AIX的基本命令.docx

AIX的基本命令.docx

《AIX的基本命令.docx》由会员分享，可在线阅读，更多相关《AIX的基本命令.docx（25页珍藏版）》请在冰豆网上搜索。

AIX的基本命令

lsuser命令

用途

显示用户帐户属性。

语法

lsuser[-Rload_module][-c|-f][-aList]{ALL|Name[,Name]...}

描述

lsuser命令显示用户帐户属性。

可以使用这个命令来列出所有系统用户的所有属性或指定用户的所有属性。

由于没有缺省参数，您必须输入ALL关键字来查看所有用户的属性。

缺省情况下，lsuser命令显示所有用户的属性。

要查看选定的属性，请使用-aList标志。

如果一个或多个属性不可读，则lsuser命令列出尽可能多的信息。

注：

如果您已在系统上安装了“网络信息服务”（NIS）数据库，那么在使用lsuser命令时不显示某些用户信息。

缺省情况下，lsuser命令在一行上列出每个用户的属性。

它显示属性信息为Attribute=Value定义，每项用空格隔开。

要以节格式列出用户属性，请使用-f标志。

要以冒号隔开记录的列表信息，请使用-c标志。

您可以使用基于Web的系统管理器（wsm）中的用户应用程序来更改用户特性。

您也可以使用“系统管理接口工具”（SMIT）smitlsusers快速路径来运行此命令。

标志

-aList

列出要显示的属性。

List变量可以包含在chuser命令中定义的任何属性并要求在属性间有一个空格。

如果指定空表，只显示用户名。

-c

以冒号隔开记录显示用户属性，如下：

#name:

attribute1:

attribute2:

...

User:

value1:

value2:

...

-f

以节格式显示输出，每一节以用户名标识。

每个Attribute=Value对在独立行中列出：

user:

attribute1=value

attribute2=value

attribute3=value

-Rload_module

指定用可装入I&A模块来显示用户帐户属性。

安全性

访问控制：

这个命令应该是对常规用户有可执行（x）权限的常规用户程序。

由于读取属性时用的是命令调用者的访问权，故某些用户可能无法访问所有信息。

这个命令应该有可信计算库属性。

访问的文件：

方式

文件

r

/etc/passwd

r

/etc/security/user

r

/etc/security/user.roles

r

/etc/security/limits

r

/etc/security/environ

r

/etc/group

r

/etc/security/audit/config

示例

1.以节格式显示关于smith帐户的id和关联组的信息，请输入：

lsuser-f-aidpgrpgroupsadmgroupssmith

显示与以下内容类似的信息：

smith:

ID=2457

pgrp=system

groups=system,finance,staff,accounting

admgroups=finance,accounting

2.以冒号格式显示smith的用户id、groups和主目录，请输入：

lsuser-c-aidhomegroupssmith

显示与以下内容相似的信息：

#name:

ID:

home:

groups

smith:

2457:

/home/smith:

system,finance,staff,accounting

3.要以缺省格式显示smith用户的所有属性，请输入：

lsusersmith

将显示所有的属性信息，以空格隔开每个属性。

4.要显示所有用户的所有信息，请输入：

lsuserALL

将显示所有的属性信息，以空格隔开每个属性。

文件

/usr/sbin/lsuser

包含lsuser命令。

/etc/passwd

包含基本用户信息。

/etc/security/limits

定义每个用户的资源限额和限制。

/etc/security/user

包含用户的扩展属性。

/etc/security/user.roles

包含用户的管理角色属性。

/etc/security/environ

包含用户的环境属性。

/etc/group

包含基本组信息。

/etc/security/audit/config

包含审计配置文件。

mkuser命令

用途

创建新用户帐户。

语法

mkuser[-Rload_module][-a][Attribute=Value...]Name

描述

mkuser命令创建新用户账户。

Name参数必须是唯一的8字节或更短的字符串。

用户名不能使用ALL或default关键字。

缺省情况下，mkuser命令创建标准用户帐户。

创建管理用户帐户，指定-a标志。

使用备用识别和认证（I&A）机制来创建用户，-R标志用来指定用来创建用户的I&A装入模块。

创建的没有-R标志的用户是本地创建。

装入模块在/usr/lib/security/method.cfg文件中定义。

mkuser命令不能为用户创建密码信息。

使用*（星号）初始化password字段。

以后，这个字段用passwd或pwdadm命令设置。

新帐户是禁用的，直到用passwd或pwdadm命令添加认证信息到/etc/security/passwd文件。

可以在“基于Web的系统管理器”中使用用户应用程序来更改用户特征。

也可以使用“系统管理接口工具”（SMIT）smitmkuser快速路径来运行该命令。

创建用户名的限制

为防止不一致的登录，应该避免用户名完全使用大写字母。

当mkuser命令支持多字节用户名，建议限制用户名使用POSIX可移植文件名字符集的字符。

为确保用户数据库不被破坏，给用户命名时要小心。

用户名不能以-（短划线）、+（加号）、@（at符号）或~（代字号）开头。

用户名不能用关键字ALL或default还有，在用户名中不能使用下列字符：

:

