AIX用户管理

一：用户基本属性文件/etc/passwd

格式：

用户名：是否定义了密码(! or *)：UID：GID：Full Name：Home Dir：SHELL

UID：0-199 系统使用  200以后用户自定义使用

该文件权限：rw_r_ _r_ _

如果第二项为!，说明该用户定义了密码，此时用户登录时将要参考口令文件/etcsecruity/passwd

二：用户口令文件/etc/security/passwd

（1）格式：

用户名:

password:密码加密后的字符串

其他属性

（2）权限rw_ _ _ _ _ _ _

（3）pwdck用来检查这两个文件信息的一致性

（4）隐藏用户名和密码

为了保证系统的足够的安全，应该保证用户标识和密码在系统内是不可见的。

.netrc文件包含了系统中未加密或未编码进行保护，即像纯文本文件样的保存了用户标识和密码。要查找这些文件，运行以下命令：
# find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls
找到这些文件后，请删除它们。保存密码的一个更有效的方法是设置 Kerberos

三：用户扩展属性文件/etc/security/user

（1）格式：

如

user1:

relogin = false //设置是否允许用户远程登录（禁用telnet）

logintimes = 0830-1730 //登录时间

loginretries = 0 //规定允许登录的可重试次数，0为不限制

...................

（2）权限

读权限： root用户及security组的用户
写权限： root用户
（3）对用户使用密码进行限制，保证账户密码及时更新等

恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性，操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码，并强制定期更改密码。
密码选项和扩展用户属性位于 /etc/security/user 文件中，此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时，这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制，对所有用户执行相同限制。为了维持密码安全性，所有密码必须受到相似的保护。
管理员还可以扩展密码限制。通过使用 /etc/security/user 文件的 pwdchecks 属性，管理员可以将新的子例程（称为方法）添加到密码限制代码中。这样，本地站点策略可添加到操作系统，并由操作系统执行该策略。有关更多信息，请参阅扩展密码限制。
应用密码限制要切合实际。过于限制的尝试，例如限制密码空间（这将使猜测密码更容易），或强制用户选择难以记忆的密码（用户可能选择会写下密码），都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制与明智的指南和偶尔的审计（以验证当前密码是否唯一）相结合，将是最好的策略

四：用户登录属性定制文件/etc/security/login.cfg

/etc/security/login.cfg文件：
系统登录和用户身份验证控制的属性，如：用户登录前的系统提示信息内容。
只有root用户和security组用户的才能读写。
终端节：对从某终端的登录进行控制；
验证用户方法节：定义验证用户身份的方法；
用户配置节：定义其他安全属性，如：同时登录的最大用户数maxlogins=2，以及登录时等待用户输入口令的超时时间logintimeout=60
使用ls -l显示该文件的内容。

五：定制用户登录后的提示信息/etc/motd

六：组的管理

/etc/group  存放组的基本属性  格式：   组名：组ID：成员  是ASCII文件哦！！！任何用户都有读权限，只有root用户及security组用户才有写权限。
/etc/security/group 存放组的扩展属性

                 +- Group Name        <= 8 bytes
Group ---|                                （一个用户可同属一个或多个组）
                 +- Group ID(GID)     正整数

                   +- 用户级的组：用户
                    |
AIX的组 ---|- 系统管理组：如system组中就有root用户，也可将一些用户加入system组
                    |
                   +- 系统预定义组：除staff组外，其他系统默认组都具有一定的管理权力。

用户分层： 

           +--------------------+
            |       root用户     |
            +--------------------+
                       |
                       |
            +--------------------+
            |   管理型用户和组   | /etc/security/user文件 admin域=TRUE
            +--------------------+
                       |
                       |
            +--------------------+
            |    普通用户和组    |
            +--------------------+

六：用户管理使用的命令

（1）chuser（修改属性），mkuser（增加用户），rmuser（删除用户）

mkuser根据/user/lib/security/mkuser.default文件的内容设置默认属性。（普通用户、管理型用户）
lsuser显示用户属性时，读取/etc/security/user文件及/etc/passwd文件。

（2）smit

说命令，高级命令多如牛毛，如mkgroup,mkuser,chgroup,chuser,rmgroup,rmuser,chgrpmem。。。

这么多命令，我是记不清！幸好AIX为我们提供了smit（系统管理界面工具）

】# smit -C security

> Users

>Groups

>Passwords

>Login Controls

>Roles

提供这些菜单以及子菜单，足够一般性的用户和组的属性设置了。

七：其他安全性文件

（1）/etc/security/.profile

该文件是新用户$HOME/.profile的模版文件

　　/etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。在使用 mkuser 命令创建用户时，执行 /usr/lib/security/mkuser.sys 脚本。这个脚本创建用户的目录，设置正确的权限，“创建” 用户的 .profile。mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。

　如果您正在构建新系统，或者一个新部门有 100 名员工需要在系统上建立账户，那么一定要先修改 /etc/security/.profile 文件，然后再开始创建用户账户。如果已经创建了账户，然后意识到需要对某个变量或其他设置做简单的修改，就不得不手工修改每个用户的 profile。可以使用脚本简化这个过程，但是如果提前修改了 /etc/security/.profile，会简单得多。

/etc/security/.profile 文件示例
PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:.　
　
export　PATH　
　
if　[　-s　"$MAIL"　]　　　　　　#　This　is　at　Shell　startup.　In　normal　
then　echo　"$MAILMSG"　　　　#　operation,　the　Shell　checks　
fi　　　　　　　　　　　　　#　periodically.　

