06用户管理与安全策略53317.ppt

《06用户管理与安全策略53317.ppt》由会员分享，可在线阅读，更多相关《06用户管理与安全策略53317.ppt（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第六章第六章用户管理与安全策略用户管理与安全策略第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略 6.1 6.1 用户和组管理用户和组管理用户和组管理用户和组管理 6.1.1 6.1.1 用户登陆和初始化用户登陆和初始化用户登陆和初始化用户登陆和初始化 6.1.2 6.1.2 组的分类组的分类组的分类组的分类 6.1.3 6.1.3 用户划分用户划分用户划分用户划分 6.1.4 6.1.4 安全性和用户菜单安全性和用户菜单安全性和用户菜单安全性和用户菜单 6.1.5 6.1.5 用户管理用户管理用户管理用户管理 6.1.6 6.1.6 组的管理

2、组的管理组的管理组的管理 6.1.7 6.1.7 管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具 6.2 6.2 安全性策略安全性策略安全性策略安全性策略 6.2.1 6.2.1 安全性的概念安全性的概念安全性的概念安全性的概念 6.2.2 6.2.2 文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权文件和目录的存取许可权 6.2.3 6.2.3 安全性文件安全性文件安全性文件安全性文件 6.2.4 6.2.4 合法性检查合法性检查合法性检查合法性检查 6.2.5 6.2.5 安全性策略要旨安全性策略要旨安全性策略要旨安全性策略要旨 6.2.

3、6 6.2.6 测试题测试题测试题测试题 第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略(2)(2)第六章第六章第六章第六章 用户管理与安全策略用户管理与安全策略用户管理与安全策略用户管理与安全策略(3)(3)本章要点本章要点本章要点本章要点定义用户和组的概念定义用户和组的概念定义用户和组的概念定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握添加更改删除组的方法掌握用户口令的管理掌握用户口令的管

4、理掌握用户口令的管理掌握用户口令的管理掌握与用户通信的方法掌握与用户通信的方法掌握与用户通信的方法掌握与用户通信的方法掌握控制掌握控制掌握控制掌握控制root root 特权的原则特权的原则特权的原则特权的原则掌握许可权位的含义及使用掌握许可权位的含义及使用掌握许可权位的含义及使用掌握许可权位的含义及使用6.1.1 6.1.1 用户登陆和初始化用户登陆和初始化用户登陆和初始化用户登陆和初始化gettygettyloginlogin用户输入用户名用户输入用户名用户输入用户名用户输入用户名系统验证用户系统验证用户系统验证用户系统验证用户名和密码名和密码名和密码名和密码设置用户环境设置用户环境设置用

5、户环境设置用户环境显示显示显示显示/etc/motdetc/motdshellshell 读取读取读取读取/etc/environmenetc/environment t /etc/profile /etc/profile$HOME/.profile$HOME/.profile用户登陆用户登陆用户登陆用户登陆 对直接连接的可用端口，由对直接连接的可用端口，由对直接连接的可用端口，由对直接连接的可用端口，由initinit启动的启动的启动的启动的gettygetty进程进程进程进程 将在终端上显示登录提示信息，该提示可在文件将在终端上显示登录提示信息，该提示可在文件将在终端上显示登录提示信息，该

6、提示可在文件将在终端上显示登录提示信息，该提示可在文件 /etc/security/login.cfgetc/security/login.cfg中设置中设置中设置中设置 用户键入登录名后用户键入登录名后用户键入登录名后用户键入登录名后,系统将根据文件系统将根据文件系统将根据文件系统将根据文件/etc/passwdetc/passwd 和和和和/etc/security/passwdetc/security/passwd检查用户名及用户口令检查用户名及用户口令检查用户名及用户口令检查用户名及用户口令提示信息提示信息提示信息提示信息 用户名用户名用户名用户名 口令口令口令口令 用户环境用户环境用

7、户环境用户环境用户环境由以下文件来建立用户环境由以下文件来建立用户环境由以下文件来建立用户环境由以下文件来建立/etc/environmentetc/environment/etc/security/environ/etc/security/environ/etc/security/limits/etc/security/limits/etc/security/user/etc/security/user/etc/motd/etc/motdloginlogin过程将当前目录设置为用户的主目录，并过程将当前目录设置为用户的主目录，并过程将当前目录设置为用户的主目录，并过程将当前目录设置为用户的主

