AIX 5L用户名长度全接触

AIX 操作系统安全配置规范
2011年3月
第1章概述
1.1适用范围
适用于中国电信使用AIX操作系统的设备。

本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以AIX 5.X为例，给出参考配置操作。

第2章安全配置要求
2.1账号
编号：1
编号：2
编号：3
编号：4
2.2口令
编号： 2
编号： 3
编号： 4
2.3授权编号： 1
编号：2
2.4补丁安全编号：1
2.5日志安全要求编号：1
编号：2（可选）
编号：3
2.6不必要的服务、端口编号：1
2.7文件与目录权限编号：1
编号： 2
2.8系统Banner设置
2.9登录超时时间设置
2.10内核调整（可选）
2.11使用SSH加密协议
2.12 FTP设置
编号2：
编号3：
附表：端口及服务。

AIX系统参数配置AI某内核属于动态内核，核心参数基本上可以自动调整，因此当系统安装完毕后,应考虑修改的参数一般如下:一、单机环境1、系统用户的最大登录数ma某loginma某login的具体大小可根据用户数设定，可以通过mittychlicene 命令修改，该参数记录于/etc/ecurity/login.cfg文件，修改在系统重新启动后生效。

2、系统用户的limit参数这些参数位于/etc/ecurity/limit文件中，可以把这些参数设为-1,即无限制，可以用vi修改/etc/ecurity/limit文件，所有修改在用户重新登录后生效。

default:fize=2097151----》改为-1core=2097151cpu=-1data=262144----》改为-1r=65536tack=65536nofile=20003、PagingSpace检查pagingpace的大小，在物理内存<2G时，应至少设定为物理内存的1.5倍，若物理内存>2G，可作适当调整。

同时在创建pagingpace时,应尽量分配在不同的硬盘上，提高其性能。

利用mittychp修改原有pagingpace的大小或mittymkp增加一块pagingpace。

4、系统核心参数配置利用lattr-Ely0检查ma某uproc,minpout,ma某pout等参数的大小。

ma某uproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将ma某uproc调整，Default：128、调整到500，ma某uproc增加可以马上起作用，降低需要AI某重起。

当应用涉及大量的顺序读写而影响前台程序响应时间时，可考虑将ma某pout设为33,minpout设为16，利用mittychgy来设置。

5、文件系统空间的设定一般来说，系统的文件系统/、/ur、/var、/tmp的使用率不要超过80%，/tmp建议至少为300M，文件系统满可导致系统不能正常工作，尤其是AI某的基本文件系统，如/(根文件系统)满则会导致用户不能登录。

AIX 用户密码永不过期2010-03-05 12:27:28| 分类：aix|字号订阅一、如果用Xmanager 图形化修改1、>smit chuser2、输入您要修改的用户名3、找到参数 Password MAX.AGE(Num.) 值修改为0 即可。

Maxage参数含义：密码有效的星期数，指出两次修改密码之间相距最长时间，在这时之间用户必须修改密码。

该属性的只是一个正整数，范围是0到52。

当为0时表示没有最长时间限制二、如果是命令行修改1、#smit chuser2、输入用户名，然后回车3、找到“密码最长寿命 [12] ” ，将12 修改为0，然后回车，即执行成功。

几个重要的密码策略Password MAX. AGE ：单位是周，修改周期Password MIN. AGE ：单位是周，如果是1，则代表一周内不允许修改密码(除非修改这个策略)Password MIN. LENGTH : 定义密码的最小长度Password MIN. ALPHA characters ：定义密码中的字符数目Password MIN. OTHER characters ：定义密码中的非字符数目Password MAX. REPEA TED characters ：定义密码中的字母最大重复数Password MIN. DIFFERENT characters ：两次密码的最小重复数Days to WARN USER before password expires : 密码到期提醒期限aix 中 /etc/security/user 存放用户的概要常用参数参数如下1.account_locked defines whether the account is locked.locked accounts can not be used for login .possible values:true or false.定义账户是否被锁，被锁的账户不能登录。

AIX 5L 内存性能优化之AIX Version 5.3 中内存的概述以及内存参数的优化AIX 5L 内存性能优化之AIX Version 5.3 中内存的概述以及内存参数的优化,详细介绍了AIX 5L系统内存管理特性和优化技巧!引言作为一名系统管理员，您应该已经对有关内存的基本知识非常熟悉，如物理和虚拟内存之间的区别。

