AIX主机用户口令管理设置操作
AIX主机用户口令设置
1.编辑/etc/security/user文件,修改default的控制项(共七项)。default:
admin = false
login = true
su = true
daemon = true
rlogin = true
sugroups = ALL
admgroups =
ttys = ALL
auth1 = SYSTEM
auth2 = NONE
tpath = nosak
umask = 022
expires = 0
SYSTEM = "compat"
logintimes =
pwdwarntime =7
account_locked = false
loginretries = 0
histexpire = 0
histsize = 5
minage = 0
maxage = 8
maxexpired = 1
minalpha = 2
minother = 0
minlen = 6
mindiff = 0
maxrepeats = 2
dictionlist =
pwdchecks =
2.修改系统用户的参数,使其不受default参数的影响。如下:
root:
admin = true
SYSTEM = "compat"
registry = files
loginretries = 0
account_locked = false
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
daemon:
admin = true
expires = 010*******
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
bin:
admin = true
expires = 010*******
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
sys:
admin = true
expires = 010*******
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
adm:
admin = true
pwdwarntime = 0
histsize = 0
maxage = 0
minalpha = 0
minlen = 0
maxrepeats = 8
uucp:
admin = true
login = false
rlogin = false
su = true
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
guest:
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
nobody:
admin = true
expires = 010*******
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
lpd:
admin = true
expires = 010*******
pwdwarntime = 0
histsize = 0
maxage = 0
minalpha = 0
minlen = 0
maxrepeats = 8
invscout:
admin = true
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
snapp:
admin = false
rlogin = false
su = false
SYSTEM = "NONE"
login = true
ttys = /dev/tty0
registry = files
dce_export = false
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
ipsec:
admin = false
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
nuucp:
admin = false
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
3.修改cognos、weblogic、oracle等用户的参数,使其不受default参数的影响。cognos:
admin = false
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
oracle:
admin = false
pwdwarntime = 0
histsize = 0
maxage = 0
maxexpired = -1
minalpha = 0
minlen = 0
maxrepeats = 8
4.需做口令控制的用户不作任何修改。如:
pwtest:
admin = false
域用户与组账户的管理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.360docs.net/doc/0611682403.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.360docs.net/doc/0611682403.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/0611682403.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
实验七 linux用户管理和密码管理
实验7 用户管理和密码管理 1 实验目的 1、通过实验掌握用户和组的管理命令。 2、了解与用户和组管理相关的文件。 2 实验环境 VMware中已经安装好CentOS6.2版本。 3 实验原理或背景知识 3.1 用户管理命令 用户管理的命令主要有3个,即useradd、userdel和usermod,分别用于用户的建立、用户的删除和用户属性的修改。它们的详细说明可参见教材P73~P74或查看帮助手册。 3.2 组管理命令 组管理命令主要有groupadd、groupdel和groupmod等,分别用于组的建立、组的删除和组的属性修改。它们的详细说明可参见教材P75或查看帮助手册。 3.3 密码管理 密码管理的命令是passwd和chage,passwd使用可参见教材P76或查看帮助手册,chage 的使用可参见man手册。 3.4 与用户管理相关的文件 与用户管理相关的文件有/etc/passwd、/etc/shadow、/etc/group、/etc/login.defs、/etc/default/useradd等,用于对用户设置和登录项目进行控制。这些文件的说明可参见教材。 4 实验任务 1、使用useradd、userdel、usermod、passwd、groupadd、groupdel等命令建立用户和
组,删除用户和组,修改用户或组的属性,将用户添加进入组或者从组中删除。 2、通过修改管理文件达到管理用户或组的目的。 5 实验步骤 练习1:使用命令进行用户帐号的管理操作 1、创建一个用户,用户名为Tom,描述信息为tommy,用户组为Tom,登录shell为 /bin/csh,登录主目录为/home/tom_office,用户ID为3600,帐号过期日期为2010处10月8号。 2、将用户帐号名由Tom改为Tommy。 3、为用户Tommy设置密码。 4、将用户帐号Tommy的帐号过期日期设为2010年9月30日,密码的最大生存期设 为100天,密码过期前10天起开始提醒用户。 练习2:使用命令进行用户组帐号的管理操作 5、创建一个GID为506,组名为company的用户组帐号。 6、创建用户Tom、employee1、employee2。 7、指定用户帐号Tom为用户组company的组管理员。 转换到用户帐户Tom登录,将用户employee1、employee2加入到组company中。 8、查看登录到系统的用户有哪些,再给这些用户发个消息通知他们你将在10分钟后关机。 6 实验总结 总结管理用户和组的命令有哪些?各有什么作用?
