用户管理与安全策略教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Maintenance)菜单下选择3:Start Maintenance Mode For System Recovery 3、选择 Obtain a shell by activating the root volume group并按提示继续 4、设置TERM变量,例如:# export TERM=vt100
安全性的概念(2)
系统缺省组 system :管理员组 staff :普通用户组
安全性原则
用户被赋予唯一的用户名、用户ID (UID)和 口令。用户登录后,对文件访问的合法性取决 于UID
文件创建时,UID自动成为文件主。只有文 件主和root才能修改文件的访问许可权
需要共享一组文件的用户可以归入同一个组 中。每个用户可属于多个组。每个组被赋予唯 一的组名和组ID (GID),GID也被赋予新创建的 文件
6. 1. 1 用户登陆和初始化
getty
login
用户输入用户名
系统验证用户 名和密码
读取
/etc/environment /etc/profile
shell
$HOME/.profile
显示/etc/motd
设置用户环境
用户登陆
提示信息 用户名 口令
对直接连接的可用端口,由init启动的getty进程 将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令
用户属性文件
/etc/passwd /etc/group /etc/security/user /etc/security/limits /etc/security/lastlog
包含用户的基本属性 包含组的基本属性 包含用户的扩展属性 包含用户的运行资源限制 包含用户最后登陆属性
修改用户属性
# smitty chuser
6. 1. 4 安全性和用户菜单
# smitty security
6. 1. 5 用户管理
# smitty users
列示用户
# smitty lsuser
lsuser命令
在SMIT菜单选择List All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性
系统中添加管理组) -A 用于任命创建者为组管理员 一个用户可属于1—32个组。ADMINISTRATOR list是组管理员列表,组管理员有权添加或删除组 成员
更改组的属性
# smitty chgroup
更改组的属性(2)
smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作 组的属性包括: Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames)
lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user
lsuser命令(2)
命令格式: lsuser [-c | -f ] [-a attribute ] { ALL | username }
lsuser 列表按行显示;
最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对Csh,则 执行$HOME/.login和$HOME/.cshrc文件
环境变量
用户登录时系统设置用户环境主要依据下述文件
motd 文件 文件/etc/motd在用户从终端成功登录时将会显示在 屏幕上。 特别适合存放版权或系统使用须知等长期 信息 只应包含用户须知的内容 用户的主目录下如果存在文件$HOME/.hushlogin , 则该用户登录时不显示motd 文件的内容
6. 2. 1 安全性的概念
系统缺省用户 root:超级用户 adm、sys、bin :系统文件的所有者但不允许登录
删除用户
# smitty rmuser
rmuser命令
example:
# rmuser test01 删除用户test01
# rmuser -p test01 删除用户test01,并删除与用户认证相关的信息
# rm -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录)
security 管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等
系统定义的组(2)
adm 执行性能、cron 、记帐等监控功能
staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置
组的划分
在AIX系统中,一些组的成员如 system 、security 、printq 、 adm等能够执行特定的系统管理 任务
系统定义的组
system 管理大多数系统配置和维护标准软硬件
printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri等
组的特点 组是用户的集合,组成员需要存取组内的共享文件 每个用户至少属于一个组,同时也可以充当多个组 的成员 用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令 文件主修改主组可用newgrp 或setgroups 命令
分组策略
组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂 每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员
root口令(2)
紧急情况下删除root口令的步骤 5、通过 # vi /etc/security/passwd删除root
口令的密文 6、# sync;sync(系统同步) 7、# reboot(从硬盘引导) 8、从新登陆后给root设置口令
6. 1. 6 组的管理
# smitty groups
用户环境
用户环境由以下文件来建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user
/etc/motd
/etc/motd shell
login过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息
列示组
# smitty lsgroup
lsgroup命令
lsgroup 缺省格式,列表按行显示 lsgroup -c 显示时每个组的属性之间用冒号分隔 lsgroup –f 按组名以分节式格式输出
添加组
# smitty mkgroup
mkgroup命令
mkgroup groupname -a 用来指定该组是管理组(只有root才有权在
管理用户
为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组 只有root才能添加删除和修改管理用户和管理组 系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性
# cat /etc/security/user user1: admin=true
root特权的控制
严格限制具有root 特权的人数 root 口令应由系统管理员以不公开的周期更改 不同的机器采用不同的root 口令 系统管理员应以不同用户的身份登录,然后用su 命令进入特权 root 所用的PATH环境变量不要随意更改
su命令
