AIX的基本命令
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
lsuser 命令
用途
显示用户帐户属性。
语法
lsuser [ -R load_module ] [ -c | -f ] [ -a List ] { ALL | Name [ ,Name ] ... } 描述
lsuser 命令显示用户帐户属性。
可以使用这个命令来列出所有系统用户的所有属性或指定用户的所有属性。
由于没有缺省参数,您必须输入 ALL 关键字来查看所有用户的属性。
缺省情况下,lsuser 命令显示所有用户的属性。
要查看选定的属性,请使用 -a List 标志。
如果一个或多个属性不可读,则 lsuser 命令列出尽可能多的信息。
注:如果您已在系统上安装了“网络信息服务”(NIS)数据库,那么在使用 lsuser 命令时不显示某些用户信息。
缺省情况下,lsuser 命令在一行上列出每个用户的属性。
它显示属性信息为Attribute=Value 定义,每项用空格隔开。
要以节格式列出用户属性,请使用 -f 标志。
要以冒号隔开记录的列表信息,请使用 -c 标志。
您可以使用基于 Web 的系统管理器(wsm)中的用户应用程序来更改用户特性。
您也可以使用“系统管理接口工具”(SMIT)smit lsusers 快速路径来运行此命令。
标志
-a List 列出要显示的属性。
List 变量可以包含在 chuser 命令中定义的任何属性并要求在属性间有一个空格。
如果指定空表,只显示用户名。
-c 以冒号隔开记录显示用户属性,如下:
# name: attribute1: attribute2: ... User: value1: value2: ...
-f 以节格式显示输出,每一节以用户名标识。
每个 Attribute=Value 对在独立行中列出:
user:
attribute1=value
attribute2=value
attribute3=value
-R
指定用可装入 I&A 模块来显示用户帐户属性。
load_module
安全性
访问控制:这个命令应该是对常规用户有可执行(x)权限的常规用户程序。
由于读取属性时用的是命令调用者的访问权,故某些用户可能无法访问所有信息。
这个命令应该有可信计算库属性。
访问的文件:
方式文件
r /etc/passwd
r /etc/security/user
r /etc/security/user.roles
r /etc/security/limits
r /etc/security/environ
r /etc/group
r /etc/security/audit/config
示例
1.以节格式显示关于 smith 帐户的 id 和关联组的信息,请输入:
lsuser -f -a id pgrp groups admgroups smith
显示与以下内容类似的信息:
smith:
ID=2457
pgrp=system
groups=system,finance,staff,accounting
admgroups=finance,accounting
2.以冒号格式显示 smith 的用户 id、groups 和主目录,请输入:
lsuser -c -a id home groups smith
显示与以下内容相似的信息:
# name: ID:home:groups
smith: 2457:/home/smith:system,finance,staff,accounting
3.要以缺省格式显示 smith 用户的所有属性,请输入:
lsuser smith
将显示所有的属性信息,以空格隔开每个属性。
4.要显示所有用户的所有信息,请输入:
lsuser ALL
将显示所有的属性信息,以空格隔开每个属性。
文件
/usr/sbin/lsuser 包含 lsuser 命令。
/etc/passwd包含基本用户信息。
/etc/security/limits定义每个用户的资源限额和限制。
/etc/security/user包含用户的扩展属性。
/etc/security/user.roles包含用户的管理角色属性。
/etc/security/environ包含用户的环境属性。
/etc/group包含基本组信息。
/etc/security/audit/config包含审计配置文件。
mkuser 命令
用途
创建新用户帐户。
语法
mkuser [ -R load_module ] [ -a ] [ Attribute=Value ... ] Name
描述
mkuser 命令创建新用户账户。
Name 参数必须是唯一的 8 字节或更短的字符串。
用户名不能使用 ALL 或 default 关键字。
缺省情况下,mkuser 命令创建标准用户帐户。
创建管理用户帐户,指定 -a 标志。