8、目录，并且在且在且在且在$HOME/.hushlogin$HOME/.hushlogin文件不存在的情况下，文件不存在的情况下，文件不存在的情况下，文件不存在的情况下，将显示将显示将显示将显示/etc/motd/etc/motd文件的内容和关于上次登录的文件的内容和关于上次登录的文件的内容和关于上次登录的文件的内容和关于上次登录的信息信息信息信息最后控制权被传递给登录最后控制权被传递给登录最后控制权被传递给登录最后控制权被传递给登录shell(shell(在在在在/etc/passwd/etc/passwd中定义中定义中定义中定义)，对于，对于，对于，对于BourneBourne和和和和Kor

9、nKorn Shell Shell，将运行将运行将运行将运行/etc/profile/etc/profile和和和和$HOME/.profile$HOME/.profile文件，对文件，对文件，对文件，对Csh,Csh,则则则则执行执行执行执行$HOME/.login$HOME/.login和和和和$HOME/.cshrc$HOME/.cshrc文件文件文件文件/etc/motd shell/etc/motd shell环境变量环境变量环境变量环境变量用户登录时系统设置用户环境主要依据下述文件用户登录时系统设置用户环境主要依据下述文件用户登录时系统设置用户环境主要依据下述文件用户登录时系统设置

10、用户环境主要依据下述文件/etc/profile/etc/profile设置系统范围内公共变量的设置系统范围内公共变量的设置系统范围内公共变量的设置系统范围内公共变量的shellshell文件，设置如文件，设置如文件，设置如文件，设置如TERMTERM、MAILMSG MAILMSG、MAILMAIL等环境变量等环境变量等环境变量等环境变量/etc/environment/etc/environment指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如指定对所有进程适用的基本环境变量。如HOMEHOME、LANGLANG、TZ TZ、N

11、LSPATHNLSPATH等等等等$HOME/.profile$HOME/.profile用户在主目录下的设置文件用户在主目录下的设置文件用户在主目录下的设置文件用户在主目录下的设置文件6.1.2 6.1.2 组的分类组的分类组的分类组的分类组的组的组的组的特点特点特点特点组是用户的集合，组成员需要存取组内的共享文件组是用户的集合，组成员需要存取组内的共享文件组是用户的集合，组成员需要存取组内的共享文件组是用户的集合，组成员需要存取组内的共享文件每个用户至少属于一个组，同时也可以充当多个组每个用户至少属于一个组，同时也可以充当多个组每个用户至少属于一个组，同时也可以充当多个组每个用户至少属于一

12、个组，同时也可以充当多个组的成员的成员的成员的成员用户可以存取自己组集合用户可以存取自己组集合用户可以存取自己组集合用户可以存取自己组集合(group set)(group set)中的共享文件，中的共享文件，中的共享文件，中的共享文件，列出组集合可用列出组集合可用列出组集合可用列出组集合可用groups groups 或者或者或者或者setgroups setgroups 命令命令命令命令文件主修改主组可用文件主修改主组可用文件主修改主组可用文件主修改主组可用newgrp newgrp 或或或或setgroups setgroups 命令命令命令命令分组策略分组策略分组策略分组策略组的划分尽

13、量与系统的安全性策略相一致，不要组的划分尽量与系统的安全性策略相一致，不要组的划分尽量与系统的安全性策略相一致，不要组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的定义太多的组，如果按照数据类型和用户类型的定义太多的组，如果按照数据类型和用户类型的定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，每种可能组合来划分组，又将走向另一个极端，每种可能组合来划分组，又将走向另一个极端，每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂会使得日常管理过于复杂会使得日常管理过于复杂会使得日常管理过于复杂每个组可以任命一到

14、多个组管理员，组管理员有每个组可以任命一到多个组管理员，组管理员有每个组可以任命一到多个组管理员，组管理员有每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员权增减组成员和任命本组的管理员三种三种三种三种类型组类型组类型组类型组用户组用户组用户组用户组系统管理员组系统管理员组系统管理员组系统管理员组系统定义的组系统定义的组系统定义的组系统定义的组用户组用户组用户组用户组系统管理员按照用户共享文件的需要创建的，例系统管理员按照用户共享文件的需要创建的，例系统管理员按照用户共享文件的需要创建的，例系统管理员按照用户共