您可能还不是很清楚AIX® 中的虚拟内存管理器(VMM) 是如何工作的、以及它与性能优化之间的关系如何。

而且，在最近几年中，有一些优化命令和参数发生了变化，如果您较长时间没有使用AIX 了，那么您可能会发现，您从前所熟悉的一些命令，现在甚至根本无法继续使用了。

本文详细地介绍了AIX VMM，以及优化VMM 所需使用的各种优化命令。

我将介绍一些监视工具，您可以使用这些工具来优化您的系统，本文还对一些比较重要的AIX Version 5.3 内存管理增强功能进行概述。

实现这些增强功能，即将其应用到您的系统环境，可以在您的系统中优化内存性能。

尽管您可能会发现，与其他的子系统相比，内存的优化更为困难一些，但是收到的效果往往更加显著。

可能还有一些应该在您的系统中进行设置的特定的优化建议，这取决于您所运行的系统的类型。

为了帮助证实这些内容，我使用了一个特定的示例，并介绍了进行这些参数设置的一些最佳实践。

在某些情况下，动态地优化一个或两个参数，可能会使得您的系统的整体性能完全不同。

无论您需要对哪个子系统进行优化，有一个方面是相同的，即优化系统—您始终应该将其看作一个正在进行的进程。

开始对系统进行监视的最佳时间是当您首次将系统应用到产品环境中并且正常运行时，而不是等到用户抱怨系统的性能非常糟糕的时候。

如果您不了解系统正常运行时的情况，并以此作为基准，那么您可能永远也无法真正地确定是否出现了问题。

而且，一次只应该进行一项更改，并且在进行了更改之后，应该尽快地捕获相关的数据并对其进行分析，以确定这项更改究竟带来了什么不同（如果存在的话）。

AIX系统密码说明AIX系统密码说明maxrepeats=4 >>>>在新密码中相同字符出现的最大次数。

0表示无限制。

8表示没有最大数目的限制。

minlen=8 >>>>密码的最短长度，值的范围为0到8,0表示没有限制。

minalpha=4 >>>>>>新密码中含有字符的最少个数。

这是一个正整数的值。

他的范围为0到8。

为0时表示没有最少字符限制。

minother=0 >>>>>>新密码中含有非字母字符的最少个数。

这是一个正整数的值。

他的范围是0到8,。

为0表示无最少非字母字符数限制。

mindiff=2 》》》指旧密码中的字符在新密码中出现的最小个数。

该属性值是个正整数。

范围为0到8.0表示没有限制。

maxage=48 >>>>密码有效的星期数。

指出两次修改密码之间的距离最长时间。

在这个时间之前用户必须修改密码。

该属性的值是一个正整数。

范围为0-52.当为0时表示没有最短时间限制。

histsize=0 >>>>>>>该用户不能重复使用以前的密码（旧密码）的数。

该属性的值是一个正整数，值的范围是0到50.maxexpired=-1 》》》定义过了maxage时间后的最大延期。

如果过了最大延期，用户自己就不能再修改密码了。

必须由root用户为该用户修改密码。

该属性的值是一个正整数，范围是-1到52.当为-1时表示没有限制。

如果为0表示最大延期为0，等于没有延期。

当maxage为0时，该属性也就无效。

该属性对root无效。

histexpire=0 >>>>>该用户在多个个星期内不能重复使用相同的密码。

该属性是一个正整数。

值的范围在0到260，若为0表示没有这个限制，推荐值为26（大约6个月）。

aix密码设置策略密码猜测密码是系统最常遇到的攻击方法之一。

因此，控制和监视您的密码限制策略是不可缺少的。

AIX 提供机制以帮助您实施更强的密码策略，例如为以下的条目建立值：密码可被更改之前和之后可经过的最小和最大星期数密码的最小长度选择密码时，最小可使用的字母字符个数1.设定良好的密码良好的密码是抵御未授权进入系统的第一道有效防线。

2.使用/etc/passwd 文件传统上，/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户。

3.使用/etc/passwd 文件和网络环境在传统的网络环境中，用户必须在每个系统中有一个帐户才能获得对该系统的访问权。

4.隐藏用户名和密码为了达到更高级别的安全性，请确保用户标识和密码在系统内是不可见的。

5.设置建议的密码选项恰当的密码管理只有通过用户教育来实现。

为提供某些额外的安全性，操作系统提供了可配置的密码限制。

它们允许管理员限制用户选择的密码，并强制定期更改密码。

6.扩展密码限制密码程序接受或拒绝密码所使用的规则（密码构成限制）可由系统管理员进行扩展，以提供特定于站点的限制。

设定良好的密码良好的密码是抵御未授权进入系统的第一道有效防线。

符合以下条件的密码有效：大小写字母的混合字母、数字或标点符号的组合。

此外，它们可以包含特殊字符，如~!@#$%^&*()-_=+[]{}|\;:'",.<>?/未写在任何地方如果使用/etc/security/passwd 文件，那么长度最少为7 个字符最大8 个字符（像LDAP 那样使用注册表实施的认证，可以使用超出此最大长度的密码）。

