AIX命令参考大全,卷 5,s - u - usrck 命令

[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]

AIX命令参考大全,卷 5,s - u

usrck 命令

用途

验证用户定义的正确性。

语法

usrck -n | -p  -t  -y } { ALLUser ... }

描述

usrck 命令通过检查所有用户或者由 User 参数定义的用户的定义,验证用户数据库文件里用户定义的正确性。如果指定的用户超过一个,名字间必须有一个空格。必须选择一个标志来指示系统是否应该尝试修复错误属性。

命令首先检查/etc/passwd 文件里的条目。如果指示系统应该修复错误,用户重名情况被报告并且删除重名。重复的标识符仅被报告,因为没有系统修复。如果条目有少于六个独立冒号分隔的字段,那么条目仅被报告而不被修复。usrck 命令下一步检查其它文件里规定用户的属性。

usrck 命令验证 /etc/passwd文件里列出的每一个用户名在 /etc/security/user文件、/etc/security/limits 文件和 /etc/security/passwd 文件中是否有节。 usrck 命令也验证 /etc/group 文件里列出每一个组名在 /etc/security/group 文件里是否有节。usrck 命令用 -y 标志为丢失的用户名和组名在安全文件里创建节。

注:
命令把这种消息写成标准错误

以下列出所有用户属性,已被检查的属性用符号表明。

account_locked 不检查。usrck 命令设置属性为 True 并禁用帐户。
admgroups 检查 admgroups 在用户数据库中是否有定义,如果指出系统需要修复错误,命令除去不在数据库中的所有组。
auditclasses 检查 auditclasses /etc/security/audit/config 文件里是否为用户定义。 如果指出系统应该修复错误,命令删除 /etc/security/audit/config文件中未定义的 auditclass。
auth1 检查基本的认证方法。如果方法不是 NONE 或者 SYSTEM,就必须在 /etc/security/login.cfg文件里有定义,程序的属性必须存在且能被 root 用户执行。如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
auth2 检查第二认证方法。如果方法不是 NONE 或者 SYSTEM,就必须在 /etc/security/login.cfg文件里有定义,程序的属性必须存在且能被 root 用户执行。系统不修复。
core 确保值是切合实际的。如果不是,该命令将值复位为最小值,200 块。
core_hard 确保值是切合实际的。如果不是,该命令将值复位为最小值,200 块。
cpu 确保值是切合实际的。如果不是,该命令将值复位为最小值,120 秒。
cpu_hard 确保值是切合实际的。如果不是,该命令将值复位为最小值,120 秒。
data 确保值是切合实际的。如果不是,该命令将值复位为最小值,1272 块(636K)。
data_hard 确保值是切合实际的。如果不是,该命令将值复位为最小值,1272 块(636K)。
dictionlist 检查字典文件列表。如果指出系统应该修复错误,命令删除用户数据库中不存在的所有字典文件。
expires 不检查。
fsize 确保值是切合实际的。如果不是,该命令将值复位为最小值,200 块。
fsize_hard 确保值是切合实际的。如果不是,该命令将值复位为最小值,200 块。
gecos 不检查。
histexpire 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
histsize 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
home 通过读方式和搜索方式检查本地目录的存在和可访问性。如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
id 检查用户标识的唯一性。如果指出系统应该修复错误,命令删除/etc/passwd 文件中所有无效的条目。
login 不检查。
loginretries 检查用户尝试登录不成功的次数是否多于允许的数目。如果是,系统禁用用户帐户。
logintimes 确保时间说明字符串是有效的。如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
maxage 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
maxexpired 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
maxrepeats 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
minage 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。 如果 minage 属性值比 maxage 属性值大,系统也显示要修复错误。
minalpha 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
mindiff 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
minlen 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。
minother 确保值是切合实际的。如果表明系统应该修复错误,太大的值设置为最大可能值,太小的值设置为最小可能值。 如果 minage 属性值加 maxage属性值比密码大小最大值更大,系统也会显示要修复错误。
name 检查用户名的唯一性和复合性。名字是由八个或更少的字符组成的唯一的字符串。名字不能以 +(加号)、:(冒号)、-(减号)或 ~ (波浪号) 开始。以 +(加号)或 -(减号)开始的名字已经假定为 NIS(网络信息服务)域中的名字,不允许有任何进一步的处理。不能在字符串中包含冒号(:),也不出现所有或者缺省的关键字。如果指出系统应该修复错误,只要发现一个错误,系统就禁用用户帐户且删除 /etc/passwd 文件中任何无效的条目。