15、享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组如同一部门，同一工程组的成员所创建的组如同一部门，同一工程组的成员所创建的组如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员组系统管理员组系统管理员组系统管理员自动成为系统管理员自动成为系统管理员自动成为系统管理员自动成为systemsystem组的成员，该组的成组的成员，该组的成组的成员，该组的成组的成员，该组的成员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是员可以执行某些系统管理任务而无需是rootroot用户用户用户用户三种三种三种三种类型组类型组类型组类型组(

16、2)(2)系统定义的组系统定义的组系统定义的组系统定义的组系统预先定义了几个组，如系统预先定义了几个组，如系统预先定义了几个组，如系统预先定义了几个组，如staffstaff是系统中新创建是系统中新创建是系统中新创建是系统中新创建的非管理用户的缺省组，的非管理用户的缺省组，的非管理用户的缺省组，的非管理用户的缺省组，securitysecurity组则可以完成组则可以完成组则可以完成组则可以完成有限的安全性管理工作。其他系统定义的组用来有限的安全性管理工作。其他系统定义的组用来有限的安全性管理工作。其他系统定义的组用来有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务控制一些子

17、系统的管理任务控制一些子系统的管理任务控制一些子系统的管理任务三种三种三种三种类型组类型组类型组类型组(3)(3)组的划分组的划分组的划分组的划分在在在在AIXAIX系统中，一些组的成员如系统中，一些组的成员如系统中，一些组的成员如系统中，一些组的成员如system system、security security、printq printq、admadm等能够执行特定的系统管理等能够执行特定的系统管理等能够执行特定的系统管理等能够执行特定的系统管理任务任务任务任务system system 管理大多数系统配置和维护标准软硬件管理大多数系统配置和维护标准软硬件管理大多数系统配置和维护标准软硬件

18、管理大多数系统配置和维护标准软硬件printq printq 管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型管理打印队列。该组成员有权执行的典型命令有命令有命令有命令有enableenable、disabledisable、qadmqadm、qpriqpri等等等等security security 管理用户和组、口令和控制资源限制管理用户和组、口令和控制资源限制管理用户和组、口令和控制资源限制管理用户和组、口令和控制资源限制。该。该。该。该组成员有权执行的典型命令有组成员有权执行的典型命令有组成员有权执行的典型命令有组成员有权执行

19、的典型命令有mkusermkuser、rmuserrmuser、pwdadmpwdadm、chuserchuser、chgroupchgroup等等等等系统定义的组系统定义的组系统定义的组系统定义的组adm adm 执行性能、执行性能、执行性能、执行性能、cron cron、记帐等监控功能记帐等监控功能记帐等监控功能记帐等监控功能staff staff 为所有新用户提供的缺省的组，管理员可以为所有新用户提供的缺省的组，管理员可以为所有新用户提供的缺省的组，管理员可以为所有新用户提供的缺省的组，管理员可以在文件在文件在文件在文件/usr/lib/security/mkuser.defaults/

20、usr/lib/security/mkuser.defaults中中中中修改该设置修改该设置修改该设置修改该设置audit audit 管理事件监视系统管理事件监视系统管理事件监视系统管理事件监视系统系统定义的组系统定义的组系统定义的组系统定义的组(2)(2)6.1.3 6.1.3 用户划分用户划分用户划分用户划分rootroot用户用户用户用户管理用户管理用户管理用户管理用户普通用户普通用户普通用户普通用户rootroot用户用户用户用户超级用户（特权用户）超级用户（特权用户）超级用户（特权用户）超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制可执行所有的系统管理工作，不受任何

21、权限限制可执行所有的系统管理工作，不受任何权限限制可执行所有的系统管理工作，不受任何权限限制大多数系统管理工作可以由非大多数系统管理工作可以由非大多数系统管理工作可以由非大多数系统管理工作可以由非rootroot的其他用户来的其他用户来的其他用户来的其他用户来完成，如指定的完成，如指定的完成，如指定的完成，如指定的 systemsystem、securitysecurity、printqprintq、croncron、admadm、auditaudit组的成员。组的成员。组的成员。组的成员。管理用户管理用户管理用户管理用户为了保护重要的用户和组不受为了保护重要的用户和组不受为了保护重要的用户和

