何建立第二個root用戶
AIX V3, V4
建立第二個root用戶
步驟如下:
1. 添加一個用戶
2. 手工修改/etc/passwd文件中的 user ID 和 group ID
3. 將user ID改為0.
如下,可對用戶russ做改動:
將 russ:!:206:1::/u/russ:/bin/ksh
改為:russ:!:0:0::/u/russ:/bin/ksh
具有root權限的用戶可執行一條命令,完成特定的任務。如下你可以建立一個用戶(shutdown)負責系統的重啟動.
在AIX 3.2.5中:
shutdown:!:0:0::/u/shutdown:/etc/shutdown -Fr
在AIX 4:
shutdown:!:0:0::/u/shutdown:/usr/sbin/shutdown -Fr
這個用戶一注冊,操作系統就會重起。
AIX 的許可權限
說明
如何查看許可權限
許可權限字母的意義
當產生文件或目錄時, 如何決定性權限
如何改變文件或目錄的所有者或組
如何改變文件或目錄的權限
ACL
文件系統和目錄安裝點權限
NFS安裝文件系統許可
本文介紹了AIX 如何控制文件和目錄的權限 。所有文件和目錄對以下對象都有權限控制 : 所有者(通常是創造文件的人)
用戶組(將該組作為組集之一部分或主組的任何人)
其他人(不是所有者或不屬於這個群的用戶以外的任何用戶)
AIX 4.3版本和RS/6000產品資料可在以下網址獲得 :
1.如何查看許可權限
執行命令" Is -l file_name " 或" Is -ld directory-name" 會顯示不同的數據, 左側的一個 有10個字符的字串:
—rwxrwxrwx
該字符串可分解為3個許可權限集:
—rwx rwx rwx
| | |其他用戶許可 。
| |
| |
| 把該組作為主組或作為他們組集之一部分的用戶許可。
|
文件或目錄所有者許可
這些命令同時也顯示文件或目錄的所有者和用戶組 。
—rwxrwxrwx joe joegroup
許可 所有者 用戶組
所顯示的所有者名稱來自 /etc/passwd。文件的inode 存儲用戶的Id 。如果你看到的是一個數字而不 是名稱,這就是說/etc/passwd文件無法讀取,或該文件不存在此用戶id 。同樣,用戶組的名稱來自/etc/group 文件.
系統首先檢查你是否是所有者;如果是,你會得到所有者的許可權限 ,即使這個許可比 “用戶群”或“其他人”許可權限集嚴格。
然後系統會檢查你是否將該組列為主組或組集的一部分。如果是,你會得到組許可,盡管這些 許可限制比“其他人”許可權限集更嚴格。
如果你既不是所有者也不是組集的一部分,你會得到“其他人”的許可。
2. 許可權限的字母的意義
許可權限字母的意思因文件或目錄的不同而有區別。讀/寫目錄的權限與讀/寫目錄所指文件的權限無關。
對於目錄,許可權限字母的含義如下:
r --- 指讀目錄中文件列表的能力,如"ls"命令。
注 :如果只有讀目錄列表的許可,則不可以在目錄內部執行命令。
x ---目錄搜索能力。可以在已知文件名時在目錄中執行此文件。一般來說,大多數目錄操作都要求讀?和搜索(x)權限。
w---同搜索(x)權限共同使用時,在目錄中產生或刪除文件的能力。如果目錄具有寫的權限,而沒有在文件寫的權限,你仍可以刪除文件,但不可以修改文件.
t ---指鏈接權限。設置鏈接權限可防止除文件所有者、根用戶和目錄所有者之外的所有用戶刪除文件,雖然目錄中的權限可能允許刪除這個文件。在這種情況下,可為“其他人”設置搜索(x)位。
T---同t相同,但不為其他用戶設置搜索(x)位。
s---不適用於所有者。用於用戶組 ,它成為組的繼承位(sgid,亦稱set groupid) 。這個目錄中創建的所有文件都與此目錄有同樣的組。
S---與s相同,但不為用戶組設置搜索(x) 。
對於文件,許可字母有下列含義:
r--- 指閱讀文件的能力。
w--- 指修改文件的能力。只有在目錄中有寫權限時才可以創建或刪除文件。
x--- 指執行文件的能力。
3. 當產生文件或目錄時,如何決定性權限?
