AIX使用经验汇总.docx
《AIX使用经验汇总.docx》由会员分享,可在线阅读,更多相关《AIX使用经验汇总.docx(62页珍藏版)》请在冰点文库上搜索。
AIX使用经验汇总
AIX经验汇总
何建立第二个root用户
AIXV3,V4
建立第二个root用户
步骤如下:
1.添加一个用户
2.手工修改/etc/passwd文件中的userID和groupID
3.将userID改为0.
如下,可对用户russ做改动:
将russ:
!
:
206:
1:
:
/u/russ:
/bin/ksh
改为:
russ:
!
:
0:
0:
:
/u/russ:
/bin/ksh
具有root权限的用户可执行一条命令,完成特定的任务。
如下你可以建立一个用户(shutdown)负责系统的重启动.
在AIX3.2.5中:
shutdown:
!
:
0:
0:
:
/u/shutdown:
/etc/shutdown-Fr
在AIX4:
shutdown:
!
:
0:
0:
:
/u/shutdown:
/usr/sbin/shutdown-Fr
这个用户一注册,操作系统就会重起。
AIX的许可权限
说明
如何查看许可权限
许可权限字母的意义
当产生文件或目录时,如何决定性权限
如何改变文件或目录的所有者或组
如何改变文件或目录的权限
ACL
文件系统和目录安装点权限
NFS安装文件系统许可
本文介绍了AIX如何控制文件和目录的权限。
所有文件和目录对以下对象都有权限控制:
所有者(通常是创造文件的人)
用户组(将该组作为组集之一部分或主组的任何人)
其他人(不是所有者或不属于这个群的用户以外的任何用户)
AIX4.3版本和RS/6000产品资料可在以下网址获得:
html.
1.如何查看许可权限
执行命令"Is-lfile_name"或"Is-lddirectory-name"会显示不同的数据,左侧的一个有10个字符的字串:
—rwxrwxrwx
该字符串可分解为3个许可权限集:
—rwxrwxrwx
|||其他用户许可。
||
||
|把该组作为主组或作为他们组集之一部分的用户许可。
|
文件或目录所有者许可
这些命令同时也显示文件或目录的所有者和用户组。
—rwxrwxrwxjoejoegroup
许可所有者用户组
所显示的所有者名称来自/etc/passwd。
文件的inode存储用户的Id。
如果你看到的是一个数字而不是名称,这就是说/etc/passwd文件无法读取,或该文件不存在此用户id。
同样,用户组的名称来自/etc/group文件.
系统首先检查你是否是所有者;如果是,你会得到所有者的许可权限,即使这个许可比“用户群”或“其他人”许可权限集严格。
然后系统会检查你是否将该组列为主组或组集的一部分。
如果是,你会得到组许可,尽管这些许可限制比“其他人”许可权限集更严格。
如果你既不是所有者也不是组集的一部分,你会得到“其他人”的许可。
2.许可权限的字母的意义
许可权限字母的意思因文件或目录的不同而有区别。
读/写目录的权限与读/写目录所指文件的权限无关。
对于目录,许可权限字母的含义如下:
r---指读目录中文件列表的能力,如"ls"命令。
注:
如果只有读目录列表的许可,则不可以在目录内部执行命令。
x---目录搜索能力。
可以在已知文件名时在目录中执行此文件。
一般来说,大多数目录操作都要求读?
和搜索(x)权限。
w---同搜索(x)权限共同使用时,在目录中产生或删除文件的能力。
如果目录具有写的权限,而没有在文件写的权限,你仍可以删除文件,但不可以修改文件.
t---指链接权限。
设置链接权限可防止除文件所有者、根用户和目录所有者之外的所有用户删除文件,虽然目录中的权限可能允许删除这个文件。
在这种情况下,可为“其他人”设置搜索(x)位。
T---同t相同,但不为其他用户设置搜索(x)位。
s---不适用于所有者。
用于用户组,它成为组的继承位(sgid,亦称setgroupid)。
这个目录中创建的所有文件都与此目录有同样的组。
S---与s相同,但不为用户组设置搜索(x)。
对于文件,许可字母有下列含义:
r---指阅读文件的能力。
w---指修改文件的能力。
只有在目录中有写权限时才可以创建或删除文件。
x---指执行文件的能力。
3.当产生文件或目录时,如何决定性权限?
