在AIX系统安装之后,/etc/passwd文件中会有很多默认帐户存在:
root 即UID=0,可以执行系统维护任务和对系统问题进行故障查找;
daemon 该帐户只是为了拥有和运行系统服务器进程及其关联的文件而存在,
该帐户保证这些进程使用适当的文件访问许可权运行。
bin 该帐户通常拥有大多数用户命令的可执行文件,主要用途是帮助分配重要系统目录和文件的所有权
因此所有东西都不是由root 和 sys 用户帐户单独拥有的。
sys sys用户拥有缺省的“分布式文件服务”(DFS)高速缓存的安装点,
这必须在客户机上安装或配置 DFS 之前存在/usr/sys 目录也可以存储安装映象。
adm
该帐户拥有以下基本系统功能:
+ 诊断,相应的工具存储在 /usr/sbin/perf/diag_tool 目录中。
+ 记帐,相应的工具存储在以下目录中:
> /usr/sbin/acct
> /usr/lib/acct
> /var/adm
> /var/adm/acct/fiscal
> /var/adm/acct/nite
> /var/adm/acct/sum
nobody
nobody 用户帐户由“网络文件系统”(NFS)用于启用远程打印。
有了这个帐户,程序可以允许对 root 用户的临时 root 访问。 例如,在启用“安全 RPC”或“安全NFS”之前,
请检查主 NIS 服务器上的 /etc/public 键以查找还未分配公用密钥和安全密钥的用户。
作为root用户,您可以为每个未分配的用户在数据库中创建一个项,通过输入:
#newkey -u username
或者,您可以为 nobody 用户帐户在数据库中创建一个项
然后任何用户都可以运行 chkey 程序来在数据库中创建它们自己的项而无需作为 root 登录。
uucp,nuucp
uucp 协议所用的隐藏文件的所有者。uucp 用户帐户是用于“UNIX 到 UNIX 复制程序”,
该程序是在大多数 AIX系统上存在的一组命令、程序和文件,
它们允许用户使用专线或电话线与另一 AIX 系统进行通信。
guest
允许那些无权访问帐户的用户访问(说实话,没理解,不知道写这个的老兄,当天是不是喝了?)。
lpd,lp
打印子系统所使用文件的所有者。
imnadm
IMN 搜索引擎(文档库搜索使用)。
说了半天,我们的目标是:锁定不需要的帐户,保留必要的帐户,以防止意外发生。
锁定/解除锁定帐户的操作
smitty user -> Lock / Unlock User's Account。
当然,修改/etc/security/passwd文件也可以达到相同的目标,但是,至少目前来讲,我是不会去手工修改这些东西的。
IBM的产品,给人的感觉是内在的关联性很强,不适合手动修改系统参数,而且他也提供了smitty这个接口工具,很方便(把人也变懒了)。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0
添加新评论0 条评论