22、组不受为了保护重要的用户和组不受securitysecurity组成员的组成员的组成员的组成员的控制，控制，控制，控制，AIXAIX设置管理用户和管理组设置管理用户和管理组设置管理用户和管理组设置管理用户和管理组只有只有只有只有rootroot才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组才能添加删除和修改管理用户和管理组系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户系统中的用户均可以被指定为管理用户,可查看文可查看文可查看文可查看文件件件件/etc/security/user/et

23、c/security/user的的的的adminadmin属性属性属性属性#cat/etc/security/user#cat/etc/security/useruser1:user1:admin=trueadmin=true6.1.4 6.1.4 安全性和用户菜单安全性和用户菜单安全性和用户菜单安全性和用户菜单#smitty security#smitty security6.1.5 6.1.5 用户管理用户管理用户管理用户管理#smitty users#smitty users列示用户列示用户列示用户列示用户#smitty lsuser#smitty lsuserlsuserlsuser命

24、令命令命令命令在在在在SMITSMIT菜单选择菜单选择菜单选择菜单选择List All UsersList All Users选项时，得到的选项时，得到的选项时，得到的选项时，得到的输出是用户名、用户输出是用户名、用户输出是用户名、用户输出是用户名、用户idid、和主目录的列表；也可和主目录的列表；也可和主目录的列表；也可和主目录的列表；也可以直接用以直接用以直接用以直接用lsuserlsuser命令来列示所有用户命令来列示所有用户命令来列示所有用户命令来列示所有用户(ALL)(ALL)或部或部或部或部分用户的属性分用户的属性分用户的属性分用户的属性lsuserlsuser命令的输出用到以下文

25、件命令的输出用到以下文件命令的输出用到以下文件命令的输出用到以下文件:/etc/passwd:/etc/passwd、/etc/security/limits/etc/security/limits和和和和/etc/security/user/etc/security/userlsuserlsuser命令命令命令命令(2)(2)命令格式：命令格式：命令格式：命令格式：lsuser-c|-f -a attribute ALL|username lsuser-c|-f -a attribute ALL|username lsuserlsuser列表按行显示；列表按行显示；列表按行显示；列表按行显示

26、；lsuser-clsuser-c显示的域以冒号分隔显示的域以冒号分隔显示的域以冒号分隔显示的域以冒号分隔lsuser flsuser f按分节式的格式显示，可以指定列出全部属性或部分属性按分节式的格式显示，可以指定列出全部属性或部分属性按分节式的格式显示，可以指定列出全部属性或部分属性按分节式的格式显示，可以指定列出全部属性或部分属性创建用户创建用户创建用户创建用户#smitty mkuser#smitty mkuser用户缺省值用户缺省值用户缺省值用户缺省值缺省用户的缺省用户的缺省用户的缺省用户的IDID号取自号取自号取自号取自/etc/security/.ids/etc/security

27、/.ids设置设置设置设置IDID的的的的shellshell程序程序程序程序/usr/lib/security/mkuser.sys/usr/lib/security/mkuser.sys缺省特性取自缺省特性取自缺省特性取自缺省特性取自/usr/lib/security/mkuser.default/usr/lib/security/mkuser.default、/etc/security/user/etc/security/user缺省的缺省的缺省的缺省的.profile.profile文件取自文件取自文件取自文件取自/etc/security/.profile/etc/security/

28、.profile用户属性文件用户属性文件用户属性文件用户属性文件/etc/passwd /etc/passwd 包含用户的基本属性包含用户的基本属性包含用户的基本属性包含用户的基本属性/etc/group /etc/group 包含组的基本属性包含组的基本属性包含组的基本属性包含组的基本属性/etc/security/user /etc/security/user 包含用户的扩展属性包含用户的扩展属性包含用户的扩展属性包含用户的扩展属性/etc/security/limits /etc/security/limits 包含用户的运行资源限制包含用户的运行资源限制包含用户的运行资源限制包含用户的

