一：用户基本属性文件/etc/passwd

格式：

用户名：是否定义了密码(! or *)：UID：GID：Full Name：Home Dir：SHELL

UID：0-199 系统使用  200以后用户自定义使用

该文件权限：rw_r_ _r_ _

如果第二项为!，说明该用户定义了密码，此时用户登录时将要参考口令文件/etcsecruity/passwd

二：用户口令文件/etc/security/passwd

(1)格式：

用户名:

password:密码加密后的字符串

其他属性

(2)权限rw_ _ _ _ _ _ _

(3)pwdck用来检查这两个文件信息的一致性

(4)隐藏用户名和密码

为了保证系统的足够的安全，应该保证用户标识和密码在系统内是不可见的。

.netrc文件包含了系统中未加密或未编码进行保护，即像纯文本文件样的保存了用户标识和密码。要查找这些文件，运行以下命令：

# find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls

找到这些文件后，请删除它们。保存密码的一个更有效的方法是设置 Kerberos

三：用户扩展属性文件/etc/security/user

(1)格式：

如

user1:

relogin = false //设置是否允许用户远程登录(禁用telnet)

logintimes = 0830-1730 //登录时间

loginretries = 0 //规定允许登录的可重试次数，0为不限制

...................

(2)权限

读权限： root用户及security组的用户

写权限： root用户

(3)对用户使用密码进行限制，保证账户密码及时更新等

恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性，操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码，并强制定期更改密码。

密码选项和扩展用户属性位于 /etc/security/user 文件中，此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时，这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制，对所有用户执行相同限制。为了维持密码安全性，所有密码必须受到相似的保护。

管理员还可以扩展密码限制。通过使用 /etc/security/user 文件的 pwdchecks 属性，管理员可以将新的子例程(称为方法)添加到密码限制代码中。这样，本地站点策略可添加到操作系统，并由操作系统执行该策略。有关更多信息，请参阅扩展密码限制。

应用密码限制要切合实际。过于限制的尝试，例如限制密码空间(这将使猜测密码更容易)，或强制用户选择难以记忆的密码(用户可能选择会写下密码)，都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制与明智的指南和偶尔的审计(以验证当前密码是否唯一)相结合，将是最好的策略

四：用户登录属性定制文件/etc/security/login.cfg

/etc/security/login.cfg文件：

系统登录和用户身份验证控制的属性，如：用户登录前的系统提示信息内容。

只有root用户和security组用户的才能读写。

终端节：对从某终端的登录进行控制；

验证用户方法节：定义验证用户身份的方法；

用户配置节：定义其他安全属性，如：同时登录的最大用户数maxlogins=2，以及登录时等待用户输入口令的超时时间logintimeout=60

使用ls -l显示该文件的内容。

五：定制用户登录后的提示信息/etc/motd

六：组的管理

/etc/group  存放组的基本属性  格式：   组名：组ID：成员  是ASCII文件哦！！！任何用户都有读权限，只有root用户及security组用户才有写权限。

/etc/security/group 存放组的扩展属性

+- Group Name        <= 8 bytes

Group ---|                                (一个用户可同属一个或多个组)

+- Group ID(GID)     正整数

+- 用户级的组：用户

|

AIX的组 ---|- 系统管理组：如system组中就有root用户，也可将一些用户加入system组

|

+- 系统预定义组：除staff组外，其他系统默认组都具有一定的管理权力。

用户分层：

+--------------------+

|       root用户     |

+--------------------+

|

|

+--------------------+

|   管理型用户和组   | /etc/security/user文件 admin域=TRUE

+--------------------+

|

|

+--------------------+

|    普通用户和组    |

+--------------------+

六：用户管理使用的命令

(1)chuser(修改属性)，mkuser(增加用户)，rmuser(删除用户)

mkuser根据/user/lib/security/mkuser.default文件的内容设置默认属性。(普通用户、管理型用户)

lsuser显示用户属性时，读取/etc/security/user文件及/etc/passwd文件。

(2)smit

说命令，高级命令多如牛毛，如mkgroup,mkuser,chgroup,chuser,rmgroup,rmuser,chgrpmem。。。

这么多命令，我是记不清！幸好AIX为我们提供了smit(系统管理界面工具)

】# smit -C security

> Users

>Groups

>Passwords

>Login Controls

>Roles

提供这些菜单以及子菜单，足够一般性的用户和组的属性设置了。

七：其他安全性文件

(1)/etc/security/.profile

该文件是新用户$HOME/.profile的模版文件

/etc/security/.profile 文件可以节省宝贵的时间和减少麻烦。在使用 mkuser 命令创建用户时，执行 /usr/lib/security/mkuser.sys 脚本。这个脚本创建用户的目录，设置正确的权限，“创建” 用户的 .profile。mkuser.sys 脚本实际上是把 /etc/security/.profile 文件复制到新用户的主目录中。

