ITPub博客

首页 > Linux操作系统 > Linux操作系统 > AIX用户管理

AIX用户管理

原创 Linux操作系统 作者:痞子_DBA 时间:2012-05-05 14:37:02 0 删除 编辑

一:用户基本属性文件/etc/passwd

格式:

用户名:是否定义了密码(! or *):UID:GID:Full Name:Home Dir:SHELL

UID:0-199 系统使用  200以后用户自定义使用

该文件权限:rw_r_ _r_ _

如果第二项为!,说明该用户定义了密码,此时用户登录时将要参考口令文件/etcsecruity/passwd

二:用户口令文件/etc/security/passwd

(1)格式:

用户名:

password:密码加密后的字符串

其他属性

(2)权限rw_ _ _ _ _ _ _

(3)pwdck用来检查这两个文件信息的一致性

(4)隐藏用户名和密码

为了保证系统的足够的安全,应该保证用户标识和密码在系统内是不可见的。

.netrc文件包含了系统中未加密或未编码进行保护,即像纯文本文件样的保存了用户标识和密码。要查找这些文件,运行以下命令:
# find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls
找到这些文件后,请删除它们。保存密码的一个更有效的方法是设置 Kerberos

三:用户扩展属性文件/etc/security/user

(1)格式:

user1:

relogin = false //设置是否允许用户远程登录(禁用telnet)

logintimes = 0830-1730 //登录时间

loginretries = 0 //规定允许登录的可重试次数,0为不限制

...................

(2)权限

读权限: root用户及security组的用户
写权限: root用户
(3)对用户使用密码进行限制,保证账户密码及时更新等

恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性,操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码,并强制定期更改密码。
密码选项和扩展用户属性位于 /etc/security/user 文件中,此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时,这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制,对所有用户执行相同限制。为了维持密码安全性,所有密码必须受到相似的保护。
管理员还可以扩展密码限制。通过使用 /etc/security/user 文件的 pwdchecks 属性,管理员可以将新的子例程(称为方法)添加到密码限制代码中。这样,本地站点策略可添加到操作系统,并由操作系统执行该策略。有关更多信息,请参阅扩展密码限制。
应用密码限制要切合实际。过于限制的尝试,例如限制密码空间(这将使猜测密码更容易),或强制用户选择难以记忆的密码(用户可能选择会写下密码),都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制与明智的指南和偶尔的审计(以验证当前密码是否唯一)相结合,将是最好的策略

四:用户登录属性定制文件/etc/security/login.cfg

/etc/security/login.cfg文件:
系统登录和用户身份验证控制的属性,如:用户登录前的系统提示信息内容。
只有root用户和security组用户的才能读写。
终端节:对从某终端的登录进行控制;
验证用户方法节:定义验证用户身份的方法;
用户配置节:定义其他安全属性,如:同时登录的最大用户数maxlogins=2,以及登录时等待用户输入口令的超时时间logintimeout=60
使用ls -l显示该文件的内容。

五:定制用户登录后的提示信息/etc/motd

六:组的管理

/etc/group  存放组的基本属性  格式:   组名:组ID:成员  是ASCII文件哦!!!任何用户都有读权限,只有root用户及security组用户才有写权限。
/etc/security/group 存放组的扩展属性

                 +- Group Name        <= 8 bytes
Group ---|                                (一个用户可同属一个或多个组)
                 +- Group ID(GID)     正整数

                   +- 用户级的组:用户
                    |
AIX的组 ---|- 系统管理组:如system组中就有root用户,也可将一些用户加入system组
                    |
                   +- 系统预定义组:除staff组外,其他系统默认组都具有一定的管理权力。

用户分层: 

           +--------------------+
            |       root用户     |
            +--------------------+
                       |
                       |
            +--------------------+
            |   管理型用户和组   | /etc/security/user文件 admin域=TRUE
            +--------------------+
                       |
                       |
            +--------------------+
            |    普通用户和组    |
            +--------------------+

六:用户管理使用的命令

(1)chuser(修改属性),mkuser(增加用户),rmuser(删除用户)

mkuser根据/user/lib/security/mkuser.default文件的内容设置默认属性。(普通用户、管理型用户)
lsuser显示用户属性时,读取/etc/security/user文件及/etc/passwd文件。

(2)smit

说命令,高级命令多如牛毛,如mkgroup,mkuser,chgroup,chuser,rmgroup,rmuser,chgrpmem。。。

这么多命令,我是记不清!幸好AIX为我们提供了smit(系统管理界面工具)

】# smit -C security

> Users

>Groups

>Passwords

>Login Controls

>Roles

提供这些菜单以及子菜单,足够一般性的用户和组的属性设置了。

七:其他安全性文件

(1)/etc/security/.profile

该文件是新用户$HOME/.profile的模版文件

  /etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。在使用 mkuser 命令创建用户时,执行 /usr/lib/security/mkuser.sys 脚本。这个脚本创建用户的目录,设置正确的权限,“创建” 用户的 .profile。mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。

