linux /etc/security/login.cfg,AIX用户管理
一:用户基本属性文件/etc/passwd
格式:
用户名:是否定义了密码(! or *):UID:GID:Full Name:Home Dir:SHELL
UID:0-199 系统使用 200以后用户自定义使用
该文件权限:rw_r_ _r_ _
如果第二项为!,说明该用户定义了密码,此时用户登录时将要参考口令文件/etcsecruity/passwd
二:用户口令文件/etc/security/passwd
(1)格式:
用户名:
password:密码加密后的字符串
其他属性
(2)权限rw_ _ _ _ _ _ _
(3)pwdck用来检查这两个文件信息的一致性
(4)隐藏用户名和密码
为了保证系统的足够的安全,应该保证用户标识和密码在系统内是不可见的。
.netrc文件包含了系统中未加密或未编码进行保护,即像纯文本文件样的保存了用户标识和密码。要查找这些文件,运行以下命令:
# find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls
找到这些文件后,请删除它们。保存密码的一个更有效的方法是设置 Kerberos
三:用户扩展属性文件/etc/security/user
(1)格式:
如
user1:
relogin = false //设置是否允许用户远程登录(禁用telnet)
logintimes = 0830-1730 //登录时间
loginretries = 0 //规定允许登录的可重试次数,0为不限制
...................
(2)权限
读权限: root用户及security组的用户
写权限: root用户
(3)对用户使用密码进行限制,保证账户密码及时更新等
恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性,操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码,并强制定期更改密码。
密码选项和扩展用户属性位于 /etc/security/user 文件中,此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时,这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制,对所有用户执行相同限制。为了维持密码安全性,所有密码必须受到相似的保护。
管理员还可以扩展密码限制。通过使用 /etc/security/user 文件的 pwdchecks 属性,管理员可以将新的子例程(称为方法)添加到密码限制代码中。这样,本地站点策略可添加到操作系统,并由操作系统执行该策略。有关更多信息,请参阅扩展密码限制。
应用密码限制要切合实际。过于限制的尝试,例如限制密码空间(这将使猜测密码更容易),或强制用户选择难以记忆的密码(用户可能选择会写下密码),都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制与明智的指南和偶尔的审计(以验证当前密码是否唯一)相结合,将是最好的策略
四:用户登录属性定制文件/etc/security/login.cfg
/etc/security/login.cfg文件:
系统登录和用户身份验证控制的属性,如:用户登录前的系统提示信息内容。
只有root用户和security组用户的才能读写。
终端节:对从某终端的登录进行控制;
验证用户方法节:定义验证用户身份的方法;
用户配置节:定义其他安全属性,如:同时登录的最大用户数maxlogins=2,以及登录时等待用户输入口令的超时时间logintimeout=60
使用ls -l显示该文件的内容。
五:定制用户登录后的提示信息/etc/motd
六:组的管理
/etc/group 存放组的基本属性 格式: 组名:组ID:成员 是ASCII文件哦!!!任何用户都有读权限,只有root用户及security组用户才有写权限。
/etc/security/group 存放组的扩展属性
+- Group Name <= 8 bytes
Group ---| (一个用户可同属一个或多个组)
+- Group ID(GID) 正整数
+- 用户级的组:用户
|
AIX的组 ---|- 系统管理组:如system组中就有root用户,也可将一些用户加入system组
|
+- 系统预定义组:除staff组外,其他系统默认组都具有一定的管理权力。
用户分层:
+--------------------+
| root用户 |
+--------------------+
|
|
+--------------------+
| 管理型用户和组 | /etc/security/user文件 admin域=TRUE
+--------------------+
|
|
+--------------------+
| 普通用户和组 |
+--------------------+
六:用户管理使用的命令
(1)chuser(修改属性),mkuser(增加用户),rmuser(删除用户)
mkuser根据/user/lib/security/mkuser.default文件的内容设置默认属性。(普通用户、管理型用户)
lsuser显示用户属性时,读取/etc/security/user文件及/etc/passwd文件。
(2)smit
说命令,高级命令多如牛毛,如mkgroup,mkuser,chgroup,chuser,rmgroup,rmuser,chgrpmem。。。
这么多命令,我是记不清!幸好AIX为我们提供了smit(系统管理界面工具)
】# smit -C security
> Users
>Groups
>Passwords
>Login Controls
>Roles
提供这些菜单以及子菜单,足够一般性的用户和组的属性设置了。
七:其他安全性文件
(1)/etc/security/.profile
该文件是新用户$HOME/.profile的模版文件
/etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。在使用 mkuser 命令创建用户时,执行 /usr/lib/security/mkuser.sys 脚本。这个脚本创建用户的目录,设置正确的权限,“创建” 用户的 .profile。mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。
如果您正在构建新系统,或者一个新部门有 100 名员工需要在系统上建立账户,那么一定要先修改 /etc/security/.profile 文件,然后再开始创建用户账户。如果已经创建了账户,然后意识到需要对某个变量或其他设置做简单的修改,就不得不手工修改每个用户的 profile。可以使用脚本简化这个过程,但是如果提前修改了 /etc/security/.profile,会简单得多。
/etc/security/.profile 文件示例
PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:.
