AIX用户和组管理
AIX用户和组管理
AIX用户和组管理了解IBM? AIX? 中与用户和组相关的配置文件,以及用来帮助管理用户和组的命令行工具。
先了解文件,然后了解命令在学习AIX 中用来创建、修改和维护用户和组的命令之前,一定要了解在幕后发生的情况。
例如,应该了解相关文件及其作用。
下面是影响用户本身的一些文件:AIX 中的命令请记住,本文讨论的命令和方法应该可以在配置文件中有本地用户和组的AIX 系统上使用。
如果系统处理来自远程源(例如 Network Information System,即 NIS)的用户和组,那么不应该使用 chuser 和 chgroup 等命令。
/etc/passwd/etc/security/.profile/etc/security/limits/etc/security/passwd/etc/security/user/usr/lib/security/mkuser.default/etc/passwd/etc/passwd 文件包含用户的基本信息,它可能是UNIX? 和Linux? 用户最熟知的用户管理文件。
清单 1 给出 /etc/passwd 文件的示例。
清单 1. /etc/passwd 文件示例root:!:0:0::/:/usr/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/:lpd:!:9:4294967294::/:lp:*:11:11::/var/spool/lp:/bin/falseinvscout:*:6:12::/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappdipsec:*:201:1::/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp loginuser:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0::/var/adm/pconsole:/usr/bin/kshesaadmin:*:10:0::/var/esa:/usr/bin/kshsshd:*:206:201::/var/empty:/usr/bin/kshatc:!:8000:400:Adam Cormany,Sr UNIX Admin:/home/atc:/bin/kshamdc:!:8001:401:AMDC:/home/amdc:/bin/kshpac:!:8002:400:PAC,Jr UNIX Admin:/home/pac:/bin/kshatc2:!:8003:402:ATCv2:/home/atc2:/bin/ksh可以看到这个文件使用冒号 (:) 作为分隔符,每个条目按以下格式包含 7 个字段(为了便于阅读,在分隔符前后添加了空格):Username : Password Flag : UID : GID : GECOS : Home : Shell/Command下面逐一解释这些字段:Username。
AIX系统安全配置手册资料
AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组,此为AIX默认值且不应被更改;一般帐户不应该有多余的管理权限,此为AIX默认值且不该被更改;只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。
以用来防止非法存取系统,或集中攻击有特别权限的帐户,此为AIX默认值且不该被更改;只有特定的授权帐户可用来检查使用者状态。
为防止入侵者存取非公开系统资料,用户状态资料仅可由特定帐户取得。
这一点在AIX仅部份可行,因为如果使用者锁定,则其它使用者无法看到此使用者,但却可使用 who 命令来检查登陆的帐户;只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。
以用来防止非法存取系统,或集中攻击有特别权限的群组,此为AIX默认值且不该被更改;只有特定的授权帐户可用来更改授权帐户数目。
太多的用户同时使用某应用系统可能影响系统稳定性,此为AIX默认值且不该被更改;系统管理员群组的人员不可存取所有资源,管理群组的人员应只能存取工作上所需用的资源。
存取所有资源不应被允许,此为AIX默认值且不该被更改;一般用户不可存取特定系统文件及命令。
系统命令及程序只能被特定帐户使用,一般用户不可存取此类功能。
应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;权限的控制管理应在文件产生时即被设置,仅有文件的产生者能读取、写入、执行或删除此文件,使用者的 umask设定为仅允许文件产生者存取 (例外:root 用户可存取系统所有文件)。
Umask的设定控制了文件除了删除外的权限,删除的权限则根据文件所在目录的权限位来决定;最少权限机制应被应用,以确保应用程序以最少权限执行,所有应用程序的授权应保持最低权限;只有特别的授权帐户可安装软件或加入新设备到系统中,并安装安全的更新修正程序,此为AIX默认值且不该被更改;存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;1.2 推荐用户属性推荐以下属性:每个用户应有一个不与其它用户共享的用户标识。
AIX 用户组和目录文件权限及安全(有修改)
AIX 用户权限管理来自:推动者社区用户管理和用户1. 用户管理概念用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者;固定用户:root 为超级用户,adm、adm、bin……..大多数系统文件的所有者,但不能用这些用户登录。
用户组:需要访问同一文件或执行相同功能的多个用户可放置到一个用户组,文件所有者组给了针对文件所有者更多的控制;固有用户组:system,管理者组;staff普通用户组!AIX将用户分为root用户、管理型用户和组、普通用户和组三个层次。
基本的系统安全机制是基于用户账号的。
每当用户登录后,系统就使用其用户id号作为检验用户请求权限的唯一标准;拥有创建文件的那个进程的用户id,就是被创建文件初始的所有者id,除了文件所有者root,任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进程的用户所在的主用户组,就是被创建文件的所有者组id。
如无特殊需求,锁定与设备运行、维护等工作无关的账号,除root外的系统初始帐户都需要锁定,包括如下账户:deamon,bin,sys,adm,uucp, pconsole,nuucp,guest,nobody,lpd, esaadmin,lp,sshd,snapp, ipsec, invscout。