使用备用识别和认证(I&A)机制来创建用户, -R 标志用来指定用来创建用户的 I&A 装入模块。
创建的没有 -R 标志的用户是本地创建。
装入模块在
/usr/lib/security/method.cfg 文件中定义。
mkuser 命令不能为用户创建密码信息。
使用 * (星号)初始化password 字段。
以后,这个字段用 passwd 或 pwdadm 命令设置。
新帐户是禁用的,直到用passwd 或 pwdadm 命令添加认证信息到 /etc/security/passwd 文件。
可以在“基于 Web 的系统管理器”中使用用户应用程序来更改用户特征。
也可以使用“系统管理接口工具”(SMIT)smit mkuser 快速路径来运行该命令。
创建用户名的限制
为防止不一致的登录,应该避免用户名完全使用大写字母。
当 mkuser 命令支持多字节用户名,建议限制用户名使用 POSIX 可移植文件名字符集的字符。
为确保用户数据库不被破坏,给用户命名时要小心。
用户名不能以 - (短划线)、+ (加号)、 @ (at 符号) 或 ~(代字号)开头。
用户名不能用关键字 ALL 或default 还有,在用户名中不能使用下列字符:
: 冒号
" 双引号
# 英镑符号
, 逗号
= 等号
\ 反斜杠
/ 斜杠
? 问号
' 单引号
` 顿号
最后,Name 参数不能包含空格、制表符、或换行符。
标志
-a 指定用户是管理员。
只有 root 用户能使用此标志或改变管理用户的属性。
-R load_module 指定可加载的 I&A 模块来创建用户。
参数
Attribute=Value 初始化用户属性。
查看chuser命令获得有效的的属性和值。
名称指定唯一的 8 字节或更短的字符串。
安全性
访问控制:此命令只将执行(x)访问权授予 root 用户和安全组成员。
此命令应作为程序安装在可信的计算库(TCB)。
命令应由有 setuid (SUID) 位设置的 root 用户拥有。
文件存取:
方式文件
rw /etc/passwd
rw /etc/security/user
rw /etc/security/user.roles
rw /etc/security/limits
rw /etc/security/environ
rw /etc/group
rw /etc/security/group
r /usr/lib/security/mkuser.default
x /usr/lib/security/mkuser.sys
审计事件:
事件信息
USER_Create 用户
限制
创建的用户可能不被所有的可加载 I&A 模块支持。
如果可加载模块 I&A 不支持创建用户,将会报错。
示例
1.要使用 /usr/lib/security/mkuser.default 文件中的缺省值创建
davis 用户帐户,请输入:
mkuser davis
2.创建 davis 帐户并且 davis 作为管理员,输入:
mkuser -a davis
只有 root 用户或有“UserAdmin”授权的用户能创建 davis 作为管理用户。
3.创建 davis 用户帐户并设置 su 属性值为 false,输入:
mkuser su=false davis
4.创建 davis 用户帐户,它通过 LDAP 加载模块标识和认证,输入:
mkuser -R LDAP davis
文件
/usr/bin/mkuser 包含 mkuser 命令。
/usr/lib/security/mkuser.default包含新用户的缺省值。
/etc/passwd包含用户的基本属性。
/etc/security/user包含用户的扩展属性。
/etc/security/user.roles包含用户的管理角色属性。
/etc/security/passwd包含密码信息。
/etc/security/limits定义资源限额和每个用户的限制。
/etc/security/environ包含用户的环境属性。
/etc/group包含组的基本属性。
/etc/security/group包含组的扩展属性。
/etc/security/.ids 包含标准和管理用户标识和组标识。
rmuser 命令
用途
除去用户帐户。
语法
rmuser [ -R load_module ] [ -p ] Name
描述
rmuser 命令除去由 Name 参数标识的用户帐户。
该命令除去用户的属性但不除去用户的主目录和文件。
用户名必须已经以 8 字节或更少字节的字符串存在。
如果指定 -p 标志,rmuser 命令也从 /etc/security/passwd 文件除去密码和其他用户认证信息。
对于用备用标识和认证(I&A)机制创建的用户,带适当的装入模块的 -R 标志必须用来除去该用户。
装入模块在 /usr/lib/security/methods.cfg 文件中定义。
