AIX用户管理与安全策略(32页).ppt

* 合法性检查 (2 of 3) usrck 验证用户定义的合法性 命令格式： usrck { -n | -p | -t | -y } { ALL | username } 该命令检查 /etc/passwd、 /etc/security/user 、/etc/limits 和/etc/security/passwd中的用户信息，同时也检查/etc/group和/etc/security/group 以保证数据的一致性 * 合法性检查 (3 of 3) grpck 验证组的一致性 命令格式： grpck { -n| -p| -t |-y } {ALL |username } 该命令检查 /etc/group 和 /etc/security/group 、/etc/passwd 和/etc/security/user之间的数据一致性 -n ——报告错误但不作修改 -p ——修改错误但是不输出报告 -t ——报告错误并等候管理员指示是否修改 -y ——修改错误并输出报告 * * /etc/security/.profile * /etc/security/.profile文件 * password——口令的密文，*表示不可登录的非法用户，空白表示无口令 ? lastupdate——上次口令修改的时间，将1970年1月1日到该时间的间隔换算成秒数存放 ? flags有三种取值： ADMCHG——上次修改口令是由root或管理员执行的 ADMIN——用户口令只能由root来修改 NOCHECK——对口令的约束不强制给该用户 （参见/etc/security/user中的口令约束） * 用户被锁定以后，用户失败登录次数的值被记录在/etc/security/lastlog文件中，要解锁必须修改该文件中unsuccessful_login_count属性=0 # smitty failed_logins # chsec -f /etc/security/lastlog -a unsuccessful_login_count=0 加锁，account_locked chuser account_locked=true * * 用户管理与安全策略 * 用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 查看与用户和组相关的控制文件 掌握用户口令的管理 本章要点: * 用户 用户是系统的使用者 每个用户拥有唯一的名称，用户ID和密码 用户名最多由8字符组成，不能以：”+“ ”-“ @ 、~ 字符作为用户名的第一个字符，也不能使用关键字ALL和default，字符： ” # “、 “=“、 “,”、 “ / ”、 “ \ ”、 “ ?” 、“ ‘ “ 、也不能出现在用户名中， 也不能包含空格和Tab键 用户ID是操作系统使用来处理每个用户 密码是证明用户具有使用系统的权限，默认最长长度是8个字符 用户名和用户ID存放在/etc/passwd文件中，用户密码存放在/etc/security/passwd 文件中，文件/etc/security/user中存放用户扩展属性 * 组 组是用户的集合，组成员可以共享文件和数据，便于协同工作 每个组都有组名和组ID 组名主要用于操作系统和用户之间，组名唯一，不超过8个字符 组ID：操作系统内部使用组ID来处理每个组 组名和组ID由/etc/group文件控制，/etc/group文件存放组的一些基本属性，在/etc/security/group文件中存放组的扩展属性 每个用户至少属于一个组，同时也可以充当多个组的成员 * 组的分类 用户组 是由系统管理员在系统运行以后增加的，目的是将需要共享相同文件信息的用户放在一组里，例如同一部门，同一工程组的成员所创建的组 系统管理员组 具有管理系统权力的用户所在的组，系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户。root属于system组 系统定义的组 系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组是负责安全管理的组。 如adm组主要监视系统的性能，audit组主要对系统的运行进行审计 * 系统定义的组 system 管理大多数系统配置和维护标准软硬件 printq 管理打印队列。该组成员有权执行的典型命令有enable disable、qadm、qpri等 security 管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等 adm 执行性能、