锁定方法如下:# chuser account_locked=TRUE username 给用户加锁检查方法:lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011'例子# lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011'root false true truedaemon false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd false true truelp false true trueinvscout false true truesnapp false true falseipsec false true truenuucp false true truepconsole false false trueesaadmin false false falsesshd true false falsenrpadm false true trueoranrp false true truesapadm false true true禁用lpd用户# chuser account_locked=true lpd查看# lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011' root false true truedaemon false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd true true truelp false true trueinvscout false true truesnapp false true falseipsec false true truenuucp false true truepconsole false false trueesaadmin false false falsesshd true false false# pwdadm -q sapadmsapadm:lastupdate = 1453417902flags = ADMCHG2. 用户组一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组,一个用户可属于多咯用户组,可以使用groups 或setgroups命令查看用户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成部分,它与系统安全策略密切相关;组管理员拥有增加、删除组中用户和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况和安全策略建立的用户组;系统管理员组,system,这个组的成员可以执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户组,某些只是为系统所有,不应当随意为其添加用户,例如,bin,sys等等;所有非系统管理员组成员的用户属于staff组;security组成员可以执行部分安全安全性管理的任务。
AIX管理常用命令
AIX 管理常用命令1.关机重新引导多用户系统 smit shutdown shutdown -r重新引导单用户系统 smit shutdown shutdown -r 或 reboot 将系统关闭为单用户方式: 1. cd /; 2. shutdown -m在紧急情况下关闭系统: shutdown -F2.存储管理2.1 创建卷组 smitty mkvg2.2 显示系统所有卷组 lsvg2.3 显示系统当前活动的卷组 lsvg -o2.4 显示某一个卷组 lsvg 卷组名; 如 lsvg rootvg2.5 显示指定卷组的逻辑卷 lsvg -l 卷组名2.6 显示卷组中的物理卷 lsvg -p 卷组名2.7 给指定卷组添加物理卷 smitty extendvg2.8 从指定卷组中删减物理卷 smitty reducevg2.9 显示所有物理卷 lspv2.10 显示某个物理卷 lspv 物理卷名;如 lspv hdisk12.11 显示物理卷的物理分区 lspv -p 物理卷名2.12 显示物理卷中的所有逻辑卷 lspv -l 物理卷名2.13 新建一个逻辑卷 smitty lv2.14 显示逻辑卷位置 lslv -l 逻辑卷名2.15 文件系统信息在/etc/filesystems2.16 建立一个文件系统 smitty fs;快捷方式 smitty crjfs 2.17 修改文件系统 smitty chjfs2.18 显示文件系统 lsfs2.19 删除一个文件系统 smitty rmfs3.用户管理3.1 添加用户 smit mkuser; 或直接使用命令 mkuser3.2 改变用户属性 smit chuser3.3 显示所有用户 smitty lsuser3.4 显示某一用户所有属性 smitty chuser 或者 lsuser 用户名3.5 属性按格式显示 lsuser -f 用户名3.6 删除用户 smitty rmuser3.7 设置和修改密码 smitty passwd或者passwd 用户名3.8 添加组 smitty mkgroup3.9 改变组的属性 smitty chgroup3.10 显示组 smitty group或者lsgroup3.11 显示组属性 lsgroup -a -f 属性 ALL3.12 显示某个组 lsgroup 组名3.13 删除组 smitty rmgroup4. smit 的日志文件smit -l /tmp/smit.log -v -t5.网络5.1 配置tcp/ip smitty mktcpip5.2 列出网卡信息 lscfg -vl ent?5.3 显示所有网络配置信息 ifconfig -a5.4 检查系统路由 netstat -r检查系统默认的ps大小 lsps -a检查文件系统大小 df -k;其中 /,/tmp,/var三个文件系统大小至少为128MB检查当前系统的补丁:instfix -i|grep AIX_ML检查设备 lsdev -C检查配置 lscfg -vp检查安装软件 lslpp -l处理器个数 lsdev -C|grep proc内存大小 lsattr -E1 mem0查看用户 who错误记录:显示错误 errpt显示详细的错误信息 errpt -a清空错误记录信息 errclear 0informix出现:Symbol aio_nwait (number 4) is not exported from dependent"错误的解决mkdev -l aio0smitty aio改成系统启动就是enable的即可。
AIX系统安全配置手册
AIX系统安全配置1 身分识别1.1 账户设定1.2 推荐用户属性6.1.3用户帐户控制6.1.4登录用户标识1.5 使用访问控制表增强用户安全性1.6 停用无用的账户(Unnecessary Accounts)2 身分验证2.1 设定BIOS通行码2.2 设定账户密码2.3 使用 /etc/passwd 文件2.4 使用 /etc/passwd 文件和网络环境2.5 隐藏用户名和密码2.6 设置推荐的密码选项2.7 扩展密码限制3 访问控制3.1 保护使用者环境设定(User Configurations)3.2 使用 Noshell设置登录控制3.4 更改登录屏幕的欢迎消息3.5 更改公共桌面环境的登录屏幕3.6 设置系统缺省登录参数3.7 保护无人照管终端3.8 强制自动注销3.9 限制Root只可从控制台存取3.10 保护SUID 程序3.11 限制性的Restricted Shell3.12 检查World Writable Files3.13 使用 TCP Wrappers 限制存取4 数据保护4.1 完整性检测(Integrity Checking)4.2 使用MD5 Checksum 检查一致性5 安全事件记录5.1 加强系统日志5.2 系统错误日志工具(Systems Error Log)5.3 检查Cron 文件5.4 清除文件及目录6 网络服务设定1 防止IP 转送及主机欺骗(Host Spoofing)2 设定闲置(Inactive)的Time-out值3 关闭不必要的服务3.1 系统起动命令集(Startup-Script)3.2 /etc/inittab3.3 /etc/inetd.conf3.4 /etc/rc.nfs3.5 /etc/rc.tcpip3.6 停用TFTP3.7 停用Finger3.8 停用'r' 相关的命令服务3.9 执行securetcpip4 X-windows4.1 除去 /etc/rc.dt 文件4.2 阻止远程 X 服务器的未经授权的监视4.3 禁用和启用访问控制4.4 禁用运行 xhost 命令的用户许可权5 SNMP 服务6 Sendmail 的配置设定7 安装 SSH Secure Shell7.1 OpenSSH 编译的配置。
