src
dce_export Permet au registre DCE de remplacer les informations utilisateur locales par les informations utilisateur DCE lors d'une opération d'exportation DCE. Les valeurs suivantes sont les valeurs possibles du champ " dce_export:
true
Les informations relatives à l'utilisateur local sont écrasées.
false
Les informations relatives à l'utilisateur local ne sont pas écrasées.
dictionlist Définit les dictionnaires de mots de passe utilisés par les restrictions de composition lors de la vérification des nouveaux mots de passe.
Les dictionnaires de mots de passe sont une liste de noms de chemin absolus séparés par des virgules qui sont évalués de la gauche vers la droite. Tous les fichiers et répertoires de dictionnaire doivent être protégés en écriture de tous les utilisateurs, à l'exception de root. Les fichiers de dictionnaire sont formatés d'un mot par ligne. Le mot commence dans la première colonne et se termine par un caractère de nouvelle ligne. Seuls les mots ASCII 7 bits sont pris en charge pour les mots de passe. Si le traitement de texte est installé sur votre système, le fichier dictionnaire recommandé est le fichier '/usr/share/dict/words. Un nom d'utilisateur peut être interdit dans le mot de passe en ajoutant une entrée avec le mot-clé $USER dans les fichiers du dictionnaire. Le mot-clé " USER ne peut faire partie d'aucun mot ou modèle des entrées des fichiers du dictionnaire. Une expression régulière peut également être interdite dans le mot de passe, si elle est mentionnée dans le fichier dictionnaire. Différencier un mot d'un modèle dans le fichier du dictionnaire. Un motif est indiqué par le premier caractère " * Par exemple, si l'administrateur souhaite interdire tout mot de passe se terminant par " 123, il peut mentionner l'entrée suivante dans le fichier du dictionnaire :
*.*123