不是在字典中可查到的真实单词不是键盘上字母的排列模式，例如qwerty不是真实单词或已知排列模式的反向拼写不包含任何与您自己、家庭或朋友有关的个人信息不与从前一个密码的模式相同可以较快输入，这样边上的人就不能确定您的密码除了这些机制外，您还可以通过限定密码不可以包含可能猜测到的标准UNIX 单词，从而进一步实施更严格的规则。

AIX 5L 性能优化Aix性能优化的一般过程AIX 5L CPU 性能优化第 1 部分：CPU 概述、考虑事项和调整方法关于本系列本系列文章由三部分组成，重点介绍中央处理器(CPU) 性能和监视的各个方面。

本系列文章的第一部分概述了有效监视CPU 的方法，讨论性能优化的方法，并从正反两方面考虑可能影响性能的因素。

本系列文章的第一部分虽然详细说明了一些命令，但第二部分将更集中于实际CPU 系统监视的细节，以及分析趋势和结果。

第三部分则专注于通过主动控制线程使用和其他方法在最大程度上优化您的CPU 性能。

在整个系列文章中，我还将详细说明AIX® CPU 性能优化和监视方面的各种最佳实践。

引言作为一名AIX 管理员，您应该已经了解性能优化的一些基础知识。

您很可能已经在使用各种命令，如vmstat或topas，并且熟悉识别占用大量CPU 资源的进程的方法。

有一点您可能并不了解，CPU 性能优化不仅仅是关于运行某些命令，它还涉及主动监视您的系统，特别是在不存在性能问题时。

本文介绍CPU 性能优化的方法，并提供经过时间验证的步骤，可以帮助您完成整个优化过程。

在本文中，我将介绍您可能希望使用的一些监视工具，概述POWER 芯片和可能会影响性能的考虑因素。

即使对于大多数资深管理员来说，虚拟化环境中的性能也带来了一种挑战，因此我还会详细说明虚拟化环境中的特定问题，包括同步多线程(SMT)、虚拟处理器以及POWER Hypervisor。

我还将讨论在调整CPU 的过程中需要特别关注的领域，包括调整调度程序、平衡系统负载，以及更改调度程序的算法以优化优先级公式。

在调查性能问题时，从监视CPU 使用率的统计数据入手。

持续观察系统的性能非常重要，这是因为需要对过载的系统数据与正常使用的数据（作为基准）进行比较。

因为CPU 是系统中最快的组件，因此如果CPU 使用率使CPU 保持100% 忙碌，那么也会影响系统范围的性能。

AIX 5L 内存性能优化之配置和管理交换空间,优化(VMM)AIX 5L 内存性能优化之配置和管理交换空间,优化(VMM) ,通过命令掌握AIX系统的交换空间内存使用状况,进而进行系统内存的性能优化,是一个系统管理员对系统优化要做的基本工作!什么是交换（分页）空间？它是与VMM 有关的。