用户和用户组的管理
在操作系统中,可以使用命令行或图形界面工具将单个用户添加到现有用户组中或从用户组中删除。此外,还可 以将一个用户从一个组移动到另一个组,或将其从所有组中删除。这些操作有助于管理和维护系统的安全性和稳 定性。
04
用户和用户组的管理工具
本地用户和组管理工具
本地用户和组管理工具是操作系统自带的工具,用于管理本地 计算机上的用户和用户组。这些工具包括“计算机管理”控制 台、命令行工具(如net user和net localgroup)等。
用户组是一种将多个用户归为一个组的机制,方便对用户的集中管理。
在操作系统中,用户组可以用来分配和管理权限,以便更好地控制对资
源的访问。
02
组账号
组账号是用于标识和验证用户组的身份的。与用户账号类似,每个组账
号也具有唯一的名称和密码。通过组账号,管理员可以管理组内的成员
和权限。
03
组权限
组权限是指用户组在操作系统中拥有的访问和控制资源的权限。与用户
使用AD用户和组管理工具可以创建、修改和删除活动目录中的用户和用户组, 以及设置用户权限和配置组策略等。
其他管理工具
其他用户和组管理工具包括第三方管理工具、脚本语言(如 PowerShell)等。这些工具可以提供更灵活和强大的功能, 用于自动化用户和组管理任务。
使用其他管理工具可以方便地实现批量创建和管理用户和 组,以及自定义脚本以实现特定的管理需求。
用户和用户组的管理
目录
• 用户和用户组的基本概念 • 用户管理 • 用户组管理 • 用户和用户组的管理工具 • 用户和用户组的管理策略与实践
01
用户和用户组的基本概念
用户定义
用户定义
用户是指使用计算机或网络服务 的个人或实体。在操作系统中, 用户是访问系统资源的基本单位, 具有账号、密码等身份验证信息。
AIX5L系统管理培训教程
04
AIX5L系统进程管理
进程概念及类型
进程定义
进程是操作系统中进行资源分配 和调度的基本单位,是程序的执
行过程。
进程类型
根据进程的性质和作用,可分为系 统进程、用户进程和守护进程等。
进程状态
进程在执行过程中,会呈现不同的 状态,如运行、就绪、阻塞等。
查看进程状态
ps命令
用于显示当前系统中进程 的状态信息,如进程ID、 父进程ID、进程状态等。
根据数据价值和存储空间,设定合理的备份保留期限 。
常用备份工具介绍
AIX5L系统自带备份工具
如`tar`、`cpio`等,可实现基本的数据备份 功能。
第三方备份软件
如Veritas NetBackup、IBM Tivoli Storage Manager等,提供更强大的备份和恢复功能。
网络备份设备
常见选项
-r(递归删除目录及其内容)、-f(强制删除,不提示确认)
用户和组管理
useradd:添加用户 用法:`useradd [选项] 用户名`
常见选项:`-d`(指定用户主目录)、`-g`(指定用户所属组)
用户和组管理
userdel:删除用户 用法:`userdel [选项] 用户名` 常见选项:`-r`(同时删除用户主目录和邮件池)
学习如何创建文件系统,包括选择合适的文件系统类型、设置文件系统
参数等。
03
文件系统挂载与卸载
掌握如何挂载和卸载文件系统,以及如何在系统启动时自动挂载文件系
统。
磁盘配额管理
磁盘配额概念
了解磁盘配额的概念和作用,以及它在AIX5L系统中的实 现方式。
磁盘配额设置
学习如何设置磁盘配额,包括对用户和组设置磁盘使用限 制、设置配额宽限期等。
AIX命令
smitty security 管理目录smitty users 用户管理simtty lsuser [(-c 以冒号隔开记录显示用户属性)(-F 以节格式显示输出,每一节以用户名标识。
每个Attribute=V alue 对在独立行中列出)](-a attribute)列出用户列表simtty mkuser 创建用户simtty chuser 更改用户属性simtty rmuser 除去用户账户simtty groups 组管理目录simtty lsgroup 组列表simtty mkgroup 创建组simtty chgroup 更改组属性simtty rmgroup 删除组smit lvm 逻辑卷管理svg 列出所有卷组lsvg –o 列出激活的卷组lsvg [卷组名] 查看[卷组名]的信息lsvg –p [卷组名] 列出[卷组名]的物理卷信息和状态lsvg –l [卷组名] 列出[卷组名]的逻辑信息和状态smit vg 卷组管理smit mkvg 添加一个VG(卷组)smit vgsc 修改一个VG (卷组)smit importvg 导入导出VG (如果用户的卷组建立在一到多个移动式硬盘上,而且需要移到其他系统上使用,则必须使用exportvg命令或用smit工具从当前系统调出卷组,用importvg 命令或用smit工具把需要的VG导入到本系统,被导出的卷组必须是先使他处于非激活状态,卷组被导出,系统将删除此卷组的所有信息,不要试图导出rootvg卷组)varyoffvg vgname(卷组名) (当某个VG包含一个即将移到其他系统的外置硬盘时,先要执行这个命令,停止此VG对外服务,要执行该命令,此VG内的所有逻辑卷必须是closed 状态,不能是open状态)停止卷组varyonvg vgname 启动卷组lslv [逻辑卷名] 查看[逻辑卷名]的信息和状态lslv –l [逻辑卷名] 查看[逻辑卷名]在各个PV(物理卷)上的分部情况lslv –m [逻辑卷名] 查看[逻辑卷名]的LP(逻辑分区)上的映射关系smit mklv 添加一个LV(逻辑卷)smit lvsc 修改LV(逻辑卷)属性smit mklvcopy 给LV(逻辑卷)做镜像lspv 查看所有PV(物理卷)lspv –p (物理卷名)查看各个LV(逻辑卷)的PP(物理分区)在硬盘内的具体分配位置migratepv –l [逻辑卷名] [源物理卷名] [目标物理卷名] 把硬盘[源物理卷名]上的[逻辑卷名]转移到[目标物理卷名]上例:migratepy –l lv00 hdisk1 hdisk2 注:(这个命令用来把逻辑卷中的数据从一个硬盘转移到另一个不同硬盘,即硬盘间转移数据;注意的是,这两个硬盘必须在同一个VG内才能使用migratepv,属于不同VG的硬盘是做不到的)smit pv 管理PV(物理卷)lsps –a 查看换页空间使用具体情况lsps –s 查看换页空间使用总体情况lsattr –El sys0 –a realmem 查看实际内存大小/etc/swapspaces 列出系统重启动时自动激活的换页空间Smit mkps 添加一个换页空间Smit chps 修改一个换页空间swapon /dev/pagingXX 激活pagingXX(换页空间名)换页空间swapon –a 可激活定义在/etc/swapspaces的所有换页空间swapoff /dev/pagingXX 非激活pagingXX换页空间rmps /dev/pagingXX 删除pagingXX换页空间chps –s25(物理分区的数量)/dev/pagingXX 给pagingXX换页空间增加大于100MB空间(PP(物理分区)大小为4M)ls –l 索引节点信息smit fs 列示文件系统lsfs 显示文件系统的特征,如安装点、自动安装、许可权和文件系统大小-a列出所有的文件系统(缺省)。
AIX系统安全配置手册
存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;
1.2
编号:
6002
名称:
推荐用户属性
重要等级:
高
基本信息:
用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。
组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识,且由组成员和管理员组成。组的创建者通常就是第一管理员。
操作系统支持通常出现在/etc/passwd和/etc/group文件中的标准用户属性,例如:
认证信息指定密码
凭证指定用户标识、主体组和补充组标识
环境指定主环境或shell环境。
建议操作:
检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定,确定各个用户存在的目的,避免存在无意义的用户和组。检查用户ID,避免无关用户拥有root或其他管理用户的权限。检查密码字段,防止无密码的用户存在。检查用户属性,避免不合理的用户拥有admin的权限。
auth2
按auth1指定的对用户进行认证后运行的方法。它无法阻止对系统的访问。典型地,将它设置为NONE。
daemon
此布尔参数指定是否允许用户使用startsrc命令启动守护程序或子系统。它也限制对cron和at设备的使用。
login
指定是否允许该用户登录。
logintimes
限制用户何时可以登录。例如,用户可能被限制只能在正常营业时间访问系统。
一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐户使用,一般用户不可存取此类功能。应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;
AIX-用户组和目录文件权限及安全(有修改)
AIX 用户权限管理来自:推动者社区用户管理和用户1. 用户管理概念用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者;固定用户:root为超级用户,adm、adm、bin……..大多数系统文件的所有者,但不能用这些用户登录。
用户组:需要访问同一文件或执行相同功能的多个用户可放置到一个用户组,文件所有者组给了针对文件所有者更多的控制;固有用户组:system,管理者组;staff普通用户组!AIX将用户分为root用户、管理型用户和组、普通用户和组三个层次。
基本的系统安全机制是基于用户账号的。
每当用户登录后,系统就使用其用户id号作为检验用户请求权限的唯一标准;拥有创建文件的那个进程的用户id,就是被创建文件初始的所有者id,除了文件所有者root,任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进程的用户所在的主用户组,就是被创建文件的所有者组 id。
如无特殊需求,锁定与设备运行、维护等工作无关的账号,除root外的系统初始帐户都需要锁定,包括如下账户:deamon,bin,sys,adm,uucp, pconsole,nuucp,guest,nobody,lpd, esaadmin,lp,sshd,snapp, ipsec,invscout。
锁定方法如下:# chuser account_locked=TRUE username 给用户加锁检查方法:lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011'例子# lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011' root false true truedaemon false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd false true truelp false true trueinvscout false true truesnapp false true falseipsec false true truenuucp false true truepconsole false false trueesaadmin false false falsesshd true false falsenrpadm false true trueoranrp false true truesapadm false true true禁用lpd用户# chuser account_locked=true lpd查看# lsuser -c -a account_locked login rlogin ALL | sed '/^#.*/d' | tr ':' '\011' root false true truedaemon false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd true true truelp false true trueinvscout false true truesnapp false true falseipsec false true truenuucp false true truepconsole false false trueesaadmin false false falsesshd true false false# pwdadm -q sapadmsapadm:lastupdate = 1453417902flags = ADMCHG2. 用户组一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组,一个用户可属于多咯用户组,可以使用groups 或setgroups命令查看用户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成部分,它与系统安全策略密切相关;组管理员拥有增加、删除组中用户和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况和安全策略建立的用户组;系统管理员组,system,这个组的成员可以执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户组,某些只是为系统所有,不应当随意为其添加用户,例如,bin,sys等等;所有非系统管理员组成员的用户属于staff组;security组成员可以执行部分安全安全性管理的任务。
AIX的用户和组管理
AIX的用户和组管理管理IBM AIX 中的用户和组是管理员的重要责任之一。
可以以许多种方式管理用户和组:可以通过AIX System Management Interface Tool (SMIT) 管理它们,也可以手工编辑配置文件或使用命令行命令。
本文讨论AIX 上与用户和组相关的配置文件,以及用来帮助管理用户和组的命令行工具。
先了解文件,然后了解命令在学习AIX 中用来创建、修改和维护用户和组的命令之前,一定要了解在幕后发生的情况。
例如,应该了解相关文件及其作用。
下面是影响用户本身的一些文件:AIX 中的命令请记住,本文讨论的命令和方法应该可以在配置文件中有本地用户和组的AIX 系统上使用。
如果系统处理来自远程源(例如Network Information System,即NIS)的用户和组,那么不应该使用chuser 和chgroup 等命令。
/etc/passwd/etc/security/.profile/etc/security/limits/etc/security/passwd/etc/security/user/usr/lib/security/mkuser.default/etc/passwd/etc/passwd 文件包含用户的基本信息,它可能是UNIX? 和Linux? 用户最熟知的用户管理文件。
清单1 给出/etc/passwd 文件的示例。
