用户管理与安全策略教材.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
三种类型组
用户组 系统管理员组 系统定义的组
三种类型组(2)
用户组 系统管理员按照用户共享文件的需要创建的,例 如同一部门,同一工程组的成员所创建的组
系统管理员组 系统管理员自动成为system组的成员,该组的成 员可以执行某些系统管理任务而无需是root用户
三种类型组(3)
系统定义的组 系统预先定义了几个组,如staff是系统中新创建 的非管理用户的缺省组,security组则可以完成 有限的安全性管理工作。其他系统定义的组用来 控制一些子系统的管理任务
组的特点 组是用户的集合,组成员需要存取组内的共享文件 每个用户至少属于一个组,同时也可以充当多个组 的成员 用户可以存取自己组集合(group set )中的共享文件, 列出组集合可用groups 或者setgroups 命令 文件主修改主组可用newgrp 或setgroups 命令
分组策略
组的划分尽量与系统的安全性策略相一致,不要 定义太多的组,如果按照数据类型和用户类型的 每种可能组合来划分组,又将走向另一个极端, 会使得日常管理过于复杂 每个组可以任命一到多个组管理员,组管理员有 权增减组成员和任命本组的管理员
管理用户
为了保护重要的用户和组不受security组成员的 控制,AIX设置管理用户和管理组 只有root才能添加删除和修改管理用户和管理组 系统中的用户均可以被指定为管理用户,可查看文 件/etc/security/user的admin属性
# cat /etc/security/user user1: admin=true
§ 6.2 安全性策略 § 6.2.1 安全性的概念 § 6.2.2 文件和目录的存取许可权 § 6.2.3 安全性文件 § 6.2.4 合法性检查 § 6.2.5 安全性策略要旨 § 6.2.6 测试题
第六章 用户管理与安全策略(3)
本章要点
定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用
/etc/profile 设置系统范围内公共变量的shell文件,设置如TERM、 MAILMSG 、MAIL等环境变量
/etc/environment 指定对所有进程适用的基本环境变量。如HOMBaidu Nhomakorabea、 LANG、TZ 、NLSPATH等
$HOME/.profile 用户在主目录下的设置文件
6. 1. 2 组的分类
6. 1. 1 用户登陆和初始化
getty
login
用户输入用户名
系统验证用户 名和密码
读取
/etc/environment /etc/profile
shell
$HOME/.profile
显示/etc/motd
设置用户环境
用户登陆
提示信息 用户名 口令
对直接连接的可用端口,由init启动的getty进程 将在终端上显示登录提示信息,该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令
组的划分
在AIX系统中,一些组的成员如 system 、security 、printq 、 adm等能够执行特定的系统管理 任务
系统定义的组
system 管理大多数系统配置和维护标准软硬件
printq 管理打印队列。该组成员有权执行的典型 命令有enable、disable、qadm、qpri等
6. 1. 4 安全性和用户菜单
# smitty security
6. 1. 5 用户管理
# smitty users
列示用户
# smitty lsuser
lsuser命令
在SMIT菜单选择List All Users选项时,得到的 输出是用户名、用户id、和主目录的列表;也可 以直接用lsuser命令来列示所有用户(ALL)或部 分用户的属性
audit 管理事件监视系统
6. 1. 3 用户划分
root用户 管理用户 普通用户
root用户
超级用户(特权用户) 可执行所有的系统管理工作,不受任何权限限制
大多数系统管理工作可以由非root的其他用户来 完成,如指定的 system、 security、printq、 cron、adm、audit组的成员。
第六章 用户管理与安全策略
第六章 用户管理与安全策略
§ 6.1 用户和组管理 § 6.1.1 用户登陆和初始化 § 6.1.2 组的分类 § 6.1.3 用户划分 § 6.1.4 安全性和用户菜单 § 6.1.5 用户管理 § 6.1.6 组的管理 § 6.1.7 管理员和用户通信工具
第六章 用户管理与安全策略(2)
lsuser命令的输出用到以下文件: /etc/passwd、 /etc/security/limits和/etc/security/user
security 管理用户和组、口令和控制资源限制。该 组成员有权执行的典型命令有mkuser、 rmuser、pwdadm、chuser、chgroup等
系统定义的组(2)
adm 执行性能、cron 、记帐等监控功能
staff 为所有新用户提供的缺省的组,管理员可以 在文件/usr/lib/security/mkuser.defaults中 修改该设置
用户环境
用户环境由以下文件来建立 /etc/environment /etc/security/environ /etc/security/limits /etc/security/user
/etc/motd
/etc/motd shell
login过程将当前目录设置为用户的主目录,并 且在$HOME/.hushlogin文件不存在的情况下, 将显示/etc/motd文件的内容和关于上次登录的 信息
最后控制权被传递给登录shell(在/etc/passwd 中定义) ,对于Bourne和Korn Shell,将运行 /etc/profile和$HOME/.profile文件,对Csh,则 执行$HOME/.login和$HOME/.cshrc文件
环境变量
用户登录时系统设置用户环境主要依据下述文件