AIX系统删除不需要的用户和组

转载 2015年09月06日 16:42:51

AIX系统删除不需要的用户和组

本文首先介绍一些AIX缺省用户和组,后段才是可以删除的用户和组

系统缺省特殊用户和组

AIX® 提供一组缺省的系统特殊用户帐户,以阻止 root 和系统帐户拥有所有操作系统文件和文件系统。

注意: 除去系统特殊用户帐户时应谨慎。可以通过在 /etc/security/passwd 文件相应行的开头插入一个星号(*)来禁用特定帐户。然而,请注意不要禁用 root 用户帐户。如果删除了系统特殊用户帐户或禁用了 root 帐户,那么操作系统将不能正常运行。

操作系统中预定义了下列帐户:

adm

adm 用户帐户拥有以下基本系统功能:

  • 诊断,相应的工具存储在 /usr/sbin/perf/diag_tool 目录中。

  • 记帐,相应的工具存储在以下目录中:

    /usr/sbin/acct
    
    /usr/lib/acct
    
    /var/adm
    
    /var/adm/acct/fiscal
    
    /var/adm/acct/nite
    
    /var/adm/acct/sum
    

bin

bin 用户帐户通常拥有大多数用户命令的可执行文件。该帐户的主要用途是帮助分配重要系统目录和文件的所有权,因此所有东西都不是由 root 和 sys 用户帐户单独拥有的。

daemon

daemon 用户帐户只是为了拥有和运行系统服务器进程及其关联的文件而存在。该帐户保证这些进程使用适当的文件访问许可权运行。

nobody

nobody 用户帐户由“网络文件系统” (NFS) 用于启用远程打印。有了这个帐户,程序可以允许对 root 用户的临时 root 访问。例如,在启用“安全 RPC”或“安全 NFS”之前,请检查主 NIS 服务器上的 /etc/public 键以查找还未分配公用密钥和安全密钥的用户。作为 root 用户,您可以为每个未分配的用户在数据库中创建一个项,通过输入:

newkey -u username

或者, 您可以为 nobody 用户帐户在数据库中创建一个项,然后任何用户都可以运行 chkey 程序来在数据库中创建它们自己的项而无需作为 root 登录。

root

root 用户帐户,即 UID 0,通过该帐户您可以执行系统维护任务和对系统问题进行故障查找。

sys

sys 用户拥有缺省的“分布式文件服务”(DFS)高速缓存的安装点,在客户机上安装或配置 DFS 之前必须存在该安装点。/usr/sys 目录也可以存储安装映象。

system

系统组是用于系统管理员的系统定义的组。系统组的用户拥有执行某些系统维护任务而无需 root 用户权限的特权。

安全性组建创建的账户

当安装或配置安全性组件(例如 LDAP 和 OpenSSH)时,将创建用户和组帐户。

所创建的用户和组帐户包括:

因特网协议(IP)安全性:在 IP 安全性安装过程中,将添加用户 ipsec 和组 ipsec。这些标识由密钥管理服务使用。请注意,在安装之前无法定制 /usr/lpp/group.id.keymgt 中的组标识。

Kerberos 和公共密钥基础结构(PKI):这些组件不创建任何新的用户或组帐户。

LDAP:当安装 LDAP 客户机或服务器时,将创建 ldap 用户帐户。ldap 的用户标识不是固定的。安装 LDAP 服务器时,将自动安装 DB2® 数据库。DB2 安装将创建组帐户 dbsysadm。dbsysadm 的缺省组标识为 400。在 LDAP 服务器配置过程中,mksecldap 命令将创建 ldapdb2 用户帐户。

OpenSSH:在 OpenSSH 安装过程中,将向系统添加用户 sshd 和组 sshd。不允许更改相应的用户和组标识。SSH 中的特权区分功能需要使用标识。

删除不需要的缺省用户帐户

在操作系统安装过程中,会创建许多缺省用户和组标识。根据您在系统上运行的应用程序和系统在网络中所处的位置,其中某些用户和组标识可以成为安全弱点,容易被人利用。如果这些用户和组标识是不必要的,那么您可以将其除去以使跟其有关的安全风险最小化。(或锁定这些账户而不删除)