VMM 使用交换（分页）空间存储没有使用活动RAM 的进程。

正是因为这个目的，交换空间是系统整体性能的关键组件。

作为一名管理员，您需要了解如何监视和优化您的分页参数。

分页空间本身是一个特殊的逻辑卷，它存储了当前不访问的信息。

您必须确保您的系统拥有足够的分页空间。

如果分页空间过小，整个进程可能会丢失，并且当所有的空间都占满后，系统可能会崩溃。

尽管值得再次说明，分页空间是VMM 中的一部分，但是更重要的是真正地理解内核如何将进程调入到RAM 中，过多的分页肯定会对性能造成影响。

AIX 通过将内核与VMM 紧密集成在一起，实现了一种称为请求分页的方法。

事实上，内核本身的大部分都驻留在虚拟内存中，这样可以帮助释放它的片段空间以用于其他进程。

我将更深入地介绍它的工作方式，并介绍在管理和优化分页空间时需要使用的一些工具。

您将了解到，优化工作必须根据系统的类型来进行。

例如，对于使用Oracle 联机事务处理(OLTP) 类型数据库的系统，在配置多大的交换空间以及如何优化分页参数方面，通常有一些特定的推荐方案。

正如本系列前几期文章中所介绍的，如果不能真正地了解系统的运行状况，您就无法对分页设置进行真正地优化。

您需要了解所使用的工具、如何最好地分析将要捕获的数据，并熟悉实现分页空间的最佳实践。

根据我的经验，导致系统崩溃的首要原因就是耗尽了分页空间。

如果您仔细地阅读本文，并且遵循其中的建议方案，那么应该不会出现这种情况。

很显然，您并不希望系统发生崩溃，但如果的确出现了这种情况，那么您将希望这是由于硬件故障造成的、而与您的操作无关，或者由于系统管理员的疏忽造成。

MQ6.0 FOR AIX 5L安装手册1、创建mqm组，输入命令，#mkgroup -'a' mqm2、确认mqm组是否成功，输入命令，#lsgroup -c ALL | sed '/^#.*/d' | tr ':' '\011'3、创建mqm用户，输入命令，mkuser pgrp='mqm' groups='staff,mqm' fsize='-1' data='-1' stack='-1' core='-1' mqm4、确认mqm用户是否成功，输入命令，#lsuser -c -a id home ALL | sed '/^#.*/d' | tr ':' '\011'5、给mqm用户初始密码：用root用户登陆,输入：passwd mqm.注意：必须输入两次密码。

6、增加mqm用户的文件句柄数目、数据段，堆栈段的数目,用root用户在/etc/security/limits 最后加入,（注：必须要用使用VI命令编辑）mqm:nofiles = 10000data_hard = -1stack_hard = -1data = -1stack = -1用mqm用户登陆，输入ulimit –atime(seconds) unlimitedfile(blocks) 2097151data(kbytes) unlimited7、在tmp目录下创建mq目录，mq目录下再创建MQ6.0和MQFIX用于存放安装和升级文件，注:必须解压在不同的目录下，8、把MQ安装包6.0.2-WS-MQ-AixPPC64-FP0001.tar.Z ，放到小机/tmp/mq/MQ6.0目录下，补丁包6.0.2-WS-MQ-AixPPC64-FP0001.tar.Z，通过FTP传输到小机/tmp/mq/MQFIX目录下，9、使用uncompree命令解压，输入uncompress 6.0.2-WS-MQ-AixPPC64-FP0001.tar.Z10、输入tar命令解压，tar –xvf 6.0.2-WS-MQ-AixPPC64-FP0001.tar注:扩展名为.Z解压后为.tar,需再次解压.11、解压成功后，如下图：12、软件安装，输入smitty install_all，输入：/tmp/mq（注：这个路径为安装文件所在的路径）13、按F414、按Esc+7进行选择，可全选，按回车注:为MQ解压目录;注：按F4进行选择。

AIX 5L系统管理调度管理AIX 5LI14HPUX AIX cisco ;folderId=62132本单元介绍了如何在系统中调度任务的运行。

完成本单元后您应该能够：, 使用crontab文件周期性调度任务的运行, 使用at命令调度一个或一系列任务在将来的某一时刻运行, 使用batch命令将任务调度到一个队列中，这样可以减少系统的瞬时负载。

, 检查要点问题, 练习Copyright IBM Corp 1997,2005 单元14 调度管理 14-1AIX 5LI完成本单元的学习之后您应该能够：, 使用crontab文件周期性的调度任务的运行, 使用at命令调度一个或一系列任务在将来的某一时刻运行 , 使用batch命令将任务调度到一个队列中，这样可以减少系统的瞬时负载。

图14-1.单元目标 AU149.0Copyright IBM Corp 1997,2005 单元14 调度管理 14-2AIX 5LIcron daemon, 负责运行被调度的任务, 启动：, crontab命令的事件（有规律的调度任务）, at命令的事件（只在指定时刻执行一次）, batch命令的事件（在CPU的负载低的时候运行）图14-2.cron daemon AU149.0允许批量的工作任务可以定时调度执行，执行调度工作的daemon是cron。