冒号

"

双引号

#

英镑符号

逗号

=

等号

\

反斜杠

/

斜杠

?

问号

'

单引号

`

顿号

最后，Name参数不能包含空格、制表符、或换行符。

标志

-a

指定用户是管理员。

只有root用户能使用此标志或改变管理用户的属性。

-Rload_module

指定可加载的I&A模块来创建用户。

参数

Attribute=Value

初始化用户属性。

查看chuser命令获得有效的的属性和值。

名称

指定唯一的8字节或更短的字符串。

安全性

访问控制：

此命令只将执行（x）访问权授予root用户和安全组成员。

此命令应作为程序安装在可信的计算库（TCB）。

命令应由有setuid（SUID）位设置的root用户拥有。

文件存取：

方式

文件

rw

/etc/passwd

rw

/etc/security/user

rw

/etc/security/user.roles

rw

/etc/security/limits

rw

/etc/security/environ

rw

/etc/group

rw

/etc/security/group

r

/usr/lib/security/mkuser.default

x

/usr/lib/security/mkuser.sys

审计事件：

事件

信息

USER_Create

用户

限制

创建的用户可能不被所有的可加载I&A模块支持。

如果可加载模块I&A不支持创建用户，将会报错。

示例

1.要使用/usr/lib/security/mkuser.default文件中的缺省值创建davis用户帐户，请输入：

mkuserdavis

2.创建davis帐户并且davis作为管理员，输入：

mkuser-adavis

只有root用户或有“UserAdmin”授权的用户能创建davis作为管理用户。

3.创建davis用户帐户并设置su属性值为false，输入：

mkusersu=falsedavis

4.创建davis用户帐户，它通过LDAP加载模块标识和认证，输入：

mkuser-RLDAPdavis

文件

/usr/bin/mkuser

包含mkuser命令。

/usr/lib/security/mkuser.default

包含新用户的缺省值。

/etc/passwd

包含用户的基本属性。

/etc/security/user

包含用户的扩展属性。

/etc/security/user.roles

包含用户的管理角色属性。

/etc/security/passwd

包含密码信息。

/etc/security/limits

定义资源限额和每个用户的限制。

/etc/security/environ

包含用户的环境属性。

/etc/group

包含组的基本属性。

/etc/security/group

包含组的扩展属性。

/etc/security/.ids

包含标准和管理用户标识和组标识。

rmuser命令

用途

除去用户帐户。

语法

rmuser[-Rload_module][-p]Name

描述

rmuser命令除去由Name参数标识的用户帐户。

该命令除去用户的属性但不除去用户的主目录和文件。

用户名必须已经以8字节或更少字节的字符串存在。

如果指定-p标志，rmuser命令也从/etc/security/passwd文件除去密码和其他用户认证信息。

对于用备用标识和认证（I&A）机制创建的用户，带适当的装入模块的-R标志必须用来除去该用户。

装入模块在/usr/lib/security/methods.cfg文件中定义。

只有root用户或有用户管理权限的用户才能除去管理用户。

管理用户是在/etc/security/user文件有admin=true设置的用户。

可以使用在基于Web的系统管理器（wsm）中的用户应用程序来改变用户特征。

也可以使用系统管理界面程序（SMIT）smitrmuser快速路径运行此命令。

标志

-p

从/etc/security/passwd文件除去用户密码信息。

-Rload_module

指定用于除去用户的可装载I&A模块。

安全性

访问控制：

此命令只授权执行（x）访问给root用户和安全组成员。

此命令应作为程序安装在可信的计算库（TCB）。

此命令应该由有setuid（SUID）位设置的用户拥有。

文件存取：

方式

文件

rw

/etc/passwd

rw

/etc/security/passwd

rw

/etc/security/user

rw

/etc/security/user.roles

rw

/etc/security/limits

