AIX系统删除不需要的用户和组
本文首先介绍一些AIX缺省用户和组,后段才是可以删除的用户和组
系统缺省特殊用户和组
AIX® 提供一组缺省的系统特殊用户帐户,以阻止 root 和系统帐户拥有所有操作系统文件和文件系统。
注意: 除去系统特殊用户帐户时应谨慎。可以通过在 /etc/security/passwd 文件相应行的开头插入一个星号(*)来禁用特定帐户。然而,请注意不要禁用 root 用户帐户。如果删除了系统特殊用户帐户或禁用了 root 帐户,那么操作系统将不能正常运行。
操作系统中预定义了下列帐户:
adm
adm 用户帐户拥有以下基本系统功能:
诊断,相应的工具存储在 /usr/sbin/perf/diag_tool 目录中。
记帐,相应的工具存储在以下目录中:
/usr/sbin/acct /usr/lib/acct /var/adm /var/adm/acct/fiscal /var/adm/acct/nite /var/adm/acct/sum
bin
bin 用户帐户通常拥有大多数用户命令的可执行文件。该帐户的主要用途是帮助分配重要系统目录和文件的所有权,因此所有东西都不是由 root 和 sys 用户帐户单独拥有的。
daemon
daemon 用户帐户只是为了拥有和运行系统服务器进程及其关联的文件而存在。该帐户保证这些进程使用适当的文件访问许可权运行。
nobody
nobody 用户帐户由“网络文件系统” (NFS) 用于启用远程打印。有了这个帐户,程序可以允许对 root 用户的临时 root 访问。例如,在启用“安全 RPC”或“安全 NFS”之前,请检查主 NIS 服务器上的 /etc/public 键以查找还未分配公用密钥和安全密钥的用户。作为 root 用户,您可以为每个未分配的用户在数据库中创建一个项,通过输入:
newkey -u username
或者, 您可以为 nobody 用户帐户在数据库中创建一个项,然后任何用户都可以运行 chkey 程序来在数据库中创建它们自己的项而无需作为 root 登录。
root
root 用户帐户,即 UID 0,通过该帐户您可以执行系统维护任务和对系统问题进行故障查找。
sys
sys 用户拥有缺省的“分布式文件服务”(DFS)高速缓存的安装点,在客户机上安装或配置 DFS 之前必须存在该安装点。/usr/sys 目录也可以存储安装映象。
system
系统组是用于系统管理员的系统定义的组。系统组的用户拥有执行某些系统维护任务而无需 root 用户权限的特权。
安全性组建创建的账户
当安装或配置安全性组件(例如 LDAP 和 OpenSSH)时,将创建用户和组帐户。
所创建的用户和组帐户包括:
因特网协议(IP)安全性:在 IP 安全性安装过程中,将添加用户 ipsec 和组 ipsec。这些标识由密钥管理服务使用。请注意,在安装之前无法定制 /usr/lpp/group.id.keymgt 中的组标识。
Kerberos 和公共密钥基础结构(PKI):这些组件不创建任何新的用户或组帐户。
LDAP:当安装 LDAP 客户机或服务器时,将创建 ldap 用户帐户。ldap 的用户标识不是固定的。安装 LDAP 服务器时,将自动安装 DB2® 数据库。DB2 安装将创建组帐户 dbsysadm。dbsysadm 的缺省组标识为 400。在 LDAP 服务器配置过程中,mksecldap 命令将创建 ldapdb2 用户帐户。
OpenSSH:在 OpenSSH 安装过程中,将向系统添加用户 sshd 和组 sshd。不允许更改相应的用户和组标识。SSH 中的特权区分功能需要使用标识。
删除不需要的缺省用户帐户
在操作系统安装过程中,会创建许多缺省用户和组标识。根据您在系统上运行的应用程序和系统在网络中所处的位置,其中某些用户和组标识可以成为安全弱点,容易被人利用。如果这些用户和组标识是不必要的,那么您可以将其除去以使跟其有关的安全风险最小化。(或锁定这些账户而不删除)
下面列出了您可能能够除去最常用的公共缺省用户标识:
uucp, nuucp
uucp 协议所用的隐藏文件的所有者。uucp 用户帐户用于“UNIX 到 UNIX 复制程序”,该程序是存在于大多数 AIX® 系统上的一组命令、程序和文件,它们允许用户通过专线或电话线与另一 AIX 系统进行通信。
lpd
打印子系统所使用文件的所有者。
guest
允许那些无权访问帐户的用户访问。
下面列出了可能不需要的公共组标识:
uucp
uucp 和 nuucp 用户所属的组。
printq
lpd用户所属的组。