下面列出了您可能能够除去最常用的公共缺省用户标识:

  • uucp, nuucp

    uucp 协议所用的隐藏文件的所有者。uucp 用户帐户用于“UNIX 到 UNIX 复制程序”,该程序是存在于大多数 AIX® 系统上的一组命令、程序和文件,它们允许用户通过专线或电话线与另一 AIX 系统进行通信。

  • lpd

    打印子系统所使用文件的所有者。

  • guest

    允许那些无权访问帐户的用户访问。

下面列出了可能不需要的公共组标识:

  • uucp

    uucp 和 nuucp 用户所属的组。

  • printq

    lpd用户所属的组。

(转载于:http://www-01.ibm.com/support/knowledgecenter/api/content/nl/zh-cn/ssw_aix_71/com.ibm.aix.security/sysspecaccts.htm

AIX 用户和组管理

管理 IBM AIX 中的用户和组是管理员的重要责任之一。可以以许多种方式管理用户和组:可以通过 AIX System Management Interface Tool (SMIT) 管理它们,也可...
  • lyjiau
  • lyjiau
  • 2016年08月16日 16:58
  • 4455

AIX的用户和组管理

管理 IBM AIX 中的用户和组是管理员的重要责任之一。可以以许多种方式管理用户和组:可以通过 AIX System Management Interface Tool (SMIT) 管理它们,也可...
  • q27687
  • q27687
  • 2015年11月02日 11:49
  • 1106

AIX用户(组)管理

主要参考文档: http://www.ibm.com/developerworks/cn/aix/library/au-aixuseradmin/ http://blog.csdn.net/vic...
  • wang1016612067
  • wang1016612067
  • 2014年03月03日 18:31
  • 1666

aix 修改用户的组 (直接修改 /etc/group)

关于修改 user 的group 的方法。(三种),特别提醒: usermod 和 gpasswd 的用法。
  • shenghuiping2001
  • shenghuiping2001
  • 2010年12月30日 13:52
  • 8184

Linux、Unix新增删除用户

useradd test; passwd test xxxxxx; userdel test
  • jiangxu20072122
  • jiangxu20072122
  • 2014年08月21日 10:44
  • 2725

AIX系统删除不需要的用户和组

AIX系统删除不需要的用户和组本文首先介绍一些AIX缺省用户和组,后段才是可以删除的用户和组系统缺省特殊用户和组AIX® 提供一组缺省的系统特殊用户帐户,以阻止 root 和系统帐户拥有所有操作系统文...
  • chroming
  • chroming
  • 2015年09月06日 16:42
  • 4034

aix系统下oracle数据库归档日志清除步骤

  • 2014年01月03日 13:22
  • 617KB
  • 下载

id命令查看用户ID和组ID,su切换当前用户身份详解

id命令查看用户ID和组ID,su切换当前用户身份详解
  • MrDing991124
  • MrDing991124
  • 2017年11月01日 19:12
  • 324

Linux中添加、修改和删除用户和用户组

宽为限 紧用功 功夫到 滞塞通 一、用户:在创建用户时,需要为新建用户指定一用户组,如果不指定其用户所属的工作组,自动会生成一个与用户名同名的工作组。创建用户user1的时候指定其所属工作组user...
  • GMingZhou
  • GMingZhou
  • 2017年12月04日 09:41
  • 325

AIX中建立镜像以及删除镜像操作

一 建立镜像 1 lsdev -Ccdisk                      #查看系统盘的分配情况,本例以hdisk0 hdisk1镜像为例. 2 chdev -l hdisk1 -a...
  • weiruoao
  • weiruoao
  • 2012年12月29日 10:58
  • 1497
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:AIX系统删除不需要的用户和组
举报原因:
原因补充:

(最多只允许输入30个字)