hp-unix下trusted system 與！trusted system的配置

hp-unix下trusted system 與！trusted system的配置：

設定trusted system是HP UNIX安全機制的一部分，首先看下trusted system增加了哪些安全特性： 

密碼放置在單獨的且隻有root使用者可讀的檔案中 

可以設定更多的密碼與登入屬性 

可以進行審計

怎樣由!trusted system轉換為trusted system 

對于一個在用的并且有運作應用的系統上，一定要對在用的應用進行分析，對更改後的限制是否會影響應用（尤其注意使用者umask值更改帶來的隐患） 

由以上的分析規劃适合的安全方案（比如在更改後是否要對特定使用者設定環境變量等） 

備份檔案系統，以便以後可以恢複使用者檔案，還應将/etc/passwd備份到錄音帶或其他地方（這是一個建議做法） 

轉換到trusted system（這是一個可逆操作） 

方法一：通過SAM操作 

運作SAM-->Auditing and Security,激活任何稽核螢幕，直到出現convert to trusted system的提示框，點選Y開始轉換 

方法二：command 

#/usr/lbin/tsconvert

轉換過程做了哪些更改： 

在/tcb/files/auth中建立密碼資料庫 

将加密密碼從/etc/passwd檔案移動到受保護的密碼資料庫中，并用*替代/etc/passwd檔案中的password字段 

強制所有使用者使用密碼 

為每個使用者建立一個稽核ID 

對現有的使用者打開稽核标志 

從HP UNIX 11.0開始，umask的預設值為077（這一點至關重要，在轉換前一定要分析現有使用者的檔案建立權限需求，否則可能帶來意想不到的錯誤）

确認已轉換為trusted system

對于使用者而言，确認最直接的方法是在使用者登入時顯示"last successful /unsuccessful login"的消息

回退操作即從trusted system轉換為!trusted system 

方法一：通過SAM 操作 

啟動sam： 

"Auditing and Security" -> 

"Audited Events" -> "Actions" -> "Unconvert the System"

#/usr/lbin/tsconvert -r

确認： 

可通過一個簡單指令檢查： 

#/usr/lbin/getprpw root 

如果已經轉換成!trusted system,會顯示"system is not trusted"

      本文轉自vcdog 51CTO部落格，原文連結：http://blog.51cto.com/255361/838316，如需轉載請自行聯系原作者