用戶id(uid)用來設置文件所有者。主組用來設置用戶組(除非創建文件的目錄有Sgid位設置)。
"umask "可設置初始權限。在命令行中鍵入"umask "命令,查看當前設置 ,如要修改" umask"設置,輸入umask號碼,如:
umask 022。
"umask" 命令不設置文本文件和腳本文件而只在目錄中設置執行位。
如果你創建一個目錄或文本文件,可按以下例子設置權限 :
以umask 022為例 :
777-022=755
666-022=644
執行"ls -l",會顯示以下權限,(r=4, w=2, x=1)
目錄:rwxr-xr-x
文本文件:rw-r--r--
4.如何改變文件或目錄的所有者或組?
"chown "和 "chgrp" 命令用於改變所有者和組。只有"根 "用戶才能改變文件的所有者。" 根"用戶或文件的擁有者可以改變這個文件的組。
使用Chgrp命令:chgrp (New_group_name) (file_name)
使用Chown命令: Chown (new_owner) (file_name) 或 chown (new_owner) (file_name)
5.如何改變文件或目錄的權限?
使用"chmod "命令來改變文件或目錄的權限.權限可以用字母或數字表示。讀 ? = 4 ,寫(w) = 2 ,執行(或搜索)(x) = 1
這些數字加到一起就得到用於chmod命令的數字.(注意:如果您正在文件或目錄中使用ACL,使用數字模式chmod命令會使ACL無效) 。
如 :所有者權限:讀+寫+執行= 4+2+1=7
組 許 可 權 限 : 讀 + 寫 = 4+2 =6
其他用戶許可權限:閱讀=4
chmod 764 file_name。
如要設置特殊位如suid(設置用戶ID)、sgid和鏈接數位,chmod命令需要第四個數字。
suid=4
sgid=2
link=1
如要在前面的例子中加入suid許可,它的命令是:
chmod 4764 file_name
如果采用符號模式,首先確定要改變哪個位置所有者 、組[g] ,其他[o] 或所有[a])和要加(+)或減(- )哪些符號。要為所有者增加讀和寫的權限,可采用以下兩種方式:
chmod u+r u+w (file_name) 或 chmod u+rw (file_name)
6. ACL
ACL是對標准權限位的擴展。通過修改分配給個人或組的標准權限,對每個文件或目錄進行更精細的控制。對每個組或用戶,有3種權限分配情況:
PERMIT : 准許對文件或目錄的特定權限。
DEMY : 限制對文件或目錄的特定權限。
SPECIFY : 明確地定義文件或目錄權限。
"acledit "命令用於建立ACL。首先必須設置文本編輯器.如:export EDITOR=/usr/bin/vi。
然後使用:acledit file_name
屏幕上將會顯示:
attributes:
base permissions
owner (rcunning): rwx
group (staff): r—
others: ---
extended permissions
disabled
要設置擴展的權限,將“disabled ”設置改為“enabled”:
extend permissions
enabled
使用permit、deny 或specify關鍵字來定義擴展權限。前面的例子表明只有所有者能對這個文件寫操作。組成員能讀此文件而其他用戶則沒有任何許可權限。如果要使用戶" joe"能夠讀寫這個文件,用以下命令:
extended permissions
enabled
permit rw- u: joe.
要允許組用戶joegroup讀這個文件,用以下命令:
rermit r-- g: joegroup
你能夠通過在同一行中合並多個條目來對權限進行微調。如果只想為pete提供讀寫權,而他是系統組的一部分,則用以下命令:
permit rw- u: pete, g: system
要為幾個用戶或組增加許可權限,則使用分行命令 :
permit rw- u: joe
permit rw- u: pete
使用" ls -el"命令,查看ACL是否已在文件中設置。如"ls -el profile"命令顯示:
— rwxw--------+
最後的+表示文件已具 有有效的ACL 。
注意:使用有數字爭議的chmod 命令將使文件或目錄的ACL無效。
7.文件系統和目錄安裝點權限
文件系統安裝在目錄安裝點上。安裝點和文件系統都有權限。安裝點的權限由文件系統創建時所采用的umask設置來決定。
雖然已安裝文件系統的權限優先於安裝點的權限,但安裝點必須盡可能限制每個人的搜索權限(也就是111)來避免不可預測的結果。記住,安裝文件系統後,不能看到安裝點上的權限。在檢查或改變安裝點權限之前,必須卸載(umount )文件系統。
在創建文件系統時,缺省權限來自基本文件,同時sgid (組 繼 承)位被設置。用戶的umask不用於文件系統中而只用於基礎安裝點。
8.NFS安裝文件系統許可
網絡文件系統(NFS)安裝在當地目錄中。目錄安裝點在創建網絡安裝文件系統時建立。安裝點在建立時使用當前的umask設置來決定許可權限。
NFS安裝文件系統使用一個叫作nobody的特殊用戶id。這個uid一般都是很大的數字,以便使它不會和真實用戶id發生沖突。除非NFS服務器在/etc/passwd中有您的用戶id(不是文本名) ,否則你在遠程安裝文件系統時所享有的權限只使用該假用戶nobody。如果你的用戶id碰巧與遠程系統的某個有效id相吻合,你就會成為是由那個所有者創建的所有文件的所有者。這有可能導致無法預見的嚴重後果。如果你希望能夠在遠程系統中創建和擁有文件,你的本地系統和服務器系統必須具有與/etc/passwd文件中相匹配的用戶(用戶名稱和相同的id號碼)。而且文件系統必須以能夠讀和寫的形式輸出。
"根"用戶是一個特殊情況。由於“根”用戶id在所有系統中都是0,如果沒有特殊保護,任何安裝該文件系統的系統都將成為該服務器系統的根。因此,NFS文件系統的輸出必須帶有一些主機名稱的" 根"接入,以便使您可以從這些主機名稱中要求特殊的"根"接入。如果文件系統不以這種方式輸出,"根"就成為用戶nobody.