统一用户及权限管理系统概要设计说明书范文
统一用户及权限管理系统概要设计说 明书
统一用户及权限管理系统 概要设计说明书 执笔人:K1273-5班涂瑞 1.引言 1.1编写目的 在推进和发展电子政务建设的进程中,需要经过统一规划和设计,开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台能够实现用户一次登录、网内通用,避免多次登录到多个应用的情况。另外,能够对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设。 本文档旨在依据此构想为开发人员提出一个设计理念,解决在电子政务整合中遇到的一些问题。 1.2项目背景 随着信息化建设的推进,各区县的信息化水平正在不断提升。截至当前,在各区县的信息化环境中已经建设了众多的应用系统并投入日常的办公使用,这些应用系统已经成为电子政务的重要组成部分。 各区县的信息体系中的现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的,如:邮件系统、政府内
部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中,大多数都有自成一体的用户管理、授权及认证系统,同一用户在进入不同的应用系统时都需要使用属于该系统的不同账号去访问不同的应用系统,这种操作方式不但为用户的使用带来许多不便,更重要的是降低了电子政务体系的可管理性和安全性。 与此同时,各区县正在不断建设新的应用系统,以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。 1.3定义 1.3.1 专门术语 数据字典:对数据的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述,其目的是对数据流程图中的各个元素做出详细的说明。 数据流图:从数据传递和加工角度,以图形方式来表示系统的逻辑功能、数据在系统内部的逻辑流向和逻辑变换过程,是结构化系统分析方法的主要表示工具及用于表示软件模型的一种图示方法。 性能需求:系统必须满足的定时约束或容量约束。 功能需求:系统必须为任务提出者提供的服务。 接口需求:应用系统与她的环境通信的格式。 约束:在设计或实现应用系统时应遵守的限制条件,这些
AIX系统巡检
AIX系统的日常监控维护 1、#df –k 如果占用率(%Iused)超过90%,则需要进行空间调整。 2、#errpt |more 命令分页查看系统出错日志(包括硬件与软件的出错信息)。根据显示的信息判断系统硬件及软件的运行情况。输入:errclear 0命令,清除现有的系统日志。 3、#last命令检查系统登陆情况 #last,显示各个login用户(如:root等)登陆的信息。如果发现有异常的登陆用户或者登陆IP,则进行相应安全性的检查及处理。 4、使用find / -name core –print命令检查是否有巨大的core文件生成 在命令提示符“#”后输入:find / -name core –print,表示从系统根目录开始查找所有名为core的文件(巨大的core文件容易造成系统崩溃)。如果存在,一般直接删除即可。 5、使用vmstat命令检查CPU及内存运行情况 在命令提示符“#”后输入:vmstat 5,表示每隔5秒钟显示系统CPU及内存运行情况。查看kthr(kernel运行队列中处于等待状态的进程数)字段的r(运行队列中的进程数)项的显示值,如果该数值是系统实际CPU数的4倍或4倍以上,则表示CPU占用率过高,需要考虑提高系统CPU工作频率;查看memory(虚拟和真实内存的使用信息)字段的fre(空闲页面的数量)项,如果数值低于120,则说明系统内存短缺。有时候数值虽然高于120,也可以根据实际情况调整内存;查看page(页面活动的信息)字段的pi(从页面输入的页)、po(输出到页面的页)、fr(空闲的页面数)及sr(通过页面置换算法搜索到的页面数)项的值,这4个值一般都为0,有时候也有可能为1;最后查看cpu(cpu的使用率)字段的
用户帐户及口令管理办法
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
用户密码管理制度
用户权限管理制度 1、为了适应网络管理的需要,明确网络操作权限,确保网络安全稳定的运行,特制定本制度; 2、网络使用和征管软件的用户权限设置由各单位的网络管理员负责,其他任何人不得进行权限设置; 3、必须对服务器超级用户Administrator和数据库超级用户Sa 进行密码设置,以防止非授权用户对网络和数据库进行非法操作; 4、设置密码长度必须大于8位,必须由字母和数字混合组成,并按季度定期更改; 5、建立密码登记卡,记载密码的变更情况,密码登记卡由网络管理员在每次更改密码后认真填写更改记录并将其封存好,交由办公室放入金库内保存,以防止密码遗忘造成损失; 6、如发生上级网络管理人员需要超级用户权限对网络和数据库进行操作的情况,网络管理人员必须对此操作进行详细记录,并在操作后及时更改超级用户密码; 7、税收征管软件的用户权限必须由各单位的网络管理员设置,用户必须使用自己的用户名登录软件,程序将按用户登录名记载用户所做的操作,并以此确定责任。每个用户必须自己输入和保管密码,如密码泄密,造成冒名登录的,责任由用户自负; 8、在征管软件的使用中,网络管理员本人要建立自己的管理用户名,并赋予包括“系统维护”在内的全部控制权限,其他用户一
