AIX的基本命令.docx

1、AIX的基本命令lsuser 命令用途显示用户帐户属性。语法lsuser -R load_module -c | -f -a List ALL | Name ,Name . 描述lsuser 命令显示用户帐户属性。可以使用这个命令来列出所有系统用户的所有属性或指定用户的所有属性。由于没有缺省参数，您必须输入 ALL 关键字来查看所有用户的属性。缺省情况下，lsuser 命令显示所有用户的属性。要查看选定的属性，请使用 -a List 标志。如果一个或多个属性不可读，则 lsuser 命令列出尽可能多的信息。注：如果您已在系统上安装了“网络信息服务”（NIS）数据库，那么在使用 lsuser 命

2、令时不显示某些用户信息。缺省情况下，lsuser 命令在一行上列出每个用户的属性。它显示属性信息为 Attribute=Value 定义，每项用空格隔开。要以节格式列出用户属性，请使用 -f 标志。要以冒号隔开记录的列表信息，请使用 -c 标志。您可以使用基于 Web 的系统管理器（wsm）中的用户应用程序来更改用户特性。您也可以使用“系统管理接口工具”（SMIT）smit lsusers 快速路径来运行此命令。标志-a List列出要显示的属性。List 变量可以包含在 chuser 命令中定义的任何属性并要求在属性间有一个空格。如果指定空表，只显示用户名。-c以冒号隔开记录显示用户属性，如

3、下： # name: attribute1: attribute2: . User: value1: value2: .-f以节格式显示输出，每一节以用户名标识。每个 Attribute=Value 对在独立行中列出： user: attribute1=value attribute2=value attribute3=value-R load_module指定用可装入 I&A 模块来显示用户帐户属性。安全性访问控制：这个命令应该是对常规用户有可执行（x）权限的常规用户程序。由于读取属性时用的是命令调用者的访问权，故某些用户可能无法访问所有信息。这个命令应该有可信计算库属性。访问的文件：方式文

4、件r/etc/passwdr/etc/security/userr/etc/security/user.rolesr/etc/security/limitsr/etc/security/environr/etc/groupr/etc/security/audit/config示例1. 以节格式显示关于 smith 帐户的 id 和关联组的信息，请输入： lsuser -f -a id pgrp groups admgroups smith显示与以下内容类似的信息：smith: ID=2457 pgrp=system groups=system,finance,staff,accounting

5、admgroups=finance,accounting2. 以冒号格式显示 smith 的用户 id、groups 和主目录，请输入： lsuser -c -a id home groups smith显示与以下内容相似的信息：# name: ID:home:groupssmith: 2457:/home/smith:system,finance,staff,accounting3. 要以缺省格式显示 smith 用户的所有属性，请输入： lsuser smith将显示所有的属性信息，以空格隔开每个属性。4. 要显示所有用户的所有信息，请输入： lsuser ALL将显示所有的属性信息，以空

6、格隔开每个属性。文件/usr/sbin/lsuser包含 lsuser 命令。/etc/passwd 包含基本用户信息。/etc/security/limits定义每个用户的资源限额和限制。/etc/security/user 包含用户的扩展属性。/etc/security/user.roles包含用户的管理角色属性。/etc/security/environ 包含用户的环境属性。/etc/group 包含基本组信息。/etc/security/audit/config包含审计配置文件。mkuser 命令用途创建新用户帐户。语法mkuser -R load_module -a Attribut

7、e=Value . Name描述mkuser 命令创建新用户账户。 Name 参数必须是唯一的 8 字节或更短的字符串。用户名不能使用 ALL 或 default 关键字。缺省情况下，mkuser 命令创建标准用户帐户。创建管理用户帐户，指定 -a 标志。使用备用识别和认证（I&A）机制来创建用户， -R 标志用来指定用来创建用户的 I&A 装入模块。创建的没有 -R 标志的用户是本地创建。装入模块在 /usr/lib/security/method.cfg 文件中定义。mkuser 命令不能为用户创建密码信息。使用 * （星号）初始化password 字段。以后，这个字段用 passwd 或

8、 pwdadm 命令设置。新帐户是禁用的，直到用 passwd 或 pwdadm 命令添加认证信息到 /etc/security/passwd 文件。可以在“基于 Web 的系统管理器”中使用用户应用程序来更改用户特征。也可以使用“系统管理接口工具”（SMIT）smit mkuser 快速路径来运行该命令。创建用户名的限制为防止不一致的登录，应该避免用户名完全使用大写字母。当 mkuser 命令支持多字节用户名，建议限制用户名使用 POSIX 可移植文件名字符集的字符。为确保用户数据库不被破坏，给用户命名时要小心。用户名不能以 - (短划线)、+ (加号)、 (at 符号) 或 (代字号)开头