29、运行资源限制/etc/security/lastlog /etc/security/lastlog 包含用户最后登陆属性包含用户最后登陆属性包含用户最后登陆属性包含用户最后登陆属性修改用户属性修改用户属性修改用户属性修改用户属性#smitty chusersmitty chuser删除用户删除用户删除用户删除用户#smitty rmusersmitty rmuserrmuserrmuser命令命令命令命令example:example:#rmuser test01#rmuser test01删除用户删除用户删除用户删除用户test01test01#rmuser-p test01#rmuser-

30、p test01删除用户删除用户删除用户删除用户test01test01，并删除与用户认证相关的信息并删除与用户认证相关的信息并删除与用户认证相关的信息并删除与用户认证相关的信息#rm-r/home/test01#rm-r/home/test01手工删除用户的主目录手工删除用户的主目录手工删除用户的主目录手工删除用户的主目录(rmuser(rmuser命令并未删除用户主目录命令并未删除用户主目录命令并未删除用户主目录命令并未删除用户主目录)用户口令用户口令用户口令用户口令 新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用新建用户只有在管理员设置了初始

31、口令之后才能使用新建用户只有在管理员设置了初始口令之后才能使用 更改口令的两个命令更改口令的两个命令更改口令的两个命令更改口令的两个命令 1 1、passwd usernamepasswd username 此命令只有此命令只有此命令只有此命令只有rootroot和和和和usernameusername本人可用本人可用本人可用本人可用 2 2、pwdadm usernamepwdadm username root root和和和和securitysecurity成员可用成员可用成员可用成员可用rootroot口令口令口令口令紧急情况下删除紧急情况下删除紧急情况下删除紧急情况下删除rootroo

32、t口令的步骤口令的步骤口令的步骤口令的步骤1 1、从、从、从、从AIX 5L CD-ROMAIX 5L CD-ROM引导引导引导引导2 2、引导时键入、引导时键入、引导时键入、引导时键入F5F5，进入安装和维护（进入安装和维护（进入安装和维护（进入安装和维护（Installation and Installation and Maintenance Maintenance）菜单下选择菜单下选择菜单下选择菜单下选择3 3：Start Maintenance Start Maintenance Mode For System Recovery Mode For System Recovery3 3

33、、选择选择选择选择 Obtain a shell by activating the root volume Obtain a shell by activating the root volume group group并按提示继续并按提示继续并按提示继续并按提示继续4 4、设置、设置、设置、设置TERMTERM变量，例如：变量，例如：变量，例如：变量，例如：#export TERM=vt100export TERM=vt1005 5、通过、通过、通过、通过#vi/etc/security/passwdvi/etc/security/passwd删除删除删除删除rootroot 口令的密文口

34、令的密文口令的密文口令的密文6 6、#sync#sync；sync(sync(系统同步系统同步系统同步系统同步)7 7、#reboot(reboot(从硬盘引导从硬盘引导从硬盘引导从硬盘引导)8 8、从新登陆后给从新登陆后给从新登陆后给从新登陆后给rootroot设置口令设置口令设置口令设置口令紧急情况下删除紧急情况下删除紧急情况下删除紧急情况下删除rootroot口令的步骤口令的步骤口令的步骤口令的步骤rootroot口令口令口令口令(2)(2)6.1.6 6.1.6 组的管理组的管理组的管理组的管理#smitty groupssmitty groups组的管理组的管理组的管理组的管理(2)

35、(2)建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同建立组的目的是让同组的成员对共享的文件具有同样的许可权样的许可权样的许可权样的许可权(文件的组许可权位一致文件的组许可权位一致文件的组许可权位一致文件的组许可权位一致)要创建组并成为其管理员，必须是要创建组并成为其管理员，必须是要创建组并成为其管理员，必须是要创建组并成为其管理员，必须是rootroot或或或或securitysecurity组成员。组管理员有权往组里添加其他用户组成员。组管理员有权往组里添加其他用户组成员。组管理员有权往组里添加其他用户组成

36、员。组管理员有权往组里添加其他用户系统中已经定义了几个组，如系统中已经定义了几个组，如系统中已经定义了几个组，如系统中已经定义了几个组，如system system 组是管理用组是管理用组是管理用组是管理用户的组，户的组，户的组，户的组，staff staff 组是普通用户的组组是普通用户的组组是普通用户的组组是普通用户的组 ，其他的组与特，其他的组与特，其他的组与特，其他的组与特定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系定应用和特定文件的所有权相联系列示组列示组列示组列示组#smitty lsgroupsmitty lsgrouplsgroup