律不再赋予“系统维护”权限; 9、网络管理员在建立征管软件管理用户名后,要将0000000用户在系统维护中删除,0000000用户由市局保留使用,管理用户的密码设置和保存比照超级用户密码进行管理; 10、网络管理员要严格执行本制度的规定,做好权限设置和密码保密工作,如因工作失职使密码泄密,造成权限失控、数据遗失等严重后果的,其责任由网络管理员自负。 11、本制度从发布之日起执行。 二〇〇二年五月一日
系统用户及权限管理制度
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
AIX系统基本命令
AIX系统基本命令 mkdir:用于创建目录 $ mkdir oracle $ ls oracle $ rm:用于删除文件或目录(rm –r 删除目录时目录内有内容,用-r一起删除)$ rm -r oracle $ ls $ mv:用于改变文件或目录名 $ mkdir ll $ ls ll $ mkdir kk $ ls kk ll $ mv ll kk $ ls kk $ cd kk $ ls ll $ cd:用于进入系统某一级目录中去 $ cd / $ pwd / $ cd /home/oracle $ pwd /home/oracle $ ls 功能:显示目录中的内容,列出当前目录中所有文件的文件名 参数说明: a:列出目录中所有文件 d:列出所有子目录 l:列出长格式文件信息 举例: ls –a:列出当前目录中的所有文件 $ ls -a #UNTITLED# .dt createdbscripts oracle . .dtprofile dead_letter smit.log .. .profile ll smit.script .TTauthority .sh_history make.log websm.log .Xauthority afiedt.buf mbox websm.script $ ls –l:显示文件的详细信息 $ ls -l
-rw------- 1 201 dba 11174 Sep 17 09:15 err*.log drwxr-xr-x 3 201 dba 512 Sep 22 10:21 tra*.log -rw-r--r-- 1 201 dba 8971 Sep 20 11:08 smit.log -rw-r--r-- 1 201 dba 5437 Sep 20 11:08 smit.script -rw-r--r-- 1 201 system 1682 Sep 02 15:18 websm.log -rw-r--r-- 1 201 system 21441 Sep 02 15:10 websm.script (还有ls –rtl,ls –lt 等相关类似命令) $ date 功能:显示当前日期和时间,超级用户可以进行修改 举例:$ date Mon Sep 22 11:22:33 BEIST 2013 $ wc 功能:计算文件中的行数、字数和字符数 参数说明: c:计算字符数 l:计算行数 w:计算字数 举例: # wc profile 13 53 381 profile | | | 行数字数字符数 $ wc smit.log 422 1162 8971 smit.log $ who 功能:列出当前系统注册的用户 举例:$who am i-- 列出当前系统使用者身份 $ who oracle lft0 Sep 22 09:05 oracle pts/0 Sep 22 10:17 (192.168.100.79) oracle pts/4 Sep 22 09:05 (:0.0) $ who am i oracle pts/0 Sep 22 10:17 (192.168.100.79) $ finger 显示当前登陆到系统中的用户的信息 举例: # finger Login Name TTY Idle When Site I nfo oracle ??? *l0 2:02 Mon 09:05 oracle ??? p4 1:59 Mon 09:05 root ??? p0 Mon 11:06 # finger oracle
配置管理系统
配置管理系统(北大软件 010 - 61137666) 配置管理系统,采用基于构件等先进思想和技术,支持软件全生命周期的资源管理需求,确保软件工作产品的完整性、可追溯性。 配置管理系统支持对软件的配置标识、变更控制、状态纪实、配置审核、产品发布管理等功能,实现核心知识产权的积累和开发成果的复用。 1.1.1 组成结构(北大软件 010 - 61137666) 配置管理系统支持建立和维护三库:开发库、受控库、产品库。 根据企业安全管理策略设定分级控制方式,支持建立多级库,并建立相关控制关系;每级可设置若干个库;配置库可集中部署或分布式部署,即多库可以部署在一台服务器上,也可以部署在单独的多个服务器上。 1. 典型的三库管理,支持独立设置产品库、受控库、开发库,如下图所示。 图表1三库结构 2. 典型的四库管理,支持独立设置部门开发库、部门受控库、所级受控库、所级产品库等,如下图所示。