9、。用户名不能用关键字 ALL 或 default 还有，在用户名中不能使用下列字符：:冒号双引号#英镑符号,逗号=等号反斜杠/斜杠?问号单引号顿号最后，Name 参数不能包含空格、制表符、或换行符。标志-a指定用户是管理员。只有 root 用户能使用此标志或改变管理用户的属性。-R load_module指定可加载的 I&A 模块来创建用户。参数Attribute=Value初始化用户属性。查看 chuser 命令获得有效的的属性和值。名称指定唯一的 8 字节或更短的字符串。安全性访问控制：此命令只将执行（x）访问权授予 root 用户和安全组成员。此命令应作为程序安装在可信的计算库（TCB）

10、。 命令应由有 setuid (SUID) 位设置的 root 用户拥有。文件存取：方式文件rw/etc/passwdrw/etc/security/userrw/etc/security/user.rolesrw/etc/security/limitsrw/etc/security/environrw/etc/grouprw/etc/security/groupr/usr/lib/security/mkuser.defaultx/usr/lib/security/mkuser.sys审计事件：事件信息USER_Create用户限制创建的用户可能不被所有的可加载 I&A 模块支持。如果可加载模

11、块 I&A 不支持创建用户，将会报错。示例1. 要使用 /usr/lib/security/mkuser.default 文件中的缺省值创建 davis 用户帐户，请输入： mkuser davis2. 创建 davis 帐户并且 davis 作为管理员，输入： mkuser -a davis只有 root 用户或有“UserAdmin”授权的用户能创建 davis 作为管理用户。3. 创建 davis 用户帐户并设置 su 属性值为 false，输入： mkuser su=false davis4. 创建 davis 用户帐户，它通过 LDAP 加载模块标识和认证，输入： mkuser -R

12、 LDAP davis文件/usr/bin/mkuser包含 mkuser 命令。/usr/lib/security/mkuser.default包含新用户的缺省值。/etc/passwd包含用户的基本属性。/etc/security/user包含用户的扩展属性。/etc/security/user.roles包含用户的管理角色属性。/etc/security/passwd包含密码信息。/etc/security/limits定义资源限额和每个用户的限制。/etc/security/environ包含用户的环境属性。/etc/group包含组的基本属性。/etc/security/group包

13、含组的扩展属性。/etc/security/.ids包含标准和管理用户标识和组标识。rmuser 命令用途除去用户帐户。语法rmuser -R load_module -p Name描述rmuser 命令除去由 Name 参数标识的用户帐户。该命令除去用户的属性但不除去用户的主目录和文件。用户名必须已经以 8 字节或更少字节的字符串存在。如果指定 -p 标志，rmuser 命令也从 /etc/security/passwd 文件除去密码和其他用户认证信息。对于用备用标识和认证（I&A）机制创建的用户，带适当的装入模块的 -R 标志必须用来除去该用户。装入模块在 /usr/lib/securit

14、y/methods.cfg 文件中定义。只有 root 用户或有用户管理权限的用户才能除去管理用户。管理用户是在 /etc/security/user 文件有 admin=true 设置的用户。可以使用在 基于 Web 的系统管理器（wsm）中的 用户 应用程序来改变用户特征。也可以使用系统管理界面程序（SMIT）smit rmuser 快速路径运行此命令。标志-p从 /etc/security/passwd 文件除去用户密码信息。-R load_module指定用于除去用户的可装载 I&A 模块。安全性访问控制：此命令只授权执行（x）访问给 root 用户和安全组成员。此命令应作为程序安装在

15、可信的计算库（TCB）。 此命令应该由有 setuid（SUID）位设置的用户拥有。文件存取：方式文件rw/etc/passwdrw/etc/security/passwdrw/etc/security/userrw/etc/security/user.rolesrw/etc/security/limitsrw/etc/security/environrw/etc/security/audit/configrw/etc/grouprw/etc/security/group审查事件：事件信息USER_Remove用户示例1. 要从本地系统除去用户 davis 帐户和它的属性，输入： rmuser