（2）/etc/security/limits

　　/etc/security/limits 文件包含所有 user limit，即用户的系统资源限制。表 1 列出 /etc/security/limits 文件中的字段及其用途。

表 1. /etc/security/limits 中的字段

软限制	硬限制	说明
fsize	fsize_hard	用户可以创建的文件的大小
core	core_hard	用户可以创建的核心文件的大小
CPU	cpu_hard	允许的系统时间量
data	data_hard	进程数据段的大小
stack	stack_hard	进程堆栈段的大小
RSS	rss_hard	允许的物理内存量
nofiles	nofiles_hard	同时打开的文件描述符数量
nproc	nproc_hard	同时运行的进程数量

　　软限制和硬限制的区别是什么？在最大值（硬限制）范围内，用户或应用程序可以动态地修改软限制。硬限制就是参数可以设置的最大值。如果把参数设置为数字值太困难（例如，如果开发人员不知道程序将使用的内存量或它需要打开的文件数量），那么可以把参数设置为 -1，这表示无限制。

　　但是，不必为每个用户设置所有 ulimit。/etc/security/limits 文件包含一个 default 部分，它为每个用户定义一组标准值，如果用户没有设置定制的值，就会使用这些值。如果 default 部分不存在，系统会设置预先确定的限制。

　　IBM 的默认值如下：

*　　Attribute　　　　Value　
*　　==========　　============　
*　　fsize_hard　　set　to　fsize　
*　　cpu_hard　　　set　to　cpu　
*　　core_hard　　　　　-1　
*　　data_hard　　　　　-1　
*　　stack_hard　　　8388608　
*　　rss_hard　　　　　-1　
*　　nofiles_hard　　　-1　

/etc/security/limits 文件示例
default:　
　　　　fsize　=　4194303　
　　　　core　=　16384　
　　　　cpu　=　-1　
　　　　data　=　262144　
　　　　rss　=　65536　
　　　　stack　=　65536　
　
pac:　
　　　　fsize　=　131072　
　　　　fsize_hard　=　262144　
　　　　core　=　262144　

注意：这里要着重注意下，fsize参数，它限制了用户能创建的最大文件的大小！默认该值为2097151个扇区，1个扇区为512字节，故默认用户所能创建的文件最大为1G。

（3）/etc/security/passwd

　　/etc/security/passwd 文件包含 AIX 用户的密码信息。在这个文件中，每个用户有三个字段：

　　password。加密的密码。

　　注意：如果这个字段只包含星号 (*)，那么账户被锁定，直到设置密码为止。

　　lastupdate。最后一次更新密码的时间（系统纪元以来的秒数）。

　　NOCHECK。如果设置，那么忽略 /etc/security/user 中的任何其他限制。

（4）/etc/security/user

　　现在，要接触到 AIX 用户管理的核心了。除了 /etc/passwd 中的基本信息之外，/etc/security/user 文件包含最重要的用户设置

表2. /etc/security/user 文件中的参数

参数	格式	说明
account_locked	TRUE | FALSE	锁定账户；如果设置为 True，用户就无法登录。
admin	TRUE | FALSE	如果设置为 True，用户就具有管理权力。
expires	MMDDHHYY	如果到达此日期，账户就会过期并被锁定。
histexpire	0-260	用户在这个期限内不能重用密码（星期数）。
histsize	0-50	以前使用过的不能重用的密码数量。
login	TRUE | FALSE	如果设置为 True，用户可以登录。
maxage	0-52	密码的有效期（星期数）。
minage	0-52	用户在此期限之后才能修改密码（星期数）。
rlogin	TRUE | FALSE	如果设置为 True，那么可以远程访问此账户。
su	TRUE | FALSE

　　参数的完整列表请查看 AIX 系统上的 /etc/security/user，或访问 AIX Information Center。与 /etc/security/limits 一样，如果没有为账户指定值，就使用 default 部分设置所有字段。

　　/usr/lib/security/mkuser.default

　　/usr/lib/security/mkuser.default 文件包含在通过 mkuser 创建新的 AIX 用户时使用的值。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/26823568/viewspace-722774/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/26823568/viewspace-722774/