§ 6.2 安全性策略 § 6.2.1 安全性的概念 § 6.2.2 文件和目录的存取许可权 § 6.2.3 安全性文件 § 6.2.4 合法性检查 § 6.2.5 安全性策略要旨 § 6.2.6 测试题
第六章 用户管理与安全策略(3)
本章要点
定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用
lsuser -c 显示的域以冒号分隔
lsuser –f 按分节式的格式显示,可以指定列出全部属性或部分属性
创建用户
# smitty mkuser
用户缺省值
缺省用户的ID号取自/etc/security/.ids 设置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、 /etc/security/user 缺省的.profile文件取自/etc/security/.profile
组的管理(2)
建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可权位一致)
要创建组并成为其管理员,必须是root或security 组成员。组管理员有权往组里添加其他用户
系统中已经定义了几个组,如system 组是管理用 户的组,staff 组是普通用户的组 ,其他的组与特 定应用和特定文件的所有权相联系
audit 管理事件监视系统
6. 1. 3 用户划分
root用户 管理用户 普通用户
root用户
超级用户(特权用户) 可执行所有的系统管理工作,不受任何权限限制
大多数系统管理工作可以由非root的其他用户来 完成,如指定的 system、 security、printq、 cron、adm、audit组的成员。
用户口令
新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令 1、passwd username
此命令只有root和username本人可用 2、pwdadm username
root和security成员可用
root口令
紧急情况下删除root口令的步骤
1、从AIX 5L CD-ROM引导 2、引导时键入F5,进入安装和维护(Installation and
/etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量
/etc/environment 指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等
$HOME/.profile 用户在主目录下Fra Baidu bibliotek设置文件
6. 1. 2 组的分类
三种类型组
用户组 系统管理员组 系统定义的组
三种类型组(2)
用户组 系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组
系统管理员组 系统管理员自动成为system组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户
三种类型组(3)
系统定义的组 系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务
第六章 用户管理与安全策略
第六章 用户管理与安全策略
§ 6.1 用户和组管理 § 6.1.1 用户登陆和初始化 § 6.1.2 组的分类 § 6.1.3 用户划分 § 6.1.4 安全性和用户菜单 § 6.1.5 用户管理 § 6.1.6 组的管理 § 6.1.7 管理员和用户通信工具
第六章 用户管理与安全策略(2)
删除组
# smitty rmgroup
删除组
rmgroup用来删除一个组 对管理组而言,只有root才有权删除 组管理员可以用chgrpmen命令来增删组管理员 和组成员
6. 1. 7 管理员和用户通信工具
motd文件 write命令 wall命令 talk命令 mesg命令
管理员和用户通信工具(2)
安全性的概念(2)
系统缺省组 system :管理员组 staff :普通用户组
安全性原则
用户被赋予唯一的用户名、用户ID (UID)和 口令。用户登录后,对文件访问的合法性取决 于UID
文件创建时,UID自动成为文件主。只有文 件主和root才能修改文件的访问许可权
需要共享一组文件的用户可以归入同一个组 中。每个用户可属于多个组。每个组被赋予唯 一的组名和组ID (GID),GID也被赋予新创建的 文件
6. 1. 1 用户登陆和初始化
getty
login
用户输入用户名
系统验证用户 名和密码
读取
/etc/environment /etc/profile
shell
$HOME/.profile
显示/etc/motd
设置用户环境
用户登陆
提示信息 用户名 口令
对直接连接的可用端口,由init启动的getty进程 将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令
用户属性文件
/etc/passwd /etc/group /etc/security/user /etc/security/limits /etc/security/lastlog
包含用户的基本属性 包含组的基本属性 包含用户的扩展属性 包含用户的运行资源限制 包含用户最后登陆属性
修改用户属性
# smitty chuser
6. 1. 4 安全性和用户菜单
# smitty security
6. 1. 5 用户管理
# smitty users
列示用户
# smitty lsuser
lsuser命令
在SMIT菜单选择List All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性
系统中添加管理组) -A 用于任命创建者为组管理员 一个用户可属于1—32个组。ADMINISTRATOR list是组管理员列表,组管理员有权添加或删除组 成员
更改组的属性
# smitty chgroup
更改组的属性(2)
smit chgroup和chgroup命令用来更改组的特性。 只有root和security组的成员有权执行该操作 组的属性包括: Group ID (id=groupid) Administrative group?(admin=true|false) Administrator List (adms=adminnames) User List (users=usernames)
lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user
lsuser命令(2)
命令格式: lsuser [-c | -f ] [-a attribute ] { ALL | username }
lsuser 列表按行显示;
最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对Csh,则 执行$HOME/.login和$HOME/.cshrc文件
环境变量
用户登录时系统设置用户环境主要依据下述文件
motd 文件 文件/etc/motd在用户从终端成功登录时将会显示在 屏幕上。 特别适合存放版权或系统使用须知等长期 信息 只应包含用户须知的内容 用户的主目录下如果存在文件$HOME/.hushlogin , 则该用户登录时不显示motd 文件的内容
6. 2. 1 安全性的概念
系统缺省用户 root:超级用户 adm、sys、bin :系统文件的所有者但不允许登录
删除用户
# smitty rmuser
rmuser命令