16、 davis2. 要除去用户 davis 帐户和它的所有属性，包括在 /etc/security/passwd 中的密码和其他用户认证信息，输入： rmuser-pdavis3. 要除去用 LDAP 装入模块创建的用户 davis,输入： rmuser -R LDAP davis文件/usr/sbin/rmuser包含 rmuser 命令。/etc/passwd包含用户的基本属性。/etc/security/passwd包含密码信息。/etc/security/limits定义资源限额和每个用户的限制。/etc/security/user包含用户的扩展属性。/etc/security/user

17、.roles包含用户的管理角色属性。/etc/security/environ包含用户的环境属性。/etc/security/audit/config包含审计配置信息。/etc/group包含组的基本属性。/etc/security/group包含组的扩展属性。passwd 命令用途更改用户密码。语法passwd -R load_module -f | -s User 描述passwd 命令设置和更改用户密码。使用此命令更改自己或者另一个用户的密码。使用 passwd 命令也能更改与登录名关联的全名（gecos）和用来作为操作系统界面的 shell。根据用户的定义，用户的密码可以存在于本地或远

18、程。本地密码存在于 /etc/security/passwd 数据库中。远程密码存在于网络信息服务（NIS）或者分布式计算环境 （DCE）数据库。要更改自己的密码，请输入 passwd 命令。passwd 命令提示非 root 用户输入旧密码（如果存在），然后提示输入两次新密码。（密码不显示在屏幕上。）如果两次新密码的输入不一致， passwd 命令提示重新输入新密码。注:passwd 命令只使用密码的头八个字符作为本地和 NIS 密码。在密码中只支持 7 位字符。由于这个原因，本地语言支持（NLS）代码点不允许出现在密码中。要更改另一个用户的密码，请输入 passwd 命令和用户的登录名（U

19、ser 参数）。只有 root 用户或者安全组成员才允许更改另一个用户的密码。passwd 命令提示输入用户的旧密码以及用户的新密码。然而，passwd 命令并不提示 root 用户旧用户密码、root 密码以及加给 root 用户任何密码限制。/etc/passwd 文件记录全名和使用的 shell 的路径名。要更改记录名，请输入 passwd -f 命令。要更改登录 shell，请输入 passwd -s 命令。根据密码限制，在 /etc/security/user 配置文件中构造本地定义的密码。此文件包含下列限制： minalpha指定字母字符的最小数目。minother指定其它字符的最

20、小数目。minlen指定字符的最小数目。 注:此值由 minalpha 值加上 minother 值和 minlen 值中的大者。mindiff指定出现在新密码中但没出现在旧密码中的字符的最小数。 注:此限制并不考虑位置。如果新密码是 abcd 并且旧密码是 edcb ，不同字符数就是 1。maxrepeats指定在密码中单个字符使用的最大次数。minage指定密码能够更改的最小寿命。密码必须保持一个最小周期。此值用周来评测。maxage指定密码的最大寿命。密码必须在指定的周数后更改。maxexpired指定用户可以更改密码的超出最大寿命 maxage 的最大周数。histexpire指定用户

21、不能重用密码的周数。histsize指定用户不能重用的前几个密码的数目。dictionlist指定更改密码时要检查的字典文件列表。pwdchecks指定更改密码时要调用的外部密码限制方法的列表。如果 root 用户添加了 NOCHECK 属性到在 /etc/security/passwd 文件中的标志条目中，密码就不必满足这些限制。另外，root 用户也可指定新密码给其它用户而不遵循密码的限制。如果 root 用户在标志条目中添加了 ADMIN 属性或者如果在 /etc/passwd 文件中的 password 字段包含 * （星号），则只有 root 用户才能更改密码。如果在 /etc/pa

22、sswd 中的 password 字段包含有 !（感叹号）和在 /etc/security/passwd 文件中的 password 字段包含有 * （星号），则 root 用户拥有更改您的密码的超级特权。如果 root 用更改您的密码，则 ADMCHG 属性就会自动地添加到在 /etc/security/passwd 文件中的标志条目上。这种情况下，您必须在下次登录时更改密码。如果 /etc/security/user 文件中用户的 registry 值是 DCE 或者 NIS，则密码更改只能在指定的数据库中进行。标志-f更改由 finger 命令访问的用户信息。可以使用此标志提供在 /et

23、c/passwd 文件中的全名。-s更改登录 shell。-R load_module指定可装入 I&A 模块，来更改用户的密码。安全性访问控制：安装此程序为可信计算库的一部分，并可让所有用户执行。另外，此程序应该运行 setuid 以成为 root 用户来获取对密码文件的写访问。文件存取：方式文件r/etc/security/userrx/usr/lib/security/DCErx/usr/lib/security/NISrw/etc/passwdrw/etc/security/passwdr/etc/security/login.cfg审计事件：事件信息PASSWORD_Changeus