如果您正在构建新系统，或者一个新部门有 100 名员工需要在系统上建立账户，那么一定要先修改 /etc/security/.profile 文件，然后再开始创建用户账户。如果已经创建了账户，然后意识到需要对某个变量或其他设置做简单的修改，就不得不手工修改每个用户的 profile。可以使用脚本简化这个过程，但是如果提前修改了 /etc/security/.profile，会简单得多。

/etc/security/.profile 文件示例

PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:.

export　PATH

if　[　-s　"$MAIL"　]　　　　　　#　This　is　at　Shell　startup.　In　normal

then　echo　"$MAILMSG"　　　　#　operation,　the　Shell　checks

fi　　　　　　　　　　　　　#　periodically.

(2)/etc/security/limits

/etc/security/limits 文件包含所有 user limit，即用户的系统资源限制。表 1 列出 /etc/security/limits 文件中的字段及其用途。

表 1. /etc/security/limits 中的字段

软限制

硬限制

说明

fsize

fsize_hard

用户可以创建的文件的大小

core

core_hard

用户可以创建的核心文件的大小

CPU

cpu_hard

允许的系统时间量

data

data_hard

进程数据段的大小

stack

stack_hard

进程堆栈段的大小

RSS

rss_hard

允许的物理内存量

nofiles

nofiles_hard

同时打开的文件描述符数量

nproc

nproc_hard

同时运行的进程数量

软限制和硬限制的区别是什么？在最大值(硬限制)范围内，用户或应用程序可以动态地修改软限制。硬限制就是参数可以设置的最大值。如果把参数设置为数字值太困难(例如，如果开发人员不知道程序将使用的内存量或它需要打开的文件数量)，那么可以把参数设置为 -1，这表示无限制。

但是，不必为每个用户设置所有 ulimit。/etc/security/limits 文件包含一个 default 部分，它为每个用户定义一组标准值，如果用户没有设置定制的值，就会使用这些值。如果 default 部分不存在，系统会设置预先确定的限制。

IBM 的默认值如下：

*　　Attribute　　　　Value

*　　==========　　============

*　　fsize_hard　　set　to　fsize

*　　cpu_hard　　　set　to　cpu

*　　core_hard　　　　　-1

*　　data_hard　　　　　-1

*　　stack_hard　　　8388608

*　　rss_hard　　　　　-1

*　　nofiles_hard　　　-1

/etc/security/limits 文件示例

default:

fsize　=　4194303

core　=　16384

cpu　=　-1

data　=　262144

rss　=　65536

stack　=　65536

pac:

fsize　=　131072

fsize_hard　=　262144

core　=　262144

注意：这里要着重注意下，fsize参数，它限制了用户能创建的最大文件的大小！默认该值为2097151个扇区，1个扇区为512字节，故默认用户所能创建的文件最大为1G。

(3)/etc/security/passwd

/etc/security/passwd 文件包含 AIX 用户的密码信息。在这个文件中，每个用户有三个字段：

password。加密的密码。

注意：如果这个字段只包含星号 (*)，那么账户被锁定，直到设置密码为止。

lastupdate。最后一次更新密码的时间(系统纪元以来的秒数)。

NOCHECK。如果设置，那么忽略 /etc/security/user 中的任何其他限制。

(4)/etc/security/user

现在，要接触到 AIX 用户管理的核心了。除了 /etc/passwd 中的基本信息之外，/etc/security/user 文件包含最重要的用户设置

表2. /etc/security/user 文件中的参数参数

格式

说明

account_locked

TRUE | FALSE

锁定账户；如果设置为 True，用户就无法登录。

admin

TRUE | FALSE

如果设置为 True，用户就具有管理权力。

expires

MMDDHHYY

如果到达此日期，账户就会过期并被锁定。

histexpire

0-260

用户在这个期限内不能重用密码(星期数)。

histsize

0-50

以前使用过的不能重用的密码数量。

login

TRUE | FALSE

如果设置为 True，用户可以登录。

maxage

0-52

密码的有效期(星期数)。

minage

0-52

用户在此期限之后才能修改密码(星期数)。

rlogin

TRUE | FALSE

如果设置为 True，那么可以远程访问此账户。

su

TRUE | FALSE

参数的完整列表请查看 AIX 系统上的 /etc/security/user，或访问 AIX Information Center。与 /etc/security/limits 一样，如果没有为账户指定值，就使用 default 部分设置所有字段。

/usr/lib/security/mkuser.default

/usr/lib/security/mkuser.default 文件包含在通过 mkuser 创建新的 AIX 用户时使用的值。