只有 root 用户或有用户管理权限的用户才能除去管理用户。
管理用户是在
/etc/security/user 文件有 admin=true 设置的用户。
可以使用在基于 Web 的系统管理器(wsm)中的用户应用程序来改变用户特征。
也可以使用系统管理界面程序(SMIT)smit rmuser 快速路径运行此命令。
标志
-p 从 /etc/security/passwd 文件除去用户密码信息。
-R load_module 指定用于除去用户的可装载 I&A 模块。
安全性
访问控制:此命令只授权执行(x)访问给 root 用户和安全组成员。
此命令应作为程序安装在可信的计算库(TCB)。
此命令应该由有 setuid(SUID)位设置的用户拥有。
文件存取:
方式文件
rw /etc/passwd
rw /etc/security/passwd
rw /etc/security/user
rw /etc/security/user.roles
rw /etc/security/limits
rw /etc/security/environ
rw /etc/security/audit/config
rw /etc/group
rw /etc/security/group
审查事件:
事件信息
USER_Remove 用户
示例
1.要从本地系统除去用户 davis 帐户和它的属性,输入:
rmuser davis
2.要除去用户 davis 帐户和它的所有属性,包括在 /etc/security/passwd
中的密码和其他用户认证信息,输入:
rmuser -p davis
3.要除去用 LDAP 装入模块创建的用户 davis,输入:
rmuser -R LDAP davis
文件
/usr/sbin/rmuser 包含 rmuser 命令。
/etc/passwd包含用户的基本属性。
/etc/security/passwd包含密码信息。
/etc/security/limits定义资源限额和每个用户的限制。
/etc/security/user包含用户的扩展属性。
/etc/security/user.roles包含用户的管理角色属性。
/etc/security/environ包含用户的环境属性。
/etc/security/audit/config包含审计配置信息。
/etc/group包含组的基本属性。
/etc/security/group包含组的扩展属性。
passwd 命令
用途
更改用户密码。
语法
passwd [ -R load_module ] [ -f | -s ] [ User ]
描述
passwd 命令设置和更改用户密码。
使用此命令更改自己或者另一个用户的密码。
使用 passwd 命令也能更改与登录名关联的全名(gecos)和用来作为操作系统界面的 shell。
根据用户的定义,用户的密码可以存在于本地或远程。
本地密码存在于
/etc/security/passwd 数据库中。
远程密码存在于网络信息服务(NIS)或者分布式计算环境(DCE)数据库。
要更改自己的密码,请输入 passwd 命令。
passwd 命令提示非 root 用户输入旧密码(如果存在),然后提示输入两次新密码。
(密码不显示在屏幕上。
)如果两次新密码的输入不一致, passwd 命令提示重新输入新密码。
注:
passwd 命令只使用密码的头八个字符作为本地和 NIS 密码。
在密码中只支持 7 位字符。
由于这个原因,本地语言支持(NLS)代码点不允许出现在密码中。
要更改另一个用户的密码,请输入 passwd 命令和用户的登录名(User 参数)。
只有 root 用户或者安全组成员才允许更改另一个用户的密码。
passwd 命令提示输入用户的旧密码以及用户的新密码。
然而,passwd 命令并不提示 root 用户旧用户密码、root 密码以及加给 root 用户任何密码限制。
/etc/passwd 文件记录全名和使用的 shell 的路径名。
要更改记录名,请输入passwd -f 命令。
要更改登录 shell,请输入 passwd -s 命令。
根据密码限制,在 /etc/security/user 配置文件中构造本地定义的密码。
此文件包含下列限制:
minalpha 指定字母字符的最小数目。
minother 指定其它字符的最小数目。
minlen 指定字符的最小数目。
注:
此值由 minalpha 值加上 minother 值和 minlen 值中的大者。
mindiff 指定出现在新密码中但没出现在旧密码中的字符的最小数。
注:
此限制并不考虑位置。
如果新密码是 abcd 并且旧密码是 edcb ,不同字符数就是 1。
maxrepeats 指定在密码中单个字符使用的最大次数。
minage 指定密码能够更改的最小寿命。