24、er示例1. 要更改密码，请输入： passwdpasswd 命令提示输入旧密码，如果它存在并且您不是 root 用户。输入旧密码后，命令提示输入两次新密码。2. 要更改 /etc/passwd 文件中的全名，请输入： passwd-fpasswd 命令显示为您的用户标识存储的名称。例如，对于登录名 sam ， passwd 命令能够显示以下消息： sams current gecos:Sam Smith是否更改？如果输入 Y（是），passwd 命令提示输入新名。 passwd 命令记录输入的名称到 /etc/passwd 文件中。3. 要在下次登录时使用不同的 shell，请输入： pas

25、swd - spasswd 命令列出可用的和当前使用的 shell 的路径名。此命令也显示提示： 是否更改？如果输入 Y（是），passwd 命令提示输入要使用的 shell。下次登录时系统提供在此指定的 shell。文件/usr/bin/passwd包含 passwd 命令。/etc/passwd包含用户 ID、用户名、主目录、登录 shell 和 finger 的信息/etc/security/passwd包含加密的密码和安全性信息。pwdadm 命令用途管理用户密码。 语法pwdadm -fFlags | -q| -c User描述pwdadm 命令管理用户密码。root 用户或安全组成

26、员可提供或更改 User 参数指定的用户的密码。在被允许更改其它用户密码之前，命令的调用者必须在查询时提供密码。执行命令时，设置 ADMCHG 属性。这样强制用户在下次使用login 或 su 命令时更改密码。root 用户和安全组的成员不应该使用该命令更改他们的个人密码。ADMCHG 属性将要求他们在下次使用 login 命令或 su 命令时再次更改他们的密码。只有 root 用户或具有密码管理权限的用户（其 admin 属性在 /etc/security/user 文件中设置为真）可更改管理用户的密码信息。只有 root 用户，安全组成员，或具有密码管理权限的用户可提供或更改 User 参

27、数指定的用户的密码。执行此命令时，/etc/passwd 文件中的用户的 password 字段设置为 !（感叹号），表示密码的加密版本在 /etc/security/passwd 文件中。当 root 用户或安全组成员使用 pwdadm 命令更改用户密码时，将设置 ADMCHG 属性。新密码必须依照 /etc/security/user 文件中的规则定义，除非包含 -f NOCHECK 标志。密码只支持七位字符。通过在 pwdadm 命令中包含 -f 标志，root 用户或安全组成员能够设置更改密码规则的属性。如果使用 -f 标志时在 /etc/security/passwd 文件中没有密码

28、条目，则 /etc/passwd 文件中的密码字段将设置为 !（惊叹号），并且一个 *（星号）将出现在 password= 字段以表示未设置密码。-q 标志允许 root 用户或安全组成员查询密码信息。只出现 lastupdate 属性和 flags 属性的状态。加密密码保持隐藏状态。-c 标志清除 /etc/security/passwd 文件中设置的所有标志。标志-f Flags指定密码的 flags 属性。 Flags 变量必须来自以下逗号分隔的属性列表： NOCHECK 表示新密码不需要遵循 /etc/security/user 文件中为密码组合建立的规则。 ADMIN 指定密码信息只

29、可以被 root 用户更改。只有 root 用户能启用或禁用此属性。 ADMCHG 不更改用户的密码而重新设置 ADMCHG 属性。这强制用户在下次使用 login 命令或 su 命令时更改密码。当由 User 参数指定的用户重新设置密码时，清除此属性。 -q查询密码的状态。出现 lastupdate 属性和 flags 属性的值。-c清除 /etc/security/passwd 文件中设置的所有标志。安全性访问控制：只有 root 用户和安全组成员对于该命令有执行（x）访问权限。命令需要给予 root 用户 trusted computing base 属性和 setuid 以使其对 /etc/passwd 文件、/etc/security/passwd 文件以及其它用户数据库文件具有写（w）访问权限。文件访问：方式文件rw/etc/passwdrw/etc/security/passwdr/etc/security/user审计事件：事件信息PASSWORD_Change用户PASSWORD_Flags用户 ， 标志示例1. 要为用户 susan 设置密码，安全组成员输入： pwdadmsusan给出提示时，调用这个命令的用户在可以更改 Susan 的密码之前被提示输入密码。2. 要查询用户 susan 的密码状态，安全组成员输入： pwdadm-qsusan此命