Le premier " * est utilisé pour indiquer l'entrée d'un modèle et la partie restante est le modèle, c'est-à-dire le " .*123. Si le traitement de texte est installé sur votre système, le fichier dictionnaire recommandé est le fichier '/usr/share/dict/words.
minloweralpha Définit le nombre minimum de caractères alphabétiques minuscules que doit contenir un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 1. La plage est comprise entre 0 et PW_PASSLEN.
minupperalpha Définit le nombre minimum de caractères alphabétiques majuscules que doit contenir un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 1. La plage est comprise entre 0 et PW_PASSLEN.
mindigit Définit le nombre minimal de chiffres devant figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 1. La plage est comprise entre 0 et PW_PASSLEN.
minspecialchar Définit le nombre minimum de caractères spéciaux autorisés dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 1. La plage est comprise entre 0 et PW_PASSLEN.
Remarque :
  • Si la valeur de l'attribut " mindigit ou " minspecialchar est supérieure à celle de l'attribut " minother, l'attribut le plus élevé est ramené à une valeur égale à celle de l'attribut " minother.
  • Si la somme des attributs " mindigit et " minspecialchar est supérieure à la valeur de l'attribut " minother, la valeur de l'attribut " minspecialchar est réduite à la différence entre les attributs " minother et " mindigit
efs_adminks_access Définit l'emplacement du magasin de clés " efs_admin La valeur possible est " file.
file
Le trousseau de clés est stocké dans le fichier " /var/efs/efs_admin/.
Remarque : cet attribut n'est valable que si le système est compatible avec le système de fichiers cryptésEFS).
efs_allowksmodechangebyuser Définit si l'utilisateur peut modifier le mode ou non. Les valeurs suivantes sont possibles:
yes
L'utilisateur peut modifier le mode de stockage des clés (en utilisant la commande 'efskeymgr ).
no
L'utilisateur ne peut pas modifier le mode de stockage des clés (en utilisant la commande 'efskeymgr ).
Remarque: Cet attribut est valide uniquement si le système est activé pour EFS.
efs_file_algo Définit l'algorithme utilisé pour générer la clé de protection de fichier. Les valeurs suivantes sont possibles:
  • AES_128_CBC
  • AES_192_CBC
  • AES_256_CBC
Remarque: Cet attribut est valide uniquement si le système est activé pour EFS.
efs_initialks_mode Définit le mode initial du magasin de clés de l'utilisateur. Les valeurs suivantes sont possibles :
guard
Lorsqu'un magasin de clés est en mode root guard, les clés qu'il contient ne peuvent pas être extraites sans le mot de passe correct de ce magasin de clés.
admin
Lorsqu'un dépôt de clés est en mode administrateur racine, les clés contenues dans ce dépôt peuvent être récupérées à l'aide de la clé d'administration EFS.
Remarque :
  • Cet attribut n'est valide que si le système est activé pour EFS.
  • L'attribut " efs_initialks_mode définit le mode initial de la base de stockage de clés. La modification de cette valeur à l'aide de la commande " chuser, de la commande " chgroup ou de la commande " chsec, ou par édition manuelle, ne change pas le mode de la base de stockage de clés. Cet attribut n'est utilisé que lors de la création de la base de stockage de clés. Cet attribut ne doit pas être réutilisé tant que le keystore n'a pas été supprimé et qu'un nouveau keystore n'a pas été créé. Pour modifier le mode de stockage des clés, utilisez la commande 'efskeymgr.
efs_keystore_access Définit l'emplacement du magasin de clés de l'utilisateur. Les valeurs suivantes sont possibles :
none
Il n'y a pas de magasin de clés.
file
La base de données des clés est stockée dans le répertoire " /var/efs/users/
Remarque: Cet attribut est valide uniquement si le système est activé pour EFS.
efs_keystore_algo Définit l'algorithme utilisé pour générer la clé privée de l'utilisateur lors de la création du magasin de clés. Les valeurs suivantes sont possibles:
  • RSA_1024
  • RSA_2048
  • RSA_4096
Remarque :
  • Cet attribut n'est valide que si le système est activé pour EFS.
  • La modification de la valeur de cet attribut à l'aide de la commande " chuser, de la commande " chgroup ou de la commande " chsec, ou par édition manuelle, ne régénère pas la clé privée. Cet attribut n'est utilisé que lors de la création de la base de stockage de clés. Cet attribut ne doit pas être réutilisé tant que le keystore n'a pas été supprimé et qu'un nouveau keystore n'a pas été créé. Pour modifier l'algorithme des clés, utilisez la commande 'efskeymgr.
expires Identifie la date d'expiration du compte. Le paramètre Valeur est une chaîne de 10 caractères sous la forme MMDDhhmmyy, où MM indique le mois, DD indique le jour, hh indique l'heure, mm indique les minutes et yy indique les deux derniers chiffres des années 1939 à 2038. Tous les caractères sont numériques. Si le paramètre Valeur a pour valeur 0, le compte n'expire pas. La valeur par défaut est 0. Voir la commande 'date pour plus d'informations.
histexpire Désigne la période (en semaines) pendant laquelle un utilisateur ne peut pas réutiliser un mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 52.
histsize Indique le nombre de mots de passe précédents qu'un utilisateur ne peut pas réutiliser. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 4.
login Indique si l'utilisateur peut se connecter au système avec la commande " login. Les valeurs suivantes sont possibles :
true
L'utilisateur peut se connecter au système. La valeur par défaut est true.
false
L'utilisateur ne peut pas se connecter au système.
logintimes Spécifie l'heure, le jour ou les deux heures auxquels l'utilisateur est autorisé à accéder au système. La valeur est une liste d'entrées séparées par des virgules, au format suivant:
[!]:time-time
        -or-
[!]day[-day][:time-time]
        -or-
[!]date[-date][:time-time]

La variable jour doit être un chiffre compris entre 0 et 6 représentant l'un des jours de la semaine. La valeur 0 (zéro) indique le dimanche et la valeur 6 indique le samedi.

La variable temporelle est l'heure militaire de 24 heures (1700 correspond à 17h00). Les zéros non significatifs sont obligatoires. Par exemple, vous devez saisir " 0800 et non " 800. La variable temporelle doit avoir une longueur de quatre caractères et doit être précédée de deux points (:"). Une entrée constituée uniquement d'une spécification temporelle s'applique à tous les jours. L'heure de début d'une valeur d'heure doit être inférieure à l'heure de fin.

La variable date est une chaîne de quatre chiffres au format mmdd, où mm représente le mois calendaire et dd le numéro du jour. Par exemple, " 0001 représente le 1er janvier. La valeur de dd peut être " 00 pour indiquer le mois entier, si l'entrée n'est pas une plage, ou l'entrée indique le premier ou le dernier jour du mois selon qu'elle apparaît au début ou à la fin d'une plage. Par exemple, " 0000 indique tout le mois de janvier. L'entrée " 0600 indique le mois de juillet entier. L'entrée " 0311-0500 indique le 11 avril jusqu'au dernier jour de juin.

