UNIX notes

No Aix podemos especificar quantas tentativas de login são permitidas para um usuário antes de travá-lo.

Caso um usuário trave sua conta, é preciso zerar o contador de logins além de destravá-lo para que ele possa logar novamente.

Para fazer isto, você pode usar o comando chsec conforme mostrado a seguir:

- Lista tentativas de login sem sucesso:

# lsuser -f [username] |grep unsuccessful_login_count
unsuccessful_login_count=8

- Listar se a conta está bloqueada:

# lsuser -f [username] |grep account_locked
account_locked=true

- Alterar para zero as tenativas falhas de login:

# chsec -f /etc/security/lastlog -s [username] -a unsuccessful_login_count=0

- Desbloquear o usuário:

# chsec -f /etc/security/lastlog -s [username] -a account_locked=false

- Lista novamente o número de tentativas mal sucessidas e se a conta está desbloqueada:

# lsuser -f [username] |grep unsuccessful_login_count
unsuccessful_login_count=0

# lsuser -f [username] |grep account_locked
account_locked=false

Agora o usuário estará apto a logar novamente. Caso ele não se recorde de sua senha então esta deverá ser trocada com o comando passwd.

Referência:

Comando lsuser: http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?topic=/com.ibm.aix.cmds/doc/aixcmds3/lsuser.htm

Comando chsec: http://publib.boulder.ibm.com/infocenter/systems/index.jsp?topic=/com.ibm.aix.cmds/doc/aixcmds1/chsec.htm

As informações a seguir foram escritas num Forum do “LinusQuestions.org” pelo usuário “Harry Seldon“.

Achei um resumo útil e decidi salvar aqui no “meu” bloco de notas.

Fonte: http://www.linuxquestions.org/questions/aix-43/aix-default-user-list-612651/

“I work at a company that gets audited all the time. The ones we’re most commonly asked to remove are guest, lpd, uucp, nuucp (if it’s there) and imnadmin. Here’s a list of accounts I put together about a year ago; most of it is relevant, I think:

daemon - The daemon user account exists only to own and run system server processes and their associated files. This account guarantees that such processes run with the appropriate file access permissions.

bin - The bin user account typically owns the executable files for most user commands. This account’s primary purpose is to help distribute the ownership of important system directories and files so that everything is not owned solely by the root and sys user accounts.

sys - The sys user owns the default mounting point for the Distributed File Service (DFS) cache, which must exist before you can install or configure DFS on a client.

adm - The adm user account owns the following basic system functions:
* Diagnostics, the tools for which are stored in the /usr/sbin/perf/diag_tool directory.
* Accounting, the tools for which are stored in the following directories:
o /usr/sbin/acct
o /usr/lib/acct
o /var/adm
o /var/adm/acct/fiscal
o /var/adm/acct/nite
o /var/adm/acct/sum

uucp - Owner of hidden files used by uucp protocol. The uucp user account is used for the UNIX-to-UNIX Copy Program, which is a group of commands, programs, and files, present on most AIX systems, that allows the user to communicate with another AIX system over a dedicated line or a telephone line.

guest - Allows access to users who do not have access to accounts.

nobody - The nobody user account is used by the Network File System (NFS) to enable remote printing. This account exists so that a program can permit temporary root access to root users

lpd - Owner of files used by printing subsystem. This account has been disabled.

imnadm - IMN search engine used for Documentation Library Search.

lp - Possibly something to do with printing.

invscout - Surveys the host system for currently installed microcode or Vital Product Data (VPD).

snapp - The account that manages Snapp, an extensible, XML-based application that provides a menu-driven interface for UNIX system administration tasks on a handheld PDA.

sshd - The user account for managing the sshd service.”

Para configurar uma política de senhas no Solaris, edita-se o arquivo /etc/default/passwd.

Neste arquivo podemos definir opções como no exemplo a seguir:

MAXWEEKS=4
MINWEEKS=2
PASSLENGTH=6
WARNWEEKS=1

OBS: Os valores exemplificados acima não são nenhuma recomendação de configuração.

MAXWEEKS: Número máximo em semanas que a senha é válida
MINWEEKS: Número minimo em semanas em que a senha deve permancer sem que possa ser trocada.
PASSLENGTH: Número mínimo de caracteres exigidos na senha
WARNWEEKS: Número de semanas antes da expiração da senha, que o sistema alerta o usuário que sua senha irá expirar.

No entanto, no Solaris, a política de senhas definida neste arquivo se aplica para todos os usuários do sistema.

Agora, e se você precisar que algum usuário não tenha sua senha expirada?

A alteração de um usuário para que ele não esteja mais sujeito as regras de expiração de senha é feita através do arquivo /etc/shadow.

Basta editar o arquivo (vi /etc/shadow) e alterar algum dos campos; min, max, ou warn; para o valor “-1“.

Feito isso, salve o arquivo e execute o comando “pwconv“.

Após o pwconv, o campo que foi alterado para “-1″ ficará vazio.

Este procedimento está documentado na man page do shadow:

http://docs.sun.com/app/docs/doc/816-5174/6mbb98uju?a=view#indexterm-267

“A value of –1 for min, max, or warn disables password aging.”

Estes são os campos do arquivo shadow:

username:password:lastchg:min:max:warn:inactive:expire:flag

Para listar informações de um usuário do Unix, podemos usar o comando logins no Solaris e o comando lsuser no Aix.

Por exemplo, para listar os grupos aos quais o usuário pertence:

No Soalris:

# logins -m -l [usuario]

No Aix:

# lsuser -a pgrp groups [usuario]

Para mais informações, a man page dos comandos pode ser consultada:

Man page do comando lsuser
Man page do comando logins