密码必须保持一个最小周期。
此值用周来评测。
maxage 指定密码的最大寿命。
密码必须在指定的周数后更改。
maxexpired 指定用户可以更改密码的超出最大寿命 maxage 的最大周数。
histexpire 指定用户不能重用密码的周数。
histsize 指定用户不能重用的前几个密码的数目。
dictionlist 指定更改密码时要检查的字典文件列表。
pwdchecks 指定更改密码时要调用的外部密码限制方法的列表。
如果 root 用户添加了 NOCHECK 属性到在 /etc/security/passwd 文件中的标志条目中,密码就不必满足这些限制。
另外,root 用户也可指定新密码给其它用户而不遵循密码的限制。
如果 root 用户在标志条目中添加了 ADMIN 属性或者如果在 /etc/passwd 文件中的 password 字段包含 * (星号),则只有 root 用户才能更改密码。
如果在 /etc/passwd 中的 password 字段包含有 !(感叹号)和在
/etc/security/passwd 文件中的 password 字段包含有 * (星号),则 root 用户拥有更改您的密码的超级特权。
如果 root 用更改您的密码,则 ADMCHG 属性就会自动地添加到在
/etc/security/passwd 文件中的标志条目上。
这种情况下,您必须在下次登录时更改密码。
如果 /etc/security/user 文件中用户的 registry 值是 DCE 或者 NIS,则密码更改只能在指定的数据库中进行。
标志
-f 更改由 finger 命令访问的用户信息。
可以使用此标志提供在 /etc/passwd 文件中的全名。
-s 更改登录 shell。
-R load_module 指定可装入 I&A 模块,来更改用户的密码。
安全性
访问控制:安装此程序为可信计算库的一部分,并可让所有用户执行。
另外,此程序应该运行setuid以成为 root 用户来获取对密码文件的写访问。
文件存取:
方式文件
r /etc/security/user
rx /usr/lib/security/DCE
rx /usr/lib/security/NIS
rw /etc/passwd
rw /etc/security/passwd
r /etc/security/login.cfg
审计事件:
事件信息
PASSWORD_Change user
示例
1.要更改密码,请输入:
passwd
passwd 命令提示输入旧密码,如果它存在并且您不是 root 用户。
输入旧密码后,命令提示输入两次新密码。
2.要更改 /etc/passwd 文件中的全名,请输入:
passwd -f
passwd 命令显示为您的用户标识存储的名称。
例如,对于登录名 sam ,passwd 命令能够显示以下消息:
sam's current gecos:
"Sam Smith"
是否更改?>
如果输入 Y(是),passwd 命令提示输入新名。
passwd 命令记录输入的名称到 /etc/passwd 文件中。
3.要在下次登录时使用不同的 shell,请输入:
passwd - s
passwd 命令列出可用的和当前使用的 shell 的路径名。
此命令也显示提示:
是否更改?>
如果输入 Y(是),passwd 命令提示输入要使用的 shell。
下次登录时系统提供在此指定的 shell。
文件
/usr/bin/passwd 包含 passwd 命令。
/etc/passwd 包含用户 ID、用户名、主目录、登录 shell 和finger 的信息
/etc/security/passwd 包含加密的密码和安全性信息。
pwdadm 命令
用途
管理用户密码。
语法
pwdadm [ -f Flags | -q | -c ] User
描述
pwdadm 命令管理用户密码。
root 用户或安全组成员可提供或更改 User 参数指定的用户的密码。
在被允许更改其它用户密码之前,命令的调用者必须在查询时提供密码。
执行命令时,设置 ADMCHG 属性。
这样强制用户在下次使用login或su命令时更改密码。
root 用户和安全组的成员不应该使用该命令更改他们的个人密码。
ADMCHG 属性将要求他们在下次使用 login 命令或 su 命令时再次更改他们的密码。
只有root 用户或具有密码管理权限的用户(其 admin 属性在 /etc/security/user 文件中设置为真)可更改管理用户的密码信息。
只有 root 用户,安全组成员,或具有密码管理权限的用户可提供或更改 User 参数指定的用户的密码。
执行此命令时,/etc/passwd 文件中的用户的 password 字段设置为 !(感叹号),表示密码的加密版本在 /etc/security/passwd 文件中。
