Skip to main content

 路由器设置 > 新闻资讯 >

AIX系统加固,一个空行引发的教训(3004-302错误)

2014-02-26 00:28 浏览:

 近期,因为银监、人行各路检查,所以对系统的安全是百般加固。今天下午,本人在四台生产机(IBM P730,其中两两做HA)上超级自信的做密码安全加固时,一顿狂insert、狂dd、狂xx,顺便做普通用户及root密码的更改(复杂度是刚刚的.....),本人有一个习惯就是改完密码,必须保留现在的session,另打一个session进行验证,这次在改密码及做安全策略时因和同事聊得欢,没做验证就关掉了前三个session,当做完第四个系统进行验证时,大难来了............

$>su -

root's Password:

3004-302 Your account has expired:please see the system administrator.

3004-501 Cannot su to "root":Account has expired.

$

本人当时就头大了,这.........

还好还有一个session是root用户下,于是进行/etc/security/user的编辑,把之前的策略全部dd,继续su -,报错依旧。开始各种百度,google,大都是重改密码,我重新修改root密码后.

又su -,报错依旧;继续看贴子求助,大家说是得进入维护模式,可是我这不还保留root的session吗,有什么不可以做的啊?无耐中.......,不经意间看到这个贴子“

AIX登陆报3004-302错误的解决方法 一个空行引发的血案"

 

试了一下,root用户登录,报错信息如下:

AIX Version 5
Copyright IBM Corporation, 1982, 2007.
login: root
root's Password:
3004-302 Your account has expired; please see the system administrator.

   报用户过期,奇怪,我们这边的机器从来不设置用户期的,以为是密码过期,用系统盘启到service模式下,passwd,重试,仍然不行。

 

   这时有个人良心发现了,说是他做的一个什么安全的测试,改了/etc/security/user 下面的root段,里面加入了rlogin=false,当时心里就有点疑惑:“rlogin是控制远程telnet和rlogin的,现在的情况是本地都无法用root用户登入”,但既然有人投案了,就试试看呗。

改user文件也要root来改,root登不进去,还得重启进维护模式,进去后,检查了expires, maxage以及maxexpired得设置都没有问题,在root一段下面删除rlogin=false,重启,仍不成。

 

   冷静下来,仔细看了一下,root字段和之后的daemon字段中间少了一个空行,本来应该是:

root:
admin = true
SYSTEM = "compat"
registry = files
loginretries = 0
account_locked = false
rlogin = false
expires = 0
maxexpired = -1

                      #-------------------〉偶就素那华丽的空行~~~~~~~~~~~

daemon:
admin = true
expires = 0101000070

 

却写成了

root:
admin = true
SYSTEM = "compat"
registry = files
loginretries = 0
account_locked = false
rlogin = false
maxexpired = -1
daemon:
admin = true
expires = 0101000070

 

   这样一来,系统不把daemon当成一个独立的段落,而当作root段落参数的延续,相当于root直接读取dacmon的expires过期参数,我晕。

 

   加回车,空行,重启进多用户模式,ok。

   想必那人不懂,加完rlogin,看下边一行空格不顺眼,顺手删了,这就是所谓的多行不义必自毙了~~咬牙切齿ing:浪费我一个多小时的花样年华。

 

   一个空行引发的血案。

 

我当时兴致冲冲的赶紧照着做了一下,可不其然,问题解决。

可是其它三台系统如何做了,当时第一反应是rsh、rlogin,无果。突然想起这台机器的HA的另一节点,所以通过

smitty hacmp

-system Management(c-spoc)

--open a smit session on a node

---选要进入的节点----回车

----esc+9

直接进入第二节点,然后修改/etc/security/user,在root,daemon之间加空行,然后退出。再测试,问题解决。

  另外,两台的解决还在尝试.......,通过串口登录,问题依旧,唯一的办法就是拔掉其中的一个节点的网线,让资源组自动飘到另一节点,然后重启节点,进维护模式编辑/etc/security/user。这是目前能够想到风险最小的办法.......。

 

后记:

1.修改配置文件,backup是必须的。不然死了都来不急哭。

2.细心之细心,还是基础知识不踏实。

3.好的习惯时时刻刻不能丢!!!!!(痛定思痛)

4.熟习环境,利用现有的条件(HACMP的功能)