rw

/etc/security/environ

rw

/etc/security/audit/config

rw

/etc/group

rw

/etc/security/group

审查事件：

事件

信息

USER_Remove

用户

示例

1.要从本地系统除去用户davis帐户和它的属性，输入：

rmuserdavis

2.要除去用户davis帐户和它的所有属性，包括在/etc/security/passwd中的密码和其他用户认证信息，输入：

rmuser -p davis

3.要除去用LDAP装入模块创建的用户davis,输入：

rmuser-RLDAPdavis

文件

/usr/sbin/rmuser

包含rmuser命令。

/etc/passwd

包含用户的基本属性。

/etc/security/passwd

包含密码信息。

/etc/security/limits

定义资源限额和每个用户的限制。

/etc/security/user

包含用户的扩展属性。

/etc/security/user.roles

包含用户的管理角色属性。

/etc/security/environ

包含用户的环境属性。

/etc/security/audit/config

包含审计配置信息。

/etc/group

包含组的基本属性。

/etc/security/group

包含组的扩展属性。

passwd命令

用途

更改用户密码。

语法

passwd[-Rload_module][ -f | -s ][ User]

描述

passwd命令设置和更改用户密码。

使用此命令更改自己或者另一个用户的密码。

使用passwd命令也能更改与登录名关联的全名（gecos）和用来作为操作系统界面的shell。

根据用户的定义，用户的密码可以存在于本地或远程。

本地密码存在于/etc/security/passwd数据库中。

远程密码存在于网络信息服务（NIS）或者分布式计算环境（DCE）数据库。

要更改自己的密码，请输入passwd命令。

passwd命令提示非root用户输入旧密码（如果存在），然后提示输入两次新密码。

（密码不显示在屏幕上。

）如果两次新密码的输入不一致，passwd命令提示重新输入新密码。

注:

passwd命令只使用密码的头八个字符作为本地和NIS密码。

在密码中只支持7位字符。

由于这个原因，本地语言支持（NLS）代码点不允许出现在密码中。

要更改另一个用户的密码，请输入passwd命令和用户的登录名（User参数）。

只有root用户或者安全组成员才允许更改另一个用户的密码。

passwd命令提示输入用户的旧密码以及用户的新密码。

然而，passwd命令并不提示root用户旧用户密码、root密码以及加给root用户任何密码限制。

/etc/passwd文件记录全名和使用的shell的路径名。

要更改记录名，请输入passwd-f命令。

要更改登录shell，请输入passwd-s命令。

根据密码限制，在/etc/security/user配置文件中构造本地定义的密码。

此文件包含下列限制：

minalpha

指定字母字符的最小数目。

minother

指定其它字符的最小数目。

minlen

指定字符的最小数目。

注:

此值由minalpha值加上minother值和minlen值中的大者。

mindiff

指定出现在新密码中但没出现在旧密码中的字符的最小数。

注:

此限制并不考虑位置。

如果新密码是abcd并且旧密码是edcb，不同字符数就是1。

maxrepeats

指定在密码中单个字符使用的最大次数。

minage

指定密码能够更改的最小寿命。

密码必须保持一个最小周期。

此值用周来评测。

maxage

指定密码的最大寿命。

密码必须在指定的周数后更改。

maxexpired

指定用户可以更改密码的超出最大寿命maxage的最大周数。

histexpire

指定用户不能重用密码的周数。

histsize

指定用户不能重用的前几个密码的数目。

dictionlist

指定更改密码时要检查的字典文件列表。

pwdchecks

指定更改密码时要调用的外部密码限制方法的列表。

如果root用户添加了NOCHECK属性到在/etc/security/passwd文件中的标志条目中，密码就不必满足这些限制。

另外，root用户也可指定新密码给其它用户而不遵循密码的限制。

如果root用户在标志条目中添加了ADMIN属性或者如果在/etc/passwd文件中的password字段包含*（星号），则只有root用户才能更改密码。

如果在/etc/passwd中的password字段包含有!