当 root 用户或安全组成员使用 pwdadm 命令更改用户密码时,将设置 ADMCHG 属性。
新密码必须依照 /etc/security/user 文件中的规则定义,除非包含 -f NOCHECK 标志。
密码只支持七位字符。
通过在 pwdadm 命令中包含 -f 标志,root 用户或安全组成员能够设置更改密码规则的属性。
如果使用 -f 标志时在
/etc/security/passwd 文件中没有密码条目,则 /etc/passwd 文件中的密码字段将设置为 !(惊叹号),并且一个 *(星号)将出现在 password= 字段以表示未设置密码。
-q 标志允许 root 用户或安全组成员查询密码信息。
只出现 lastupdate 属性和 flags 属性的状态。
加密密码保持隐藏状态。
-c 标志清除 /etc/security/passwd 文件中设置的所有标志。
标志
-f Flags 指定密码的 flags 属性。
Flags 变量必须来自以下逗号分隔的属性列表:
NOCHECK
表示新密码不需要遵循 /etc/security/user 文件中为密码
组合建立的规则。
ADMIN
指定密码信息只可以被 root 用户更改。
只有 root 用户能启
用或禁用此属性。
ADMCHG
不更改用户的密码而重新设置 ADMCHG 属性。
这强制用户在下
次使用 login 命令或 su 命令时更改密码。
当由 User 参数
指定的用户重新设置密码时,清除此属性。
-q 查询密码的状态。
出现 lastupdate 属性和 flags 属性的值。
-c 清除 /etc/security/passwd 文件中设置的所有标志。
安全性
访问控制:只有 root 用户和安全组成员对于该命令有执行(x)访问权限。
命令需要给予 root 用户 trusted computing base 属性和 setuid 以使其对
/etc/passwd 文件、/etc/security/passwd 文件以及其它用户数据库文件具有写(w)访问权限。
文件访问:
方式文件
rw /etc/passwd
rw /etc/security/passwd
r /etc/security/user
审计事件:
事件信息
PASSWORD_Change 用户
PASSWORD_Flags 用户,标志
示例
1.要为用户 susan 设置密码,安全组成员输入:
pwdadm susan
给出提示时,调用这个命令的用户在可以更改 Susan 的密码之前被提示输入密码。
2.要查询用户 susan 的密码状态,安全组成员输入:
pwdadm -q susan
此命令显示 lastupdate 属性和 flags 属性的值。
下列示例显示了
NOCHECK 和 ADMCHG flags 属性有效时的显示:
susan:
lastupdate=
flags= NOCHECK,ADMCHG
文件
/usr/bin/pwdadm 包含 pwdadm 命令。
/etc/passwd
包含基本用户属性。
/etc/security/passwd
包含密码信息。
/etc/security/login.cfg
包含配置信息。
lsgroup 命令
用途
显示组属性。
语法
lsgroup [ -R load_module ] [ -c| -f] [ -a List ] {ALL | Group [ ,Group ] ...} 描述
lsgroup 命令显示组属性。
使用此命令,可以列出所有的系统组及其属性,也可以列出个别组的所有属性。
因为没有缺省参数,所以必须输入 ALL 关键字来列出所有的系统组及其属性。
会出现 chgroup 命令中描述到的所有属性。
如果lsgroup 命令不能读取一个或多个属性,它就会尽可能多地列出信息。
要查看某一选定属性,请使用 -a List 标志。
注:如果系统中安装有网络信息服务(NIS)数据库,当使用 lsgroup 命令时某些用户信息就可能不会出现。
缺省情况下,lsgroup 命令会单行列出每个组。
它以 Attribute=Value 的定义方式显示属性信息,每个属性信息都以空格分隔。
要以节格式显示组属性,请使用 -f 标志。
要列出以冒号隔开的记录中的信息,请使用 -c 标志。
可以使用基于 Web 的系统管理器用户应用程序(wsm users 快速路径)来运行此命令。
同样可以使用系统管理接口工具(SMIT)smit lsgroup 快速路径来运行此命令。
标志
-a List 指定要显示的属性。
List 参数可以包括定义在 chgroup 命令中的所有属性,属性之间需要一个空格。
如果指定了一个空列表,就只会列出组名。
-c 以冒号隔开的记录形式显示每组属性。
如下所示:#name: attribute1: attribute2: ... Group: value1: value2: ...