example:
# rmuser test01 删除用户test01
# rmuser -p test01 删除用户test01,并删除与用户认证相关的信息
# rm -r /home/test01 手工删除用户的主目录 (rmuser命令并未删除用户主目录)
security 管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等
系统定义的组(2)
adm 执行性能、cron 、记帐等监控功能
staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置
组的划分
在AIX系统中,一些组的成员如 system 、security 、printq 、 adm等能够执行特定的系统管理 任务
系统定义的组
system 管理大多数系统配置和维护标准软硬件
printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri等
组的特点 组是用户的集合,组成员需要存取组内的共享文件 每个用户至少属于一个组,同时也可以充当多个组 的成员 用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令 文件主修改主组可用newgrp 或setgroups 命令
分组策略
组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂 每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员
root口令(2)
紧急情况下删除root口令的步骤 5、通过 # vi /etc/security/passwd删除root
口令的密文 6、# sync;sync(系统同步) 7、# reboot(从硬盘引导) 8、从新登陆后给root设置口令
6. 1. 6 组的管理
# smitty groups
用户环境
用户环境由以下文件来建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user
/etc/motd
/etc/motd shell
login过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息
列示组
# smitty lsgroup
lsgroup命令
lsgroup 缺省格式,列表按行显示 lsgroup -c 显示时每个组的属性之间用冒号分隔 lsgroup –f 按组名以分节式格式输出
添加组
# smitty mkgroup
mkgroup命令
mkgroup groupname -a 用来指定该组是管理组(只有root才有权在
管理用户
为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组 只有root才能添加删除和修改管理用户和管理组 系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性
# cat /etc/security/user user1: admin=true
root特权的控制
严格限制具有root 特权的人数 root 口令应由系统管理员以不公开的周期更改 不同的机器采用不同的root 口令 系统管理员应以不同用户的身份登录,然后用su 命令进入特权 root 所用的PATH环境变量不要随意更改
su命令
§ 6.2 安全性策略 § 6.2.1 安全性的概念 § 6.2.2 文件和目录的存取许可权 § 6.2.3 安全性文件 § 6.2.4 合法性检查 § 6.2.5 安全性策略要旨 § 6.2.6 测试题
第六章 用户管理与安全策略(3)
本章要点
定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用
lsuser -c 显示的域以冒号分隔
lsuser –f 按分节式的格式显示,可以指定列出全部属性或部分属性
创建用户
# smitty mkuser
用户缺省值
缺省用户的ID号取自/etc/security/.ids 设置ID的shell程序/usr/lib/security/mkuser.sys 缺省特性取自/usr/lib/security/mkuser.default、 /etc/security/user 缺省的.profile文件取自/etc/security/.profile
组的管理(2)
建立组的目的是让同组的成员对共享的文件具有同 样的许可权(文件的组许可权位一致)
要创建组并成为其管理员,必须是root或security 组成员。组管理员有权往组里添加其他用户
系统中已经定义了几个组,如system 组是管理用 户的组,staff 组是普通用户的组 ,其他的组与特 定应用和特定文件的所有权相联系
audit 管理事件监视系统
6. 1. 3 用户划分
root用户 管理用户 普通用户
root用户
超级用户(特权用户) 可执行所有的系统管理工作,不受任何权限限制
大多数系统管理工作可以由非root的其他用户来 完成,如指定的 system、 security、printq、 cron、adm、audit组的成员。
用户口令
新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令 1、passwd username
此命令只有root和username本人可用 2、pwdadm username
root和security成员可用
root口令
紧急情况下删除root口令的步骤
1、从AIX 5L CD-ROM引导 2、引导时键入F5,进入安装和维护(Installation and
/etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量
/etc/environment 指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等
$HOME/.profile 用户在主目录下Fra Baidu bibliotek设置文件
6. 1. 2 组的分类
三种类型组
用户组 系统管理员组 系统定义的组
三种类型组(2)
用户组 系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组
系统管理员组 系统管理员自动成为system组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户
三种类型组(3)
系统定义的组 系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务
第六章 用户管理与安全策略
第六章 用户管理与安全策略
§ 6.1 用户和组管理 § 6.1.1 用户登陆和初始化 § 6.1.2 组的分类 § 6.1.3 用户划分 § 6.1.4 安全性和用户菜单 § 6.1.5 用户管理 § 6.1.6 组的管理 § 6.1.7 管理员和用户通信工具
第六章 用户管理与安全策略(2)
删除组
# smitty rmgroup
删除组
rmgroup用来删除一个组 对管理组而言,只有root才有权删除 组管理员可以用chgrpmen命令来增删组管理员 和组成员
6. 1. 7 管理员和用户通信工具
motd文件 write命令 wall命令 talk命令 mesg命令
管理员和用户通信工具(2)