AIX用户管理和用户.doc

AIX 用户管理和用户 用户管理和用户1. 用户管理概念用户账号：每个用户账号都有唯一的用户名、用户id和口令；文件所有者依据用户id判定；文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者；固定用户：root为超级用户，adm、adm、bin……..大多数系统文件的所有者，但不能用这些用户登录。用户组：需要访问同一文件或执行相同功能的多咯用户可放置到一个用户组，文件所有者组给了针对文件所有者更多的控制；固有用户组：system，管理者组；staff普通用户组！基本的系统安全机制是基于用户账号的。每当用户登录后，系统就使用其用户id号作为检验用户请求权限的唯一标准；拥有创建文件的那个进程的用户id，就是被创建文件初始的所有者id，除了文件所有者root,任何其他用户不能改变文件所有者；需要共享对一组文件的访问的多咯用户可放置在一个用户组中，一个用户可属于多个用户组，每个用户组有唯一的用户组名和用户组id，当文件创建时，拥有创建文件的那个进程的用户所在的主用户组，就是被创建文件的所有者组id。2. 用户组一个用户组包含一个或多个用户，每个用户都必须属于至少一个用户组，一个用户可属于多咯用户组，可以使用groups或setgroups命令查看用户所属的组；建立用户组以便组织并区分用户，是系统管理的重要组成部分，它与系统安全策略密切相关；组管理员拥有增加、删除组中用户和组管理员的权限，有三种类型的用户组：自建用户组，根据用户情况和安全策略建立的用户组；系统管理员组，system，这个组的成员可以执行一些系统管理任务；系统定义的组：有若干个系统定义的固有用户组，某些只是为系统所有，不应当随意为其添加用户，例如，bin，sys等等；所有非系统管理员组成员的用户属于staff组；security组成员可以执行部分安全安全性管理的任务。3. 用户组层次? 属于系统管理员组或系统定义组的用户可以执行某些系统管理任务，系统固有组有：system，可对标准的软硬件进行配置和维护工作；printq,可管理打印队列，enable、disable、qadm、qpri等等；security：可进行用户口令和限制管理，mkuser、rmuser等；adm，可进行系统监视工作，性能监视、统计等等；staff，所有新用户的默认组。为了保护重要的用户和用户组不被security组成员任意修改，aix提供了admin用户和admin组，只有root才能增删改admin用户和admin组，系统中任何用户都可被root设为admin用户，无论其属于哪个组，#cat /etc/security/userUser1:Admin=true4. 控制root访问限制root登录，系统管理员必须按照不公开的时间表定期更改root口令，对不同的系统指定不同的root口令，为每个系统管理员建立一个自己的账号，执行系统管理任务时，首先用自己的账号登录，然后用su命令切换到root用户，这可以为日后清理留下审计记录，root的path环境变量设置不能危机系统安全；root口令要严格保密，只让尽量少的人知道，root用户的path环境变量不仅被以root登录的用户所用，很多系统内部功能都使用它，所以必须保证root用户的path环境变量设置不危及系统安全。Su 命令Su命令使一个用户切换到另一个用户账号，su会创建一个新的shell进程；如果su命令带上“－“参数（前后都有空格），用户环境也被切换，＄ cd /tmp? ? ? ? ＄su – root? ? ? ? #pwd? ? ? ? ? /Su命令以指定的用户id运行一个子shell，如果不指定用户名参数，su默认root，从root切换到其他用户不用回答口令，否则系统提示输入要切换的用户的口令，结束一个su会话，可以在命令行中输入exit命令或按ctrl＋d键。5. 安全性记录文件/var/adm/sulog：记录每次su命令的执行，这是个文本文件，是用任何观看文本文件的命令查看；/var/adm/wtmp和/etc/utmp：记录用户的成功登录，使用who命令查看；/etc/security/failedlogin:记录所有不成功的登录尝试，如果用户名不存在记录为unknown项目，使用who命令查看。6. 文件和目录权限每个文件和目录有3组权限，分别为所有者权限、所有者组权限、和其他用户权限，每个组权限都有三个可设定的许可：r、w、x。改变文件或目录权限和所有者：chmod 775 file1修改文件或目录所有者：chown user1 file1修改文件或目录所有者组：chgrp group1 file17. 安全性相关文件，包含用户属性和