如何对用户的登录进行控制(Login Control

aixcq

通常黑客能够从AIX缺省的登陆屏幕上得到有价值的信息，如主机名(hostname)、操作系统的版本等。这些信息能够帮助他们选择进攻的策略。出于安全性的考虑，系统管理员应该在系统安装完成后尽快进行一些安全设置。
1．设置/etc/security/login.cfg文件。
参数
是否对pty有效（网络登陆）
是否对tty有效
建议值
说明
Sak_enabled
Y
Y
false
SAK很少使用
Logintimes
N
Y

允许登录的时间
Logindisable
N
Y
4
在logininterval规定的时间内(60秒)，当出现logindisable所定义的（4次）连续的登录失败后，禁止在此终端登陆
logininterval
N
Y
60

loginreenable
N
Y
30
被禁止登录的终端，在30分钟后从新被激活
Logindelay
Y
Y
5
登录失败后下次提示符出现前所延迟的时间，此值乘以登陆失败的次数，如 5，10，15，20秒
防止在登录屏幕的欢迎信息里出现有用的信息，需要改变/etc/security/login.cfg文件中的herald参数，可以通过chsec命令或直接编辑此文件进行。
如下所示是使用chsec命令改变缺省的herald参数：
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.\n\nlogin: "
或直接编辑/etc/security/login.cfg文件
default:
herald ="Unauthorized use of this system is prohibited\n\nlogin:"
sak_enable = false
logintimes = 0800-2200
logindisable = 5
logininterval = 80
loginreenable = 20
logindelay = 5
2. 改变在CDE环境下的登录屏幕
CDE的登录屏幕缺省会显示主机名和操作系统的版本，系统管理员可以编辑/usr/dt/config/$LANG/Xresources文件，改变系统缺省的欢迎信息，$LANG是指当前系统的语言环境。
假设$LANG为C，则编辑/etc/dt/config/C/Xresources文件，改变包含主机名和操作系统版本的缺省的欢迎信息。
虽然CDE的图形界面对用户十分友好，但它也带来潜在的安全问题。对于安全性要求较高的系统我们建议不要安装CDE的软件包(带有dt的 fileset)。
xwd和xwud命令可以被用来监视X server的活动，它们可以截取用户击键的顺序，从而报漏用户密码或其他有价值的信息。要解决这个问题可以删除这两个文件，或将这两个文件设置成只有root可以运行。
xwd和xwud包含在X11.apps.clients文件集中。
如果你确实需要xwd和xwud提供的功能可以考虑使用OpenSSH或MIT Magic Cookies这些第三方所提供的工具。
xhost + 命令允许远程系统连接你系统的X server，在运行xhost + 命令时一定要在后面跟你所允许的主机名，也就是只给特定的主机访问权限。
#xhost + hostname
另外不允许除root外的其他的用户运行xhost 命令：
chmod 744 /usr/bin/X11/xhost
3．设置自动退出系统(logoff)
另一个潜在的安全漏洞是当用户在登录的状态下离开终端，在这种情况下，其他人可能控制此用户的终端，对系统的安全造成威胁。
为避免这种情况的出现，系统管理员可以设置自动退出系统。编辑/etc/security/.profile文件如下所示：
TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT
600的单位为秒，相当于10分钟，然而此参数只在shell的状态下有效。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/12487/showart_129789.html