一:用户基本属性文件/etc/passwd
格式:
用户名:是否定义了密码(! or *):UID:GID:Full Name:Home Dir:SHELL
UID:0-199 系统使用 200以后用户自定义使用
该文件权限:rw_r_ _r_ _
如果第二项为!,说明该用户定义了密码,此时用户登录时将要参考口令文件/etcsecruity/passwd
二:用户口令文件/etc/security/passwd
(1)格式:
用户名:
password:密码加密后的字符串
其他属性
(2)权限rw_ _ _ _ _ _ _
(3)pwdck用来检查这两个文件信息的一致性
(4)隐藏用户名和密码
为了保证系统的足够的安全,应该保证用户标识和密码在系统内是不可见的。
.netrc文件包含了系统中未加密或未编码进行保护,即像纯文本文件样的保存了用户标识和密码。要查找这些文件,运行以下命令:
# find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls
找到这些文件后,请删除它们。保存密码的一个更有效的方法是设置 Kerberos
三:用户扩展属性文件/etc/security/user
(1)格式:
如
user1:
relogin = false //设置是否允许用户远程登录(禁用telnet)
logintimes = 0830-1730 //登录时间
loginretries = 0 //规定允许登录的可重试次数,0为不限制
...................
(2)权限
读权限: root用户及security组的用户
写权限: root用户
(3)对用户使用密码进行限制,保证账户密码及时更新等
恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性,操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码,并强制定期更改密码。
密码选项和扩展用户属性位于 /etc/security/user 文件中,此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时,这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制,对所有用户执行相同限制。为了维持密码安全性,所有密码必须受到相似的保护。
管理员还可以扩展密码限制。通过使用 /etc/security/user 文件的 pwdchecks 属性,管理员可以将新的子例程(称为方法)添加到密码限制代码中。这样,本地站点策略可添加到操作系统,并由操作系统执行该策略。有关更多信息,请参阅扩展密码限制。
应用密码限制要切合实际。过于限制的尝试,例如限制密码空间(这将使猜测密码更容易),或强制用户选择难以记忆的密码(用户可能选择会写下密码),都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制与明智的指南和偶尔的审计(以验证当前密码是否唯一)相结合,将是最好的策略
四:用户登录属性定制文件/etc/security/login.cfg
/etc/security/login.cfg文件:
系统登录和用户身份验证控制的属性,如:用户登录前的系统提示信息内容。
只有root用户和security组用户的才能读写。
终端节:对从某终端的登录进行控制;
验证用户方法节:定义验证用户身份的方法;
用户配置节:定义其他安全属性,如:同时登录的最大用户数maxlogins=2,以及登录时等待用户输入口令的超时时间logintimeout=60
使用ls -l显示该文件的内容。
五:定制用户登录后的提示信息/etc/motd
六:组的管理
/etc/group 存放组的基本属性 格式: 组名:组ID:成员 是ASCII文件哦!!!任何用户都有读权限,只有root用户及security组用户才有写权限。
/etc/security/group 存放组的扩展属性
+- Group Name <= 8 bytes
Group ---| (一个用户可同属一个或多个组)
+- Group ID(GID) 正整数
+- 用户级的组:用户
|
AIX的组 ---|- 系统管理组:如system组中就有root用户,也可将一些用户加入system组
|
+- 系统预定义组:除staff组外,其他系统默认组都具有一定的管理权力。
用户分层:
+--------------------+
| root用户 |
+--------------------+
|
|
+--------------------+
| 管理型用户和组 | /etc/security/user文件 admin域=TRUE
+--------------------+
|
|
+--------------------+
| 普通用户和组 |
+--------------------+
六:用户管理使用的命令
(1)chuser(修改属性),mkuser(增加用户),rmuser(删除用户)
mkuser根据/user/lib/security/mkuser.default文件的内容设置默认属性。(普通用户、管理型用户)
lsuser显示用户属性时,读取/etc/security/user文件及/etc/passwd文件。
(2)smit
说命令,高级命令多如牛毛,如mkgroup,mkuser,chgroup,chuser,rmgroup,rmuser,chgrpmem。。。
这么多命令,我是记不清!幸好AIX为我们提供了smit(系统管理界面工具)
】# smit -C security
> Users
>Groups
>Passwords
>Login Controls
>Roles
提供这些菜单以及子菜单,足够一般性的用户和组的属性设置了。
七:其他安全性文件
(1)/etc/security/.profile
该文件是新用户$HOME/.profile的模版文件
/etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。在使用 mkuser 命令创建用户时,执行 /usr/lib/security/mkuser.sys 脚本。这个脚本创建用户的目录,设置正确的权限,“创建” 用户的 .profile。mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。
如果您正在构建新系统,或者一个新部门有 100 名员工需要在系统上建立账户,那么一定要先修改 /etc/security/.profile 文件,然后再开始创建用户账户。如果已经创建了账户,然后意识到需要对某个变量或其他设置做简单的修改,就不得不手工修改每个用户的 profile。可以使用脚本简化这个过程,但是如果提前修改了 /etc/security/.profile,会简单得多。
/etc/security/.profile 文件示例
PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:.
export PATH
if [ -s "$MAIL" ] # This is at Shell startup. In normal
then echo "$MAILMSG" # operation, the Shell checks
fi # periodically.
