AIX用户管理与安全策略.ppt

《AIX用户管理与安全策略.ppt》由会员分享，可在线阅读，更多相关《AIX用户管理与安全策略.ppt（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1用户管理与安全策略用户管理与安全策略2用户和组的概念用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握添加更改删除组的方法查看与用户和组相关的控制文件查看与用户和组相关的控制文件掌握用户口令的管理掌握用户口令的管理本章要点本章要点:3用户用户用户是系统的使用者每个用户拥有唯一的名称，用户ID和密码用户名最多由8字符组成，不能以：”+“”-“、字符作为用户名的第一个字符，也不能使用关键字ALL和default，字符：”#“、“=“、“,”、“/”、“”、“?”、“、也不能出现在用户名中，也不能包含空格和Tab键用户ID是操作系统使用来处理每个用户密码

2、是证明用户具有使用系统的权限，默认最长长度是8个字符用户名和用户ID存放在/etc/passwd文件中，用户密码存放在/etc/security/passwd 文件中，文件/etc/security/user中存放用户扩展属性4组组组是用户的集合，组成员可以共享文件和数据，便于协同工作组是用户的集合，组成员可以共享文件和数据，便于协同工作每个组都有组名和组每个组都有组名和组ID组名主要用于操作系统和用户之间，组名唯一，不超过组名主要用于操作系统和用户之间，组名唯一，不超过8个字符个字符组组ID：操作系统内部使用组：操作系统内部使用组ID来处理每个组来处理每个组组名和组组名和组ID由由/etc/

3、group文件控制，文件控制，/etc/group文件存放组的一些文件存放组的一些基本属性，在基本属性，在/etc/security/group文件中存放组的扩展属性文件中存放组的扩展属性每个用户至少属于一个组，同时也可以充当多个组的成员每个用户至少属于一个组，同时也可以充当多个组的成员5组的分类用户组用户组是由系统管理员在系统运行以后增加的，目的是将需要共享相同文件信息的用户放在一组里，例如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员组 具有管理系统权力的用户所在的组，系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户。root属于s

4、ystem组系统定义的组系统定义的组系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组是负责安全管理的组。如adm组主要监视系统的性能，audit组主要对系统的运行进行审计6系统定义的组system 管理大多数系统配置和维护标准软硬件printq 管理打印队列。该组成员有权执行的典型命令有enable disable、qadm、qpri等security 管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等adm 执行性能、cron、记帐等监控功能staff 为所有新用户提供

5、的缺省的组，管理员可以在文件中修改该设置audit 管理事件监视系统7用户分类l超级用户超级用户 root:UserID=0 管理用户管理用户(系统默认的管理用户系统默认的管理用户adm,sys,bin,大多数系统文件的所大多数系统文件的所有者，但不能用这些用户登录，用户有者，但不能用这些用户登录，用户ID从从0到到199普通用户普通用户 用户用户ID从从200开始开始8rootroot用户用户超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非root的其他用户来完成，如指定的 system、security、printq、cron、adm、audit组的

6、成员。root root 用户的管理用户的管理严格限制具有root 特权的人数root 口令应由系统管理员以不公开的周期更改不同的机器采用不同的root 口令系统管理员应以不同用户的身份登录，然后用su 命令进入特权root 所用的PATH环境变量不要随意更改9管理用户为了保护重要的用户和组不受为了保护重要的用户和组不受security组成员的控制，组成员的控制，AIX设置管设置管理用户和管理组理用户和管理组只有只有root才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户,可查看文件可查看文件/etc/se

7、curity/user的的admin属性属性#cat/etc/security/user user1:admin=true10组管理添加组#smitty mkgroup(#mkgroup)更改组的属性#smitty chgroup(#chgroup)删除组#smitty rmgroup(#rmgroup)如果要删除的组是单个或某些用户的基本组，必须修改这些用户的基本组为其他组，否则无法删除该组11组管理组管理-列出组列出组lsgroup命令 lsgroup-c|-f -a attribute ALL|groupname lsgroup groupname 列表按行显示；lsgroup c gr