清单1. /etc/passwd 文件示例root:!:0:0::/:/usr/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/:lpd:!:9:4294967294::/:lp:*:11:11::/var/spool/lp:/bin/false invscout:*:6:12::/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp loginuser:/usr/sbin/snapp:/usr/sbin/snappdipsec:*:201:1::/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp loginuser:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0::/var/adm/pconsole:/usr/bin/kshesaadmin:*:10:0::/var/esa:/usr/bin/kshsshd:*:206:201::/var/empty:/usr/bin/kshatc:!:8000:400:Adam Cormany,Sr UNIXAdmin:/home/atc:/bin/kshamdc:!:8001:401:AMDC:/home/amdc:/bin/kshpac:!:8002:400:PAC,Jr UNIX Admin:/home/pac:/bin/kshatc2:!:8003:402:ATCv2:/home/atc2:/bin/ksh可以看到这个文件使用冒号(:) 作为分隔符,每个条目按以下格式包含7 个字段(为了便于阅读,在分隔符前后添加了空格):Username : Password Flag : UID : GID : GECOS : Home : Shell/Command下面逐一解释这些字段:Username。
HMCAIX用户基础手册和管理基础手册
HMC&AIX用户手册和管理手册目录目录.............................................................................................. 错误!未定义书签。
1Basic operation............................................................ 错误!未定义书签。
1.1登录HMC............................................................ 错误!未定义书签。
1.2注销HMC............................................................ 错误!未定义书签。
1.3重启HMC............................................................ 错误!未定义书签。
1.4查看网络拓状态(View Network Topology). 错误!未定义书签。
2Service Management常见功效项:............................ 错误!未定义书签。
2.1状态栏功效....................................................... 错误!未定义书签。
3Service Plans ............................................................... 错误!未定义书签。
3.1怎样查看小型机资源配置:........................... 错误!未定义书签。
3.2怎样开关机及激活分区:............................... 错误!未定义书签。
AIX用户组和目录文件权限及安全(有修改)
AIX用户权限管理来自:推动者社区用户管理和用户1.用户管理概念用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者;固定用户:root 为超级用户,adm、adm、bin ........... ••大多数系统文件的所有者,但不能用这些用户登录。
用户组:需要访问同一文件或执行相同功能的多个用户可放置到一个用户组,文件所有者组给了针对文件所有者更多的控制;固有用户组:system,管理者组;staff普通用户组!AIX将用户分为root用户、管理型用户和组、普通用户和组三个层次。
基本的系统安全机制是基于用户账号的。
每当用户登录后,系统就使用其用户id号作为检验用户请求权限的唯一标准;拥有创建文件的那个进程的用户id,就是被创建文件初始的所有者id,除了文件所有者root,任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进程的用户所在的主用户组,就是被创建文件的所有者组id。
如无特殊需求,锁定与设备运行、维护等工作无关的账号,除root外的系统初始帐户都需要锁定,包括如下账户:deam on,bin, sys,adm,uucp, peon sole ,nu ucp,guest ,n obody,lpd, esaadm in, lp,sshd,s napp, ipsec, in vseout。
锁定方法如下:# chuser acco un t_locked=TRUE user name 给用户加锁检查方法:lsuser -c -a accou nt_locked logi n rlogi n ALL | sed '/A#.*/d' | tr ':' '\011'例子# lsuser -c -a accou nt_locked logi n rlogi n ALL | sed '/A#.*/d' | tr ':' '\011'root false true truedaem on false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd false true truelp false true trueinvscoutfalse true true sn app false true falseipsec false true true nu ucp false true truepeon sole false false trueesaadm in false false falsesshd true false falsen rpadm false true trueoranrp false true truesapadm false true true禁用Ipd用户# chuser acco un t_locked=true Ipd查看# Isuser -c -a accou nt_locked logi n rlogi n ALL | sed '/A#.*/d' | tr ':' '\011root false true truedaem on false true truebin false true truesys false true trueadm false true trueuucp false false falseguest false true truenobody false true truelpd true true truelp false true trueinfalse true truevscoutsn app false true falseipsec false true truenu ucp false true truepeon sole false false trueesaadm in false false falsesshd true false false要样改这个文件Jft好使用系统命令,在以后的AIK版本中町能不支持其他的修改方法. 用门夔修改门L_L的密码就用passwd命令,作为security组的用八修改其他用户的密码时, 就便用pwdadm命令,超级用户root修改ft他用户密码眩,就用passwd命令°这个文件也只能由root用户僅接读写.该丈件的权W ^j/etc/passwd文件权限不一致°# pwdadm -q sapadmsapadm:lastupdate = 1453417902flags = ADMCHG2.用户组一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组,一个用户可属于多咯用户组,可以使用groups或setgroups命令查看用户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成部分,它与系统安全策略密切相关;组管理员拥有增加、删除组中用户和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况和安全策略建立的用户组;系统管理员组,system,这个组的成员可以执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户组,某些只是为系统所有,不应当随意为其添加用户,例如,bin,sys等等;所有非系统管理员组成员的用户属于staff组;security组成员可以执行部分安全安全性管理的任务。
