06AIX用户管理与安全策略.pptxVIP

第六章用户管理与安全策略第六章 用户管理与安全策略§ 6.1 用户和组管理 § 6.1.1用户登陆和初始化 § 6.1.2组的分类 § 6.1.3用户划分 § 6.1.4安全性和用户菜单 § 6.1.5用户管理 § 6.1.6组的管理 § 6.1.7管理员和用户通信工具第六章 用户管理与安全策略(2)§ 6.2 安全性策略 § 6.2.1安全性的概念 § 6.2.2文件和目录的存取许可权 § 6.2.3安全性文件 § 6.2.4合法性检查 § 6.2.5安全性策略要旨 § 6.2.6测试题 第六章 用户管理与安全策略(3)本章要点定义用户和组的概念掌握添加更改删除用户的方法掌握添加更改删除组的方法掌握用户口令的管理掌握与用户通信的方法掌握控制root 特权的原则掌握许可权位的含义及使用6. 1. 1 用户登陆和初始化系统验证用户名和密码gettylogin用户输入用户名 读取/etc/environment /etc/profile $HOME/.profileshell显示/etc/motd设置用户环境用户登陆提示信息 用户名 口令 对直接连接的可用端口，由init启动的getty进程 将在终端上显示登录提示信息，该提示可在文件 /etc/security/login.cfg中设置 用户键入登录名后,系统将根据文件/etc/passwd 和/etc/security/passwd检查用户名及用户口令用户环境用户环境由以下文件来建立/etc/environment/etc/security/environ/etc/security/limits/etc/security/user/etc/motd/etc/motd shelllogin过程将当前目录设置为用户的主目录，并且在$HOME/.hushlogin文件不存在的情况下，将显示/etc/motd文件的内容和关于上次登录的信息最后控制权被传递给登录shell(在/etc/passwd中定义) ，对于Bourne和Korn Shell，将运行/etc/profile和$HOME/.profile文件，对Csh,则执行$HOME/.login和$HOME/.cshrc文件环境变量用户登录时系统设置用户环境主要依据下述文件/etc/profile设置系统范围内公共变量的shell文件，设置如TERM、MAILMSG 、MAIL等环境变量/etc/environment指定对所有进程适用的基本环境变量。如HOME、 LANG、TZ 、NLSPATH等$HOME/.profile用户在主目录下的设置文件6. 1. 2 组的分类组的特点组是用户的集合，组成员需要存取组内的共享文件每个用户至少属于一个组，同时也可以充当多个组的成员用户可以存取自己组集合(group set )中的共享文件，列出组集合可用groups 或者setgroups 命令文件主修改主组可用newgrp 或setgroups 命令分组策略组的划分尽量与系统的安全性策略相一致，不要定义太多的组，如果按照数据类型和用户类型的每种可能组合来划分组，又将走向另一个极端，会使得日常管理过于复杂每个组可以任命一到多个组管理员，组管理员有权增减组成员和任命本组的管理员三种类型组用户组系统管理员组系统定义的组三种类型组(2)用户组系统管理员按照用户共享文件的需要创建的，例如同一部门，同一工程组的成员所创建的组系统管理员组系统管理员自动成为system组的成员，该组的成员可以执行某些系统管理任务而无需是root用户三种类型组(3)系统定义的组系统预先定义了几个组，如staff是系统中新创建的非管理用户的缺省组，security组则可以完成有限的安全性管理工作。其他系统定义的组用来控制一些子系统的管理任务组的划分在AIX系统中，一些组的成员如system 、security 、printq 、adm等能够执行特定的系统管理任务系统定义的组system管理大多数系统配置和维护标准软硬件printq管理打印队列。该组成员有权执行的典型命令有enable、disable、qadm、qpri等security管理用户和组、口令和控制资源限制。该组成员有权执行的典型命令有mkuser、rmuser、pwdadm、chuser、chgroup等系统定义的组(2)adm执行性能、cron 、记帐等监控功能staff为所有新用户提供的缺省的组，管理员可以在文件/usr/lib/security/mkuser.defaults中修改该设置audit管理事件监视系统6. 1. 3 用户划分root用户管理用户普通用户root用户超级用户（特权用户）可执行所有的系统管理工作，不受任何权限限制大多