图表2四级库结构配置管理各库功能描述如下:
以“三库”结构为例,系统覆盖配置管理计划、配置标识、基线建立、入库、产品交付、配置变更、配置审核等环节,其演进及控制关系如下图。 图表3 配置管理工作流程 1.1.2主要特点(北大软件010 - 61137666) 3.独立灵活的多级库配置 支持国军标要求的独立设置产品库、受控库、开发库的要求,满足对配置资源的分级控制要求,支持软件开发库、受控库和产品库三库的独立管理,实现对受控库和产品库的入库、出库、变更控制和版本管理。
系统具有三库无限级联合与分布部署特性,可根据企业管理策略建立多控制级别的配置库,设定每级配置库的数量和上下级库间的控制关系,并支持开发库、受控库和产品库的统一管理。 4.产品生存全过程管理 支持软件配置管理全研发过程的活动和产品控制,即支持“用户严格按照配置管理计划实施配置管理—基于配置库的实际状况客观报告配置状态”的全过程的活动。 5.灵活的流程定制 可根据用户实际情况定制流程及表单。 6.支持线上线下审批方式 支持配置控制表单的网上在线审批(网上流转审批)和网下脱机审批两种工作模式,两种模式可以在同一项目中由配置管理人员根据实际情况灵活选用。 7.文档管理功能 实现软件文档的全生命周期管理,包括创建、审签、归档、发布、打印、作废等,能够按照项目策划的软件文档清单和归档计划实施自动检查,并产生定期报表。 8.丰富的统计查询功能,支持过程的测量和监控 支持相关人员对配置管理状态的查询和追溯。能够为领导层的管理和决策提供准确一致的决策支持信息,包括配置项和基线提交偏差情况、基线状态、一致性关系、产品出入库状况、变更状况、问题追踪、配置记实、配置审核的等重要信息; 9.配置库资源的安全控制 1)系统采用三员管理机制,分权管理系统的用户管理、权限分配、系统操 作日志管理。 2)系统基于角色的授权机制,支持权限最小化的策略; 3)系统可采用多种数据备份机制,提高系统的数据的抗毁性。 10.支持并行开发 系统采用文件共享锁机制实现多人对相同配置资源的并行开发控制。在系统共享文件修改控制机制的基础上,采用三种配置资源锁以实现对并行开发的
信息系统帐户密码管理规定
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
最经典用户权限管理模块设计
实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便 的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致 的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套 管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统 之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
AIX系统常用的命令
AIX系统常用的命令 1、系统性能 (1)看CPU个数#lsdev -C|grepproc#几条记录就是几个CPU (注意考虑AIX 5.3的SMP) (2)看每个CPU的大小#lsattr -El proc0 (3)看内存条数#lsdev -C|grepmem (4)看内存大小#lsattr -El mem0 (5)看硬盘#lsdev -Cc disk (6)查看系统性能#top 或 #topas 2、系统重启:#shutdowm -Fr 3、配网址和路由 (1)配置网址 #smittytcpip #ifconfig en0
5、/etc/inittab中的环境变量只引用/etc/enviormant文件中的设置,其余的如/etc/profile,/.profile中的不引用。 6、磁带机的相关操作: tctlfsf 1 tctlbsf 1 dd if=/temp1 pf=/dev/rmt1 tctl -f /dev/rmt1 rewind tctl -f /dev/rmt1 offline tapeutil -f /dev/rmt1 unmount 2 tapeutil -d /dev/rmt1 mount 2 7、查看硬盘的大小 lspv hdisk4 or lspv -p hdisk3 8、查看操作系统的版本 oslevel -r可以查看AIX当前版本和ML(维护层次), 也可以使用# instfix |grep ML 9、查看Os的bit 1 local364or bootinfo -y
软件配置管理计划(SCMP)
