AIX使用教程培训IT外包6精要.ppt

第十部分、用户管理和安全性 用户管理概念 用户组 用户组层次 用户层次 控制root访问 su命令 安全性记录文件 文件和目录权限（一） 文件和目录权限（二） 改变文件或目录权限和所有者 安全性相关文件 用户环境的合法性检查和修正 用户环境初始化过程 安全和用户管理菜单 用户管理菜单 增加用户 更改/显示用户属性 删除用户帐号 设置用户口令 用户组管理菜单 增加用户组 更改/显示用户组 write和wall 单元小结 * 解释用户和用户组概念，以及何时和怎样定义它们 解释控制root访问的各种方法 管理文件与用户的关联 增加/修改/删除用户 增加/修改/删除用户组 管理用户口令 与其他用户通讯 用户帐号 每个用户帐号都有唯一的用户名、用户ID和口令 文件所有者依据用户ID判定 文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者 固有用户 root 超级用户 adm, adm, bin, … 大多数系统文件的所有者，但不能用这些用户登录 用户组 需要访问同一文件或执行相同功能的多个用户可放置到一个用户组 文件所有者组给了针对文件所有者更多的控制 固有用户组： system 管理者组 staff 普通用户组 一个用户组包含一个或多个用户 每个用户都必须属于至少一个用户组，一个用户可属于多个用户组 可以使用groups或setgroups命令查看用户所属的组 一个用户所属的主用户组用于在创建文件时标明文件所有者组。更改主用户组使用newgrp或setgroups命令 system security printq adm audit staff system：可对标准的软硬件进行配置和维护工作。 printq：可管理打印队列。enable、disable、qadm、qpri等等。 security：可进行用户口令和限制管理。mkuser、rmuser等。 adm：可进行系统监视工作。性能监视、统计等等。 staff：所有新用户的默认组。 audit：用于系统审计人员。 root admin用户 （admin标志 设为true） 普通用户 限制root登录 系统管理员必须按照不公开的时间表定期更改root口令 对不同的系统指定不同的root口令 为每个系统管理员建立一个自己的帐号。执行系统管理任务时，首先用自己的帐号登录，然后用su命令切换到root用户。这可以为日后清查留下审计记录。 root的PATH环境变量设置不能危及系统安全 su命令使一个用户切换到另一用户帐号，su会创建一个新的shell进程。 例如： # su team01 $whoami team01 如果su命令带上“ - ”参数（前后都有空格），用户环境也被切换 例如： $ cd /tmp $ su - root # pwd / /var/adm/sulog 记录每次su命令的执行。这是个文本文件。使用任何观看文本文件的命令查看。 /var/adm/wtmp和/etc/utmp 记录用户的成功登录。使用who命令查看。 /etc/security/failedlogin 记录所有不成功的登录尝试。如果用户名不存在，记录为UNKNOWN项目。使用who命令查看。 文件： r：用户可以读取文件 w：用户可以修改文件内容 x：用户可以将文件当作命令执行 目录： r：用户可以列出目录下的内容 w：用户可以在目录中建立和删除文件或目录 x：用户可以切换到这个目录中，或把这个目录放入PATH环境变量 所有者 r w x 所有者组成员 r w x 其他用户 r w x 2 4 1 2 4 1 2 4 1 rwxrwxr-- = 774（8进制形式） r-xr-xr-x = 555（8进制形式） 修改文件或目录权限： 文件原有权限：rwxr-xr-- file1 # chmod g+w file1 或 # chmod 774 file1 结果：rwxrwxr-- # chmod u+x file1 或 # chmod 755 file1 结果：rwxr-xr-x 修改文件或目录的所有者： # chown fred file1 # 修改文件所有者为fred # chgrp liu file1 # 修改文件所有者组为liu 等同于 # chown fred:budget file1 包含用户属性和访问控制的文件 /etc/passwd 合法用户（无口令内容） /etc/group 合法用户组 /etc/security/passwd 含有加密形式的用户口令 /etc/security/user 用户属性，口令限制 /etc/security/limits 对用户的限制 /