安全管理Linux系统中的用户和组

    与pwck命令相类似，grpck命令是用来验证组账号文件（/etc/group）和影子文件（/etc/gshadow）的一致性和正确性的。该命令验证文件中的每一个数据项中每个域的格式以及数据的正确性。如果发现错误，该命令将会提示用户对出现错误的数据项进行删除。

    该命令主要验证每个数据项是否具有: 正确的域数目、惟一的组群标识、合法的成员和管理员列表。

    如果检查发现域数目与组名错误，则该错误是致命的，则需要用户删除整个数据项。其他的错误均为非致命的，将会需要用户进行修改，而不一定要删除整个数据项。

    下面的例子说明如何使用该命令:

//cat /etc/group //显示系统中原来的用户账号文件

root:x:0:root,patterson

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

tty:x:5:

disk:x:6:root

lp:x:7:daemon,lp

kmem:x:9:

supersun:x:501:liyangsuper

liyangsuper:x:502:

patterson1:x:504:

programmer:x:2500:

jerry:x:503:

manager:x:2500:

#vi /etc/group

//编辑该账号文件，加入不正确的数据项“test:x”

//执行验证工作

#grpck /etc/group

invalid group file entry

delete line `test:x:'? y

grpck: the files have been updated

    上述命令判断出插入的数据项的域数目不正确，是致命错误，因而提示用户删除相关数据项。同样的，可以使用该命令验证/etc/gshadow影子文件的一致性，操作步骤相同，这里不再赘述。

    2. 使用其他方法

    另外，上述的这些文件的一致性和正确性，也可使用在我们系列报道第一期所讲述的Tripwire工具来进行验证和保护。具体步骤如下:

    ● 用户首先在一套“干净”的系统内，建立用户和组，形成初始的相关用户和组文件（包括/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow）;

    ● 对这些文件进行备份，存放在安全的目录当中;

    ● 将这些监控的对象文件添加到Tripwire扫描文件当中;

    ● 定期地（一般为三天或一周）使用Tripwire对系统进行扫描，查看扫面报告;

    ● 如果发现这些文件被修改过了，则需要用现在的文件与先前备份的文件进行对比，查出被修改的文件，从而确定系统被非法添加或者去掉了某些用户;

    ● 使用备份的文件进行恢复，并综合采用其他安全工具根据实际情况进行进一步的处理。

    需要注意的是，由于系统管理员在建立用户或者用户组时也会改动这些文件，Tripwire同样会检测到，所以系统管理员在使用后应该重新对修改的文件进行备份并修改相应的Tripwire修改策略即可。