软件配置管理计划(SCMP) 说明 《软件配置管理计划》(SCMP)说明在项目中如何实现配置管理。 软件配置管理计划的正本格式如下: 1引言 本章应分成以下几条。 1.1标识 本条应包含本文档适用的系统和软件的完整标识,(若适用)包括标识号、标题、缩略词语、版本号、发行号。 1.2系统概述 本条应简述本文档适用的系统和软件的用途。它应描述系统与软件的一般性质;概述系统开发、运行和维护的历史;标识项目的投资方、需方、用户、开发方和支持机构;标识当前和计划的运行现场;并列出其他有关文档。 1.3文档概述 本条应概括本文档的用途与内容,并描述与其使用有关的保密性与私密性要求。 1.4组织和职责 描述软件配置管理(SCM)负责人和软件配置控制委员会(SCCB)的组成以及他们在项目中的职责和权限;说明与项目配置管理相关的人员,如项目经理、部门SCM组长的职责;描述以上人员之间的关系。 为了能够清晰的表述,可选用图表的方式进行说明。 1.5资源 描述项目配置管理活动所需的各种资源,包括人员、培训、工具、设备、设施等等。其中人员是指人力成本,它是根据项目开发计划中的总工时计算得出的。 2引用文件 本章应列出本文档引用的所有文档的编号、标题、修订版本和日期。本章还应标识不能通过正常的供货渠道获得的所有文档的来源。 3管理 描述负责软件配置管理的机构、任务、职责及其有关的接口控制。 3.1机构 描述在各阶段中负责软件配置管理的机构。描述的内容如下: a.描述在软件生存周期各阶段中软件配置管理的功能和负责软件配置管理的机构; b.说明项目和子项目与其他有关项目之间的关系; c.指出在软件生存周期各阶段中的软件开发或维护机构与配置控制委员会的相互关系。 3.2任务 描述在软件生存周期各阶段中的配置管理任务以及要进行的评审和检查工作,并指出各个阶段的阶段产品应存放在哪一类软件库中(软件开发库、软件受控库或软件产品库)。 3.3职责 描述与软件配置管理有关的各类机构或成员的职责,并指出这些机构或成员相互之间的关系: a.指出负责各项软件配置管理任务(如配置标识、配置控制、配置状态记录以及配置的评审与检查)的机构的职责; b.指出上述机构与软件质量保证机构、软件开发单位、项目承办单位、项目委托单位以及用户等机构的关系; c.说明由本计划第3.2条指明的生存周期各阶段的评审、检查和审批过程中的用户职
2.用户和组的管理
1)用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: 输入useradd -d /home/user01 user01 输入ls /home 查看是否已经建立user01的主目录 ●查看/etc/passwd文件的最后一行: 输入tail -1 /etc/passwd 显示user01:x:501:501::/home/user01:/bin/bash ●查看/etc/shadow文件的最后一行: 输入t ail -1 /etc/shadow 显示user01:!!:15046:0:99999:7::: ●给用户user01设置密码口令: [root@localhost ~]# passwd user01 Changing password for user user01. New UNIX password: 注意比较不同BAD PASSWORD: it is too simplistic/systematic Retype new UNIX password: passwd: all authentication tokens updated successfully. ●查看/etc/shadow的最后一行有什么变化: [root@localhost ~]# tail -1 /etc/shadow user01:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# passwd -l user01 //锁定用户user01 Locking password for user user01. passwd: Success [root@localhost ~]# tail -1 /etc/shadow user01:!!$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: //密码域前多了!! [root@localhost ~]# passwd -u user01 //解除对user01的锁定禁用 Unlocking password for user user01. passwd: Success. [root@localhost ~]# usermod -l user02 user01 //更改用户user01的账户 名为user02 [root@localhost ~]# tail -1 /etc/passwd user02:x:501:501::/home/user01:/bin/bash [root@localhost ~]# tail -1 /etc/shadow user02:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::: [root@localhost ~]# userdel user02 //删除user02,如果加上-r选项会一 并删除用户主目录 [root@localhost ~]# ls /home hetaoboy user01 //因为使用userdel 命令没有使用-r选项,所以主目录仍然存在 [root@localhost ~]# tail -1 /etc/group user01:x:501: //考察组文件,发现主组账户依然存在,名称不变 [root@localhost ~]# tail -1 /etc/gshadow