用户id(uid)用来设置文件所有者。
主组用来设置用户组(除非创建文件的目录有Sgid位设置)。
"umask"可设置初始权限。
在命令行中键入"umask"命令,查看当前设置,如要修改"umask"设置,输入umask号码,如:
umask022。
"umask"命令不设置文本文件和脚本文件而只在目录中设置执行位。
如果你创建一个目录或文本文件,可按以下例子设置权限:
以umask022为例:
777-022=755
666-022=644
执行"ls-l",会显示以下权限,(r=4,w=2,x=1)
目录:
rwxr-xr-x
文本文件:
rw-r--r--
4.如何改变文件或目录的所有者或组?
"chown"和"chgrp"命令用于改变所有者和组。
只有"根"用户才能改变文件的所有者。
"根"用户或文件的拥有者可以改变这个文件的组。
使用Chgrp命令:
chgrp(New_group_name)(file_name)
使用Chown命令:
Chown(new_owner)(file_name)或chown(new_owner)(file_name)
5.如何改变文件或目录的权限?
使用"chmod"命令来改变文件或目录的权限.权限可以用字母或数字表示。
读?
=4,写(w)=2,执行(或搜索)(x)=1
这些数字加到一起就得到用于chmod命令的数字.(注意:
如果您正在文件或目录中使用ACL,使用数字模式chmod命令会使ACL无效)。
如:
所有者权限:
读+写+执行=4+2+1=7
组许可权限:
读+写=4+2=6
其他用户许可权限:
阅读=4
chmod764file_name。
如要设置特殊位如suid(设置用户ID)、sgid和链接数位,chmod命令需要第四个数字。
suid=4
sgid=2
link=1
如要在前面的例子中加入suid许可,它的命令是:
chmod4764file_name
如果采用符号模式,首先确定要改变哪个位置所有者、组[g],其他[o]或所有[a])和要加(+)或减(-)哪些符号。
要为所有者增加读和写的权限,可采用以下两种方式:
chmodu+ru+w(file_name)或chmodu+rw(file_name)
6.ACL
ACL是对标准权限位的扩展。
通过修改分配给个人或组的标准权限,对每个文件或目录进行更精细的控制。
对每个组或用户,有3种权限分配情况:
PERMIT:
准许对文件或目录的特定权限。
DEMY:
限制对文件或目录的特定权限。
SPECIFY:
明确地定义文件或目录权限。
"acledit"命令用于建立ACL。
首先必须设置文本编辑器.如:
exportEDITOR=/usr/bin/vi。
然后使用:
acleditfile_name
屏幕上将会显示:
attributes:
basepermissions
owner(rcunning):
rwx
group(staff):
r—
others:
---
extendedpermissions
disabled
要设置扩展的权限,将“disabled”设置改为“enabled”:
extendpermissions
enabled
使用permit、deny或specify关键字来定义扩展权限。
前面的例子表明只有所有者能对这个文件写操作。
组成员能读此文件而其他用户则没有任何许可权限。
如果要使用户"joe"能够读写这个文件,用以下命令:
extendedpermissions
enabled
permitrw-u:
joe.