如何限制用戶改變密碼
RS6000,AIX V4
如何限制用戶改變密碼?
可以用命令pwdadm -f ADMIN username來實現,如果想讓用戶恢復更改密碼的權利,運行pwdadm -f ADMCHG username 來重置.
非root用戶的登錄問題
本文檔描述了非root用戶的登錄及權限問題, 以及這些問題如何通過檢查目錄和文件的權限, 屬主及屬組來解決.
問題的症狀
. 用戶得到下面的錯誤信息, 可能指明組文件丟失或被破壞:
3004-010 設置終端屬主和模式失敗
/etc/passwd 文件中對應該用戶的主組不能在/etc/group文件中被找到.
如 tps:!:215:1::/u/tps:/bin/ksh
在上例中, 組號為1. 檢查/etc/group文件確認組號1存在.
. 只有root用戶可以登錄, 一般用戶得到下面的錯誤信息:
3004-009 運行登錄初始程序失敗
或
系統不可用
. 執行命令 su - [user_name] 時返回如下錯誤:
3004-505 不能設置進程環境
. 用戶登錄後得到如下錯誤信息:
0653-345 權限被拒絕
(當登錄後進行任何操作時)
或
ksh: pwd: 不能訪問父目錄
(當登錄後執行pwd命令時)
這些現象是由於用戶不能執行登錄初始程序或由於用戶主目錄的權限問題造成的.
檢查問題文件和目錄的步驟
下述步驟說明如何檢查有權限問題的文件或目錄.
如果任何文件或目錄的權限有問題, 使用命令 chmod, chown 或 chgrp 更改相應的權限, 屬主或屬組.
如果符號鏈接丟失, 使用ln命令重建它.
例如, 要創建/bin鏈接到/usr/bin, 執行下面的命令:
ln -s /usr/bin /bin
步驟
1. 以root身份登錄
2. 如果非root用戶登錄時得到的是系統不可用的錯誤, 則繼續本步驟. 否則, 跳到下一步.
用命令 ls -l /etc/nologin 命令檢查文件/etc/nologin.
如果文件/etc/nologin存在, 用命令 rm /etc/nologin 刪除它.
對於AIX 4.x, 執行:
cd /
ls -al
輸出舉例:
drwxr-xr-x 19 bin bin 1024 Dec 12 21:14 .
drwxr-xr-x 19 bin bin 1024 Dec 12 21:14 ..