(2)/etc/security/limits
/etc/security/limits 文件包含所有 user limit,即用户的系统资源限制。表 1 列出 /etc/security/limits 文件中的字段及其用途。
表 1. /etc/security/limits 中的字段
软限制 | 硬限制 | 说明 |
fsize | fsize_hard | 用户可以创建的文件的大小 |
core | core_hard | 用户可以创建的核心文件的大小 |
CPU | cpu_hard | 允许的系统时间量 |
data | data_hard | 进程数据段的大小 |
stack | stack_hard | 进程堆栈段的大小 |
RSS | rss_hard | 允许的物理内存量 |
nofiles | nofiles_hard | 同时打开的文件描述符数量 |
nproc | nproc_hard | 同时运行的进程数量 |
软限制和硬限制的区别是什么?在最大值(硬限制)范围内,用户或应用程序可以动态地修改软限制。硬限制就是参数可以设置的最大值。如果把参数设置为数字值太困难(例如,如果开发人员不知道程序将使用的内存量或它需要打开的文件数量),那么可以把参数设置为 -1,这表示无限制。
但是,不必为每个用户设置所有 ulimit。/etc/security/limits 文件包含一个 default 部分,它为每个用户定义一组标准值,如果用户没有设置定制的值,就会使用这些值。如果 default 部分不存在,系统会设置预先确定的限制。
IBM 的默认值如下:
* Attribute Value
* ========== ============
* fsize_hard set to fsize
* cpu_hard set to cpu
* core_hard -1
* data_hard -1
* stack_hard 8388608
* rss_hard -1
* nofiles_hard -1
/etc/security/limits 文件示例
default:
fsize = 4194303
core = 16384
cpu = -1
data = 262144
rss = 65536
stack = 65536
pac:
fsize = 131072
fsize_hard = 262144
core = 262144
注意:这里要着重注意下,fsize参数,它限制了用户能创建的最大文件的大小!默认该值为2097151个扇区,1个扇区为512字节,故默认用户所能创建的文件最大为1G。
(3)/etc/security/passwd
/etc/security/passwd 文件包含 AIX 用户的密码信息。在这个文件中,每个用户有三个字段:
password。加密的密码。
注意:如果这个字段只包含星号 (*),那么账户被锁定,直到设置密码为止。
lastupdate。最后一次更新密码的时间(系统纪元以来的秒数)。
NOCHECK。如果设置,那么忽略 /etc/security/user 中的任何其他限制。
(4)/etc/security/user
现在,要接触到 AIX 用户管理的核心了。除了 /etc/passwd 中的基本信息之外,/etc/security/user 文件包含最重要的用户设置
表2. /etc/security/user 文件中的参数
参数 | 格式 | 说明 |
account_locked | TRUE | FALSE | 锁定账户;如果设置为 True,用户就无法登录。 |
admin | TRUE | FALSE | 如果设置为 True,用户就具有管理权力。 |
expires | MMDDHHYY | 如果到达此日期,账户就会过期并被锁定。 |
histexpire | 0-260 | 用户在这个期限内不能重用密码(星期数)。 |
histsize | 0-50 | 以前使用过的不能重用的密码数量。 |
login | TRUE | FALSE | 如果设置为 True,用户可以登录。 |
maxage | 0-52 | 密码的有效期(星期数)。 |
minage | 0-52 | 用户在此期限之后才能修改密码(星期数)。 |
rlogin | TRUE | FALSE | 如果设置为 True,那么可以远程访问此账户。 |
su | TRUE | FALSE |
参数的完整列表请查看 AIX 系统上的 /etc/security/user,或访问 AIX Information Center。与 /etc/security/limits 一样,如果没有为账户指定值,就使用 default 部分设置所有字段。
/usr/lib/security/mkuser.default
/usr/lib/security/mkuser.default 文件包含在通过 mkuser 创建新的 AIX 用户时使用的值。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26823568/viewspace-722774/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/26823568/viewspace-722774/