很多人利用cron来执行任务，系统任务可以用很多方式提交给cron。

at和batch工具用于一次性运行的提交任务，crontab文件用于周期性的（小时、天、星期等）调度文件运行。

cron一般是在系统启动时通过/etc/inittab来启动运行的，以daemon的方式运行，如果它被kill会自动重启。

所有的cron事件都是可配置的。

例如，对于crontab事件，系统缺省会在60秒钟检查一次，其运行的nice值低于默认值2，最多可以同时执行100个任务。

这些内容可以通过修改/var/adm/cron/queuedefs文件来实现。

HACMP安装手册安装前准备1.1.硬件设备1.1.1.主机主机两台，每台主机至少需要两块网卡，一个空闲的串口。

如果主机中配了千兆以太网卡，建议使用该千兆网卡，不要使用内置网卡。

（因为内置网卡是集成在主板上的，如果一旦出现故障，不容易更换，这样HACMP中的配置就需要修改，增加了工作量）1.1.2.心跳线心跳线一根。

如果心跳线的口和主机的串口不能对上，需要两根转接线，具体的长度由两台主机的相对位置决定。

1.2.操作系统环境主机 内容 文件集 备注主机1 OS：5200-02Kerl：64文件系统：JFS2 bos.adt.*.*bos.rte.*rsct.basic.*pat.*rsct.core.*oslevel –rprtconflslpp -l主机1 与主机1一致1.3.软件介质HACMP 4.5（CRM）1.4.磁盘划分建立需要切换的VG等。

如果是对ORACLE9i RAC数据库做双机系统，对存放数据库数据的VG （oradatavg）建立时不需要建立属性为concurrent的卷组。

（在配置HACMP时设定为concurrent属性即可）1.5.操作系统参数配置1.5.1./sbin/rc.boot修改/sbin/rc.boot文件中：##Modified By Sinosoft For Hacmp Software Start#nohup /usr/sbin/syncd 60 > /dev/null 2>&1 &nohup /usr/sbin/syncd 10 > /dev/null 2>&1 &##Modified By Sinosoft For Hacmp Software End1.5.2.water marksmit system -->Change / Show Characteristics of Operating System HIGH water mark for pending write I/Os per file [32] +LOW water mark for pending write I/Os per file [24] +或者直接用命令：chdev -l sys0 -a maxpout='32' -a minpout='24'1.6.网络地址配置1.6.1.主机名及IP地址主机 内容 备注 主机1boot1 10.48.178.201serv1 10.48.178.202stby1 10.48.179.3主机2boot2 10.48.178.203serv2 10.48.178.204stby2 10.48.179.4具体的hosts文件参考附录中的“主机hosts文件”。

IBM_UNIXLinux-AIX_5L系统管理技术《IBM UNIX&Linux-AIX 5L系统管理技术》读后感读完《IBM UNIX&Linux-AIX 5L系统管理技术》这本书，明白了AIX操作系统的特点，与windows系统的差异，同时掌握了AIX操作系统的一些命令，具体如下：一、与windows系统的差异1.相对于Windows，linux系统是非图形界面；2.安装前需要各种参数的设置；3.设置后安装过程大概2个小时；4.安装完重启后自动显示配置向导：Installation Assistant，包括日期、时间，root密码等。