lrwxrwxrwx 1 bin bin 8 Nov 22 09:37 bin -> /usr/bin
drwxrwxr-x 4 root system 2048 Dec 12 21:12 dev
drwxr-xr-x 12 root system 2048 Dec 12 21:11 etc
drwxr-xr-x 5 bin bin 512 Nov 22 14:51 home
lrwxrwxrwx 1 bin bin 8 Nov 22 09:37 lib -> /usr/lib
drwxr-xr-x 20 bin bin 512 Nov 22 13:33 lpp
drwxr-xr-x 3 bin bin 512 Nov 22 09:37 sbin
lrwxrwxrwx 1 bin bin 5 Nov 22 09:37 u -> /home
drwxr-xr-x 20 bin bin 512 Nov 22 14:24 usr
drwxr-xr-x 12 bin bin 512 Nov 22 12:59 var
3. 執行:
ls -ld /usr/bin /usr/lib /tmp
輸出舉例:
drwxr-xr-x 3 bin bin 10752 Nov 22 12:53 /usr/bin
drwxr-xr-x 28 bin bin 4096 Dec 15 17:08 /usr/lib/
drwxrwxrwt 8 bin bin 2560 Jan 22 14:46 /tmp/
4. 執行:
ls -l /usr/bin/csh /usr/bin/ksh /usr/bin/bsh
輸出舉例:
-r-xr-xr-x 2 bin bin 341020 Nov 22 09:37 /usr/bin/bsh
-r-xr-xr-x 1 bin bin 154412 Nov 22 09:37 /usr/bin/csh
-r-xr-xr-x 4 bin bin 230148 Nov 22 09:37 /usr/bin/ksh
確定用戶的主目錄. 在這些步驟中, 假定用戶的ID和目錄為"user_one".
5. 執行:
ls -ld u/user_one (use path of user's directory)
輸出舉例:
-drwxr-xr-x 9 user_one system 7680 Dec 24 15:00 /u/user_one
該目錄應被此用戶所有, 並且此用戶應對它有rwx權限.
6. 執行:
cd /u/user_one
ls -al | pg
輸出舉例:
drwxr-xr-x 9 user_one system 7680 Dec 24 15:00 .
drwxr-xr-x 71 bin bin 1536 Dec 14 09:37 ..
"."目錄的所有者應為該用戶. ".."目錄的權限對於組和其它用戶至少應為r-x.
7. 如果用戶仍然有權限被拒絕的問題, 但沒有登錄的問題, 則可能是由於文件系統mount點的權限造成的.
為了檢查mount點的權限, 文件系統必須首先被unmount. 一些文件系統的mount點則只能在進入系統維護模式的情況下進行檢查.
如何屏蔽某一用戶的ftp訪問?
產品: AIX
平台: RS
機型: RS6000
如何屏蔽某一用戶的ftp訪問?
將被拒絕的用戶名加入到/etc/ftpusersw文件中
var/adm/wtmp檔案太大怎麼辦
產品:RS/6000
軟件:AIX
/var/adm/wtmp文件保存所有用戶登錄的訊息,隨著時間會增長到很大,/var/adm/wtmp檔案太大時怎麼辦?
/var/adm/wtmp檔案太大時,有時需要清理或編輯整理。
要清理它,執行cp /dev/null /var/adm/wtmp.
要編輯整理部分清理,用fwtmp命令先將文件wtmp變成ASCII格式的檔案dummy.file:
/usr/sbin/acct/fwtmp < /var/adm/wtmp > dummy.file,
編輯之後用
/usr/sbin/acct/fwtmp -ic < dummy.file > /var/adm/wtmp
再將ASCII文件轉變成二進位文件.
JESMSG顯示屏幕,進行類似於上述2中的操作即可.
AIX 用戶的系統資源使用限制
說明
適用操作系統
網絡配置步驟
本文介紹的是AIX用戶的系統資源使用限制,以及修改方法。
適用操作系統
AIX V4
網絡配置步驟
AIX 用戶使用的系統資源限制包括兩個概念 --- 硬限制(hard limits) 和軟限制(soft limits)。
hard limits自AIX 4.1版本開始引入。hard limits 應由AIX系統管理員設置,只有security組的成員可以將此值增大,
用戶本身可以減小此限定值,但是其更改將隨著該用戶從系統退出而失效。使用下列命令可以查看hard limits的限定值:
ulimit -Ha
soft limits 是AIX核心使用的限制進程對系統資源的使用的上限值。此值可由任何人更改,但不能超出
hard limits值。這裡要注意的是只有security組的成員可使更改永久生效,普通用戶的更改在其退出系統
後將失效。使用以下命令可以查看soft limits的設置:
ulimit -a
下面為系統的soft limits的默認值:
3.2
4.1-4.3
===============
=================
fsize = 2097151
fsize = 2097151
core = 2048
core = 2048
cpu = 3600
cpu = -1
data = 131072
data = 262144
rss = 65536
rss = 65536
stack = 8192