37、lsgroup命令命令命令命令lsgrouplsgroup缺省格式，列表按行显示缺省格式，列表按行显示缺省格式，列表按行显示缺省格式，列表按行显示lsgroup-clsgroup-c显示时每个组的属性之间用冒号分隔显示时每个组的属性之间用冒号分隔显示时每个组的属性之间用冒号分隔显示时每个组的属性之间用冒号分隔lsgroup flsgroup f按组名以分节式格式输出按组名以分节式格式输出按组名以分节式格式输出按组名以分节式格式输出添加组添加组添加组添加组#smitty mkgroupsmitty mkgroupmkgroupmkgroup命令命令命令命令mkgroup groupnamemkg

38、roup groupname-a -a 用来指定该组是管理组（只有用来指定该组是管理组（只有用来指定该组是管理组（只有用来指定该组是管理组（只有rootroot才有权在才有权在才有权在才有权在 系统中添加管理组）系统中添加管理组）系统中添加管理组）系统中添加管理组）-A -A 用于任命创建者为组管理员用于任命创建者为组管理员用于任命创建者为组管理员用于任命创建者为组管理员一个用户可属于一个用户可属于一个用户可属于一个用户可属于132132个组。个组。个组。个组。ADMINISTRATOR ADMINISTRATOR listlist是组管理员列表，组管理员有权添加或删除组是组管理员列表，组管理

39、员有权添加或删除组是组管理员列表，组管理员有权添加或删除组是组管理员列表，组管理员有权添加或删除组成员成员成员成员更改组的属性更改组的属性更改组的属性更改组的属性#smitty chgroupsmitty chgroup更改组的属性更改组的属性更改组的属性更改组的属性(2)(2)smit chgroupsmit chgroup和和和和chgroupchgroup命令用来更改组的特性。命令用来更改组的特性。命令用来更改组的特性。命令用来更改组的特性。只有只有只有只有rootroot和和和和securitysecurity组的成员有权执行该操作组的成员有权执行该操作组的成员有权执行该操作组的成员有

40、权执行该操作组的属性包括：组的属性包括：组的属性包括：组的属性包括：Group ID(id=groupid)Group ID(id=groupid)Administrative group?(admin=true|false)Administrative group?(admin=true|false)Administrator List(adms=adminnames)Administrator List(adms=adminnames)User List(users=usernames)User List(users=usernames)删除组删除组删除组删除组#smitty rmgrou

41、psmitty rmgroup删除组删除组删除组删除组rmgrouprmgroup用来删除一个组用来删除一个组用来删除一个组用来删除一个组对管理组而言，只有对管理组而言，只有对管理组而言，只有对管理组而言，只有rootroot才有权删除才有权删除才有权删除才有权删除组管理员可以用组管理员可以用组管理员可以用组管理员可以用chgrpmenchgrpmen命令来增删组管理员命令来增删组管理员命令来增删组管理员命令来增删组管理员和组成员和组成员和组成员和组成员motdmotd文件文件文件文件writewrite命令命令命令命令wallwall命令命令命令命令talktalk命令命令命令命令mesgm

42、esg命令命令命令命令6.1.7 6.1.7 管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具管理员和用户通信工具(2)(2)文件文件文件文件/etc/motd/etc/motd在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在在用户从终端成功登录时将会显示在屏幕上。屏幕上。屏幕上。屏幕上。特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期特别适合存放版权或系统使用须知等长期信息信息信息信息只应包含用

43、户须知的内容只应包含用户须知的内容只应包含用户须知的内容只应包含用户须知的内容用户的主目录下如果存在文件用户的主目录下如果存在文件用户的主目录下如果存在文件用户的主目录下如果存在文件$HOME/.hushlogin$HOME/.hushlogin，则该用户登录时不显示则该用户登录时不显示则该用户登录时不显示则该用户登录时不显示motd motd 文件的内容文件的内容文件的内容文件的内容motd motd 文件文件文件文件6.2.1 6.2.1 安全性的概念安全性的概念安全性的概念安全性的概念系统缺省用户系统缺省用户系统缺省用户系统缺省用户rootroot：超级用户超级用户超级用户超级用户adm