export PATH
if [ -s "$MAIL" ] # This is at Shell startup. In normal
then echo "$MAILMSG" # operation, the Shell checks
fi # periodically.
(2)/etc/security/limits
/etc/security/limits 文件包含所有 user limit,即用户的系统资源限制。表 1 列出 /etc/security/limits 文件中的字段及其用途。
表 1. /etc/security/limits 中的字段
软限制
硬限制
说明
fsize
fsize_hard
用户可以创建的文件的大小
core
core_hard
用户可以创建的核心文件的大小
CPU
cpu_hard
允许的系统时间量
data
data_hard
进程数据段的大小
stack
stack_hard
进程堆栈段的大小
RSS
rss_hard
允许的物理内存量
nofiles
nofiles_hard
同时打开的文件描述符数量
nproc
nproc_hard
同时运行的进程数量
软限制和硬限制的区别是什么?在最大值(硬限制)范围内,用户或应用程序可以动态地修改软限制。硬限制就是参数可以设置的最大值。如果把参数设置为数字值太困难(例如,如果开发人员不知道程序将使用的内存量或它需要打开的文件数量),那么可以把参数设置为 -1,这表示无限制。
但是,不必为每个用户设置所有 ulimit。/etc/security/limits 文件包含一个 default 部分,它为每个用户定义一组标准值,如果用户没有设置定制的值,就会使用这些值。如果 default 部分不存在,系统会设置预先确定的限制。
IBM 的默认值如下:
* Attribute Value
* ========== ============
* fsize_hard set to fsize
* cpu_hard set to cpu
* core_hard -1
* data_hard -1
* stack_hard 8388608
* rss_hard -1
* nofiles_hard -1
/etc/security/limits 文件示例
default:
fsize = 4194303
core = 16384
cpu = -1
data = 262144
rss = 65536
stack = 65536
pac:
fsize = 131072
fsize_hard = 262144
core = 262144
注意:这里要着重注意下,fsize参数,它限制了用户能创建的最大文件的大小!默认该值为2097151个扇区,1个扇区为512字节,故默认用户所能创建的文件最大为1G。
(3)/etc/security/passwd
/etc/security/passwd 文件包含 AIX 用户的密码信息。在这个文件中,每个用户有三个字段:
password。加密的密码。
注意:如果这个字段只包含星号 (*),那么账户被锁定,直到设置密码为止。
lastupdate。最后一次更新密码的时间(系统纪元以来的秒数)。
NOCHECK。如果设置,那么忽略 /etc/security/user 中的任何其他限制。
(4)/etc/security/user
现在,要接触到 AIX 用户管理的核心了。除了 /etc/passwd 中的基本信息之外,/etc/security/user 文件包含最重要的用户设置
表2. /etc/security/user 文件中的参数参数
格式
说明
account_locked
TRUE | FALSE
锁定账户;如果设置为 True,用户就无法登录。
admin
TRUE | FALSE
如果设置为 True,用户就具有管理权力。
expires
MMDDHHYY
如果到达此日期,账户就会过期并被锁定。
histexpire
0-260
用户在这个期限内不能重用密码(星期数)。
histsize
0-50
以前使用过的不能重用的密码数量。
login
TRUE | FALSE
如果设置为 True,用户可以登录。
maxage
0-52
密码的有效期(星期数)。
minage
0-52
用户在此期限之后才能修改密码(星期数)。
rlogin
TRUE | FALSE
如果设置为 True,那么可以远程访问此账户。
su
TRUE | FALSE
参数的完整列表请查看 AIX 系统上的 /etc/security/user,或访问 AIX Information Center。与 /etc/security/limits 一样,如果没有为账户指定值,就使用 default 部分设置所有字段。
/usr/lib/security/mkuser.default
/usr/lib/security/mkuser.default 文件包含在通过 mkuser 创建新的 AIX 用户时使用的值。
linux /etc/security/login.cfg,AIX用户管理相关推荐
- 组群的基本概念linux,linux课件-Linux系统中组群与用户管理.ppt
<linux课件-Linux系统中组群与用户管理.ppt>由会员分享,可在线阅读,更多相关<linux课件-Linux系统中组群与用户管理.ppt(66页珍藏版)>请在装配图网 ...