 如果您正在构建新系统,或者一个新部门有 100 名员工需要在系统上建立账户,那么一定要先修改 /etc/security/.profile 文件,然后再开始创建用户账户。如果已经创建了账户,然后意识到需要对某个变量或其他设置做简单的修改,就不得不手工修改每个用户的 profile。可以使用脚本简化这个过程,但是如果提前修改了 /etc/security/.profile,会简单得多。

/etc/security/.profile 文件示例
PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:. 
 
export PATH 
 
if [ -s "$MAIL" ]      # This is at Shell startup. In normal 
then echo "$MAILMSG"    # operation, the Shell checks 
fi             # periodically. 

(2)/etc/security/limits

  /etc/security/limits 文件包含所有 user limit,即用户的系统资源限制。表 1 列出 /etc/security/limits 文件中的字段及其用途。


表 1. /etc/security/limits 中的字段

软限制 硬限制 说明
fsize fsize_hard 用户可以创建的文件的大小
core core_hard 用户可以创建的核心文件的大小
CPU cpu_hard 允许的系统时间量
data data_hard 进程数据段的大小
stack stack_hard 进程堆栈段的大小
RSS rss_hard 允许的物理内存量
nofiles nofiles_hard 同时打开的文件描述符数量
nproc nproc_hard 同时运行的进程数量

  软限制和硬限制的区别是什么?在最大值(硬限制)范围内,用户或应用程序可以动态地修改软限制。硬限制就是参数可以设置的最大值。如果把参数设置为数字值太困难(例如,如果开发人员不知道程序将使用的内存量或它需要打开的文件数量),那么可以把参数设置为 -1,这表示无限制。

  但是,不必为每个用户设置所有 ulimit。/etc/security/limits 文件包含一个 default 部分,它为每个用户定义一组标准值,如果用户没有设置定制的值,就会使用这些值。如果 default 部分不存在,系统会设置预先确定的限制。

  IBM 的默认值如下:

*  Attribute    Value 
*  ==========  ============ 
*  fsize_hard  set to fsize 
*  cpu_hard   set to cpu 
*  core_hard     -1 
*  data_hard     -1 
*  stack_hard   8388608 
*  rss_hard     -1 
*  nofiles_hard   -1 

/etc/security/limits 文件示例
default: 
    fsize = 4194303 
    core = 16384 
    cpu = -1 
    data = 262144 
    rss = 65536 
    stack = 65536 
 
pac: 
    fsize = 131072 
    fsize_hard = 262144 
    core = 262144 

注意:这里要着重注意下,fsize参数,它限制了用户能创建的最大文件的大小!默认该值为2097151个扇区,1个扇区为512字节,故默认用户所能创建的文件最大为1G。

(3)/etc/security/passwd

  /etc/security/passwd 文件包含 AIX 用户的密码信息。在这个文件中,每个用户有三个字段:

  password。加密的密码。

  注意:如果这个字段只包含星号 (*),那么账户被锁定,直到设置密码为止。

  lastupdate。最后一次更新密码的时间(系统纪元以来的秒数)。

  NOCHECK。如果设置,那么忽略 /etc/security/user 中的任何其他限制。

(4)/etc/security/user

  现在,要接触到 AIX 用户管理的核心了。除了 /etc/passwd 中的基本信息之外,/etc/security/user 文件包含最重要的用户设置

表2. /etc/security/user 文件中的参数

参数 格式 说明
account_locked TRUE | FALSE 锁定账户;如果设置为 True,用户就无法登录。
admin TRUE | FALSE 如果设置为 True,用户就具有管理权力。
expires MMDDHHYY 如果到达此日期,账户就会过期并被锁定。
histexpire 0-260 用户在这个期限内不能重用密码(星期数)。
histsize 0-50 以前使用过的不能重用的密码数量。
login TRUE | FALSE 如果设置为 True,用户可以登录。
maxage 0-52 密码的有效期(星期数)。
minage 0-52 用户在此期限之后才能修改密码(星期数)。
rlogin TRUE | FALSE 如果设置为 True,那么可以远程访问此账户。
su TRUE | FALSE

  参数的完整列表请查看 AIX 系统上的 /etc/security/user,或访问 AIX Information Center。与 /etc/security/limits 一样,如果没有为账户指定值,就使用 default 部分设置所有字段。

  /usr/lib/security/mkuser.default

  /usr/lib/security/mkuser.default 文件包含在通过 mkuser 创建新的 AIX 用户时使用的值。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26823568/viewspace-722774/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2012-03-26

  • 博文量
    31
  • 访问量
    58280