AIX用户安全性的概念

大坏蛋

AIX用户安全性的概念
AIX的每个用户有唯一的用户名、用户ID和口令，文件属主取决于用户ID；root可以更改文件属主；系统缺省root为超级用户；系统用户adm、sys、bin不允许登录；需要共享同一类文件的用户可以归入同一个组；最常用的组有两个，system为管理员组，staff为普通用户组。
系统安全性的基本原则是：用户被赋予唯一的用户名、用户ID（UID）和口令。用户登录后，对文件访问的合法性取决于UID。
文件创建时，UID自动生成为文件属主。只有文件属主和root才能修改访问许可权。需要共享同一组文件的用户可以归入同一个组中。每个用户可属于多个组。每个组被赋予唯一的组名和组ID（GID），GID也被赋给新创建的文件。
应该特别强调的是对于root特权的控制：

• 
    ? 应严格限制使用root特权的人数；
  
• 
    ? root口令应由系统管理员以不公开的周期更改；
  
• 
    ? 不同的机器采用不同的root口令；
  
• 
    ? 系统管理员应以普通用户的身份登录，然后用su命令进入特权；
  
• 
    ? root所用的PATH环境变量与系统安全性关系重大。
  

安全性日志是系统安全的重要保障，有经验的系统管理员经常使用其做安全性检查。Su命令执行的结果存放在/var/adm/sulog中；用户登录和退出登录的记录存放在/var/adm/wtmp和/etc/utmp中，可用who命令查看；非法和失败登录的记录存放在/etc/security/failedlogin中，同样用who命令查看，未知的登录名记为unknown。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/3523/showart_1358450.html