收藏
下载资源

l4-用户管理与安全策略

上传人:san****019 文档编号:82951310 上传时间:2019-02-25 格式:PPT 页数:66 大小:435.50KB
返回 下载 相关 举报
l4-用户管理与安全策略_第1页
第1页 / 共66页
l4-用户管理与安全策略_第2页
第2页 / 共66页
l4-用户管理与安全策略_第3页
第3页 / 共66页
l4-用户管理与安全策略_第4页
第4页 / 共66页
l4-用户管理与安全策略_第5页
第5页 / 共66页
点击查看更多>>
资源描述

《l4-用户管理与安全策略》由会员分享,可在线阅读,更多相关《l4-用户管理与安全策略(66页珍藏版)》请在金锄头文库上搜索。

1、第四讲 用户管理与安全策略,2019/2/25,用户管理与安全策略,本章要点,定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用,2019/2/25,用户登陆和初始化,getty,login,用户输入用户名,系统验证用户 名和密码,设置用户环境,显示/etc/motd,shell,读取 /etc/environment /etc/profile $HOME/.profile,2019/2/25,用户登陆,对直接连接的可用端口,由init启动的getty进程 将在终端上显示登录

2、提示信息,该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令,提示信息 用户名 口令,2019/2/25,用户环境,用户环境由以下文件建立: /etc/passwd 合法用户(无口令内容) /etc/group 合法用户组 /etc/security/passwd 含有加密形式的用户口令 /etc/security/user 用户属性,口令限制 /etc/security/limits 对用户的限制 /etc/security/environ 用户环境设定

3、/etc/security/login.cfg 登录设置 /etc/security/group 用户组属性 /usr/lib/security/mkuser.default 建立新用户的一些默认设置存放文件中,2019/2/25,/etc/motd,login过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息 最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对C

4、sh,则 执行$HOME/.login和$HOME/.cshrc文件,/etc/motd shell,2019/2/25,环境变量,用户登录时系统设置用户环境主要依据下述文件 /etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量 /etc/environment 指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等 $HOME/.profile 用户在主目录下的设置文件,2019/2/25,组的分类,组的特点,组是用户的集合,组成员需要存取组内的共享文件 每个用户至少属于一个组,同时也可以充当多个

5、组 的成员 用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令 文件主修改主组可用newgrp 或setgroups 命令,2019/2/25,分组策略,组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂 每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员,2019/2/25,用户组,系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组,系统管理员组,系统管理员自动成为s

6、ystem组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户,三种类型组,系统定义的组,系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务,2019/2/25,组的划分,在AIX系统中,一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务,2019/2/25,system 管理大多数系统配置和维护标准软硬件 printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri

7、等 security 管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等,系统定义的组,2019/2/25,adm 执行性能、cron 、记帐等监控功能 staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置 audit 管理事件监视系统,系统定义的组(2),2019/2/25,用户划分,root用户 管理用户 普通用户,2019/2/25,root用户,超级用户(特权用户) 可执行所有的系统管理工作,不受任何权限限制 大多

8、数系统管理工作可以由非root的其他用户来完成,如指定的 system、 security、printq、cron、adm、audit组的成员。,2019/2/25,管理用户,为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组 只有root才能添加删除和修改管理用户和管理组 系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性 # cat /etc/security/user user1: admin=true,2019/2/25,安全性和用户菜单,# smitty security,2019/2/25,用户管理

9、,# smitty users,2019/2/25,列示用户,# smitty lsuser,2019/2/25,lsuser命令,在SMIT菜单选择List All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性 lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user,2019/2/25,lsuser命令(2),命令格式: lsuser -c | -f -a attribute ALL | username lsu

10、ser 列表按行显示; lsuser -c 显示的域以冒号分隔 lsuser f 按分节式的格式显示,可以指定列出全部属性或部分属性,2019/2/25,创建用户,# smitty mkuser,2019/2/25,用户缺省值,缺省用户的ID号取自/etc/security/.ids 设置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、/etc/security/user 缺省的.profile文件取自/etc/security/.profile,2019/2/25,用户属性文件,/et

11、c/passwd 包含用户的基本属性 /etc/group 包含组的基本属性 /etc/security/user 包含用户的扩展属性 /etc/security/limits 包含用户的运行资源限制 /etc/security/lastlog 包含用户最后登陆属性,2019/2/25,修改用户属性,# smitty chuser,2019/2/25,删除用户,# smitty rmuser,2019/2/25,rmuser命令,example: # rmuser test01 删除用户test01 # rmuser -p test01 删除用户test01,并删除与用户认证相关的信息 # r

12、m -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录),2019/2/25,用户口令,新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令 1、passwd username 此命令只有root和username本人可用 2、pwdadm username root和security成员可用,2019/2/25,root口令,紧急情况下删除root口令的步骤,1、从AIX 5L CD-ROM引导 2、引导时键入F5,进入安装和维护(Installation and Maintenance)菜单下选择3:Start Maintenance

13、Mode For System Recovery 3、选择 Obtain a shell by activating the root volume group并按提示继续 4、设置TERM变量,例如:# export TERM=vt100 5、通过 # vi /etc/security/passwd删除root口令的密文 6、# sync;sync(系统同步) 7、# reboot(从硬盘引导) 8、从新登陆后给root设置口令,2019/2/25,组管理,# smitty groups,2019/2/25,组管理(2),建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可

14、权位一致) 要创建组并成为其管理员,必须是root或security 组成员。组管理员有权往组里添加其他用户 系统中已经定义了几个组,如system 组是管理用 户的组,staff 组是普通用户的组 ,其他的组与特 定应用和特定文件的所有权相联系,2019/2/25,列示组,# smitty lsgroup,2019/2/25,lsgroup命令,lsgroup 缺省格式,列表按行显示 lsgroup -c 显示时每个组的属性之间用冒号分隔 lsgroup f 按组名以分节式格式输出,2019/2/25,添加组,# smitty mkgroup,2019/2/25,mkgroup命令,mkgr

15、oup groupname -a 用来指定该组是管理组(只有root才有权在 系统中添加管理组) -A 用于任命创建者为组管理员 一个用户可属于132个组。ADMINISTRATOR list是组管理员列表,组管理员有权添加或删除组 成员,2019/2/25,更改组的属性,# smitty chgroup,2019/2/25,更改组的属性(2),smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作 组的属性包括: Group ID (id=groupid) Administrative group?(admin=true|fals

16、e) Administrator List (adms=adminnames) User List (users=usernames),2019/2/25,删除组,# smitty rmgroup,2019/2/25,删除组,rmgroup用来删除一个组 对管理组而言,只有root才有权删除 组管理员可以用chgrpmen命令来增删组管理员 和组成员,2019/2/25,motd文件 write命令 wall命令 talk命令 mesg命令,管理员和用户通信工具,2019/2/25,管理员和用户通信工具(2),文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息 只应包含用户须知的内容 用户的主目录下如果存在文件$HOME/.hushlogin 则该用户登录时不显示motd 文件的内容,motd 文件,2019/2/25,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号