二、数据对象管理ODM的认知ODM：Object Data Manager，数据对象管理；AIX自带的一个小型关系型数据库，包括对象（ODM Object），对象类（ODM Object Class），数据库（ODM Database）；AIX呈现给SA的管理接口是SMIT，而对内的接口则是一组操作ODM数据库的系统级命令和脚本，ODM命令仅在使用SMIT无效时使用，属于低级操作；ODM的几个命令：odmcreate：创建空的对象类，产生.c（源）和.h（包含）文件；odmadd：添加对象到创建的对象类中；odmchange：更改指定对象类中选定的对象；odmdelete：从指定对象类中删除选定的对象；odmdrop：删除一个对象类；odmshow：在屏幕上显示对象类定义；odmget：从指定对象类中检索对象到odmadd命令的输入文件；三、SMIT工具应用相当于sco unix的scoadmin；SMIT：System Management Interface Tool，系统管理界面工具；SMIT有全屏幕文本模式和图形X Windows模式；管理包括：安装与维护设置，软件license管理，进程及子系统管理，存储管理，设备管理，网络管理，用户及安全管理，打印服务管理，应用软件管理，等等；运行SMIT工具，系统会自动生成三个文件：smit.cript，smit.log，smit.transaction；smit.cript：记录所有通过SMIT菜单执行的AIX命令；smit.log：记录系统所访问的菜单、对话内容、所执行的命令及输出结果、错误信息；smit.transaction：记录所有通过SMIT执行的AIX命令及命令的说明；通scoadmin一样，SMIT也有许多快捷路径命令；如：smit chuer：smit—>Security&Users—>Users—>Change/Show Characteristics ofa User；四、用户、组及安全管理同sco unix一样，进入root用户，属于单用户模式；root角色：root用户，普通真实用户，虚拟用户，虚拟用户不具有登录系统的能力，但却是系统不可或缺的用户，如：bin、daemon、adm、mail等；用户与组的对应关系可以有：一对一、一对多、多对一、多对多；用户管理文件：/etc/passwd，包括7个字段：Username:Password:UID:GID:GECOS(用户信息说明):Directory(用户宿主目录):Shell(用户所用Shell)；组管理文件：/etc/group，包括4个字段：Groupname:Password:GID:User-list；显示用户账号：smit lsuser；创建用户账号：useradd；更改用户账号：usermod；删除用户账号：userdel；验证用户账号：usrck创建组：smitty mkgroup；更改组：smitty chgroup；删除组：smitty rmgroup；显示ID状态：id，显示用户信息：who，切换用户：su五、安全管理/etc/security/passwd：用户账号及密码；passwd：创建用户密码；pwdadm：创建用户密码并管理；pwdck：验证用户信息的正确性；/etc/security/user：用户账号参数信息；/etc/security/group：组扩展信息；/etc/security/login.cfg：登录验证配置信息；/etc/security/limits：限制用户使用系统资源的信息；/etc/security/lastlog：上次登录信息；/ect/motd：公告文件，登录时显示的信息；六、进程管理三类进程：交互进程、批处理进程、守护进程，守护进程是系统启动时自动启动或root 用户启动，在后台运行，可以在/ect/inittab 中看到系统启动的守护进程；程序权限：r、w、x，改变命令：chmod；查看进程命令：ps监控进程、cpu、硬盘、网络等设备状态：topas，输出结果有固定部分和可变部分，cup 使用率，网络接口，物理硬盘，工作负载等为可变部分；查看AIX版本命令：oslevelctrl+z：挂起正在执行的进程作业；jobs查看进程作业状态，挂起的显示为：stopped；jobs -l：查看所有被挂起的进程作业；fg，bg：对挂起的进程作业进行前台或后台运行；bg %3：对3号挂起进程后台运行；nohup：进程后台运行，即使当前会话关闭，也不影响进程的后台执行；终止进程：kill，killall；进程优先级：调整命令：nice，renice/proc文件系统：伪文件系统，用于AIX操作进程；proccred：显示进程凭证，主要是UID，GID；procfiles：显示进程打开的所有文件信息；procflags：显示进程的跟踪标志，暂挂和挂起信号；procldd：显示进程装入的对象；procmap：显示进程的地址空间映射；procsig：显示进程定义的信号的操作；procstack：显示进程中所有线程的十六进制地址和符号名称；proctree：显示包含指定进程标示或用户的进程树；procwait：等待指定进程的终止；procwdx：显示进程的当前工作目录；七、设备管理管理：增删改查应用程序与逻辑设备交互，操作系统通过设备驱动程序处理逻辑设备与物理设备之间的交互；ls /dev，显示dev下的设备文件（逻辑设备）；lsdev：显示系统中的设备列表；lsattr：显示系统中设备的属性；lscfg：显示设备的配置；prtconf：显示系统的整个配置；设备配置命令：cfgmgr；添加新的物理设备配置：mkdev，root权限；更改设备属性：chdev；删除设备：rmdev；使用SMIT进行设备管理更方便；使用命令进行设备管理有助于理解设备管理的概念；其实SMIT也是调用的设备管理命令；八、存储管理物理卷（PV，Physical Volume），物理磁盘；卷组（VG，Volume Group），一个物理卷组包括多个物理卷；物理分区（PP，Physical Partition），磁盘空间分配的最小单位，1-256M（若大于1M，必须是4M的整数倍）的一块连续磁盘空间，一个物理卷最多有1016个物理分区；逻辑卷（LV，Logical Volume），若干个逻辑分区组成（不超过35512），在逻辑卷上，我们建立文件系统，也可用于Pagine