实验五、用户管理与权限管理
实验五、用户管理和权限管理 一、实验目的 1、掌握对系统用户和组的建立与管理。 2、掌握linux的文件访问权限和访问权限类型。 3、掌握如何设置文件访问权限。 二、实验重点与难点 1、学会使用useradd、usermod和userdel命令 2、学会使用chmod设置文件权限 三、实验内容及步骤 1)查看/etc/passwd文件和/etc/shadow文件内容,识别该文件中记录的信 息内容。 2)使用YaST创建新用户user1和用户组group1,将用户user1加入到组 group1。 3)用useradd命令建立2个用户admin和geeko(注意要求创建用户主目 录),设定好对应的用户密码,再用groupadd命令建立一个用户组school。 4)使用命令将admin用户改名为administrator。 5)使用命令将administrator账户锁定,然后再使用该账户登录系统,观 察会发生什么?然后再将账号解除锁定。 6)将linux系统注销使用geeko账号登录,在geeko的主目录下创建两个 新的文件K1,K2。在/tmp目录下创建两个文件W1,W2。 7)删除geeko账号及其主目录。并尝试删除所有属于geeko用户的文件。 8)在/tmp目录中创建两个新文件newfile,test,将newfile文件访问权限 设置为rwxrw-rw-,test文件访问权限设置为rwxr--r-- 。 9)使用su命令将用户身份切换至administrator,将“I can read and write”写入newfile文件中,并保存。是否可以对test文件进行编辑? 10)如果要实现其他用户对test文件的编辑权限,应该如何设置该文件的 权限?写出操作的命令。 11)创建一个目录directory,将目录访问权限设置为rwxrwxrw-。
AIX系统常用命令
AIX常用命令 一.目录和文件操作 1.ls命令列出指定目录下的文件,缺省目录为当前目录 #ls -a 列出所有文件,包括隐藏文件 #ls –l 显示文件详细信息 2.pwd显示出当前的工作目录 3.cd改变当前的工作目录 #cd /tmp 进入/tmp 目录 #cd .. 进入上级目录 4.mkdir 建立目录 #mkdir tmp 在当前目录下建立子目录tmp #mkdir -p /tmp/a/b/c 建立目录/tmp/a/b/c ,若不存在目录/tmp/a 及/tmp/a/b 则建立 5.rm 删除文件或目录 - f 删除文件时不作提示 - r 删除目录及其所有子目录 [例子]: #rm file1 删除文件file1 #rm -r /mytmp 删除目录/mytmp 6.cp 拷贝文件 [语法]: cp [ -p ] [ -r ] 文件1 [ 文件2 ...] 目标 文件1(文件2 ...)拷贝到目标上,目标不能与文件同名。 [参数]:
- p 不仅拷贝文件内容,还有修改时间,存取模式,存取控制表 - r 若文件名为目录,则拷贝目录下所有文件及子目录和它们的文件 [例子]: #cp file1 file2 将文件file1 拷贝到文件file2 #cp file1 file2 /tmp 将文件file1 和文件file2 拷贝到目录/tmp 下 #cp -r /tmp /mytmp 将目录/tmp 下所有文件及其子目录拷贝至目录/mytmp 7.mv 移动文件 将文件移动至目标,若目标是文件名,则相当于文件改名 #mv file1 file2 将文件file1 改名为file2 #mv file1 file2 /tmp 将文件file1 和文件file2 移动到目录/tmp 下 8.chmod 文件权限设置 [语法]: chmod [-R] 模式文件. #chmod 777 file1将文件file1存取权限置为所有用户可读可写可执行 #chmod 755 file1 文件的属主对文件file1有可读可写可执行的权限,文件所归属的用户组有可读可执行的权限,其它用户有可读可执行的权限。 9.Chown 文件属性设置 [语法]: chown [-R] 文件属主文件... [参数]: -R 改变所有子目录下所有文件的存取模式 [例子]: chown tom file1 将文件file1 的文件属主改为用户tom chown –R oracle /oracle 将/oracle属主改为用户oracle 10.vi 文本编辑 vi是unix上最常用的文本编辑工具 vi filename :打开或新建文件,并将光标置于第一行首 插入命令:i 从光标所在位置前面开始插入资料
