AIX-安全管理.ppt

第八单元 安全管理 目标 学习完本小节后,应能做到: 使smit 创建用户和组 查看与用户和组相关的控制文件 用户帐号 每个用户帐号都有唯一的用户名、用户ID和口令 文件所有者依据用户ID判定 文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者 固有用户 root 超级用户 adm, adm, bin, … 大多数系统文件的所有者，但不能用这些用户登录 用户 用户组 需要访问同一文件或执行相同功能的多个用户可放置到一个用户组 每个用户都必须属于至少一个用户组，一个用户可属于多个用户组 固有用户组： system 管理者组 staff 普通用户组 用户组 /var/adm/sulog 记录每次su命令的执行。这是个文本文件。使用任何文本文件的命令查看。 /var/adm/wtmp和/etc/utmp 记录用户的成功登录。使用who命令查看。 /etc/security/failedlogin 记录所有不成功的登录尝试。如果用户名不存在，记录为UNKNOWN项目。使用who命令查看。 安全性记录文件 /etc/passwd 合法用户（无口令内容） /etc/group 合法用户组 /etc/security/passwd 含有加密形式的用户口令 /etc/security/user 用户属性，口令限制 /etc/security/limits 对用户的限制 /etc/security/environ 用户环境设定 /etc/security/login.cfg 登录设置 /etc/security/group 用户组属性 /usr/lib/security/mkuser.default  建立新用户的一些默认设置存放文件中 安全性相关文件 用户和组 对于用户组，使用 smit group 对于少量用户的管理，使用 smit user 设置口令: passwd 新用户在第一次登录前,系统管理员要为其设置口令. 对于大量的用户，使用 mkuser命令 使用smit 来选择有关选项 用户和组的创建 smitty chuser smitty chgroup 更改用户和组的属性 smitty rmuser smitty rmgroup 删除用户宿主目录（不象创建用户自动创建宿主目录，删除用户时不会自动删除宿主目录） # rm -r /home/team01 删除用户和组 /etc/profile：一个shell脚本，控制整个系统的默认环境变量，例如TERM、MAILMSG等。 /etc/environment：控制所有进程的基本环境。例如HOME、LANG、TZ、NLSPATH等。 /$HOME/.profile：每个用户自有的环境变量设置文件，位于用户的宿主目录中。 用户环境初始化过程 /etc/security/limits 高级 ulimit限制属性 fsize, core, cpu, date, rss, stack, nofiles 在此文件头部，有对这些属性意义的解释 -1 意味着没有限制 每名用户的限制条件 - 若没有设置，那么就使用默认值 文件/etc/security/limits 每一种UNIX都有cron，但有关定义文件的目录位置会不同 cron表文件 /var/spool/cron/crontabs/user 记录文件 /var/adm/cron/log 允许/拒绝文件 /var/adm/cron/cron.{allow,deny} 使用crontab -e编辑cron文件 使用AIX中Skulker脚本，可清除tmp下临时文件 检查文档 cron 常用的命令: who last - 登录事件和关机信息 last root console last | grep shutdown 系统记录文件 (循环记录文件) 列出系统记录名称: alog -L 示例: boot bosinst nim console 列出文件: alog -o -t boot 用户监视和记录文件 小结 创建一些用户 浏览 /etc/security/* 简单浏览 /etc/rc/* 检查错误记录