tsm 命令

在线编辑

用途

提供终端状态管理。

语法

tsm 端口

描述

tsm 命令调用终端状态管理器，该管理器控制在可信路径中使用的端口。功能为：

建立线路通信方式和规程-由 getty 命令执行的功能。
验证用户的帐户和身份，并设置 login 命令执行的初始进程凭证和环境功能。
如果对端口启用了安全注意密钥 (SAK) 并且使用了系统登录程序，那么执行可信路径管理。
注: 未在命令行上输入 tsm 命令。

可信路径管理发生在两个阶段：

项	描述
login	如果用户未成功登录，那么此阶段有效。如果检测到安全注意键（SAK）信号，系统重新启动 getty-login 类型处理。如果端口和用户支持可信的状态，下一次登录将用户置入可信的状态。
shell	此阶段在用户认证成功之后发生。此命令根据用户的 tpath 属性发挥功能。以下值是有效的： on 提供标准可信路径管理。检测到安全注意键（SAK）信号后，下一次试图访问端口时将终止除 tsm 进程和它的兄弟进程（包含可信的 shell）之外的所有访问该端口的进程。端口复位为其初始状态并标记为可信的，同时可信的 shell 命令（tsh 命令）将会执行。 notsh 当检测到安全注意键（SAK）信号时，用户会话终止。总是不允许用户离开可信路径。用户的 shell 始终为可信的 shell，tsh。 nosak 对于终端禁用安全注意键（SAK），且运行用户的初始程序。

项

描述

login

如果用户未成功登录，那么此阶段有效。如果检测到安全注意键（SAK）信号，系统重新启动 getty-login 类型处理。如果端口和用户支持可信的状态，下一次登录将用户置入可信的状态。

shell

此阶段在用户认证成功之后发生。此命令根据用户的 tpath 属性发挥功能。以下值是有效的：

on: 提供标准可信路径管理。检测到安全注意键（SAK）信号后，下一次试图访问端口时将终止除 tsm 进程和它的兄弟进程（包含可信的 shell）之外的所有访问该端口的进程。端口复位为其初始状态并标记为可信的，同时可信的 shell 命令（tsh 命令）将会执行。
notsh: 当检测到安全注意键（SAK）信号时，用户会话终止。
总是: 不允许用户离开可信路径。用户的 shell 始终为可信的 shell，tsh。
nosak: 对于终端禁用安全注意键（SAK），且运行用户的初始程序。

如果您还没有主目录，那么可以配置 tsm 命令以便在您登录时创建主目录。 tsm 命令调用 mkuser.sys 命令以创建主目录并定制帐户。要启用此功能，请将 /etc/security/login.cfg 文件中 usw 节的 mkhomeatlogin 属性设置为 True。

安全性

访问控制：此命令应将执行 (x) 权限授权给任何用户。该命令应对 root 用户设置用户标识并具有可信计算库属性。

访问的文件：

方式	文件
R	/etc/objrepos/CuAt
R	/usr/lib/objrepos/PdAt
R	/etc/security/login.cfg
R	/etc/security/user

RBAC 用户和可信AIX用户请注意：此命令可执行特权操作。只有特权用户才能执行特权限定的操作。有关授权和权限的更多信息，请参阅安全中的特权命令数据库。要获取与此命令相关联的特权和权限的列表，请参阅 lssecattr 命令或 getcmdattr 子命令。

示例

提供终端状态管理tty0，将以下行添加到 /etc/inittab 文件中:

tty0:2:respawn:/usr/sbin/tsm /dev/tty0

这将初始化端口/dev/tty0并设置了端口的特征。

文件

项	描述
/usr/sbin/tsm	包含 tsm 命令。
/etc/security/login.cfg	包含配置信息。
/etc/security/user	包含扩展的用户属性。