实验5 用户管理与密码管理
实验5 用户管理与密码管理 一实验目的 (1) 熟悉Linux系统的用户和组的概念。 (2) 掌握常见的用户和组的配置文件修改。 (3) 掌握用户和组以及密码的管理命令。 (4) 熟悉用户和位置的其他管理命令。 二实验要求 (1) 熟练掌握用户和组的配置文件修改的方法。 (2) 重点掌握户和组的管理命令以及相关命令。 三实验内容 (1) 练习用户和组的配置文件修改。 (2) 练习在图形界面管理用户和组以及密码。 (3) 练习使用用户、组、密码管理命令。 (4) 练习使用用户和位置的其他相关管理命令。 四实验步骤: 启动虚拟机,加载Rad Hat Linux9.0操作系统,登录后按照课本第四章教程的指导,练习使用下述命令。可以参教材P383第4章内容。 (1)打开管理用户和组/密码的图形界面并熟悉其使用方法。(4.4) (2)使用编辑命令vi查看并修改/etc/passwd和/etc/shadow和/etc/group等相关用 户管理文件。(4.2) (3)练习使用用户管理的命令:useradd(增加用户)、userdel(删除用户)、 usermod(修改用户)。(4.3) (4)练习使用组管理的命令:groupadd(增加组)、groupdel(删除组)、 groupmod(修改组)。(4.3) (5)练习使用密码管理的命令:passwd,掌握密码的锁定、解索、删除、修改等 操作。(4.3) (6)练习使用用户和位置的其他相关管理命令:(4.5) 1)使用who命令查询已登陆用户的信息。 2)使用id命令查询用户和组的相关信息。 3)使用whoami命令查询当前有效用户id和其相关的用户名。 4)使用tty命令查询当前用户使用的终端设备。 5)使用su命令切换当前用户到其他用户(不退出系统的前提下)。 6)使用gpasswd进行组密码管理。 7)使用grpck进行组内容检查。 8)使用newgrp命令修改用户组(不退出系统的前提下) 9)使用wall命令向系统中登陆的用户发信息。 五实验结果:
AIX系统维护命令大全
IBM小型机系统维护命令使用总结 uname -a //操作系统版本 instfix -i|grep ML //操作系统补丁 prtconf //获取硬件信息 mklv -y lvinformix -c 2 rootvg 64 //创建逻辑卷lvinformix,大小为64(LP)×16M=1G,磁盘镜像后需用-c参数 crfs -v jfs -d lvinformix -m /opt/informix //在lvinformix上创建文件系统/opt/informix mount /dev/lvinformix /opt/informix //将设备mount到文件系统上 chfs -A yes /dev/lvinformix //修改所建文件系统的自动安装属性(Auto-Mount) //以上四步为创建文件系统四步曲 mkvg -t 16 -s 4 -y vgdata hdisk2 //在hdisk2上创建卷组vgdata,-t 16指定系数factor=16,-s 4指定物理分区大小PP SIZE=4MB //factor×PP SIZE×1016≥hdisk2的大小。如果factor×PP SIZE×1016的值< hdisk2的大小,//请适当调整factor和PP SIZE的值 varyonvg vgdata //激活卷组vgdata varyoffvg vgdata //去激活卷组vgdata exportvg testvg //如果在smcp2上已经有testvg的信息,则先删除原有信息(exportvg),再引入新信息(importvg) importvg -y vgsmp hdisk2 //将vgsmp信息引入hdisk2 lspv //查看hdisk和vg的对应关系 lsdev -Cc disk //查看磁盘名和磁盘类型(内置盘还是SSA外置盘) lsdev -Cc processor //查询cpu的个数 lscfg -v -l ent0 //查看网卡ent0的MAC地址 lsvg -o //查询所有激活的卷组 chfs -a options=rw,mind /tellinshare/sms //设置文件系统/tellinshare/sms的mind属性 //否则当文件系统中有足够多的大文件(指32K以上的文件)时会出问题 mkgroup id=101 informix //创建组informix,组编号101 mkuser id=101 pgrp=informix home=/opt/informix shell=/usr/bin/csh informix //创建用户informix,命令参数说明: //id:指定用户的id号,请根据规划设置; //pgrp:指定该用户的归属组,请根据规划设置; //home:指定该用户的home目录,请根据规划设置;