stack = 65536
nofiles = 2000*
nofiles=2000 *
* 該值(nofiles)只能在AIX 4.3.1 或以後的版本中更改。
上述定義作為默認值存放在文件 /etc/security/limits 中,在新用戶被加進系統後生效。直接更改此文件中的定義值
需要將系統重新啟動以便使更改生效。將相應值該為"-1" 表示不受 soft limits的限制(unlimited)。
下面我們將就各字段逐一進行介紹:
fsize 用戶創建的文件大小限制。此定義值(512字節為單位)為該用戶可以生成的最大文件的大小。
core 生成的core文件大小的限制(512字節為單位)。
cpu 用戶進程可用cpu的限定值(以秒為單位)。普通用戶只能將此值減小,root可以將此值增大。這裡要注意的
是進程使用CPU的時間取決於AIX Kernel(核心程序)進程調度算法,該值在此僅做參考。
data 進程數據段大小的限定值(以字節為單位)。
stack 進程堆棧段大小的限定值(以字節為單位)。
rss 進程常駐內存段的限定值(以字節為單位)。AIX核心並不參考此限定。
nofiles 進程中打開文件的最大數量。此限定在AIX 4.3.1之前的版本中固定為2000。在AIX 4.3.1及其之後的版本中
可將此值增大至32767。
下面介紹三種修改上述限定值的方法:
1. 編輯文件/etc/security/limits,直接修改各定義值。此更改在系統重新啟動後生效。
2. 使用命令ulimit修改默認值。例如:
ulimit -f value
ulimit -c
ulimit -t
ulimit -d
ulimit -s
ulimit -m
ulimit -n
將修改fsize, core, cpu,data, stack, rss和nofiles的soft limit值。
3. 使用命令chuser修改某用戶的限定值。例如:
chuser fsize=
chuser core= chuser cpu=
chuser data=
chuser limit=
chuser rss=
chuser nofiles=
將用戶“username”的soft limits改為值“value”。
chuser hard_fsize=
chuser hard_core=
chuser hard_cpu=
chuser hard_data=
chuser hard_limit=
chuser hard_rss=
chuser hard_nofiles=
將用戶“username”的hard limits改為值“value”。
[技術文檔]目錄:
[技術文檔]說明/內容摘要:
[技術文檔]詳述:
更改HACMP環境裡網卡的ip地址
AIX,HACMP
如何更改HACMP環境裡網卡的ip地址?
更改HACMP環境裡網卡的ip地址的步驟如下:
1.運行命令:
/usr/sbin/cluster/utilities/cllsif > /tmp/cllsif.orig ,
/tmp/cllsif.orig文件裡就包含您的HACMP網卡當前的ip地址;
2.停止您系統上正在運行的與當前ip地址有關所有應用;
3. 停止所有有關節點系統的HACMP服務:
smitty hacmp
Cluster Services
Stop Cluster Services
4.停止所有有關節點系統的TCPIP服務 :
stopsrc -g tcpip
5.更改各個節點的HACMP網卡的boot和standby地址:
smitty tcpip
Minimum Configuration and Startup
6.在各個節點上編輯/etc/hosts文件,更改成要求的ip地址:
boot,service和standy的ip地址;
7. 在各個節點上啟動TCPIP服務:
startsrc -g tcpip
8. 用ping或者telnet命令來測試並確保各個節點在網絡中是可訪問的;
9.在HACMP的配置裡更改ip地址:
smitty hacmp
Cluster Configuration
Cluster Topology
Configure Adapters
Change/Show and Adapter
10. 同步cluster的拓撲結構:
smitty hacmp
Cluster Configuration
Cluster Topology
Synchronize Cluster Topology
11.檢驗環境:
smitty hacmp
Cluster Configuration
Cluster Verification
12. 運行命令:
/usr/sbin/cluster/utilities/cllsif > /tmp/cllsif.new ,
比較/tmp/cllsif.new文件和先前的/tmp/cllsif.orig文件,所有ip地址的改變都將反映出來;
13.把各個節點上除了rootvg外的所有卷組都置為不可用狀態:
varyoffvg vgname ;
14.啟動 HACMP服務:
smitty hacmp
Cluster Services
Start Cluster Services
15. 如果用了DNS服務,對DNS服務器做必要的更改;
16. 用新的ip地址進行HACMP的資源接管測試。
如何搜集TCP/IP問題的相關資料
在TCP/IP發生問題時,可搜集相關信息,寄給IBM來診斷
這篇文章主要描述了如何搜集TCP/IP問題的相關資料,然後可以把這些資料傳給IBM做技術分析,通過本方法搜集的信息資料比較完全,以避免來回搜集資料的煩瑣。這些搜集的資料既可以用來診斷比較簡單明顯的問題,也可以用來診斷比較復雜的問題甚至是系統bug。
