/etc/security/group Arquivo

Propósito

Contém atributos de grupo estendido.

Descrição

O arquivo /etc/security/group contém atributos de grupo estendido. Este é um arquivo ASCII que contém uma estrofe para cada grupo de sistema. Cada estrofe é identificada por um nome de grupo a partir do arquivo /etc/group seguido por um : (colon) e contém atributos no formato Atributos=Valor. Cada par de atributos termina com um caractere de nova linha como faz cada estrofe. O arquivo suporta uma estrofe padrão. Se um atributo não for definido para um grupo, o valor padrão para o atributo será usado.

Uma estrofe pode conter um ou mais dos seguintes atributos:

Atributo	Descrição
adms	Define os administradores do grupo. Os administradores são usuários que podem executar tarefas administrativas para o grupo, como configurar os membros e administradores do grupo. Esse atributo é ignorado se admin = true, uma vez que somente o usuário root pode alterar um grupo definido como administrativo. O valor é uma lista de nomes de logins-usuário separados por vírgula. O valor padrão é uma string vazia.
administrador	Define o status administrativo do grupo. Os valores possíveis são: verdadeiro Define o grupo como administrativo. Somente o usuário root pode alterar os atributos de grupos definidos como administrativos. falso Define um grupo padrão. Os atributos desses grupos podem ser alterados pelo usuário root ou por um membro do grupo de segurança. Esse é o valor padrão.
dce_export	Permite que o registro DCE sobrescreva as informações do grupo local com as informações do grupo DCE durante uma operação de exportação do DCE. Os valores possíveis são: true As informações do grupo local serão sobrescrito. falsa As informações do grupo local não serão sobrescrito.
efs_initialks_mode	Define o modo inicial do armazenamento de chaves do grupo. É possível especificar os valores a seguir: guardar Quando um armazenamento de chaves de grupo está no modo de guarda raiz, as chaves contidas neste armazenamento de chaves podem ser recuperadas apenas com a chave de acesso correta deste armazenamento de chaves. administrador Quando um armazenamento de chaves está no modo admin root, as chaves contidas neste armazenamento de chaves podem ser recuperadas com a chave admin EFS (Criptografado File System). Notas: Este atributo é válido apenas se o sistema for EFS-ativado. Este atributo define o modo inicial do armazenamento de chaves. Alterando esse valor usando o comando chuser , o comando chgroup , ou o comando chsec , ou com edição manual, não altera o modo do armazenamento de chaves. Este atributo é usado apenas quando o armazenamento de chaves é criado e não é usado novamente até que o armazenamento de chaves seja excluído e um novo seja criado. Para alterar o modo de armazenamento de chaves, use o comando efskeymgr .
efs_keystore_access	Define o local do armazenamento de chaves. É possível especificar os valores a seguir: Nenhum Não há armazenamento de chaves. Arquivo O armazenamento de chaves é armazenado no diretório /var/efs/groups/ . Nota: Este atributo é válido apenas se o sistema for o EFS-ativado.
efs_keystore_algo	Define o algoritmo que é usado para gerar a chave privada do grupo. É possível especificar os valores a seguir: RSA_1024 RSA_2048 RSA_4096 Notas: Este atributo é válido apenas se o sistema for EFS-ativado. Alterando o valor deste atributo usando o comando chuser , o comando chgroup , ou o comando chsec , ou com edição manual, não regenera a chave privada. Este atributo é usado apenas quando o armazenamento de chaves é criado e não é usado novamente até que o armazenamento de chaves seja excluído e um novo seja criado. Para alterar o algoritmo para as chaves, use o comando efskeymgr .
projects	Define a lista de projetos aos quais os processos do usuário podem ser atribuídos. O valor é uma lista de nomes de projetos separados por vírgula e é avaliado da esquerda para a direita. O nome do projeto deve ser um nome de projeto válido conforme definido no sistema. Se um nome de projeto inválido for encontrado na lista, ele será relatado como um erro pelos comandos do grupo.

Para uma estrofe típica, veja a seção "Exemplos":

Você deve acessar o arquivo /etc/security/group através dos comandos e subroutines do sistema definidos para esta finalidade. Você pode utilizar os seguintes comandos para gerenciar grupos:

mkgroup
chgroup
chgrpmem
grupo de usuários
rmgroup

O comando mkgroup adiciia novos grupos no arquivo /etc/group e no arquivo /etc/security/group . Use este comando para criar um grupo administrativo. Você também pode usar o mkgroup para configurar o administrador do grupo.

Use o comando chgroup para alterar todos os atributos. Se você é um administrador de um grupo padrão, você pode alterar o atributo adms para esse grupo com o comando chgrpmem .

O comando lsgroup exibe tanto os atributos adms quanto os admin . O comando rmgroup remove a entrada de ambos o arquivo /etc/group e o arquivo /etc/security/group .

Para gravar programas que afetam atributos no arquivo /etc/security/group , use as subroutines listadas em Informações Relacionadas.

Segurança

Controle de Acesso: Este arquivo deve conceder acesso de leitura (r) ao usuário root e membros do grupo de segurança, e a outros conforme permitido pela política de segurança para o sistema. Apenas o usuário root deve ter acesso a gravação (w).

Eventos de auditoria:

Evento	Informações
S_GROUP_WRITE	nome do arquivo

Exemplos

Uma estrofe típica se parece com o exemplo a seguir para ofinanceGrupo:

finance:
          admin = false
          adms = cjf, scott, sah

Arquivos

Item	Descrição
/etc/security/group	Especifica o caminho para o arquivo.
/etc/group	Contém os atributos básicos de grupos.
/etc/passwd	Contém os atributos básicos dos usuários.
/etc/security/passwd	Contém informações de senha.
/etc/security/user	Contém os atributos estendidos dos usuários.
/etc/security/environ	Contém os atributos de ambiente dos usuários.
/etc/security/limits	Contém os limites de recursos do processo dos usuários.
/etc/security/audit/config	Contém informações de configuração do sistema de auditoria.
/etc/security/lastlog	Contém últimas informações de login.