8、oupname 显示的域以冒号分隔lsgroup f groupname 按分节式的格式显示，可以指定列出全部属性或部分属性12用户管理创建用户#smitty mkuser(#mkuser)删除用户#smitty rmuser(#rmuser)注：删除用户并未删除用户的HOME目录,普通用户只能有root和security组的用户来删除，管理型用户只能有root用户来删除修改用户的属性#smitty chuser（#chuser)13用户管理-创建用户#smitty mkuser#smitty mkuser14列出用户列出用户lsuserlsuser命令命令 命令格式：命令格式：lsuser-

9、c|-f -a attribute ALL|username lsuser 列表按行显示；列表按行显示；lsuser-c 显示的域以冒号分隔显示的域以冒号分隔 lsuser f 按分节式的格式显示，可以指定列出全部属性或部分属性按分节式的格式显示，可以指定列出全部属性或部分属性15创建和更改用户口令新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用更改口令的两个命令更改口令的两个命令 passwd username 此命令只有此命令只有root和和username本人可用本人可用 pwdadm username root和和security成员可用成员

10、可用查看文件查看文件/etc/passwd和和/etc/security/passwd userlyn:!:202:1:/home/userlyn:/usr/bin/ksh#smitty passwdattrs 显示和修改用户密码属性显示和修改用户密码属性16恢复恢复root用户口令用户口令从AIX 5L CD-ROM引导引导时键入1，进入安装和维护（Installation and Maintenance）菜单下选择3：Start Maintenance Mode For System Recovery选择 Obtain a shell by activating the root volu

11、me group并按提示继续出现shell字符后，执行passwd修改root口令#sync；sync(系统同步)#reboot系统17用户登录和初始化gettygettyloginlogin用户输入用户名用户输入用户名用户输入用户名用户输入用户名系统验证用户系统验证用户系统验证用户系统验证用户名和密码名和密码名和密码名和密码设置用户环境设置用户环境设置用户环境设置用户环境显示显示显示显示/etc/motd/etc/motdshellshell 读取读取读取读取/etc/profile/etc/profile/etc/environment/etc/environment$HOME/.prof

12、ile$HOME/.profile/etc/security/environ/etc/security/limits/etc/security/user/etc/passwd/etc/security/passwd 19用户初始化过程用户初始化过程指定对所有进程适用的基本环境变量。如PATH、LANG、TZ、NLSPATH等设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG、MAIL等环境变量用户在主目录下，用户自定义环境变量PATH,PS1用户kron shell环境设置，set o vi,alias/etc/profile/etc/environment$HOME/.p

13、rofile/etc/.kshrc20用户自定制环境设置.profilePATH.表示当前路径表示当前路径PS1:系统主提示符（缺省是系统主提示符（缺省是$)PS1=$PWD$ENV=“$HOME/.kshrc”.profile 样例样例PATH/bin:/usr/bin:/etc:$HOME/bin:.(.表示当前路径）表示当前路径）PS1=$PWD$PS1系统主提示符，缺省是系统主提示符，缺省是$ENV=$HOME/.kshrcif -s“$MAIL”then echo“$MAILMSG”fiecho“enter Terminal Type(Default:vt100):c”Read aI

14、f -n“$a”then TERM=$aelse TERM=vt100fiexport TERM PS1 ENV PATH21命令提示符3个变量 PS1,PS2,PS3PS1：主提示符变量PS2：副提示符变量PS3：root用户提示符变量su命令su 命令允许切换到root 或者指定用户，从而创建了新的会话su 命令带“-”号表示将用户环境切换到该用户初始登录环境su 命令不指定用户时，表示切换到root22用户缺省值缺省用户的ID号取自/etc/security/.ids设置ID的shell程序缺省特性取自、/etc/security/user缺省的.profile文件取自/etc/secu

15、rity/.profile23用户管理相关的文件文 件描 述/etc/passwd系统中所有用户的清单文件，存放用户的基本信息/etc/security/passwd存放所有用户的密码/etc/security/user存放用户的扩展信息文件/etc/group系统中所有组的清单文件，存放组的基本信息/etc/security/group存放组的扩展信息/user/lib/security/mkuser.default存放新创建用户默认属性值的文件/etc/security/login.cfg存放控制用户登录系统和身份验证配置的文件/etc/security/environ存放用户进入系统后的