-f 以节形式显示组属性。
每节由组名定义。
每个 Attribute=Value 在单独行上列出:
group:
attribute1=value
attribute2=value
attribute3=value
-R
load_module
指定用来获取组属性列表的可加载的 I&A 模块。
安全性
访问控制:此命令应该是一个通用用户程序,对所有用户都有执行(x)访问。
因为使用调用程序的访问权限来读取属性,所以不是所有用户都可以访问所有信息。
这取决于系统的访问策略。
此命令应该有 trusted computing base 属性。
文件访问:
模式文件
r /etc/group
r /etc/security/group
r /etc/passwd
限制
不是所有可加载的 I&A 模块都支持列表组。
如果可加载的 I&A 模块不支持列出组,它就会返回一个错误。
示例
1.要以缺省格式显示 finance 组的属性,请输入:
lsgroup finance
2.要以节格式显示 finance 组中的标识、成员(用户)和管理员(adms),
请输入:
lsgroup -f-a id users adms finance
3.要以冒号隔开的格式显示所有组的属性,请输入:
lsgroup -c ALL
会出现所有属性信息,其中每个属性都以空格隔开。
4.要显示 LDAP I&A 可加载模块组 monsters 的属性,请输入:
lsgroup -R LDAP monsters
文件
/usr/sbin/lsgroup 包含 lsgroup 命令。
/etc/group包含组的基本属性。
/etc/security/group包含组的扩展属性。
/etc/passwd 包含用户标识、用户名、主目录、登录 shell 和 finger 信息。
mkgroup 命令用途
创建新的组。
语法
mkgroup [ -R load_module ] [ -a ] [ -A ] [ Attribute=Value ... ] Group 描述
mkgroup 命令创建新的组。
Group 参数必须是一个唯一的 8 个或小于 8 个字节的字符串,并且不能是 ALL 或 default 关键字。
在缺省的情况下,mkgroup 命令创建一个标准组。
要创建一个管理组,请指定 -a 标志。
必须是 root 用户或是由 GroupAdmin 授权的用户创建的一个管理组。
要用备用“识别和认证”(I&A)机制创建一个组,请使用 -R 标志以指定创建该组所用的 I&A 装入模块。
装入模块在 /usr/lib/security/methods.cfg 文件中定义。
您可以使用基于 Web 的系统管理器(wsm)中的用户应用程序来更改用户特性。
您也可以使用“系统管理接口工具”(SMIT)smit mkgroups 快速路径来运行此命令。
创建组名的限制
为了防止登录的不一致性,应该避免在组名中全部使用大写字母字符。
当mkgroup 命令支持多字节组名时,建议用 POSIX 可移植文件名字符集来限制组名。
为了确保没有毁坏数据库,在命名组时一定要小心。
组名必须以 -(短划线)、+(加号)、 @ (at 符号) 或 ~ (代字号) 开始。
不能在组名中使用关键字 ALL 或 default。
此外,不要在组名字符串中使用以下任何字符:
:冒号
"双引号
#磅字符
,逗号
=等号
\反斜杠
/斜杠
?问号
'单引号
`反引号
最后,Name 参数不能包含任何空格、制表符或换行符。
标志
-a创建一个管理组。
只有root 用户才可以使用这个标志。
-A将调用mkgroup 命令的人员设置为组管理员。
-R load_module指定创建用户所用的可装入I&A模块。
Attribute=V alue 用特定的属性初始化组。
请参阅chgroup命令以获取有关组属性的更多信息。
安全性
访问控制:这个命令应该仅对 root 用户和安全组的成员授权执行(x)访问权。
这个命令应该作为程序安装在可信计算库(TCB)上。
这个命令应该由 root 用户通过 setuid(SUID)位集合而拥有。
访问的文件:
方式文件
rw/etc/passwd
rw/etc/security/user
rw/etc/security/limits
rw/etc/security/environ
rw/etc/group
rw/etc/security/group
r/usr/lib/security/mkuser.default
x/usr/lib/security/mkuser.sys
审计事件:
事件信息
USER_Create user
局限