要允许组用户joegroup读这个文件,用以下命令:
rermitr--g:
joegroup
你能够通过在同一行中合并多个条目来对权限进行微调。
如果只想为pete提供读写权,而他是系统组的一部分,则用以下命令:
permitrw-u:
pete,g:
system
要为几个用户或组增加许可权限,则使用分行命令:
permitrw-u:
joe
permitrw-u:
pete
使用"ls-el"命令,查看ACL是否已在文件中设置。
如"ls-elprofile"命令显示:
—rwxw--------+
最后的+表示文件已具有有效的ACL。
注意:
使用有数字争议的chmod命令将使文件或目录的ACL无效。
7.文件系统和目录安装点权限
文件系统安装在目录安装点上。
安装点和文件系统都有权限。
安装点的权限由文件系统创建时所采用的umask设置来决定。
虽然已安装文件系统的权限优先于安装点的权限,但安装点必须尽可能限制每个人的搜索权限(也就是111)来避免不可预测的结果。
记住,安装文件系统后,不能看到安装点上的权限。
在检查或改变安装点权限之前,必须卸载(umount)文件系统。
在创建文件系统时,缺省权限来自基本文件,同时sgid(组继承)位被设置。
用户的umask不用于文件系统中而只用于基础安装点。
8.NFS安装文件系统许可
网络文件系统(NFS)安装在当地目录中。
目录安装点在创建网络安装文件系统时建立。
安装点在建立时使用当前的umask设置来决定许可权限。
NFS安装文件系统使用一个叫作nobody的特殊用户id。
这个uid一般都是很大的数字,以便使它不会和真实用户id发生冲突。
除非NFS服务器在/etc/passwd中有您的用户id(不是文本名),否则你在远程安装文件系统时所享有的权限只使用该假用户nobody。
如果你的用户id碰巧与远程系统的某个有效id相吻合,你就会成为是由那个所有者创建的所有文件的所有者。
这有可能导致无法预见的严重后果。
如果你希望能够在远程系统中创建和拥有文件,你的本地系统和服务器系统必须具有与/etc/passwd文件中相匹配的用户(用户名称和相同的id号码)。
而且文件系统必须以能够读和写的形式输出。
"根"用户是一个特殊情况。
由于“根”用户id在所有系统中都是0,如果没有特殊保护,任何安装该文件系统的系统都将成为该服务器系统的根。
因此,NFS文件系统的输出必须带有一些主机名称的"根"接入,以便使您可以从这些主机名称中要求特殊的"根"接入。
如果文件系统不以这种方式输出,"根"就成为用户nobody.
如何限制用户改变密码
RS6000,AIXV4
如何限制用户改变密码?
可以用命令pwdadm-fADMINusername来实现,如果想让用户恢复更改密码的权利,运行pwdadm-fADMCHGusername来重置.
非root用户的登录问题
本文档描述了非root用户的登录及权限问题,以及这些问题如何通过检查目录和文件的权限,属主及属组来解决.
问题的症状
.用户得到下面的错误信息,可能指明组文件丢失或被破坏:
3004-010设置终端属主和模式失败
/etc/passwd文件中对应该用户的主组不能在/etc/group文件中被找到.
如tps:
!
:
215:
1:
:
/u/tps:
/bin/ksh
在上例中,组号为1.检查/etc/group文件确认组号1存在.
.只有root用户可以登录,一般用户得到下面的错误信息:
3004-009运行登录初始程序失败
或
系统不可用
.执行命令su-[user_name]时返回如下错误:
3004-505不能设置进程环境
.用户登录后得到如下错误信息:
0653-345权限被拒绝
(当登录后进行任何操作时)
或
ksh:
pwd:
不能访问父目录
(当登录后执行pwd命令时)
这些现象是由于用户不能执行登录初始程序或由于用户主目录的权限问题造成的.
检查问题文件和目录的步骤
下述步骤说明如何检查有权限问题的文件或目录.
如果任何文件或目录的权限有问题,使用命令chmod,chown或chgrp更改相应的权限,属主或属组.
如果符号链接丢失,使用ln命令重建它.
例如,要创建/bin链接到/usr/bin,执行下面的命令:
ln-s/usr/bin/bin
步骤
1.以root身份登录
2.如果非root用户登录时得到的是系统不可用的错误,则继续本步骤.否则,跳到下一步.
用命令ls-l/etc/nologin命令检查文件/etc/nologin.
如果文件/etc/nologin存在,用命令rm/etc/nologin删除它.