Space、JFSLOG或作为裸设备供数据库使用；逻辑分区（LP），一般与物理分区一一对应，但对LP做了镜像时，一个LP可以对应2-3个PP；卷组描述区（VGDA，Volume Group Description Area），存放于每一个物理卷的开始处，用于描述相关信息；物理卷属性显示：lspv，也可smit lspv；物理卷属性更改：chpv，smit chpv；物理卷数据迁移：migratepv，smitty migratepv，将一个已分配的物理分区从一个物理卷移动到另一个或多个其他物理卷；卷组属性显示：lsvg；卷组的创建：mkvg；卷组属性更改：chvg；向卷组添加物理卷：extendvg；从卷组删除物理卷：reducevg；激活卷组：varyonvg；关闭卷组：varyoffvg，与激活卷组相反操作；导出卷组：exportvg，先关闭再导出；导入卷组：importvg；重组卷组物理分区：reorgvg，在卷组内重组分配的物理分区的布局；重新定义卷组：redefinevg，读取物理卷的保留区域，检查一致性；创建卷组镜像：mirrorvg；删除卷组镜像：unmirrotvg；卷组数据同步：syncvg，同步卷组中逻辑卷副本（镜像）；逻辑卷属性显示：lslv；逻辑卷创建：mklv；逻辑卷属性更改：chlv；逻辑卷删除：rmlv；增加逻辑卷容量：extendlv；复制逻辑卷：cplv，将一个逻辑卷内容复制到一个新的逻辑卷；创建逻辑卷副本：mklvcopy，镜像；删除逻辑卷副本：rmlvcopy；分离逻辑卷副本：splitlvcopy，分割一个逻辑卷的副本并从它们创建新的逻辑卷；同步逻辑卷ODM库信息：synclvodm；九、文件系统管理文件系统显示：lsfs；文件系统创建：mkfs，crfs，mkfs是在已有逻辑卷基础上创建，crfs是在卷组中创建，并且自动创建逻辑卷；文件系统更改：chfs；文件系统挂载：mount，文件系统创建后必须挂载才能使用；文件系统卸载：unmount；文件系统删除：rmfs；文件系统验证：fsck，检查文件系统的一致性，并以交换方式修复文件系统；文件系统监控：df，显示文件系统的总空间和可用空间信息；碎片整理：defragfs；rootvg根文件系统：/etc：系统配置文件，一般用于系统管理；/bin：指向/usr/sbin目录的符号链接；/sbin：包含安装引导计算机和安装/usr文件系统时所需的文件；/dev：包含设备节点和本地设备的特殊文件；/tmp：存放临时文件；/var：/var文件系统安装挂载点，随着系统运行自动增加；/home：/home文件系统安装挂载点，保存用户的数据文件和目录，位于/dev/hd1逻辑卷上；/usr：/usr文件系统安装挂载点，包含许多只读的命令、程序库和数据；/lib：指向/usr/lib目录的符号链接；/opt：/opt文件系统安装挂载点，存放安装附件或第三方软件，位于/dev/hd10opt逻辑卷上；/usr文件系统：/usr/bin：二进制命令和shell脚本；/usr/ccs：二进制开发包；/usr/include：c语言的include文件/usr/lbin：命令后端的可执行文件；/usr/lib：系统中独立的程序库；/usr/lpp：已经安装的可选软件产品的软件包；/usr/sbin：用于系统管理的工具，如smit工具命令等；/usr/share：被共享的文本文件；/usr/adm：指向/var/adm目录的符号链接；/usr/mail：指向/var/spool/mail目录的符号链接；/usr/news：指向/var/news目录的符号链接；/usr/preserve：指向/var/preserve目录的符号链接；/usr/spool：指向/var/spool目录的符号链接；/usr/tmp：指向/var/tmp目录的符号链接；/var文件系统：保存系统的日志文件，自动增大，存在在/dev/hd9var逻辑卷上；/var/adm：系统的日志文件和记账文件；/var/news：系统新闻；/var/preserve：保存由编辑器（如vi）正在处理的文件，保护这些数据不会被中断破坏；/var/spool：存放电子邮件、打印机脱机程序等；/var/tmp：临时文件；十、页空间管理页空间（Paging Space）是在硬盘上存储内存信息的区域，也叫交换空间（Swap Space）；系统安装时会默认在hdisk0上创建一个默认页逻辑卷（hd6）；显示页空间信息：lsps；创建页空间：mkps；激活页空间：swapon；关闭页空间：swapoff；修改页空间：chps；删除页空间：rmps；十一、网络管理ifconfig命令：配置或显示TCP/IP网络的网络接口参数；ping命令：netstat命令：显示网络状态类同linux网络命令；smitty mktcpip：smitty mkhostname：smitty route：十二、备份与恢复磁带设备控制命令：tctl：磁带控制命令；mt：功能类同tctl；tcopy：磁带复制，从一个磁带复制到另一个磁带，但最常用的是查看当前磁带的内容；显示备份系统：lsmksysb，smitty lsmksysb；备份系统：mksysb，smitty mksysb；系统恢复：重新启动—>SMS Menu—>Multiboot—>Select Boot Devices（磁带：2 SCSI Tape）—>Install Operating System （磁带：2 SCSI Tape）—>Installation and Maintenance(3 Start Maintenance Mode for System Recovery)—>Maintenance(6 Install from a System Backup)—>Choose mksysb Device—>System Backup Installation and Settings 非rootvg卷组备份显示：lssavevg；非rootvg卷组备份：savavg；非rootvg卷组恢复：restvg；文件与文件系统备份：backup；文件与文件系统恢复：restore；tar：归档或解包；cpio：归档、解包；pax：归档、解包（对于当个文件大于2G时使用）通过对学习，初步对AIX系统有了系统的了解，对系统组成以及设计结构有了较为清晰的认知，特别是安全管理方面有了较深入了解，对系统运维有了手段进一步提升。

