用户管理与安全策略
•三种类型组
•用户组 •系统管理员组 •系统定义的组
PPT文档演模板
用户管理与安全策略
•三种类型组(2)
•用户组 •系统管理员按照用户共享文件的需要创建的，例 •如同一部门，同一工程组的成员所创建的组
•系统管理员组 •系统管理员自动成为system组的成员，该组的成 •员可以执行某些系统管理任务而无需是root用户
PPT文档演模板
用户管理与安全策略
•6. 1. 6 组的管理
•# smitty groups
PPT文档演模板
用户管理与安全策略
•组的管理(2)
•建立组的目的是让同组的成员对共享的文件具有同 •样的许可权(文件的组许可权位一致)
•要创建组并成为其管理员，必须是root或security •组成员。组管理员有权往组里添加其他用户
PPT文档演模板
用户管理与安全策略
•创建用户
•# smitty mkuser
PPT文档演模板
用户管理与安全策略
•用户缺省值
PPT文档演模板
•缺省用户的ID号取自/etc/security/.ids •设置ID的shell程序/usr/lib/security/mkuser.sys •缺省特性取自/usr/lib/security/mkuser.default、 /etc/security/user •缺省的.profile文件取自/etc/security/.profile
•getty
•login
•用户输入用户名
•系统验证用户 •名和密码
• 读取
•/etc/environment • /etc/profile • $HOME/.profile
•shell
•显示/etc/motd
•设置用户环境
PPT文档演模板
用户管理与安全策略
•用户登陆
•提示信息 用户名 口 令
• •对直接连接的可用端口，由init启动的getty进程
PPT文档演模板
用户管理与安全策略
•三种类型组(3)
•系统定义的组 •系统预先定义了几个组，如staff是系统中新创建 •的非管理用户的缺省组，security组则可以完成 •有限的安全性管理工作。其他系统定义的组用来 •控制一些子系统的管理任务
PPT文档演模板
用户管理与安全策略
•组的划分
•在AIX系统中，一些组的成员如 system 、security 、printq 、 adm等能够执行特定的系统管理 任务
PPT文档演模板
用户管理与安全策略
•/etc/motd
•/etc/motd shell
•login过程将当前目录设置为用户的主目录，并 •且在$HOME/.hushlogin文件不存在的情况下， •将显示/etc/motd文件的内容和关于上次登录的 •信息
•最后控制权被传递给登录shell(在/etc/passwd •中定义) ，对于Bourne和Korn Shell，将运行 •/etc/profile和$HOME/.profile文件，对Csh,则 •执行$HOME/.login和$HOME/.cshrc文件
PPT文档演模板
用户管理与安全策略
•lsuser命令(2)
•命令格式： •lsuser [-c | -f ] [-a attribute ] { ALL | username }
•lsuser •列表按行显示；
•lsuser -c •显示的域以冒号分隔
•lsuser –f •按分节式的格式显示，可以指定列出全部属性或部分属性
PPT文档演模板
用户管理与安全策略
•修改用户属性
•# smitty chuser
PPT文档演模板
用户管理与安全策略
•删除用户
•# smitty rmuser
PPT文档演模板
用户管理与安全策略
•rmuser命令
•example:
•# rmuser test01 •删除Fra bibliotek户test01
•# rmuser -p test01 •删除用户test01，并删除与用户认证相关的信息
•6. 1. 3 用户划分
•root用户 •管理用户 •普通用户
PPT文档演模板
用户管理与安全策略
•root用户
•超级用户（特权用户） •可执行所有的系统管理工作，不受任何权限限 制
大多数系统管理工作可以由非root的其他用户 来完成，如指定的 system、 security、printq、 cron、adm、audit组的成员。
•列示用户
•# smitty lsuser
PPT文档演模板
用户管理与安全策略
•lsuser命令
•在SMIT菜单选择List All Users选项时，得到的 •输出是用户名、用户id、和主目录的列表；也可 •以直接用lsuser命令来列示所有用户(ALL)或部 •分用户的属性
