《AIX 用户管理和用户》由会员分享,可在线阅读,更多相关《AIX 用户管理和用户(4页珍藏版)》请在金锄头文库上搜索。
1、AIX 用户管理和用户 用户管理和用户1. 用户管理概念用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有 者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可 以改变一个文件的所有者;固定用户:root为超级用户,adm、adm、b in.大多数系统文件的所有者,但不能用这些用户登录。用户组:需要访问同一文件或执行相同功能的多咯用户可放置到一个用 户组,文件所有者组给了针对文件所有者更多的控制;固有用户组: sy stem,管理者组;staff普通用户组!基本的系统安全机制是基于用户账号的。每当用户登录后,系统就使用 其用户id号作为检验用户请求权限的唯一标准;
2、拥有创建文件的那个进 程的用户id,就是被创建文件初始的所有者id,除了文件所有者root, 任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯 用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组 有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进 程的用户所在的主用户组,就是被创建文件的所有者组id。2. 用户组 一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组, 一个用户可属于多咯用户组,可以使用groups或setgroups命令查看用 户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成 部分,它与系统安全策略密切相关;组管
3、理员拥有增加、删除组中用户 和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况 和安全策略建立的用户组;系统管理员组,system,这个组的成员可以 执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户 组,某些只是为系统所有,不应当随意为其添加用户,例如, bin, sys 等等;所有非系统管理员组成员的用户属于staff组;security组成员可 以执行部分安全安全性管理的任务。3. 用户组层次属于系统管理员组或系统定义组的用户可以执行某些系统管理任务,系 统固有组有:system,可对标准的软硬件进行配置和维护工作;printq, 可管理打印队列,enable、d
4、isable、qadm、qpri 等等;security:可进 行用户口令和限制管理,mkuser、rmuser等;adm,可进行系统监视工 作,性能监视、统计等等;staff,所有新用户的默认组。为了保护重要的用户和用户组不被security组成员任意修改,aix提供了 admin用户和admin组,只有root才能增删改admin用户和admin组, 系统中任何用户都可被root设为admin用户,无论其属于哪个组,#cat /etc/security/userUser1:Admin=true4. 控制 root 访问限制root登录,系统管理员必须按照不公开的时间表定期更改root 口令
5、, 对不同的系统指定不同的root 口令,为每个系统管理员建立一个自己的 账号,执行系统管理任务时,首先用自己的账号登录,然后用 su 命令切 换到root用户,这可以为日后清理留下审计记录,root的path环境变 量设置不能危机系统安全;root 口令要严格保密,只让尽量少的人知道, root用户的path环境变量不仅被以root登录的用户所用,很多系统内 部功能都使用它,所以必须保证root用户的path环境变量设置不危及 系统安全。Su 命令Su 命令使一个用户切换到另一个用户账号, su 会创建一个新的 shell 进 程;如果su命令带上“一“参数(前后都有空格),用户环境也被切换
6、, cd /tmp$su - root#pwd/Su命令以指定的用户id运行一个子shell,如果不指定用户名参数,su 默认root,从root切换到其他用户不用回答口令,否则系统提示输入要 切换的用户的口令,结束一个su会话,可以在命令行中输入exit命令 或按 ctrld 键。5. 安全性记录文件/var/adm/sulog:记录每次su命令的执行,这是个文本文件,是用任何 观看文本文件的命令查看;/var/adm/wtmp和/etc/utmp:记录用户的成功登录,使用who命令查看; /etc/security/failedlogin:记录所有不成功的登录尝试,如果用户名不存在 记录为
7、 unknown 项目,使用 who 命令查看。6. 文件和目录权限每个文件和目录有 3 组权限,分别为所有者权限、所有者组权限、和其 他用户权限,每个组权限都有三个可设定的许可: r、w、x。 改变文件或目录权限和所有者: chmod 775 file1 修改文件或目录所有者: chown user1 file1 修改文件或目录所有者组: chgrp group1 file17. 安全性相关文件,包含用户属性和访问控制的文件/etc/passwd文件包含有合法用户列表,包括用户id、主用户组、宿主目 录、默认登录 shell 等;/etc/group 文件包含合法用户组列表,包括用户组 id
8、 和成员用户名; /etc/security/passwd 文件含有加密形式的用户口令和口令更新信息; /etc/security/user 文件含有用户属性信息;/etc/security/limits 文件含有对用户的进程资源限制值; /etc/security/environ 文件含有用户的环境变量,不过这个文件很少用 到;/etc/security/login.cfg 文件含有对登录程序的配置信息,录入对某个端口 的登录限制;/etc/security/group 文件含有用户组属性;8. 用户环境初始化过程登录:/etc/profile: 个shell脚本,控制整个系统的默认环境变量
9、,例如:ter m、mailmsg 等;/etc/enviroment:控制所有进程的基本环境,例如:home、lang、tz、n lspath 等;/$ home/.profile:每个用户自由的环境变量设置文件,位于用户的宿主 目录中;安全和用户管理菜单: smit security如果不指定用户id,系统将自动分配一个新的id,admin用户id从7开 始,而普通用户从200开始;创建用户过程中,系统运行shell脚本/et c/lib/security/mkuser.sys,它建立用户宿主目录,以及 $ home/.profile 文件,用户刚刚创建时,其账号状态是disable的(即
10、/etc/passwd中相 应条目的口令标志是”*要激活它,必须为其设置口令,可以通过pass wd 命令或 smit 菜单完成。删除用户账号,不会象创建用户自动创建宿主目录,删除用户时不会自 动删除宿主目录,要手工删除。设置用户口令:在设置口令前,新用户账号不可用;修改用户口令, pa sswd username:使用这个命令,root用户可以修改任何用户的口令, 其他用户只能修改自己的口令。9. 单元小结每个用户在aix系统中都必须属于一个用户组,可以属于多个,如果是 这样,必须为其指定一个主用户组; 属于系统固有用户组的用户,根据其所在组的不同,可以执行某一类系 统管理任务;不要使用root用户进行普通的操作,并且应当密切监视多root用户的使 用;文件和目录所有者和3组许可权,使用chmod、chown和chgrp命令可 以修改它们;系统将包含用户和用户组信息的ascii文本文件放置在目录/etc和/etc/s ecurity 中;用户、用户组及其属性可以使用smit创建、修改和删除。