16、工作环境配置文件/etc/security/limits限制用户使用系统资源的配置文件/etc/security/lastlog记录上次登录系统情况的文件24/etc/passwd/etc/passwd记录格式：用户名：口令：UID：主组ID：用户全名：HOME目录：SHELL root:!:0:0:/:/bin/ksh daemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys:adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp:guest:!:100:100:/home/guest:nobody:!:42949

17、67294:4294967294:/25/etc/security/passwd/etc/security/passwdroot:password=dkeGmPMf/GCyQ lastupdate=1289293503 flags=daemon:password=*bin:password=*sys:password=*26/etc/security/userlogin:能否登陆admin 是否为管理型用户su:是否允许其他用户su到此用户rlogin:能否从远程以telnet和rlogin命令以此用户身份登陆loginretries:在从该用户上次成功登录系统到该用户被锁住时这段时间内，允许

18、该用户登录系统失败的次数，一个正整数口令管理：Histexpire:指该用户在多少星期内不能重复使用相同的密码，是一个正整数，0-260Minage:指出再次修改密码之间相距最短的星期数，范围0-52Maxage:密码有效的星期数，指再次修改密码之间相距最长时间Minlen:密码的最短长度，范围0-827/etc/group记录格式：组名：口令：组ID：用户1，用户2，,用户nsystem:!:0:nuucp,rootstaff:!:1:zsj,cmy,zx,zhan,zhangbin:!:2:root,binsys:!:3:root,bin,sysadm:!:4:bin,admsecurit

19、y:!:7:rootaudit:!:10:rootecs:!:28:nobody:!:4294967294:nobody,lpdusr:!:100:mayl,guest28用户使用操作系统资源的限制/etc/security/limitsulimit a 查看限制值属 性含 义fsize用户可以产生或追加文件的最大文件大小，单位512字节core用户进程能够产生core文件的最大大小，单位512字节cpu用户进程能够使用CPU的最大时间，单位秒data用户进程能够处理的最大处理数据段，单件512字节Stack用户进程能能够处理的最大堆栈，单位512字节rss 用户进程能够分配到的最大的物理内存

20、，单位512字节nofile用户进程在一段时间里能够打开的文件数29安全性记录日志/var/adm/sulog 记录每次su命令的日志，文本文件，可用pg、more、cat等命令查看/var/adm/wtmp 成功成功login记录，last查看#last reboot 显示系统启动和重启的时间l/etc/utmp在线用户记录，who查看/etc/security/failedlogin 记录所有不成功的登陆尝试，如用户名不存在，记录为UNKNOWN项目，可用who命令查看#who-a/etc/security/failedlogin30合法性检查合法性检查(1 of 3)pwdck 验证本机

21、认证信息的合法性验证本机认证信息的合法性命令格式：命令格式：pwdck-n|-p|-t|-p ALL|username 该命令用来验证本机认证信息的合法性，它将检查该命令用来验证本机认证信息的合法性，它将检查/etc/passwd 和和/etc/security/passwd 的一致性以及的一致性以及/etc/security/login.cfg 和和/etc/security/user 的一致性的一致性31合法性检查合法性检查(2 of 3)usrck 验证用户定义的合法性验证用户定义的合法性 命令格式：命令格式：usrck -n|-p|-t|-y ALL|username 该命令检查该命令

22、检查 /etc/passwd、/etc/security/user、/etc/limits 和和/etc/security/passwd中的用户信息，同时也检查中的用户信息，同时也检查/etc/group和和/etc/security/group 以保证数据的一致性以保证数据的一致性32合法性检查合法性检查(3 of 3)grpck 验证组的一致性验证组的一致性命令格式：命令格式：grpck -n|-p|-t|-y ALL|username 该命令检查该命令检查/etc/group 和和/etc/security/group、/etc/passwd 和和/etc/security/user之间的数据一致性之间的数据一致性-n 报告错误但不作修改-p 修改错误但是不输出报告-t 报告错误并等候管理员指示是否修改-y 修改错误并输出报告