Les entrées de cette liste précisent les heures auxquelles un utilisateur est autorisé ou non à accéder au système. Les entrées non précédées d'un " ! (point d'exclamation) autorisent l'accès et sont appelées entrées ALLOW. Les entrées précédées d'un " ! (point d'exclamation) interdisent l'accès au système et sont appelées entrées DENY. L'opérateur " ! ne s'applique qu'à une seule entrée, et non à l'ensemble de la liste des restrictions. Il doit apparaître au début de chaque entrée.
loginretries Définit le nombre de tentatives de connexion infructueuses autorisé après la dernière connexion réussie avant que le système ne verrouille le compte. La valeur est une chaîne d'entiers décimaux. Une valeur nulle ou négative indique qu'il n'existe aucune limite. Une fois que le compte de l'utilisateur est verrouillé, l'utilisateur ne peut plus se connecter jusqu'à ce que l'administrateur du système réinitialise l'attribut " unsuccessful_login_count de l'utilisateur dans le fichier " /etc/security/lastlog pour qu'il soit inférieur à la valeur de " loginretries. Pour réinitialiser l'attribut " unsuccessful_login_count, entrez la commande suivante :
chsec -f /etc/security/lastlog -s username -a \
unsuccessful_login_count=0
maxage Définit l'âge maximal (en semaines) d'un mot de passe. Le mot de passe doit être modifié au terme de cette période. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 13, ce qui indique un âge maximal de 13 semaines.
maxexpired Permet de définir le délai maximal (en semaines) au-delà de la période maxage pendant lequel un utilisateur peut modifier un mot de passe expiré. Après cette durée définie, seul un administrateur peut modifier le mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 4. Si la valeur 0 a été affectée à l'attribut maxexpired, le mot de passe expire lorsque la valeur maxage est atteinte. Si la valeur 0 a été affectée à l'attribut maxage, l'attribut maxexpired est ignoré.
maxrepeats Définit le nombre maximum de fois où un caractère peut être répété dans un nouveau mot de passe. Etant donné que la valeur 0 n'a aucune signification, la valeur par défaut 8 indique qu'il n'existe aucun nombre maximal de répétition. La valeur est une chaîne d'entiers décimaux.
minage Définit l'âge minimum (en semaines) qu'un mot de passe doit avoir avant de pouvoir être changé. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 4.
minalpha Indique le nombre minimal de caractères alphabétiques devant figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 2.
mindiff Définit le nombre minimal de caractères requis dans un nouveau mot de passe qui ne figuraient pas dans l'ancien mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal.
minlen Définit la longueur minimale d'un mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 10. La valeur maximale autorisée est l'attribut " PW_PASSLEN Cet attribut est déterminé par la somme des valeurs des attributs " minalpha et " minother Si la somme de ces valeurs est supérieure à la valeur de l'attribut " minlen, la longueur minimale est fixée au résultat.
Note : L'attribut " PW_PASSLEN est défini dans " /usr/include/userpw.h. La valeur de l'attribut " PW_PASSLEN est déterminée par l'algorithme de mot de passe du système défini dans " /etc/security/login.cfg.

La longueur minimale d'un mot de passe est déterminée par l'attribut " minlen et ne doit jamais être supérieure à l'attribut " PW_PASSLEN Si la somme des attributs " minalpha et " minother est supérieure à l'attribut " PW_PASSLEN, l'attribut " minother est réduit à la différence des attributs " PW_PASSLEN et " minalpha