- Windows搭建ngrok服务器、Linux搭建ngrok服务器、支持用户管理
微信公众号.支付宝支付等开发要求有公网(外网)服务器.每次调试时,上传代码到服务器很不方便.ngrok很好的解决了这一问题.网上的文章大多是讲怎么在Linux下搭建ngrok服务器.其实依靠云计算的强 ...
- Linux 运维基础(七):用户管理
用户类型 用户类型 名称 uid 特点 管理员用户 root 0 权力至高无上 虚拟用户 nobody(可自定义) 1-999 用于管理进程 无家目录 不能登录系统 普通用户 自定义 1000+ 权限 ...
- Linux学习Vim使用及账号用户管理
Vim使用及账号用户管理 什么是Vim编辑器 Vim是从 vi 发展出来的一个文本编辑器.代码补完.编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用.linux必须要学会(查看内容,编辑内 ...
- Linux——vi/vim文本编辑器、用户管理、关机重启的相关命令
目录 1.vi/vim简介 1.1 常见的三种模式 1.2 常用快捷键 2.用户管理 2.1 添加用户 2.2 删除用户 2.3 切换用户 2.4 查看用户信息 3.关机.重启 1.vi/vim简介 ...
- Linux的基本文件操作及用户管理
首先接上篇博客,继续讲文件的操作,然后再讲对用户的操作. 文件操作 显示文件相关信息 ls <option> 显示文件信息,这里的参数不是必选项,可以根据自己的需求选择,当然参数 ...
- Linux的Vim使用及账号用户管理
什么是Vim编辑器 Vim是从 vi 发展出来的一个文本编辑器.代码补完.编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用. 简单的来说, vi 是老式的字处理器,不过功能已经很齐全了,但 ...
- Linux【实操篇】—— 用户管理、linux系统root密码找回方式
目录 一.用户管理 1. 添加用户 2. 设置/修改用户密码 3. 删除用户 4. 查询用户信息 5. 切换用户 6. 查看当前用户信息 7. 用户组 8. 注销用户 9. 用户和用户组的相关文件介绍 ...
- linux更改patrol密码,Linux常用的文件管理命令及用户管理命令
1.常用的文件管理命令-使用方法及示例 常用的文件管理类命令:mkdir.rmdir.touch.cat.tac. head. tail.more.less.cp.mv.rm等 注:跟在常用参数中的# ...
最新文章
- 【工具类】分布式文件存储-FastDFS
- nginx配置技巧汇总
- https和http的主要区别
- 值引用和引用问题分析
- .Net Core 三大Redis客户端对比和使用心得
- 计算机网络机械特性是指,《计算机网络与通信》第1——3章 习题及思考题
- SparkSql性能测试案例
- 技术总结之SpringIOC
- [pytorch] 深度学习分割网络U-net的pytorch模型实现 原创 2017年03月08日 21:48:21 标签: python / 深度学习 / 生物图
- 深入浅出PHP amp; MySQL,深入浅出 PHP MySQL
- 2017数学建模b题回顾_年度回顾:2017年的Java
- 万彩动画大师-零基础视频教程-笔记
- mysql 错误码1236,MySQL错误:Last_IO_Errno:1236处理办法
- 8月新亲测完美短视频点赞系统支持抖音+快手+刷宝+微视等所有主流短视频点赞/关注/评论系统源码
- 你绝对能看懂的Kafka源代码分析-Kafka Producer设计分析
- ZZULIOJ-2905
- Java的应用领域有哪些
- 【机器学习】生成式模型和判别式模型
- 直接分享5个T的网盘资源
- 机器人测钢卷直径_激光传感器的使用方法汇总
热门文章
- Java等额本息年化利率,转等本等息月利率
- HDU 6194 string string string 后缀数组 + RMQ(线段树)
- Exception(一)
- Unity3D游戏开发之在uGUI中使用不规则精灵制作按钮
- 【黑马Java并发笔记】三、互斥与同步(上)
- 《Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
- TAPA认证辅导,TAPA全球委员会正式发布了《运输供应商最低安全要求》
- c语言编程显示文件无效或损坏,【转】LNK1123: 转换到 COFF 期间失败: 文件无效或损坏...
- Activiti使用教程
- 10053 事件详解