AIX用户和组管理了解IBM? AIX? 中与用户和组相关的配置文件，以及用来帮助管理用户和组的命令行工具。

先了解文件，然后了解命令在学习AIX 中用来创建、修改和维护用户和组的命令之前，一定要了解在幕后发生的情况。

例如，应该了解相关文件及其作用。

下面是影响用户本身的一些文件：AIX 中的命令请记住，本文讨论的命令和方法应该可以在配置文件中有本地用户和组的AIX 系统上使用。

如果系统处理来自远程源（例如 Network Information System，即 NIS）的用户和组，那么不应该使用 chuser 和 chgroup 等命令。

/etc/passwd/etc/security/.profile/etc/security/limits/etc/security/passwd/etc/security/user/usr/lib/security/mkuser.default/etc/passwd/etc/passwd 文件包含用户的基本信息，它可能是UNIX? 和Linux? 用户最熟知的用户管理文件。

清单 1 给出 /etc/passwd 文件的示例。

清单 1. /etc/passwd 文件示例root:!:0:0::/:/usr/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/:lpd:!:9:4294967294::/:lp:*:11:11::/var/spool/lp:/bin/falseinvscout:*:6:12::/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappdipsec:*:201:1::/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp loginuser:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0::/var/adm/pconsole:/usr/bin/kshesaadmin:*:10:0::/var/esa:/usr/bin/kshsshd:*:206:201::/var/empty:/usr/bin/kshatc:!:8000:400:Adam Cormany,Sr UNIX Admin:/home/atc:/bin/kshamdc:!:8001:401:AMDC:/home/amdc:/bin/kshpac:!:8002:400:PAC,Jr UNIX Admin:/home/pac:/bin/kshatc2:!:8003:402:ATCv2:/home/atc2:/bin/ksh可以看到这个文件使用冒号 (:) 作为分隔符，每个条目按以下格式包含 7 个字段（为了便于阅读，在分隔符前后添加了空格）：Username : Password Flag : UID : GID : GECOS : Home : Shell/Command下面逐一解释这些字段：Username。

AIX用户管理和用户AIX 用户管理和用户用户管理和用户1. 用户管理概念用户账号：每个用户账号都有唯一的用户名、用户id和口令；文件所有者依据用户id判定；文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者；固定用户：root为超级用户，adm、adm、b in……..大多数系统文件的所有者，但不能用这些用户登录。

用户组：需要访问同一文件或执行相同功能的多咯用户可放置到一个用户组，文件所有者组给了针对文件所有者更多的控制；固有用户组：sy stem，管理者组；staff普通用户组！基本的系统安全机制是基于用户账号的。

每当用户登录后，系统就使用其用户id号作为检验用户请求权限的唯一标准；拥有创建文件的那个进程的用户id，就是被创建文件初始的所有者id，除了文件所有者root,任何其他用户不能改变文件所有者；需要共享对一组文件的访问的多咯用户可放置在一个用户组中，一个用户可属于多个用户组，每个用户组有唯一的用户组名和用户组id，当文件创建时，拥有创建文件的那个进程的用户所在的主用户组，就是被创建文件的所有者组id。

2. 用户组一个用户组包含一个或多个用户，每个用户都必须属于至少一个用户组，一个用户可属于多咯用户组，可以使用groups或setgroups 命令查看用户所属的组；建立用户组以便组织并区分用户，是系统管理的重要组成部分，它与系统安全策略密切相关；组管理员拥有增加、删除组中用户和组管理员的权限，有三种类型的用户组：自建用户组，根据用户情况和安全策略建立的用户组；系统管理员组，system，这个组的成员可以执行一些系统管理任务；系统定义的组：有若干个系统定义的固有用户组，某些只是为系统所有，不应当随意为其添加用户，例如，bin，sys 等等；所有非系统管理员组成员的用户属于staff 组；security组成员可以执行部分安全安全性管理的任务。

3. 用户组层次属于系统管理员组或系统定义组的用户可以执行某些系统管理任务，系统固有组有：system，可对标准的软硬件进行配置和维护工作；printq,可管理打印队列，enable、disable、qadm、qpri等等；security：可进行用户口令和限制管理，mkuser、rmuser等；adm，可进行系统监视工作，性能监视、统计等等；staff，所有新用户的默认组。