AIX系统删除不需要的用户和组

转载 2015年09月06日 16:42:51

AIX系统删除不需要的用户和组

本文首先介绍一些AIX缺省用户和组,后段才是可以删除的用户和组

系统缺省特殊用户和组

AIX® 提供一组缺省的系统特殊用户帐户,以阻止 root 和系统帐户拥有所有操作系统文件和文件系统。

注意: 除去系统特殊用户帐户时应谨慎。可以通过在 /etc/security/passwd 文件相应行的开头插入一个星号(*)来禁用特定帐户。然而,请注意不要禁用 root 用户帐户。如果删除了系统特殊用户帐户或禁用了 root 帐户,那么操作系统将不能正常运行。

操作系统中预定义了下列帐户:

adm

adm 用户帐户拥有以下基本系统功能:

  • 诊断,相应的工具存储在 /usr/sbin/perf/diag_tool 目录中。

  • 记帐,相应的工具存储在以下目录中:

    /usr/sbin/acct
    
    /usr/lib/acct
    
    /var/adm
    
    /var/adm/acct/fiscal
    
    /var/adm/acct/nite
    
    /var/adm/acct/sum
    

bin

bin 用户帐户通常拥有大多数用户命令的可执行文件。该帐户的主要用途是帮助分配重要系统目录和文件的所有权,因此所有东西都不是由 root 和 sys 用户帐户单独拥有的。

daemon

daemon 用户帐户只是为了拥有和运行系统服务器进程及其关联的文件而存在。该帐户保证这些进程使用适当的文件访问许可权运行。

nobody

nobody 用户帐户由“网络文件系统” (NFS) 用于启用远程打印。有了这个帐户,程序可以允许对 root 用户的临时 root 访问。例如,在启用“安全 RPC”或“安全 NFS”之前,请检查主 NIS 服务器上的 /etc/public 键以查找还未分配公用密钥和安全密钥的用户。作为 root 用户,您可以为每个未分配的用户在数据库中创建一个项,通过输入:

newkey -u username

或者, 您可以为 nobody 用户帐户在数据库中创建一个项,然后任何用户都可以运行 chkey 程序来在数据库中创建它们自己的项而无需作为 root 登录。

root

root 用户帐户,即 UID 0,通过该帐户您可以执行系统维护任务和对系统问题进行故障查找。

sys

sys 用户拥有缺省的“分布式文件服务”(DFS)高速缓存的安装点,在客户机上安装或配置 DFS 之前必须存在该安装点。/usr/sys 目录也可以存储安装映象。

system

系统组是用于系统管理员的系统定义的组。系统组的用户拥有执行某些系统维护任务而无需 root 用户权限的特权。

安全性组建创建的账户

当安装或配置安全性组件(例如 LDAP 和 OpenSSH)时,将创建用户和组帐户。

所创建的用户和组帐户包括:

因特网协议(IP)安全性:在 IP 安全性安装过程中,将添加用户 ipsec 和组 ipsec。这些标识由密钥管理服务使用。请注意,在安装之前无法定制 /usr/lpp/group.id.keymgt 中的组标识。

Kerberos 和公共密钥基础结构(PKI):这些组件不创建任何新的用户或组帐户。

LDAP:当安装 LDAP 客户机或服务器时,将创建 ldap 用户帐户。ldap 的用户标识不是固定的。安装 LDAP 服务器时,将自动安装 DB2® 数据库。DB2 安装将创建组帐户 dbsysadm。dbsysadm 的缺省组标识为 400。在 LDAP 服务器配置过程中,mksecldap 命令将创建 ldapdb2 用户帐户。

OpenSSH:在 OpenSSH 安装过程中,将向系统添加用户 sshd 和组 sshd。不允许更改相应的用户和组标识。SSH 中的特权区分功能需要使用标识。

删除不需要的缺省用户帐户

在操作系统安装过程中,会创建许多缺省用户和组标识。根据您在系统上运行的应用程序和系统在网络中所处的位置,其中某些用户和组标识可以成为安全弱点,容易被人利用。如果这些用户和组标识是不必要的,那么您可以将其除去以使跟其有关的安全风险最小化。(或锁定这些账户而不删除)

下面列出了您可能能够除去最常用的公共缺省用户标识:

  • uucp, nuucp

    uucp 协议所用的隐藏文件的所有者。uucp 用户帐户用于“UNIX 到 UNIX 复制程序”,该程序是存在于大多数 AIX® 系统上的一组命令、程序和文件,它们允许用户通过专线或电话线与另一 AIX 系统进行通信。

  • lpd

    打印子系统所使用文件的所有者。

  • guest

    允许那些无权访问帐户的用户访问。

下面列出了可能不需要的公共组标识:

  • uucp

    uucp 和 nuucp 用户所属的组。

  • printq

    lpd用户所属的组。

(转载于:http://www-01.ibm.com/support/knowledgecenter/api/content/nl/zh-cn/ssw_aix_71/com.ibm.aix.security/sysspecaccts.htm

AIX 用户和组管理

管理 IBM AIX 中的用户和组是管理员的重要责任之一。可以以许多种方式管理用户和组:可以通过 AIX System Management Interface Tool (SMIT) 管理它们,也可...
  • lyjiau
  • lyjiau
  • 2016年08月16日 16:58
  • 3813

AIX用户(组)管理

主要参考文档: http://www.ibm.com/developerworks/cn/aix/library/au-aixuseradmin/ http://blog.csdn.net/vic...

AIX下增加用户名和组

增加组: mkgroup groupname或者smitty group 增加用户名: useradd -d /home/username -g groupname -m username或者用...

aix 修改用户的组 (直接修改 /etc/group)

关于修改 user 的group 的方法。(三种),特别提醒: usermod 和 gpasswd 的用法。

aix上使用裸设备安装oracle10g数据库

aix上使用裸设备安装oracle10g数据库

webservice客户端如何获取服务端返回的自定义类

webservice客户端如何获取服务端返回的自定义类 只看楼主 收藏 回复 wangwg_1987...

不需要数据库的多用户计数器

  • 2001年06月28日 00:00
  • 420B
  • 下载

AIX 系统维护之--单用户模式修改root口令和shell

AIX 系统维护之--单用户模式修改root口令和shell      当root用户的密码丢失时重设密码,比较麻烦,需要重启机器。为了安全,root用户的密码一定要妥善配置和保管。 1、准备好和本机...
  • lqx0405
  • lqx0405
  • 2015年03月31日 11:58
  • 1784
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:AIX系统删除不需要的用户和组
举报原因:
原因补充:

(最多只允许输入30个字)