《北京中软同和系统集成有限公司》由会员分享,可在线阅读,更多相关《北京中软同和系统集成有限公司(42页珍藏版)》请在金锄头文库上搜索。
1、,帐户管理,系统管理员的基本工作,分析帐户需求创建、删除、闲置帐户修改个人帐户管理用户组帐户加锁解锁帐户活动报告,分析用户帐户需求,个人用户基本设置 用户组 文件和目录权限 登录环境 普通用户执行超级用户命令 用户操作转移,用户ID或UID是用户的标志号,是一个识别每个用户的唯一数字,由系统或管理员分派。这个数字一旦被设置,在进行隐蔽的审计跟踪时,用户标志不会改变。建议个人帐户UID的最小值为200,最大值为6000。,用户ID,登录名设置 尽管登录名可有1-8个字符,但为和其他UNIX平 台兼容,建议使用3-8个字符长度不能含有大写字母不能含有冒号(:)字符不能以数字开头,口令限制 口令限制
2、可以使某人可以更容易或更难得到未授予的访问权限。可以设置包含以下内容的限制:口令最小长度 用户可以拥有的最短口令口令期限 可以设置用户被强制改变口令 的时间间隔。另外设置口令更 改之间的最短时间间隔。,主目录(HOME DIRECTORY)主目录是用户在系统上的“工作区”和目录,大多数用户文件存储在主目录中。缺省情况下,这个目录是/usr/login_name。,修改用户shell,步骤1:运行scoadmin(ADM),选择Account Manager。 步骤2:选择Option-User Default。 步骤3:注意用户ID范围,登录shell,主目录和登 录组。 步骤4:选择“Cha
3、nge Login Shell”。选择新的登录shell ,然后选择“OK”返回主缺省窗口。 步骤5:选择“OK”,退出用户缺省窗口。,创建一个组,步骤1运行 scodamin(ADM)。选择Account Manager。 步骤2选择 Groups-Add New Group。 步骤3输入3-8个字符的组名。 步骤4接受缺省的组ID或输入一个新ID。 步骤5从“Other Users”表中选择用户并选“Add”,将用户添加到组中。从“Users in Group”表中 选择用户,并选“Remove”删除这些用户。 步骤6选择“OK”创建组。,改变缺省登录组 1. 运行 scodamin(AD
4、M)。选择Account Manager。2选择 Option-User Defaults。 3选择 “Change Group Membership”选项4选择登录组。5选择“OK”接受更改。,文件和目录的权限每个文件和目录对三类用户都有权限:用户:文件的所有者(属主)组:指定组的成员其他:其他用户创建文件或目录时,系统定义缺省权限。典型的权限如下所示:文件:-rw-r-r-目录:drwxr-xr-x,chmod命令文件和目录的权限通过chmod ( C )设置。该命令为设置权限建立了数字选项:读 :4写 :2执行:1这些数字的和决定了所有者、组、或其他用户的权限。这个数字序列被称为文件的“
5、模式”。,umask命令该命令运用一种相反的逻辑:它指定哪种权限应保留。如果没有任何umask设置,在新文件(-rw-rw-rw-)和 新目录(drwxrwxrwx)上,权限会全部开放初始umask 在/etc/profile 和/etc/cshrc中定义。这些文件中的缺省umask 由系统安全性简要表决定:低级和传统级:022改进级: 027高级: 077,普通用户执行超级用户命令系统提供了这样一种可能,即给普通用户赋予仅仅是执行某些超级用户命令的部分权力,但是不给予它们超级用户的全部权力Sco unix 的asroot实用程序,可以允许普通用户,运行超级用户才能使用的命令。,asroot命
6、令语法结构/tcb/bin/asroot command argscommand 通过asroot执行的命令args 这是command选项,有的命令需要它,有的命令不需要它。比如删除命令rm,一定要有args(即要删除的文件名),普通用户使用asroot命令,首先要得到相应的授权root子系统授权:具有这个授权,才可以运行 /tcb/files/rootcmds目录下的任何命令。root子系统的二级子系统授权:二级子系统授权的名字是所要 使用的命令的名字。核心授权execsuid。,用户获得使用asroot命令所需授权过程在超级用户下进行如下操作:1 把希望执行的命令拷贝到目录/tcb/fi
7、les/rootcmds。在系统 默认的情况下,这个目录中只有shutdown命令。2 修改文件权限,以便使得它们与文件控制数据库(/etc/auth/system/files)确定的权限相匹配。如果出现不一致,运行fixmog命令进行修正。3 编辑授权文件/etc/auth/system/authorize,把要使用的命令 加到root:打头的那一行去。4 运行SCOadmin ,选择Account Manager,在User下拉菜单中选 择Authorizations进行一级系统授权,在User下拉菜单中选择Priveliges进行核心授权。,帐户操作转移su命令行的语法结构:su- na
8、mearg.命令行中的 - ,name, arg都是选项,其中name是帐户的名字, 如果命令行上没有给出帐户的名字,系统默认的名字是root,即超级用户。su命令行中的选项args可以是如下的两种情况:-c command 这个选项的作用是由su命令建立起来的shell执行-c后面紧跟的命令。-r 这个选项表明由su建立起来的是一个有限的shell。,创建 ,删除,闲置帐户 创建缺省帐户 步骤1. 运行scoadmin(ADM)。选择Account Manager。步骤2. 选择Users-Add New User。步骤3. 输入登录名。接受或分配UID。在“Command”域中,你可以输入