usrck 命令验证 /etc/passwd 文件里列出的每一个用户名在 /etc/security/user 文件、/etc/security/limits 文件和 /etc/security/passwd 文件中是否有节。当已有定义却丢失时,命令为每一个用户添加节。 usrck 命令另外验证 /etc/group 文件里列出的每一个组名在 /etc/security/group 文件里是否有节。
nofiles 确保值是切合实际的。如果不是,将值复位为最小值,200。
nofiles_hard 确保值是切合实际的。如果不是,将值复位为最小值,200。
pgrp 检查用户数据库里基本组的存在。 如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
pwdchecks 检查外部密码限制方法的列表。如果指出系统应该修复错误,命令删除用户数据库中不存在的所有方法。
pwdwarntime 确保值是切合实际的。如果不是,系统重新把值设为 maxage minage 之间的值。
rlogin 不检查。
rss 检查以确保值是切合实际的。如果不是,该命令将值复位为最小值,128 块(64K)。
rss_hard 检查以确保值是切合实际的。如果不是,该命令将值复位为最小值,128 块(64K)。
shell 通过执行方式检查 shell 的存在和可访问性。如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
stack 检查以确保值是切合实际的。如果不是,该命令将值复位为最小值,128 块(64K)。
stack_hard 检查以确保值是切合实际的。如果不是,该命令将值复位为最小值,128 块(64K)。
su 不检查。
sugroups 检查用户数据库文件中 sugroups 的存在。如果指出系统应该修复错误,命令删除数据库中没有的所有组。
sysenv 不检查。
tpath 如果 tpath=always,检查以确保shell 的属性被标记为可信进程。如果指出系统应该修复错误,那么只要发现一个错误,系统就禁用用户帐户。
ttys 在用户数据库文件中检查 ttys 的存在。如果指出系统应该修复错误,命令删除数据库中没有的所有的 ttys。
usrenv 不检查。

如果修复涉及禁用用户帐户,则请使用 chuser 命令把 account_locked 属性的值复位为 False。可以用“系统管理接口工具”(SMIT)来运行 chuser 命令,输入:

smit chuser

Root 用户或者安全组里的成员可以通过除去 account_locked 属性或设置 account_locked 属性为 False 来再次恢复用户帐户。Root 用户的帐户不能被usrck 命令禁用。

一般情况下,sysck 命令调用usrck 命令作为对信任系统安装验证的一部分。如果usrck 命令在用户数据库里找到任何一个错误,root 用户或安全组成员就执行grpck 命令和pwdck 命令。

usrck 命令检查数据管理的安全文件 /etc/passwd.nm.idx/etc/passwd.id.idx/etc/security/passwd.idx /etc/security/lastlog.idx ,查看是否已经更新或者比相应的系统安全文件更新。请注意,/etc/security/lastlog.idx 文件不比 /etc/security/lastlog 文件新是允许的。如果数据管理安全文件已经过期了,就会出现一个警告消息指出 root 用户应该运行 mkpasswd 命令了。

usrck命令检查指定的用户是否登录。如果用户因为太多不成功的登录尝试或密码过期不能登录,usrck 命令发布警告消息表明为什么不能登录。如果指出系统应该修复错误,只要用户因为以上的原因不能登录,系统就禁用用户的帐户。

标志

-n 报告错误但不修复。
-p 修复错误但不报告。
-t 报告错误,询问是否要修复。
-y 修复错误且报告。

安全性

访问控制:这个命令把执行(x)访问授权给 root 用户和安全组成员。对于 root 用户命令是 setuid,并且有可信计算库属性。

访问的文件:

方式 文件
r /etc/passwd
r /etc/security/user
rw /etc/security/group
rw /etc/group
rw /etc/security/lastlog
rw /etc/security/limits
rw /etc/security/audit/config
rw /etc/security/login.cfg

审计事件:

事件 信息
USER_Check 用户、属性错误、状态

示例

  1. 若要验证用户数据库中所有用户的存在,有任何错误(不修复)都报告,输入:
    usrck  -n ALL 
  2. 要从用户定义删除那些不在用户数据库文件中的用户,并报告所有错误。输入 :
    usrck  -y ALL  

文件

/usr/bin/usrck 指定 usrck 命令的路径。
/etc/passwd 包含用户基本属性。
/etc/security/user 包含用户的扩展属性。
/etc/group 包含组的基本属性。
/etc/security/group 包含组的扩展属性。
/etc/security/lastlog 包含用户最后一次登录的属性。
/etc/security/limits 包含用户进程资源限制。
/etc/security/audit/config 包含审计系统配置信息。
/etc/security/login.cfg 包含配置信息。

相关信息

grpck命令、pwdck 命令、sysck 命令。

《AIX 5L V5.2 安全指南》中的『安全性管理』描述了用户的识别和认证、任意访问控制、可信计算库以及审计。

[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]