【AIX】使用者、組合安全管理
使用者介紹
使用者的概述
比如:我們在使用AIX系統的時候,同事需要使用我的計算機,但是我不想讓他用我的使用者登入,我的使用者存在一些特殊資訊,只能自己檢視,此時就可以建立一個普通使用者給他使用即可。
1.單使用者多工
當我們使用root使用者登入進系統時候,我既啟動了Tomcat,同時也是用vi編輯器,這樣一個使用者就執行了多個任務,也叫單使用者多工。
2.多使用者多工
我們在使用AIX系統時,可能設定了多個賬號,例如:管理員使用者、普通使用者、FTP使用者。當三個使用者同時線上,並且管理員使用者在刪除檔案,普通使用者在編輯文件、FTP使用者在傳輸資料,這樣就稱為多使用者多工。
3.使用者和角色的區別
使用者在系統中是分角色的,角色不同,許可權所完成的任務也不同。在AIX系統中,使用者主要分為三類使用者:root使用者、虛擬使用者、普通使用者
- root使用者:它是系統唯一的,是真實的,可以登入系統,可以操作任何檔案和命令,擁有最高許可權。
- 虛擬使用者:這類使用者也稱為偽使用者或假使用者,與真實使用者區分開來,這類使用者不具有登入系統的能力,但是系統執行必不可少。如:bin、adm、mail、ftp等
- 普通使用者:可以登入系統,但是隻能操作屬於自己的東西。
使用者組
使用者組就是具有相同特徵的使用者的集合體,比如有時要讓多個使用者具有相同的許可權,比如讀取某個檔案,寫入某個檔案,這時候就需要一個組。
使用者與組的對應關係
使用者與組對應關係存在以下4種:
- 一對一:該對應關係表示某個使用者可以是某個組的唯一成員
- 一對多:某個使用者可以是多個組的成員
- 多對一:多個使用者可以是某個唯一的組成員,不歸屬其他組
- 多對多:表示多個使用者對應多個組,並且幾個使用者可以是歸屬相同的組。
使用者管理檔案和組管理檔案
1.使用者管理檔案/etc/passwd
從上述截圖我們可以看出,root是管理員使用者,qinys是普通使用者,其他使用者為虛擬使用者。
在IBM AIX系統中,/etc/passwd檔案主要用來描述系統中的使用者賬號,每行定義一個使用者資訊,每行各欄位用”:”分隔,每行有6個冒號,進行分隔為7個欄位。如下圖所示:
【username】:使用者登入時顯示的賬戶名
【password】:使用者密碼,現在qinys沒有密碼,所以為*,加密後則為!
【UID】:表示使用者的ID號碼,是使用者唯一標識
【GID】:表示使用者所屬的私有組號
【CECOS】:使用者資訊說明欄位,通常用於保全使用者全名的資訊
【Directory】:該欄位表示使用者的宿主目錄,使用者成功登陸後的預設目錄,root賬號的宿主目錄為$HOME,也就是根目錄。
【shell】:該欄位表示使用者所使用的shell指令碼,主要有/bin/ksh、/bin/tsh、/bin/psh
2.組管理檔案/etc/group
在AIX系統中,組資訊通過”:”分隔為4個欄位,依次是Groupname、Password、GID、User-list
【Groupname】:使用者組名稱
【Password】:使用者組口令,出於安全,加密,目前顯示為!
【GID】:使用者組標識,是使用者組的唯一標誌
【User-list】:成員列表,使用逗號分隔
使用者賬號管理
1.建立使用者賬號
命令:useradd (建立完畢之後可以使用passwd生成密碼)
引數:
-c comment 提供有關login引數指定的使用者的一般資訊
-d dir 標誌login引數指定使用者的主目錄,dir引數是完整路徑名
-e expire 標誌使用者的截止日期,expire格式為MMDDhhmmyy,其中MM是月,DD是天,hh是小時,mm是分鐘,yy是從1939年到2038年的最後兩位數字。
expire引數是0,則表示賬戶未過期
-g group 指定建立使用者所屬的組,預設的staff組
-G group1,group2,... 給使用者指定多個組
-s shell 定義在使用者初始化時為使用者執行的程式,shell引數是完整路徑名
-u uid 指定使用者ID號,uid引數是一個唯一的整數字符串
示例1:建立使用者並賦予密碼
useradd <使用者賬號名稱>
從上圖我們可以看出新建了使用者qinys,並且給該使用者加密了,密碼顯示為!
示例2:建立有有效期的賬號
useradd –e <有效日期> <使用者賬號名稱>
上圖表示,建立使用者qinys2,有效期為2018年12月21日21點05分
接著,我們登入發現無法登入,由於使用者過期
示例3:建立使用者併為其指定使用者組
useradd –g <主組名稱> <使用者賬號名稱>
示例4:指定組列表使用者賬號
useradd –G <組1,組2...> <使用者賬號名稱>
示例4:指定shell使用者賬號
示例5:指定UID使用者賬號
useradd –u <uid> <使用者賬號名稱>
UID是使用者賬號唯一的標誌,建立普通賬戶,UID是從200開始的。
2.更改使用者賬號
命令:usermod
引數:
-c comment 更改使用者有關的login資訊
-d dir 更改使用者賬號的宿主目錄
-e expire 更改使用者賬號的有效日期
-g group 更改使用者賬號所屬主組
-G group1,group2,.. 更改使用者所屬組列表
-l new_name 更改使用者賬號的名稱
-s shell 更改使用者賬號的shell
-u uid 更改使用者賬號的uid號
示例1:更改使用者賬號名稱
usermod –l <新名稱> <老名稱>
我們可以清晰看到,使用者名稱已經修改為qinysNew了
示例2:更改宿主目錄
usermod –d <宿主目錄> <使用者賬號名稱>
注意:必須先建立目錄,不然在登入的時候會報錯,並且自動切換到/home/guest目錄下
3.刪除使用者賬號
userdel <使用者賬號名稱> #刪除賬號
userdel –r <使用者賬號名稱> #刪除賬號並刪除宿主目錄
驗證賬號
使用命令usrck –y ALL可以驗證賬號是否符合系統的規範