AIX用戶安全性的概念

大壞蛋

AIX用戶安全性的概念
AIX的每個(gè)用戶有唯一的用戶名、用戶ID和口令，文件屬主取決于用戶ID；root可以更改文件屬主；系統(tǒng)缺省root為超級(jí)用戶；系統(tǒng)用戶adm、sys、bin不允許登錄；需要共享同一類文件的用戶可以歸入同一個(gè)組；最常用的組有兩個(gè)，system為管理員組，staff為普通用戶組。
系統(tǒng)安全性的基本原則是：用戶被賦予唯一的用戶名、用戶ID（UID）和口令。用戶登錄后，對文件訪問的合法性取決于UID。
文件創(chuàng)建時(shí)，UID自動(dòng)生成為文件屬主。只有文件屬主和root才能修改訪問許可權(quán)。需要共享同一組文件的用戶可以歸入同一個(gè)組中。每個(gè)用戶可屬于多個(gè)組。每個(gè)組被賦予唯一的組名和組ID（GID），GID也被賦給新創(chuàng)建的文件。
應(yīng)該特別強(qiáng)調(diào)的是對于root特權(quán)的控制：

• 
    ? 應(yīng)嚴(yán)格限制使用root特權(quán)的人數(shù)；
  
• 
    ? root口令應(yīng)由系統(tǒng)管理員以不公開的周期更改；
  
• 
    ? 不同的機(jī)器采用不同的root口令；
  
• 
    ? 系統(tǒng)管理員應(yīng)以普通用戶的身份登錄，然后用su命令進(jìn)入特權(quán)；
  
• 
    ? root所用的PATH環(huán)境變量與系統(tǒng)安全性關(guān)系重大。
  

安全性日志是系統(tǒng)安全的重要保障，有經(jīng)驗(yàn)的系統(tǒng)管理員經(jīng)常使用其做安全性檢查。Su命令執(zhí)行的結(jié)果存放在/var/adm/sulog中；用戶登錄和退出登錄的記錄存放在/var/adm/wtmp和/etc/utmp中，可用who命令查看；非法和失敗登錄的記錄存放在/etc/security/failedlogin中，同樣用who命令查看，未知的登錄名記為unknown。


本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u/3523/showart_1358450.html