•lsuser命令的输出用到以下文件: /etc/passwd、 •/etc/security/limits和/etc/security/user
PPT文档演模板
用户管理与安全策略
•添加组
•# smitty mkgroup
PPT文档演模板
用户管理与安全策略
•mkgroup命令
PPT文档演模板
•mkgroup groupname •-a 用来指定该组是管理组（只有root才有权在 • 系统中添加管理组） •-A 用于任命创建者为组管理员 •一个用户可属于1—32个组。ADMINISTRATOR •list是组管理员列表，组管理员有权添加或删除组 •成员
•系统中已经定义了几个组，如system 组是管理用 •户的组，staff 组是普通用户的组 ，其他的组与特 •定应用和特定文件的所有权相联系
PPT文档演模板
用户管理与安全策略
•列示组
•# smitty lsgroup
PPT文档演模板
用户管理与安全策略
•lsgroup命令
•lsgroup •缺省格式，列表按行显示 •lsgroup -c •显示时每个组的属性之间用冒号分隔 •lsgroup –f •按组名以分节式格式输出
PPT文档演模板
用户管理与安全策略
•分组策略
•组的划分尽量与系统的安全性策略相一致，不要 •定义太多的组，如果按照数据类型和用户类型的 •每种可能组合来划分组，又将走向另一个极端， •会使得日常管理过于复杂 •每个组可以任命一到多个组管理员，组管理员有 •权增减组成员和任命本组的管理员
PPT文档演模板
用户管理与安全策略
•第六章 用户管理与安全策略(2)
PPT文档演模板
•§ 6.2 安全性策略 • § 6.2.1 安全性的概念 • § 6.2.2 文件和目录的存取许可权 • § 6.2.3 安全性文件 • § 6.2.4 合法性检查 • § 6.2.5 安全性策略要旨 • § 6.2.6 测试题
•3、选择 Obtain a shell by activating the root volume • group并按提示继续
•4、设置TERM变量，例如：# export TERM=vt100
PPT文档演模板
用户管理与安全策略
•root口令(2)
•紧急情况下删除root口令的步骤 •5、通过 # vi /etc/security/passwd删除root • 口令的密文 •6、# sync；sync(系统同步) •7、# reboot(从硬盘引导) •8、从新登陆后给root设置口令
PPT文档演模板
用户管理与安全策略
•系统定义的组
PPT文档演模板
•system •管理大多数系统配置和维护标准软硬件
•printq •管理打印队列。该组成员有权执行的典型 •命令有enable、disable、qadm、qpri等
•security •管理用户和组、口令和控制资源限制。该 •组成员有权执行的典型命令有mkuser、 •rmuser、pwdadm、chuser、chgroup等
•$HOME/.profile •用户在主目录下的设置文件
PPT文档演模板
用户管理与安全策略
•6. 1. 2 组的分类
•组的特点 •组是用户的集合，组成员需要存取组内的共享文件 •每个用户至少属于一个组，同时也可以充当多个组 •的成员 •用户可以存取自己组集合(group set )中的共享文件， •列出组集合可用groups 或者setgroups 命令 •文件主修改主组可用newgrp 或setgroups 命令
PPT文档演模板
用户管理与安全策略
•环境变量
•用户登录时系统设置用户环境主要依据下述文件
•/etc/profile •设置系统范围内公共变量的shell文件，设置如TERM、 •MAILMSG 、MAIL等环境变量
•/etc/environment •指定对所有进程适用的基本环境变量。如HOME、 • LANG、TZ 、NLSPATH等
•
用户管理与安全策略
•第六章 用户管理与安全策略(3)
PPT文档演模板
•本章要点
定义用户和组的概念 掌握添加更改删除用户的方法 掌握添加更改删除组的方法 掌握用户口令的管理 掌握与用户通信的方法 掌握控制root 特权的原则 掌握许可权位的含义及使用
用户管理与安全策略
•6. 1. 1 用户登陆和初始化
用户管理与安全策略
PPT文档演模板
2020/11/26
用户管理与安全策略
•第六章 用户管理与安全策略
PPT文档演模板
•§ 6.1 用户和组管理 • § 6.1.1 用户登陆和初始化 • § 6.1.2 组的分类 • § 6.1.3 用户划分 • § 6.1.4 安全性和用户菜单 • § 6.1.5 用户管理 • § 6.1.6 组的管理 • § 6.1.7 管理员和用户通信工具