AIX用户组和目录文件权限及安全(有修改)解读.doc

AIX 用户 来自： 推动者社区 用户管理和用户 1. 用户管理概念 用户账号：每个用户账号都有唯一的用户名、用户id和口令；文件所有者依据用户id判定；文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者；固定用户：root为超级用户，adm、adm、 bin……..大多数系统文件的所有者，但不能用这些用户登录。 用户组：需要访问同一文件或执行相同功能的多个用户可放置到一个用户组，文件所有者组给了针对文件所有者更多的控制； 固有用户组：system，管理者组；staff普通用户组！ 基本的系统安全机制是基于用户账号的。每当用户登录后，系统就使用其用户id号作为检验用户请求权限的唯一标准；拥有创建文件的那个进程的用户id，就是被创建文件初始的所有者id，除了文件所有者root,任何其他用户不能改变文件所有者；需要共享对一组文件的访问的多咯用户可放置在一个用户组中，一个用户可属于多个用户组，每个用户组有唯一的用户组名和用户组id，当文件创建时，拥有创建文件的那个进程的用户所在的主用户组，就是被创建文件的所有者组 id。如无特殊需求，锁定与设备运行、维护等工作无关的账号,除root外的系统初始帐户都需要锁定，包括如下账户： deamon,bin,sys,adm,uucp, pconsole,nuucp,guest,nobody,lpd, esaadmin,lp,sshd,snapp, ipsecinvscout。 锁定方法如下： # chuser account_locked=TRUE username 给用户加锁 检查方法： lsuser -c -a account_locked login rlogin ALL | sed /^#.*/d | tr : \011 # lsuser -c -a account_locked login rlogin ALL | sed /^#.*/d | tr : \011 root false true true daemon false true true bin false true true sys false true true adm false true true uucp false false false guest false true true nobody false true true lpd false true true lp false true true invscout false true true snapp false true false ipsec false true true nuucp false true true pconsole false false true esaadmin false false false sshd true false false nrpadm false true true oranrp false true true sapadm false true true 禁用lpd用户 # chuser account_locked=true lpd 查看 # lsuser -c -a account_locked login rlogin ALL | sed /^#.*/d | tr : \011 root false true true daemon false true true bin false true true sys false true true adm false true true uucp false false false guest false true true nobody false true true lpd true true true lp false true true invscout false true true snapp false true false ipsec false true true nuucp false true true pconsole false