L4-用户管理和安全策略.ppt

CS422S: Operating Systems Organization CS422S: Operating Systems Organization 第四讲　用户管理与安全策略 每一种UNIX都有cron，但有关定义文件的目录位置会不同 cron表文件 /var/spool/cron/crontabs/user 记录文件 /var/adm/cron/log 允许/拒绝文件 /var/adm/cron/cron.{allow,deny} 使用crontab -e编辑cron文件 课堂练习(4) 希望安装软件的同学可以行动啦 步骤如下： 1. 将你的软件上传到我的ftp(请同时用一个文本文件注明软件用处上传/安装人姓名、学号) 2. 03 用户名:AIX(大写) 密码：aix小写) 3. 在p560-AIX的/home/student下建立一个目录，下载软件 4. 安装到/usr/下，这个过程中你可能需要找我输入su密码 / GUN software for AIX End of Lecture 4Thanks! 测试题(4) 答案 1、D 2、A 3、A Telnet到AIX主机，地址是：53 端口：23 使用用户名：student，密码：student登录系统，（请熟记地址和密码） 请认真完成以下任务 任务1：浏览 /etc/security/* 指出文件的用途 任务2：简单浏览 /etc/rc/* 任务3：熟悉课件中所涉及的每一条命令 希望在小型机上安装软件的同学请注意 组管理(2) 建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可权位一致) 要创建组并成为其管理员，必须是root或security 组成员。组管理员有权往组里添加其他用户 系统中已经定义了几个组，如system 组是管理用 户的组，staff 组是普通用户的组 ，其他的组与特 定应用和特定文件的所有权相联系 列示组 # smitty lsgroup lsgroup命令 lsgroup 缺省格式，列表按行显示 lsgroup -c 显示时每个组的属性之间用冒号分隔 lsgroup –f 按组名以分节式格式输出 添加组 # smitty mkgroup mkgroup命令 mkgroup groupname -a 用来指定该组是管理组（只有root才有权在 系统中添加管理组） -A 用于任命创建者为组管理员 一个用户可属于1~32个组。ADMINISTRATOR list是组管理员列表，组管理员有权添加或删除组 成员 更改组的属性 # smitty chgroup 更改组的属性(2) smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作 组的属性包括： Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames) 删除组 # smitty rmgroup 删除组 rmgroup用来删除一个组 对管理组而言，只有root才有权删除 组管理员可以用chgrpmen命令来增删组管理员 和组成员 motd文件 write命令 wall命令 talk命令 mesg命令 管理员和用户通信工具 管理员和用户通信工具(2) 文件/etc/motd在用户从终端成功登录时将会显示在屏幕上。 特别适合存放版权或系统使用须知等长期信息 只应包含用户须知的内容 用户的主目录下如果存在文件$HOME/.hushlogin 则该用户登录时不显示motd 文件的内容 motd 文件 安全性的概念 系统缺省用户 root：超级用户 adm、sys、bin ：系统文件的所有者但不允许登录 系统缺省组 system ：管理员组 staff ：普通用户组 安全性原则 用户被赋予唯一的用户名、用户ID (UID)和 口令。用户登录后，对文件访问的合法性取决 于UID 文件创建时，UID自动成为文件主。只有文 件主和root才能修改文件的访问许可权 需要共享一组文件的用户可以归入同一个组 中。每个用户可属于多个组。每个组被赋予唯 一的组名和组ID (GID)，GID也被赋予新创建的 文件 root特权的控制 严格限制具有root 特权的人数 root 口令应由系统管理员以不公开的周期更改 不同的机器采用不同的root 口令 系统管理员应以不同用户的身份登录，然后用su 命令进入特权 root 所用的