《第2单元用户管理和安全性概要》由会员分享,可在线阅读,更多相关《第2单元用户管理和安全性概要(23页珍藏版)》请在金锄头文库上搜索。
1、用户管理概念,用户帐号 每个用户帐号都有唯一的用户名、用户ID和口令 文件所有者依据用户ID判定 文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者 固有用户 root 超级用户 adm, adm, bin, 大多数系统文件的所有者,但不能用这些用户登录 用户组 需要访问同一文件或执行相同功能的多个用户可放置到一个用户组 文件所有者组给了针对文件所有者更多的控制 固有用户组: system 管理者组 staff 普通用户组,用户组,一个用户组包含一个或多个用户 每个用户都必须属于至少一个用户组,一个用户可属于多个用户组 可以使用groups或setgroups命令查看用户所
2、属的组 一个用户所属的主用户组用于在创建文件时标明文件所有者组。更改主用户组使用newgrp或setgroups命令,用户组层次,system,security,printq,adm,audit,staff,用户层次,root,admin用户,(admin标志 设为true),普通用户,控制root访问,限制root登录 系统管理员必须按照不公开的时间表定期更改root口令 对不同的系统指定不同的root口令 为每个系统管理员建立一个自己的帐号。执行系统管理任务时,首先用自己的帐号登录,然后用su命令切换到root用户。这可以为日后清查留下审计记录。 root的PATH环境变量设置不能危及系统
3、安全,su命令,su命令使一个用户切换到另一用户帐号,su会创建一个新的shell进程。 例如: # su team01 $whoami team01 如果su命令带上“ - ”参数(前后都有空格),用户环境也被切换 例如: $ cd /tmp $ su - root # pwd /,安全性记录文件,/var/adm/sulog 记录每次su命令的执行。这是个文本文件。使用任何观看文本文件的命令查看。 /var/adm/wtmp和/etc/utmp 记录用户的成功登录。使用who命令查看。 /etc/security/failedlogin 记录所有不成功的登录尝试。如果用户名不存在,记录为U
4、NKNOWN项目。使用who命令查看。,文件和目录权限(一),文件: r:用户可以读取文件 w:用户可以修改文件内容 x:用户可以将文件当作命令执行 目录: r:用户可以列出目录下的内容 w:用户可以在目录中建立和删除文件或目录 x:用户可以切换到这个目录中,或把这个目录放入PATH环境变量,文件和目录权限(二),所有者,r,w,x,所有者组成员,r,w,x,其他用户,r,w,x,2,4,1,2,4,1,2,4,1,rwxrwxr- = 774(8进制形式) r-xr-xr-x = 555(8进制形式),改变文件或目录权限和所有者,修改文件或目录权限: 文件原有权限:rwxr-xr- file
5、1 # chmod g+w file1 或 # chmod 774 file1 结果:rwxrwxr- # chmod u+x file1 或 # chmod 755 file1 结果:rwxr-xr-x 修改文件或目录的所有者: # chown fred file1 # 修改文件所有者为fred # chgrp budget file1 # 修改文件所有者组为budget 等同于 # chown fred:budget file1,安全性相关文件,包含用户属性和访问控制的文件 /etc/passwd 合法用户(无口令内容) /etc/group 合法用户组 /etc/security/pas
6、swd 含有加密形式的用户口令 /etc/security/user 用户属性,口令限制 /etc/security/limits 对用户的限制 /etc/security/environ 用户环境设定 /etc/security/login.cfg 登录设置 /etc/security/group 用户组属性,用户环境的合法性检查和修正,检查/etc/passwd/与/etc/security/passwd的一致性,以及/etc/security/login.cfg和/etc/security/user,同时修正错误: pwdck -y ALL 检查/etc/security/user、/e
7、tc/security/limits、/etc/security/passwd,以及是否每个组在/etc/group和/etc/security/group中都有对应条目,并修正错误: usrck -y ALL 检查/etc/group、/etc/security/group、/etc/passwd和/etc/security/user中关于用户组的内容的一致性,并修正错误: grpck -y ALL,用户环境初始化过程,登录,用户环境建立完成,/etc/profile,/etc/environment,$HOME/.profile,/etc/profile:一个shell脚本,控制整个系统的
8、默认环境变量,例如TERM、MAILMSG等。 /etc/environment:控制所有进程的基本环境。例如HOME、LANG、TZ、NLSPATH等。 /$HOME/.profile:每个用户自有的环境变量设置文件,位于用户的宿主目录中。,安全和用户管理菜单,# smit security,用户管理菜单,# smit users,增加用户,# smit mkuser,更改/显示用户属性,# smit chuser,删除用户帐号,删除用户帐号: # rmuser -p team01 删除用户宿主目录(不象创建用户自动创建宿主目录,删除用户时不会自动删除宿主目录) # rm -r /home/
9、team01,设置用户口令,在设置口令前,新用户帐号不可用 修改用户口令: password username:使用这个命令,root用户可以修改任何用户的口令,其他用户只能修改自己的口令。 pwdadm username:使用这个命令,root用户可以修改任何用户的口令,security组成员可以修改除root以外的用户口令,其他用户只能修改自己的口令。,用户组管理菜单,# smit groups,增加用户组,# smit mkgroup,更改/显示用户组,# smit chgroup,单元小结,每个用户在AIX系统中都必须属于一个用户组,可以属于多个,如果是这样,必须为其指定一个主用户组 属于系统固有用户组的用户,根据其所在组的不同,可以执行某一类系统管理任务 不要使用root用户进行普通的操作,并且应当密切监视对root用户的使用 文件和目录有所有者和3组许可权,使用chmod、chown、和chgrp命令可以修改它们 系统将包含用户和用户组信息的ASCII文本文件放置在目录/etc和/etc/security中 用户、用户组及其属性可以使用SMIT创建、修改和删除,