44、adm、syssys、bin bin：系统文件的所有者但不允许登录系统文件的所有者但不允许登录系统文件的所有者但不允许登录系统文件的所有者但不允许登录安全性的概念安全性的概念安全性的概念安全性的概念(2)(2)系统缺省组系统缺省组系统缺省组系统缺省组system system：管理员组管理员组管理员组管理员组staff staff：普通用户组普通用户组普通用户组普通用户组安全性原则安全性原则安全性原则安全性原则用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户用户被赋予唯一的用户名、用户ID(UID)ID(UID)和和和和口令。用户登录后，对文件访问的合法性取

45、决口令。用户登录后，对文件访问的合法性取决口令。用户登录后，对文件访问的合法性取决口令。用户登录后，对文件访问的合法性取决于于于于UIDUID文件创建时，文件创建时，文件创建时，文件创建时，UIDUID自动成为文件主。只有文自动成为文件主。只有文自动成为文件主。只有文自动成为文件主。只有文件主和件主和件主和件主和rootroot才能修改文件的访问许可权才能修改文件的访问许可权才能修改文件的访问许可权才能修改文件的访问许可权需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组需要共享一组文件的用户可以归入同一个组中。每个用户可属于多个

46、组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯中。每个用户可属于多个组。每个组被赋予唯一的组名和组一的组名和组一的组名和组一的组名和组ID(GID)ID(GID)，GIDGID也被赋予新创建的也被赋予新创建的也被赋予新创建的也被赋予新创建的文件文件文件文件rootroot特权的控制特权的控制特权的控制特权的控制严格限制具有严格限制具有严格限制具有严格限制具有root root 特权的人数特权的人数特权的人数特权的人数root root 口令应由系统管理员以不公开的周期更改口令应由系统管理员以不公开的周期更改口令应由系统管理员以不公开的周期更改

47、口令应由系统管理员以不公开的周期更改不同的机器采用不同的不同的机器采用不同的不同的机器采用不同的不同的机器采用不同的root root 口令口令口令口令系统管理员应以不同用户的身份登录，然后用系统管理员应以不同用户的身份登录，然后用系统管理员应以不同用户的身份登录，然后用系统管理员应以不同用户的身份登录，然后用su su 命令进入特权命令进入特权命令进入特权命令进入特权root root 所用的所用的所用的所用的PATHPATH环境变量不要随意更改环境变量不要随意更改环境变量不要随意更改环境变量不要随意更改susu命令命令命令命令su su 命令允许切换到命令允许切换到命令允许切换到命令允许切

48、换到root root 或者指定用户，从而创建或者指定用户，从而创建或者指定用户，从而创建或者指定用户，从而创建了新的会话了新的会话了新的会话了新的会话例如：例如：例如：例如：#su test01#su test01$whoami$whoamitest01test01 su su 命令带命令带命令带命令带“-”-”号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始号表示将用户环境切换到该用户初始 登录环境登录环境登录环境登录环境 例如：例如：例如：例如：$su-test02$su-test02$pwd$pwd /home/test02 /home/

49、test02 su su 命令不指定用户时，表示切换到命令不指定用户时，表示切换到命令不指定用户时，表示切换到命令不指定用户时，表示切换到rootrootsusu命令命令命令命令(2)(2)安全性日志安全性日志安全性日志安全性日志/var/adm/sulog/var/adm/sulogsu su 日志文件。可用日志文件。可用日志文件。可用日志文件。可用pgpg、more more、catcat命令查看命令查看命令查看命令查看/etc/utmp/etc/utmp在线用户记录。可用在线用户记录。可用在线用户记录。可用在线用户记录。可用who who 命令查看命令查看命令查看命令查看#who-a/e

50、tc/utmp#who-a/etc/utmp /etc/security/failedlogin/etc/security/failedlogin非法和失败登录的记录，未知的登录名记为非法和失败登录的记录，未知的登录名记为非法和失败登录的记录，未知的登录名记为非法和失败登录的记录，未知的登录名记为UNKNOWN UNKNOWN，可用可用可用可用whowho命令查看命令查看命令查看命令查看#who-a/etc/security/failedlogin#who-a/etc/security/failedlogin安全性日志安全性日志安全性日志安全性日志(2)(2)lastlast命令命令命令命令查