AIX安全配置基线
AIX安全配置基线
AIX 系统安全配置基线
第1章帐号管理认证授权
1.1 帐号
2.1.1用户帐号设置*
2.1.2用户组设置*
2.1.3 Root用户远程登录限制
2.1.4系统用户登录限制*
2.1.5帐号用户共享限制*
2.1.6删除系统无关帐号*
2.1.7限制具备超级管理员权限的用户远程登录2.1.8多帐户组管理*
2.1.9系统帐号登陆限制*
1.2 口令
2.2.1口令生存期安全要求
2.2.2口令历史安全要求
2.2.3用户口令锁定策略*
2.2.4用户访问权限安全要求
2.2.5用户FTP访问的安全要求*
2.2.6用户口令强度要求
2.2.7用户缺省访问权限要求*
第2章网络与服务
2.1 服务
3.1.1远程维护安全要求
2.2 IP协议安全要求
3.2.1 ICMP重定向安全要求
3.2.2 系统开放的端口及服务安全要求*
3.2. 3 远程管理地址安全要求* 3.2.4 非路由设备转发限制* 第3章日志审计
3.1 日志
4.1.1添加认证日志*
3.2 审计
4.2.1安全事件审计
4.2.2系统信息日志要求*
4.2.3重点日志保存要求*。
第四章 用户和组管理
第四章用户和组管理4.1概述4.1.1 用户登录和初始化由init进程启动ODM中设置的端口对直接连接的可用端口,由init启动的getty进程将在终端上显示登录提示信息。
该提示可在文件/etc/security/login.cfg中设置。
用户键入登录名后,login程序要检查文件/etc/security/login.cfg,系统也将根据文件/etc/passwd和/etc/security/passwd检查用户名及用户口令。
用户环境由以下文件来建立:/etc/environment、/etc/security/environ、/etc/security/limits、/etc/security/user .login程序将当前目录设置为用户的主目录,并且在$HOME/.hushlogin文件不存在的情况下,将显示/etc/motd文件的内容和关于上次登录的信息。
最后,控制权被传递给登录shell(在/etc/passwd中定义),对于Bourne和Korn shell,将运行/etc/profile和$HOME/.profile文件,对Csh,则执行$HOME/.login和$HOME/.cshrc文件。
对使用CDE界面的系统,用户登录时系统先要执行$HOME/.dtprofile文件,并根据DTSOURCEPROFILE环境变量的设置来确定是否执行$HOME/.profile或$HOME/.login文件。
DTSOURCEPROFILE=true表示要执行上述文件,缺省情况下该设置被注释掉,表示不执行用户的$HOME/.profile或$HOME/.login文件。
用户的初始化文件用户登录时,系统设置用户环境主要依据下述文件:●/etc/profile设置系统范围内公共变量的shell文件。
设置如TERM,MAILMSG,MAIL等环境变量。
●/etc/environment指定对所有进程适用的基本环境变量。
AIX用户管理和用户
AIX用户管理和用户AIX 用户管理和用户用户管理和用户1. 用户管理概念用户账号:每个用户账号都有唯一的用户名、用户id和口令;文件所有者依据用户id判定;文件所有者一般为创建文件的用户,但root用户可以改变一个文件的所有者;固定用户:root为超级用户,adm、adm、b in……..大多数系统文件的所有者,但不能用这些用户登录。
用户组:需要访问同一文件或执行相同功能的多咯用户可放置到一个用户组,文件所有者组给了针对文件所有者更多的控制;固有用户组:sy stem,管理者组;staff普通用户组!基本的系统安全机制是基于用户账号的。
每当用户登录后,系统就使用其用户id号作为检验用户请求权限的唯一标准;拥有创建文件的那个进程的用户id,就是被创建文件初始的所有者id,除了文件所有者root,任何其他用户不能改变文件所有者;需要共享对一组文件的访问的多咯用户可放置在一个用户组中,一个用户可属于多个用户组,每个用户组有唯一的用户组名和用户组id,当文件创建时,拥有创建文件的那个进程的用户所在的主用户组,就是被创建文件的所有者组id。
2. 用户组一个用户组包含一个或多个用户,每个用户都必须属于至少一个用户组,一个用户可属于多咯用户组,可以使用groups或setgroups 命令查看用户所属的组;建立用户组以便组织并区分用户,是系统管理的重要组成部分,它与系统安全策略密切相关;组管理员拥有增加、删除组中用户和组管理员的权限,有三种类型的用户组:自建用户组,根据用户情况和安全策略建立的用户组;系统管理员组,system,这个组的成员可以执行一些系统管理任务;系统定义的组:有若干个系统定义的固有用户组,某些只是为系统所有,不应当随意为其添加用户,例如,bin,sys 等等;所有非系统管理员组成员的用户属于staff 组;security组成员可以执行部分安全安全性管理的任务。
3. 用户组层次属于系统管理员组或系统定义组的用户可以执行某些系统管理任务,系统固有组有:system,可对标准的软硬件进行配置和维护工作;printq,可管理打印队列,enable、disable、qadm、qpri等等;security:可进行用户口令和限制管理,mkuser、rmuser等;adm,可进行系统监视工作,性能监视、统计等等;staff,所有新用户的默认组。
如何在终端中管理用户和用户组
如何在终端中管理用户和用户组在终端中管理用户和用户组终端是计算机操作系统中最基本的界面之一,通过终端可以进行各种操作,包括管理用户和用户组。
用户和用户组的管理对于一个操作系统来说尤为重要,可以保证系统的安全性和权限的合理分配。
本文将介绍如何在终端中进行用户和用户组的管理。
一、用户管理用户是操作系统中的一个重要组成部分,每个用户都拥有自己的账户和对应的权限。
在终端中,可以通过以下命令来进行用户的管理:1. 创建用户:使用命令"sudo adduser username",其中username为你要创建的用户名。
在执行该命令后,系统会提示你输入相关信息,如密码、姓名等。
按照提示完成信息输入后,用户便成功创建。
2. 删除用户:使用命令"sudo deluser username",其中username为你要删除的用户名。
执行该命令后,系统会删除该用户的账户和相关权限。
3. 修改用户信息:使用命令"sudo usermod -l new_usernameold_username",其中new_username为你想要修改的新用户名,old_username为原始的用户名。
执行该命令后,系统会将原始用户名修改为新的用户名。
4. 重置用户密码:使用命令"sudo passwd username",其中username为你要重置密码的用户名。
执行该命令后,系统会提示你输入新密码,并要求确认。
完成输入后,该用户的密码便成功重置。