（感叹号）和在/etc/security/passwd文件中的password字段包含有*（星号），则root用户拥有更改您的密码的超级特权。

如果root用更改您的密码，则ADMCHG属性就会自动地添加到在/etc/security/passwd文件中的标志条目上。

这种情况下，您必须在下次登录时更改密码。

如果/etc/security/user文件中用户的registry值是DCE或者NIS，则密码更改只能在指定的数据库中进行。

标志

-f

更改由finger命令访问的用户信息。

可以使用此标志提供在/etc/passwd文件中的全名。

-s

更改登录shell。

-Rload_module

指定可装入I&A模块，来更改用户的密码。

安全性

访问控制：

安装此程序为可信计算库的一部分，并可让所有用户执行。

另外，此程序应该运行setuid以成为root用户来获取对密码文件的写访问。

文件存取：

方式

文件

r

/etc/security/user

rx

/usr/lib/security/DCE

rx

/usr/lib/security/NIS

rw

/etc/passwd

rw

/etc/security/passwd

r

/etc/security/login.cfg

审计事件：

事件

信息

PASSWORD_Change

user

示例

1.要更改密码，请输入：

passwd

passwd命令提示输入旧密码，如果它存在并且您不是root用户。

输入旧密码后，命令提示输入两次新密码。

2.要更改/etc/passwd文件中的全名，请输入：

passwd  -f

passwd命令显示为您的用户标识存储的名称。

例如，对于登录名sam，passwd命令能够显示以下消息：

sam'scurrentgecos:

             "SamSmith"

是否更改？

>

如果输入Y（是），passwd命令提示输入新名。

passwd命令记录输入的名称到/etc/passwd文件中。

3.要在下次登录时使用不同的shell，请输入：

passwd-s

passwd命令列出可用的和当前使用的shell的路径名。

此命令也显示提示：

是否更改？

>

如果输入Y（是），passwd命令提示输入要使用的shell。

下次登录时系统提供在此指定的shell。

文件

/usr/bin/passwd

包含passwd命令。

/etc/passwd

包含用户ID、用户名、主目录、登录shell和finger的信息

/etc/security/passwd

包含加密的密码和安全性信息。

pwdadm命令

用途

管理用户密码。

语法

pwdadm[ -f Flags| -q |-c]User

描述

pwdadm命令管理用户密码。

root用户或安全组成员可提供或更改User参数指定的用户的密码。

在被允许更改其它用户密码之前，命令的调用者必须在查询时提供密码。

执行命令时，设置ADMCHG属性。

这样强制用户在下次使用login或su命令时更改密码。

root用户和安全组的成员不应该使用该命令更改他们的个人密码。

ADMCHG属性将要求他们在下次使用login命令或su命令时再次更改他们的密码。

只有root用户或具有密码管理权限的用户（其admin属性在/etc/security/user文件中设置为真）可更改管理用户的密码信息。

只有root用户，安全组成员，或具有密码管理权限的用户可提供或更改User参数指定的用户的密码。

执行此命令时，/etc/passwd文件中的用户的password字段设置为!

（感叹号），表示密码的加密版本在/etc/security/passwd文件中。

当root用户或安全组成员使用pwdadm命令更改用户密码时，将设置ADMCHG属性。

新密码必须依照/etc/security/user文件中的规则定义，除非包含-fNOCHECK标志。

密码只支持七位字符。

通过在pwdadm命令中包含-f标志，root用户或安全组成员能够设置更改密码规则的属性。

如果使用-f标志时在/etc/security/passwd文件中没有密码条目，则/etc/passwd文件中的密码字段将设置为!

（惊叹号），并且一个*（星号）将出现在password=字段以表示未设置密码。

-q标志允许root用户或安全组成员查询密码信息。

只出现lastupdate属性和flags属性的状态。

加密密码保持隐藏状态。

-c标志清除/etc/security/passwd文件中设置的所有标志。

标志

-fFlags

指定密码的flags属性。

Flags变量必须来自以下逗号分隔的属性列表：

NOCHECK

表示新密码不需要遵循/etc/security/user文件中为密码组合建立的规则。

ADMIN

指定密码信息只可以被root用户更改。

只有root用户能启用或禁用此属性。

ADMCHG

不更改用户的密码而重新设置ADMCHG属性。

这强制用户在下次使用login命令或su命令时更改密码。

当由User参数指定的用户重新设置密码时，清除此属性。

-q

查询密码的状态。

出现lastupdate属性和flags属性的值。

-c

清除/etc/security/passwd文件中设置的所有标志。

安全性

访问控制：

只有root用户和安全组成员对于该命令有执行（x）访问权限。

命令需要给予root用户trustedcomputingbase属性和setuid以使其对/etc/passwd文件、/etc/security/passwd文件以及其它用户数据库文件具有写（w）访问权限。

文件访问：

方式

文件

rw

/etc/passwd

rw

/etc/security/passwd

r

/etc/security/user

审计事件：

事件

信息

PASSWORD_Change

用户

PASSWORD_Flags

用户，标志

示例

1.要为用户susan设置密码，安全组成员输入：

pwdadm susan

给出提示时，调用这个命令的用户在可以更改Susan的密码之前被提示输入密码。

2.要查询用户susan的密码状态，安全组成员输入：

pwdadm -q susan

此命