minother Définit le nombre minimum de caractères non alphabétiques autorisés dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal.
Remarque :
  • Si la valeur de l'attribut " mindigit ou " minspecialchar est supérieure à celle de l'attribut " minother, l'attribut le plus élevé est ramené à une valeur égale à celle de l'attribut " minother.
  • Si la somme des attributs " mindigit et " minspecialchar est supérieure à la valeur de l'attribut " minother, la valeur de l'attribut " minspecialchar est réduite à la différence entre les attributs " minother et " mindigit
projects Définit la liste des projets auxquels les processus de l'utilisateur peuvent être affectés. La valeur est une liste de noms de projet séparés par des virgules et est évaluée de gauche à droite. Le nom du projet doit être un nom de projet valide tel que défini dans le système. Si un nom de projet non valide est trouvé dans la liste, il est signalé comme une erreur par la commande " user.
pwdchecks Définit les méthodes de restriction des mots de passe qui sont appliquées aux nouveaux mots de passe. La valeur est une liste de noms de méthode séparés par des virgules et est évaluée de gauche à droite. Le nom d'une méthode est soit un nom de chemin absolu, soit un nom de chemin relatif à " /usr/lib d'un module de chargement exécutable.
pwdwarntime Définit le nombre de jours avant que le système n'émette un avertissement signalant qu'il faut modifier un mot de passe. La valeur est une chaîne d'entiers décimaux. Une valeur nulle ou négative indique qu'aucun message ne doit être affiché. La valeur doit être inférieure à la différence entre les attributs maxage et minage. Les valeurs supérieures à cette différence sont ignorées et un message est émis lorsque la valeur " minage " est atteinte.
registry Définit le registre d'authentification dans lequel l'utilisateur est administré. Il permet de résoudre un utilisateur géré à distance vers le domaine géré localement. Cette situation peut se produire lorsque des services réseau échouent de manière inattendue ou que des bases de données réseau sont répliquées localement. Exemples de valeurs: files , NIS ou DCE.
rlogin Permet d'accéder au compte à partir d'un site distant avec les commandes " telnet ou " rlogin Les valeurs suivantes sont possibles :
true
Le compte utilisateur est accessible à distance. La valeur par défaut est true.
false
Le compte utilisateur n'est pas accessible à distance.
su Indique si un autre utilisateur peut passer au compte d'utilisateur spécifié avec la commande " su. Les valeurs suivantes sont les valeurs possibles du champ " su:
true
Un autre utilisateur peut basculer sur le compte spécifié. La valeur par défaut est " true.
false
Un autre utilisateur ne peut pas basculer vers le compte spécifié.
sugroups Liste les groupes qui peuvent utiliser l'attribut " su pour passer au compte d'utilisateur spécifié. Le paramètre Valeur est une liste de noms de groupes séparés par des virgules, ou la valeur " ALL pour indiquer tous les groupes. Un " ! (point d'exclamation) devant le nom d'un groupe exclut ce groupe. Si cet attribut n'est pas spécifié, tous les groupes peuvent basculer vers ce compte d'utilisateur avec l'attribut " su
SYSTEM

Définit le mécanisme d'authentification du système pour l'utilisateur. La valeur peut être une expression décrivant les méthodes d'authentification à utiliser ou le mot clé " NONE".

Le mécanisme " SYSTEM est toujours utilisé pour authentifier l'utilisateur, quelle que soit la valeur des attributs " auth1 et " auth2 Si l'attribut " SYSTEM est défini sur " NONE, l'authentification n'est effectuée qu'en utilisant les attributs " auth1 et " auth2. Si les attributs " auth1 et " auth2 sont vides ou ignorés, comme dans le cas des démons de socket TCP (ftpd, " rexecd et " rshd), aucune authentification n'est effectuée.

Les noms des méthodes " compat, " files et " NIS sont fournis par la bibliothèque de sécurité. Des méthodes supplémentaires peuvent être définies dans le fichier " /usr/lib/security/methods.cfg.

Spécifiez la valeur de " SYSTEM en utilisant la grammaire suivante :

"SYSTEM"       ::= EXPRESSION
EXPRESSION     ::= PRIMITIVE  |
                    "("EXPRESSION")"  |
                     EXPRESSION OPERATOR EXPRESSION
PRIMITIVE      ::= METHOD  |
                    METHOD "["RESULT"]"
RESULT         ::= "SUCCESS" | "FAILURE" | "NOTFOUND" |
                   "UNAVAIL"  | "*"
OPERATOR       ::= "AND" | "OR"
METHOD         ::= "compat" | "files" | "NONE" |
                   [a-z,A-Z,0-9]*

L'exemple suivant illustre la syntaxe :