5. 切换用户:使用命令"su username",其中username为你要切换的用户名。
执行该命令后,系统会要求输入该用户的密码,输入正确后即可切换为该用户。
二、用户组管理用户组是一种对用户进行归类,方便对用户进行管理和权限分配的方式。
在终端中,可以通过以下命令来进行用户组的管理:1. 创建用户组:使用命令"sudo addgroup groupname",其中groupname为你要创建的用户组名称。
AIX用户及组管理
AIX用户及组管理1.用户的安全任务快捷管理# smit securityUsersGroupspasswordsLogin ControlsRoles2.安全相关记录文件/etc/motd 公告文件,登录显示/etc/passwd 存放用户名和ID/etc/security/passwd 存放AIX用户和密码/etc/security/user 存放用户的扩展信息/etc/group 存放组名和组ID/etc/security/group 存放组的扩展信息/usr/lib/security/mkuser.default 存放新创建用户默认属性的默认值文件/etc/security/login.cfg 存放控制用户登录系统和身份验证配置的文件/etc/security/environ 存放用户进入系统后的工作环境的配置文件/etc/security/limits 限制用户使用系统资源的文件/etc/security/lastlog 记录上次登录系统的情况3.系统内建帐户user: root, daemon, bin, sys, adm, uucp, guest, nobody, lpd group: system, staff, bin, security, sys, adm, mail, corn, audit, printq, shutdown4.组和用户的分类组:用户级的组系统管理组系统预定义组用户:root用户管理型用户和组普通型用户和组5.用户和组IDroot 0内建用户 1-200新建用户 ID 〉2006.账号管理创建用户#smit user#mkuser allen 创建新用户allen#mkuser allen [-a] 创建新管理型用户#passwd 创建allen口令为#mkuser su=FALSE allen 禁用su切换权限#smitty mkuser 快捷建用户显示和修改$pg /etc/passwd 通过文件查看所有用户信息属性$lsuser ALL 查看所有用户属性信息$lsuser -f allen 分节显示allen的信息#chuser admin=TRUE allen 改allen用户为管理型用户#chuser login=FALSE allen 禁止用户allen登录系统#chuser shell=/usr/bin/csh/allen#chuser "admin=TRUE" "pgrp=security" allen 同时修改多个属性7.更改用户shell临时更改Shell:$tty 获得当前终端号$ps -t tty0 先是当前终端运行的程序$csh 运行c Shell%...... c Shell模式%eixt 退出c Shell$永久更改:#chsh 交互式#chsh allen /usr/bin/csh 直接执行更改8删除用户#rmuser allen 删除allen用户而不删除密码及身份验证#rmuser -p allen 删除allen用户同时删除密码及身份验证信息#rm -r /home/allen 删除完用户信息删除用户初始机器中目录及文件#smit rmuser9.锁定用户#chuser account_locked=TRUE allen#chuser account_locked=FALSE allen#smit lockuser10组的管理#smit group 快捷方式#mkgroup informix 创建组informix#mkgroup informix -a 创建管理型组 informix#lsgroup ALL#lsgroup -f informix#lsgroup -c informix#chgroup users=informix,allen informix 将用户allen添加到组informix#rmgroup informix 删除组#smit rmgroup11口令管理$id 查看自己的ID$passwd 更改自己的口令#passwd peter 更改peter的口令#passwd -s 修改登录Shell#smit passwd#smit passwdattrs 修改密码属性12.用户登录管理#cd /var/adm#more sulog#who wtmp#last -8#last -peter#last -tty0#who#who am I。
AIX用户管理与安全策略
else
TERM=vt100
fi
export TERM PS1 ENV PATH
20
• 命令提示符
– 3个变量 PS1, PS2 ,PS3 • PS1:主提示符变量 • PS2:副提示符变量 • PS3:root用户提示符变量
• su命令 – su 命令允许切换到root 或者指定用户,从而创建了新的会话 – su 命令带“-” 号表示将用户环境切换到该用户初始登录环境 – su 命令不指定用户时,表示切换到root
– 口令管理: • Histexpire: 指该用户在多少星期内不能重复使用相同的密码, 是一个正整数,0-260 • Minage: 指出再次修改密码之间相距最短的星期数,范围0-52 • Maxage: 密码有效的星期数,指再次修改密码之间相距最长时 间
• Minlen : 密码的最短长度,范围0-8
29
• 合法性检查 (1 of 3) pwdck 验证本机认证信息的合法性 命令格式: pwdck {-n|-p|-t|-p} {ALL | username } 该命令用来验证本机认证信息的合法性,它将检查/etc/passwd 和
/etc/security/passwd 的一致性以及/etc/security/login.cfg 和 /etc/security/user 的一致性
• lsgroup groupname 列表按行显示;
• lsgroup –c groupname 显示的域以冒号分隔
• lsgroup –f groupname 按分节式的格式显示,可以指定列出全部属性或部分属性
11
用户管理
• 创建用户 – # smitty mkuser (# mkuser)
AIX系统管理
金证科技
SHENZHEN KINGDOM TECHNOLOGY CO.LTD.
AIX存储管理命令
Varyonvg , varyoffvg , lsvg , lsvg –o Exportvg , importvg Lspv Lslv,mklv Crfs smit命令(是执行其它命令的一个工具,将其 它命令的命令名作为smit命令的参数,如: smit mklv等)
金证科技
SHENZHEN KINGDOM TECHNOLOGY CO.LTD.
谢谢!
金证科技
SHENZHEN KINGDOM TECHNOLOGY CO.LTD.
• 文件是AIX文件系统的基本单位,共有 三种不同类型的AIX文件。 普通文件 目录文件 特殊文件 • 文件和目录的存取权
金证科技
SHENZHEN KINGDOM TECHNOLOGY CO.LTD.
普通文件
• 以字节为单位的数据信息的集合,包括 文本文件和程序文件。 • 基本属性包括文件名、文件索引号、文 件大小、最近访问时间、一组存取权、 属组名和属主名。
• 存取权分为三个级别:读权“r”、写权 “w”、执行权“x”。 • 存取用户分三类:文件属主、属组、其 它用户。 • 为文件赋权限是用数字表示,如755为 rwxr-xr-x
金证科技
SHENZHEN KINGDOM TECHNOLOGY CO.LTD.
