第八单元安全管理
目标
●学习完本小节后,应能做到:
?使smit 创建用户和组
?查看与用户和组相关的控制文件
用户
●用户帐号
?每个用户帐号都有唯一的用户名、用户ID和口令
?文件所有者依据用户ID判定
?文件所有者一般为创建文件的用户,但root用户可以改变一
个文件的所有者
?固有用户
●root超级用户
●adm, adm, bin, …大多数系统文件的所有者,但不能
用这些用户登录
用户组
●用户组
?需要访问同一文件或执行相同功能的多个用户可放置
到一个用户组
?每个用户都必须属于至少一个用户组,一个用户可属
于多个用户组
?固有用户组:
●system管理者组
●staff普通用户组
●/var/adm/sulog
●记录每次su 命令的执行。这是个文本文件。使用任何文本文件的命令查看。
●/var/adm/wtmp 和/etc/utmp ●
记录用户的成功登录。使用who 命令查看。●/etc/security/failedlogin
●记录所有不成功的登录尝试。如果用户名不存在,记录为UNKNOWN 项目。使用who 命令查看。
安全性记录文件
安全性相关文件
●/etc/passwd合法用户(无口令内容)●/etc/group合法用户组
●/etc/security/passwd含有加密形式的用户口令●/etc/security/user用户属性,口令限制
●/etc/security/limits对用户的限制
●/etc/security/environ用户环境设定
●/etc/security/login.cfg登录设置
●/etc/security/group用户组属性
●/usr/lib/security/mkuser.default
建立新用户的一些默认设置存放文件中
用户和组的创建
●用户和组
?对于用户组,使用smit group
?对于少量用户的管理,使用smit user
?设置口令: passwd
●新用户在第一次登录前,系统管理员要为
其设置口令.
●对于大量的用户,使用
?mkuser命令
?使用smit 来选择有关选项
更改用户和组的属性●smitty chuser
●smitty chgroup
删除用户和组
●smitty rmuser
●smitty rmgroup
●删除用户宿主目录(不象创建用户自动创建宿主目录,删除用户时不会自动删除宿主目录)
?# rm -r /home/team01
●/etc/profile :一个shell 脚本,控制整个系统的默认环境变量,例如TERM 、MAILMSG 等。
●/etc/environment :控制所有进程的基本环境。例如HOME 、LANG 、TZ 、NLSPATH 等。
●/$HOME/.profile :每个用户自有的环境变量设置文件,位于用户的宿主目录中。用户环境初始化过程
登录
用户环境
建立完成/etc/profile /etc/environment
$HOME/.profile
文件/etc/security/limits
●/etc/security/limits
?高级ulimit限制属性
●fsize, core, cpu, date, rss, stack,
nofiles
?在此文件头部,有对这些属性意义的解释
?-1意味着没有限制
?每名用户的限制条件-若没有设置,那么
就使用默认值
●每一种UNIX 都有cron ,但有关定义文件的目录位置会不同
●cron 表文件
?/var/spool/cron/crontabs/
?/var/adm/cron/log
●允许/拒绝文件
?/var/adm/cron/cron.{allow,deny}●使用crontab -e 编辑cron 文件●使用AIX 中Skulker 脚本,可清除tmp 下临时文件●检查文档
cron
1
122
34
5678
91011
用户监视和记录文件
●常用的命令:
?who
?last -登录事件和关机信息
?last root console
?last | grep shutdown
●系统记录文件(循环记录文件)
?列出系统记录名称: alog -L
●示例:boot bosinst nim console
?列出文件: alog -o -t boot
小结
●创建一些用户
●浏览/etc/security/*●简单浏览/etc/rc/*●检查错误记录