9、该用户的信息,如全名、部门和分机。,步骤4. 所有其他域都根据缺省值设置。选择“Set password now”。如果选择“Set password later”,那么直到设置初始口令,用户才能登录进来。选择“OK”继续 步骤5. 系统提示你为帐户设置初始口令,有几种选择:设置口令,让系统为你创建口令或在安全性简要表允许的情况下置口令为空。步骤6. 如选择设置口令,则必须键入两次以确认输入。选择是否强制用户在第一次登录时改变口令。转入步骤9。,步骤7. 如果选择系统创建口令。选择“Create a password”,系统显示产生的口令。记下口令,以便告诉用户。选择是否强制用户在第一次登录时
10、改变口令。转入步骤9。 步骤8. 如果你选择置口令为空,选择“Set password to blank”选项。选择是否强制用户在第一次登录时改变口令 步骤9. 选择“OK”。系统创建用户帐户。,通过修改缺省值创建帐户步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择User-Add New User。步骤3. 输入登录名。在“Command”域,你可以输入该用户的信息,例如全名、部门和分机。步骤4. 如果愿意的话,输入一个不同的 User ID。步骤5. 选择“Set password now”。如果选择“Set password later”,只
11、有当设置初始口令后,用户才能登录进来。,步骤6. 改变登录shell。选择“Change Login Shell”。 选择适当的shell,并选“Add Shell Environment Files to Home Directory”为该 shell设置缺省用户环境。选择“OK”继续。 步骤7. 选择“Change Home Directory”,改变主目录或主目录的权限。输入新的目录位置,为主目录设 置权限。选择“OK”继续。 步骤8. 选择“Change Group Membership”,改变组成。设置登录组。你可以看到组的列表和组所属的帐户的列表。“Add”和 “Remove”可以
12、在两张列表中移动组。选择“OK”继续。 步骤9. 选择“OK”创建用户。为该帐户设置口令。,删除用户帐户步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择适当的用户帐户。步骤3. 选择User-Delete。步骤4. 选择“OK”确认操作。 现在应该删除主目录:步骤5. 把重要的文件移到其它位置。步骤6. 删除用户主目录。下面的命令基于假设目录是在/usr下:rm -r /usr/login_name主目录一旦被删除,帐户名就能重新使用。如果不删除主目录,指定一个不同的主目录,也可以重新使用帐户名和ID。用命令行rmuser(ADM)删除用户:rmu
13、ser username,闲置用户帐户在高级安全性系统中,必须先闲置用户帐户才能使其无效。步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择适当的帐户。步骤3. 选择User-Retire步骤4. 选择“OK”确认操作。,删除帐户与闲置帐户的区别1 删除操作把用户的信息,从/etc/passwd和带保护口令字数 据库中删除;闲置的帐户,其相应的记录项在这两个文件中依然存在,只是在帐户类型字段上标明: retired2 删除的帐户名字,可以有新建的帐户使用;闲置帐户的名字不能用于新建帐户,闲置的帐户不能用rmuser命令来删除。,管理用户组修改组成员当
14、出现人事变动时,当出现人事变动的时候你需要从组中增加或删除用户。步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择View- By Group。步骤3. 选择适当的组。步骤4. 选择Group-Modify。步骤5. 按需要增加、删除用户。步骤6. 选择“OK”接受更改。,删除一个组如果你重新组织系统上的用户帐户,会发现某个组没用了。按照以下步骤删除组:步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择View- By Group。步骤3. 选择适当的组。步骤4. 选择Group-Delete。步骤5. 选
15、择“OK”确认更改。,帐户加锁解锁加锁解锁的一般概念1 系统管理员可以给一个用户加锁,以便防止人 们对它的使用。2 当系统安全级为Improved 或者为High时,如果 某些用户的注册参数超限,系统将自动把这个 帐户加锁。3 在unix系统中,不仅帐户可以加锁,终端也可 以加锁。4 当系统的安全级比较低的时,帐户或终端只有 通过系统管理员才能够被加锁。5 帐户或终端加锁后,只有系统管理员才能给它 们解锁。,用scoadmin加锁解锁用户帐户步骤1. 运行scoadmin(ADM)。选择 Account Manager。步骤2. 选择Users- Login Controls。步骤3. 选择适
16、当的用户。步骤4. 选择Users-Login Controls。步骤5. 选择“Unlock Account” 解锁一个加锁了的帐户。选择“Lock Account” 加锁一个解锁了的帐户。步骤6. 选择“OK”接受更改。,利用命令行加锁解锁用户帐户用 passwd-l命令行对一个帐户加锁:passwd -l username用 passwd-l命令行对一个帐户解锁:passwd -u username,设置终端的登录限制步骤1. 运行scoadmin(ADM)。选择 System-Terminal Manager。步骤2. 选择Examine。输入适当的终端设备文件,或按 在列表中选择适当的设备。步骤3. 窗口显示登录信息:最后一次有效登录,最后一次失败登录,最后一次注销和最后一次成功 登录之后的失败登录企图的次数。步骤4. 为运行“Consecutive unsuccessful logins” 选择“Specify”。输入所需要的限制。你也可以指定一个登录尝试之间的时间间隔和一个登录超时设定。步骤5. 选择“Quit”。,
