第十单元用户管和安全性.ppt

第十单元 用户管理和安全性 用户管理概念 用户组 用户组层次 用户层次 控制root访问 su命令 安全性记录文件 文件和目录权限（一） 文件和目录权限（二） 改变文件或目录权限和所有者 安全性相关文件 用户环境的合法性检查和修正 用户环境初始化过程 安全和用户管理菜单 用户管理菜单 增加用户 更改/显示用户属性 删除用户帐号 设置用户口令 用户组管理菜单 增加用户组 更改/显示用户组 write和wall 单元小结 实验 建立用户组以便组织并区分用户，是系统管理的重要组成部分，它与系统安全策略密切相关。 组管理员拥有增加/删除组中用户和组管理员的权限。 有3种类型的用户组： 自建用户组：根据用户情况和安全策略建立的用户组。 系统管理员组：system。这个组的成员可以执行一些系统管理任务。 系统定义的组：有若干个系统定义的固有用户组，某些只是为系统所用，不应当随意为其添加用户，例如bin、sys等等。所有非系统管理员组成员的用户属于staff组；security组成员可以执行部分安全性管理的任务。 属于系统管理员组或系统定义组的用户可以执行某些系统管理任务。 系统固有组有： system：可对标准的软硬件进行配置和维护工作。 printq：可管理打印队列。enable、disable、qadm、qpri等等。 security：可进行用户口令和限制管理。mkuser、rmuser等。 adm：可进行系统监视工作。性能监视、统计等等。 staff：所有新用户的默认组。 audit：用于系统审计人员。 为了保护重要的用户和用户组不被security组成员任意修改，AIX提供了admin用户和admin组。只有root才能增删改admin用户和admin组。 系统中的任何用户都可被root设为admin用户，不论其属于哪个组。 # cat /etc/security/user user1: admin = true root口令要严格必威体育官网网址，只让尽量少的人知道。 root用户的PATH环境变量不仅被以root登录的用户所用，很多系统内部功能都使用它。所以必须保证root的PATH环境变量设置不危及系统安全。 su命令以指定的用户ID运行一个子shell。 如果不指定用户名参数，su默认root。从root切换到其他用户不用回答口令，否则系统提示输入要切换到的用户的口令。 结束一个su会话，可以在命令行输入exit命令或按Ctrl+d键。 sulog文件中，记录所有su命令执行的情况，包括日期、时间、系统主机名、切换到的用户名以及是否成功。成功和不成功的登录分别以＋和－区分。 /etc/utmp文件保存有用户成功登录记录，/var/adm/wtmp文件保存有连接时间统计记录。查看其内容用who命令带文件名的方式。 last root 显示所有root用户的登录和退出。 last reboot 显示系统重启之间的时间。 每个文件或目录有3组权限，分别为所有者权限（owner）、所有者组权限（group）和其他用户权限（user），分别表示文件所有者、文件所有者主用户组成员和其他用户对文件或目录的权限。 每组权限都有3个可设定的许可：r（读）、w（写）、x（执行）。 使用chmod命令修改文件或目录的权限，语法是： chmod {[ugo]+[rwx]} file 也可将权限表示为八进制数字形式，这种形式的好处是一次可更改多个许可，而且与文件当前许可设置无关。 使用chown命令修改文件所有者（和所有者组）： chown user[:group] file 使用chgrp命令修改文件所有者组： chgrp group file /etc/passwd文件包含有合法用户列表，包括用户ID、主用户组、宿主目录、默认登录shell等。 /etc/group文件包含合法用户组列表，包括用户组ID和成员用户名。 /etc/security/passwd文件含有加密形式的用户口令和口令更新信息。 /etc/security/user文件含有用户属性信息 。 /etc/security/limits文件含有对用户的进程资源限制值。 /etc/security/environ文件含有用户的环境变量，不过这个文件很少用到。 /etc/security/login.cfg文件含有对登录程序的配置信息，例如对某个端口的登录限制。 /etc/security/group文件含有用户组属性。 建立新用户的一些默认设置存放在/usr/lib/security/mkuser