创建组可能不受所有可装入的 I&A 模块的支持。
如果可装入的 I&A 模块不支持创建一个组,则会报告错误。
示例
1.要创建一个帐户名为finance的新组,请输入:
mkgroup finance
2.要创建一个帐户名为payroll的管理组,请输入:
mkgroup -a payroll
只有 root 用户才可以发出此命令。
3.要创建一个帐户名为managers的新组并将自己设置为管理员,请输入:
mkgroup -A managers
4.要创建一个帐户名为managers的新组并设置管理员列表为steve和mike,请
输入:
mkgroup adms=steve,mike managers
用户 steve 和 mike 必须已经存在于此系统上。
5.要创建一个新的组,它是一个LDAP I&A可装入的模块用户,请输入:
mkgroup -R LDAP monsters
文件
/usr/bin/mkgroup包含mkgroup 命令。
/etc/group包含组的基本属性。
/etc/security/group包含组的扩展属性。
/etc/passwd包含基本用户信息。
/etc/security/passwd包含密码信息。
chgroup 命令
用途
更改组的属性。
语法
chgroup [ -R load_module ] Attribute=Value ... Group
描述
注意:如果在系统上安装了网络信息服务(NIS)数据库,则不要使用chgroup 命令,否则可能造成系统数据库严重的不一致性。
chgroup 命令更改由 Group 参数指定的组的属性。
组名必须已作为等于或少于8 字节的字符串存在。
要更改属性,在 Attribute=Value 参数中指定属性名和更改后的值。
要更改使用备用的标识和认证(I&A)机制创建的组的属性,-R 标志可用于指定I&A 可装入模块。
装入模块在 /usr/lib/security/methods.cfg 文件中定义。
可以使用基于 Web 的系统管理器(wsm)中的用户应用程序来更改用户特征。
也可使用系统管理界面程序(SMIT)smit chgroup 快速路径来运行此命令。
对于更改组的限制
要确保组信息的安全性,对于 chgroup 命令的使用会有限制。
只有 root 用户或具有 UserAdmin 权限的用户才可以使用 chgroup 命令来更改任何组。
这些更改包括:
∙通过将admin 属性设置为真(true),使组成为管理组。
∙更改管理组的任何属性。
∙将用户添加至管理组的管理员列表。
所谓管理组,即为其 admin 属性设置为真(true)的一个组。
security 组的成员可以更改非管理组的属性包括将用户添加至管理员列表。
标志
-R指定用于更改用户属性的可装入I&A模块。
属性
可以通过指定 Attribute=Value 参数来更改属性。
如果具有适当的权限,可以设置以下组属性:
adms 定义可执行组的管理任务的用户(比如设置组成员和管理员)。
如果admin = true,则可忽略此属性,因为只有root 用户可以改变定义为管理的组。
V alue 参数是以逗号分隔的用户登录名列表。
如果不指定V alue 参数,将除去所有管理员。
admin 定义组的管理状态。
可能的值为:
true
将组定义为管理。
只有root 用户可以更改被定义为管理的组的属性。
false
定义标准组。
这些组的属性可由root 用户或安全组成员来更改。
这是缺省值。
id 组标识。
V alue 参数是唯一的整数字符串。
更改此属性危及系统安全性,鉴于此原因,不应该更改此属性。
users 以下格式的一个或多个用户的列表:User1,User2,...,Usern。
使用逗号分隔组成员名。
每个用户必须在数据库配置文件中被定义。
不能从用户主组除去用户。
adms 和 admin 属性是在 /etc/security/group 文件中设置的。
剩余的属性在/etc/group 文件中设置的。
如果使用 chgroup 命令指定的任何属性是无效的,此命令将不作任何更改。
安全性
访问控制:此命令应仅授予 root 用户和安全组执行(x)访问权。
此命令应该安装为可信计算基础(TCB)中的程序。
命令应该由具有 setuid(SUID)位集的root 用户所有。
访问的文件:
方式文件
rw/etc/group
rw/etc/security/group
r/etc/passwd
审计事件:
事件信息
GROUP_Change组,属性
限制
并非所有可装入 I&A 模块都支持对组的属性的更改。
如果可装入 I&A 模块不支持对组的属性进行更改,会报告一个错误。