访问系统的简单命令
• 用户管理操作 • 目录管理操作 pwd、ls、cd、mkdir、rmdir、rm等 • 文件管理操作 cp、rm、find等 • 改变目录/文件属性 chown、chgrp、chmod
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
了解IBM® AIX® 中与用户和组相关的配置文件,以及用来帮助管理用户和组的命令行工具。
先了解文件,然后了解命令在学习 AIX 中用来创建、修改和维护用户和组的命令之前,一定要了解在幕后发生的情况。
例如,应该了解相关文件及其作用。
下面是影响用户本身的一些文件:AIX 中的命令请记住,本文讨论的命令和方法应该可以在配置文件中有本地用户和组的AIX 系统上使用。
如果系统处理来自远程源(例如 Network Information System,即 NIS)的用户和组,那么不应该使用 chuser 和 chgroup 等命令。
/etc/passwd/etc/security/.profile/etc/security/limits/etc/security/passwd/etc/security/user/usr/lib/security/mkuser.default/etc/passwd/etc/passwd 文件包含用户的基本信息,它可能是UNIX® 和Linux® 用户最熟知的用户管理文件。
清单 1 给出 /etc/passwd 文件的示例。
清单 1. /etc/passwd 文件示例root:!:0:0::/:/usr/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/:lpd:!:9:4294967294::/:lp:*:11:11::/var/spool/lp:/bin/falseinvscout:*:6:12::/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappd ipsec:*:201:1::/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp loginuser:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0::/var/adm/pconsole:/usr/bin/kshesaadmin:*:10:0::/var/esa:/usr/bin/kshsshd:*:206:201::/var/empty:/usr/bin/kshatc:!:8000:400:Adam Cormany,Sr UNIX Admin:/home/atc:/bin/ksh amdc:!:8001:401:AMDC:/home/amdc:/bin/kshpac:!:8002:400:PAC,Jr UNIX Admin:/home/pac:/bin/kshatc2:!:8003:402:ATCv2:/home/atc2:/bin/ksh可以看到这个文件使用冒号 (:) 作为分隔符,每个条目按以下格式包含 7 个字段(为了便于阅读,在分隔符前后添加了空格):Username : Password Flag : UID : GID : GECOS : Home : Shell/Command下面逐一解释这些字段:Username。
这是与用户账户相关联的登录名/用户名。
Password Flag。
这个字段因 UNIX 和 Linux 的风格而异。
在 AIX 上,第二个字段可以包含两个字符之一:! 或 *。
如果显示 !,那么已经为此用户设置了密码。
如果还没有设置密码,就会出现 *。
密码本身存储在/etc/security/passwd 中。
UID。
User Identifier (UID) 是用户的数字标识符。
GID。
Group Identifier (GID) 与 UID 相似,但是它与组相关联。
GID 在/etc/group 中定义。
GECOS。
General Electric Comprehensive Operating System (GECOS) 信息存储在第五个字段中。
这里存储用户的姓名、电话号码和其他一般个人信息。
Home。
这是用户的主目录。
Shell/Command。
通常情况下,最后一个字段包含在用户登录时启动的shell。
管理员也可以通过修改这个字段执行其他命令而不是 shell(例如/bin/false),从而限制访问。
/etc/security/.profile/etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。
在使用mkuser 命令创建用户时,执行 /usr/lib/security/mkuser.sys 脚本。
这个脚本创建用户的目录,设置正确的权限,“创建” 用户的 .profile。
mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。
如果您正在构建新系统,或者一个新部门有 100 名员工需要在系统上建立账户,那么一定要先修改 /etc/security/.profile 文件,然后再开始创建用户账户。
如果已经创建了账户,然后意识到需要对某个变量或其他设置做简单的修改,就不得不手工修改每个用户的 profile。
可以使用脚本简化这个过程,但是如果提前修改了 /etc/security/.profile,会简单得多。
清单 2 给出一个 /etc/security/.profile 文件示例。
清单 2. /etc/security/.profile 文件示例PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:. export PATHif [ -s "$MAIL" ] # This is at Shell startup. In normalthen echo "$MAILMSG" # operation, the Shell checksfi # periodically./etc/security/limits/etc/security/limits 文件包含所有 ulimit,即用户的系统资源限制。
表1 列出 /etc/security/limits 文件中的字段及其用途。
表 1. /etc/security/limits 中的字段软限制硬限制说明fsize fsize_hard 用户可以创建的文件的大小core core_hard 用户可以创建的核心文件的大小cpu cpu_hard 允许的系统时间量data data_hard 进程数据段的大小stack stack_hard 进程堆栈段的大小rss rss_hard 允许的物理内存量nofiles nofiles_hard 同时打开的文件描述符数量nproc nproc_hard 同时运行的进程数量软限制和硬限制的区别是什么?在最大值(硬限制)范围内,用户或应用程序可以动态地修改软限制。
硬限制就是参数可以设置的最大值。
如果把参数设置为数字值太困难(例如,如果开发人员不知道程序将使用的内存量或它需要打开的文件数量),那么可以把参数设置为 -1,这表示无限制。
但是,不必为每个用户设置所有 ulimit。
/etc/security/limits 文件包含一个 default 部分,它为每个用户定义一组标准值,如果用户没有设置定制的值,就会使用这些值。
如果 default 部分不存在,系统会设置预先确定的限制。
IBM 的默认值如下:* Attribute Value* ========== ============* fsize_hard set to fsize* cpu_hard set to cpu* core_hard -1* data_hard -1* stack_hard 8388608* rss_hard -1* nofiles_hard -1清单 3 给出一个 /etc/security/limits 文件示例。
清单 3. /etc/security/limits 文件示例default:fsize = 4194303core = 16384cpu = -1data = 262144rss = 65536stack = 65536pac:fsize = 131072fsize_hard = 262144core = 262144假设用户“pac” 是一位初级 UNIX 管理员,他的软限制值 fsize 由default 部分的 4,194,303 降低到 131,072;但是,允许他在需要时把这个值增加到 262,144。
另外,pac 经常把自己的程序弄坏。
因此,把他的 core ulimit 增加到 262,144。
/etc/security/passwd/etc/security/passwd 文件包含 AIX 用户的密码信息。
在这个文件中,每个用户有三个字段:password。
加密的密码。
注意:如果这个字段只包含星号 (*),那么账户被锁定,直到设置密码为止。
lastupdate。
最后一次更新密码的时间(系统纪元以来的秒数)。
flags。
对修改用户密码的限制。
可以设置三个标志:ADMIN。
如果设置,那么只有根用户可以修改用户的密码。
ADMCHG。
如果设置,那么在用户下一次登录或执行 su 时提示修改密码。
NOCHECK。
如果设置,那么忽略 /etc/security/user 中的任何其他限制。
清单 4 提供一个 /etc/security/password 文件示例。
清单 4. /etc/security/password 文件示例amdc:password = oBQaUkPkUryCYlastupdate = 1243972006flags = ADMCHG在这个示例中,用户“amdc” 的密码是在 2009 年 6 月 2 日星期二15:46:46 EDT 设置的。
当用户下一次登录或执行 su 时,会提示修改密码。
您可能想知道如何把系统纪元以来的秒数转换为可读性更好的表示法,为此我编写了一个 Perl 脚本。
这个脚本的核心如下:# perl -e 'use POSIX; print strftime("%c\n",localtime(1243972006));'Tue Jun 2 15:46:46 EDT 2009/etc/security/user现在,要接触到 AIX 用户管理的核心了。