SYSTEM = "DCE OR DCE[UNAVAIL] AND 
compat"
tpath Indique l'état du chemin sécurisé de l'utilisateur. Les valeurs suivantes sont possibles :
always
L'utilisateur ne peut exécuter que des processus de confiance. La valeur " always de l'attribut " tpath implique que le programme initial de l'utilisateur se trouve dans le shell de confiance ou dans un autre processus de confiance.
notsh
L'utilisateur ne peut pas appeler le shell sécurisé sur un chemin sécurisé. Si l'utilisateur entre la clé d'attention sécurisée (SAK) après la connexion, la session de connexion se termine.
nosak
La clé d'attention sécurisée (SAK) est désactivée pour tous les processus exécutés par l'utilisateur. Utiliser cette valeur si l'utilisateur transfère des données binaires susceptibles de contenir la séquence SAK. La valeur par défaut est nosak.
on
L'utilisateur possède des caractéristiques de chemin sécurisé normales et peut appeler un chemin sécurisé (entrez un shell sécurisé) avec la clé d'attention sécurisée (SAK).
ttys Liste les terminaux qui peuvent accéder au compte spécifié par le paramètre Nom. Le paramètre Valeur est une liste de noms de chemin complets séparés par des virgules, ou la valeur ALL pour indiquer tous les terminaux. Les valeurs de RSH et REXEC peuvent également être utilisées comme noms de terminal. Un " ! (point d'exclamation) devant le nom d'un terminal exclut ce terminal. Si cet attribut n'est pas spécifié, tous les terminaux peuvent accéder au compte utilisateur. Si le paramètre Valeur n'est pas " ALL, il faut spécifier " /dev/pts pour que les connexions réseau fonctionnent.
umask Détermine les autorisations de fichiers. Cette valeur, ainsi que les autorisations du processus de création, détermine les autorisations d'un fichier lors de sa création. La valeur par défaut est 022.

Modifier le dossier de l'utilisateur

L'accès à ce fichier se fait par le biais des commandes et des sous-programmes définis à cet effet. Vous pouvez utiliser les commandes suivantes pour modifier le fichier 'user:

  • commande chuser
  • commande lsuser
  • commande mkuser
  • commande rmuser

La commande " mkuser crée une entrée pour chaque nouvel utilisateur dans le fichier " /etc/security/user et initialise ses attributs avec les attributs définis dans le fichier " /usr/lib/security/mkuser.default ". Pour modifier les valeurs des attributs, utilisez la commande " chuser Pour afficher les attributs et leurs valeurs, utilisez la commande lsuser. Pour supprimer un utilisateur, utilisez la commande rmuser.

Pour écrire des programmes qui affectent les attributs du fichier " /etc/security/user, utilisez les sous-programmes énumérés dans la section "Informations connexes".

Security

Contrôle d'accès

Le fichier " user ne doit accorder l'accès en lecture (r) qu'à l'utilisateur root et aux membres du groupe de sécurité. L'accès pour les autres utilisateurs et groupes dépend de la stratégie de sécurité du système. Seul l'utilisateur root doit avoir un accès en écriture (w).

Événements d'audit

Tableau 2. Événements d'audit
Evénement Informations
S_USER_WRITE Nom de fichier

Exemples

  1. Une strophe typique ressemble à l'exemple suivant pour l'utilisateur " dhs:
    dhs:
    login = true
    rlogin = false
    ttys = /dev/console
    sugroups = security,!staff
    expires = 0531010090
    tpath = on
    admin = true
    auth1 = SYSTEM,METH2;dhs
  2. Pour permettre à toutes les ttys, à l'exception de '/dev/tty0 d'accéder au compte utilisateur, modifiez l'entrée ttys de manière à ce qu'elle se lise comme l'entrée suivante :
    ttys = !/dev/tty0,ALL

Fichiers

Tableau 3. fichiers
Article Descriptif
/etc/group Contient les attributs de groupe de base.
/etc/passwd Contient les attributs utilisateur de base.
/etc/security/audit/config Contient des informations sur la configuration du système d'audit.
/etc/security/environ Contient les attributs d'environnement des utilisateurs.
/etc/security/group Contient les attributs étendus des groupes.
/etc/security/limits Contient les limites de ressources de processus des utilisateurs.
/etc/security/login.cfg Contient des informations de configuration pour la connexion et l'authentification des utilisateurs.
/etc/security/passwd Contient des informations sur le mot de passe.
/usr/lib/security/mkuser.default Contient les configurations utilisateur par défaut.
/etc/security/user Contient des attributs utilisateur étendus.
/etc/security/lastlog Contient les informations de dernière connexion.