第2单元用户管理和安全性概要.ppt

用户管理概念 用户组 用户组层次 用户层次 控制root访问 su命令 安全性记录文件 文件和目录权限（一） 文件和目录权限（二） 改变文件或目录权限和所有者 安全性相关文件 用户环境的合法性检查和修正 用户环境初始化过程 安全和用户管理菜单 用户管理菜单 增加用户 更改/显示用户属性 删除用户帐号 设置用户口令 用户组管理菜单 增加用户组 更改/显示用户组 单元小结 每个文件或目录有3组权限，分别为所有者权限（owner）、所有者组权限（group）和其他用户权限（user），分别表示文件所有者、文件所有者主用户组成员和其他用户对文件或目录的权限。 每组权限都有3个可设定的许可：r（读）、w（写）、x（执行）。 使用chmod命令修改文件或目录的权限，语法是： chmod {[ugo]+[rwx]} file 也可将权限表示为八进制数字形式，这种形式的好处是一次可更改多个许可，而且与文件当前许可设置无关。 使用chown命令修改文件所有者（和所有者组）： chown user[:group] file 使用chgrp命令修改文件所有者组： chgrp group file /etc/passwd文件包含有合法用户列表，包括用户ID、主用户组、宿主目录、默认登录shell等。 /etc/group文件包含合法用户组列表，包括用户组ID和成员用户名。 /etc/security/passwd文件含有加密形式的用户口令和口令更新信息。 /etc/security/user文件含有用户属性信息 。 /etc/security/limits文件含有对用户的进程资源限制值。 /etc/security/environ文件含有用户的环境变量，不过这个文件很少用到。 /etc/security/login.cfg文件含有对登录程序的配置信息，例如对某个端口的登录限制。 /etc/security/group文件含有用户组属性。 建立新用户的一些默认设置存放在/usr/lib/security/mkuser.default文件中： 普通用户： pgrp = staff #主用户组 groups = staff shell = /usr/bin/ksh home = /home/$USER admin用户： pgrp = system groups = system shell = /usr/bin/ksh home = /home/$USER 如果不指定用户ID，系统将自动分配一个新的ID。admin用户ID从7开始，而普通用户从200开始。 创建用户过程中，系统运行shell脚本/usr/lib/security/mkuser.sys，它建立用户宿主目录，以及$HOME/.profile文件。 用户刚刚创建时，其帐号状态是disable的（即/etc/passwd中相应条目的口令标志是“*”。要激活它，必须为其设置口令，可以通过passwd命令或SMIT菜单完成。 * * 用户帐号 每个用户帐号都有唯一的用户名、用户ID和口令 文件所有者依据用户ID判定 文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者 固有用户 root 超级用户 adm, adm, bin, … 大多数系统文件的所有者，但不能用这些用户登录 用户组 需要访问同一文件或执行相同功能的多个用户可放置到一个用户组 文件所有者组给了针对文件所有者更多的控制 固有用户组： system 管理者组 staff 普通用户组 一个用户组包含一个或多个用户 每个用户都必须属于至少一个用户组，一个用户可属于多个用户组 可以使用groups或setgroups命令查看用户所属的组 一个用户所属的主用户组用于在创建文件时标明文件所有者组。更改主用户组使用newgrp或setgroups命令 system security printq adm audit staff root admin用户 （admin标志 设为true） 普通用户 限制root登录 系统管理员必须按照不公开的时间表定期更改root口令 对不同的系统指定不同的root口令 为每个系统管理员建立一个自己的帐号。执行系统管理任务时，首先用自己的帐号登录，然后用su命令切换到root用户。这可以为日后清查留下审计记录。 root的PATH环境变量设置不能危及系统安全 su命令使一个用户切换到另一用户帐号，su会创建一个新的shell进程。 例如： # su team01 $whoami team01 如果su命令带上“ - ”参数（前后都有空格），用户环境也被切换 例如： $ cd