对于AIX4.x,执行:
cd/
ls-al
输出举例:
drwxr-xr-x19binbin1024Dec1221:
14.
drwxr-xr-x19binbin1024Dec1221:
14..
lrwxrwxrwx1binbin8Nov2209:
37bin->/usr/bin
drwxrwxr-x4rootsystem2048Dec1221:
12dev
drwxr-xr-x12rootsystem2048Dec1221:
11etc
drwxr-xr-x5binbin512Nov2214:
51home
lrwxrwxrwx1binbin8Nov2209:
37lib->/usr/lib
drwxr-xr-x20binbin512Nov2213:
33lpp
drwxr-xr-x3binbin512Nov2209:
37sbin
lrwxrwxrwx1binbin5Nov2209:
37u->/home
drwxr-xr-x20binbin512Nov2214:
24usr
drwxr-xr-x12binbin512Nov2212:
59var
3.执行:
ls-ld/usr/bin/usr/lib/tmp
输出举例:
drwxr-xr-x3binbin10752Nov2212:
53/usr/bin
drwxr-xr-x28binbin4096Dec1517:
08/usr/lib/
drwxrwxrwt8binbin2560Jan2214:
46/tmp/
4.执行:
ls-l/usr/bin/csh/usr/bin/ksh/usr/bin/bsh
输出举例:
-r-xr-xr-x2binbin341020Nov2209:
37/usr/bin/bsh
-r-xr-xr-x1binbin154412Nov2209:
37/usr/bin/csh
-r-xr-xr-x4binbin230148Nov2209:
37/usr/bin/ksh
确定用户的主目录.在这些步骤中,假定用户的ID和目录为"user_one".
5.执行:
ls-ldu/user_one(usepathofuser'sdirectory)
输出举例:
-drwxr-xr-x9user_onesystem7680Dec2415:
00/u/user_one
该目录应被此用户所有,并且此用户应对它有rwx权限.
6.执行:
cd/u/user_one
ls-al|pg
输出举例:
drwxr-xr-x9user_onesystem7680Dec2415:
00.
drwxr-xr-x71binbin1536Dec1409:
37..
"."目录的所有者应为该用户.".."目录的权限对于组和其它用户至少应为r-x.
7.如果用户仍然有权限被拒绝的问题,但没有登录的问题,则可能是由于文件系统mount点的权限造成的.
为了检查mount点的权限,文件系统必须首先被unmount.一些文件系统的mount点则只能在进入系统维护模式的情况下进行检查.
如何屏蔽某一用户的ftp访问?
产品:
AIX
平台:
RS
机型:
RS6000
如何屏蔽某一用户的ftp访问?
将被拒绝的用户名加入到/etc/ftpusersw文件中
var/adm/wtmp档案太大怎么办
产品:
RS/6000
软件:
AIX
/var/adm/wtmp文件保存所有用户登录的讯息,随著时间会增长到很大,/var/adm/wtmp档案太大时怎么办?
/var/adm/wtmp档案太大时,有时需要清理或编辑整理。
要清理它,执行cp/dev/null/var/adm/wtmp.
要编辑整理部分清理,用fwtmp命令先将文件wtmp变成ASCII格式的档案dummy.file:
/usr/sbin/acct/fwtmpdummy.file,
编辑之後用
/usr/sbin/acct/fwtmp-ic/var/adm/wtmp
再将ASCII文件转变成二进位文件.
JESMSG显示屏幕,进行类似于上述2中的操作即可.
AIX用户的系统资源使用限制
说明
适用操作系统
网络配置步骤
本文介绍的是AIX用户的系统资源使用限制,以及修改方法。
适用操作系统
AIXV4
网络配置步骤
AIX用户使用的系统资源限制包括两个概念---硬限制(hardlimits)和软限制(softlimits)。
hardlimits自AIX4.1版本开始引入。
hardlimits应由AIX系统管理员设置,只有security组的成员可以将此值增大,
用户本身可以减小此限定值,但是其更改将随着该用户从系统退出而失效。
使用下列命令可以查看hardlimits的限定值:
ulimit-Ha
softlimits是AIX核心使用的限制进程对系统资源的使用的上限值。
此值可由任何人更改,但不能超出
hardlimits值。
这里要注意的是只有security组的成员可使更改永久生效,普通用户的更改在其退出系统
后将失效。
使用以下命令可以查看softlimits的设置:
ulimit-a
下面为系统的softlimits的默认值:
3.2
4.1-4.3
===============
=================
fsize=2097151
fsize=2097151
core=2048
core=2048
cpu=3600
cpu=-1
data=131072
data=262144
rss=65536
rss=65536
stack=8192
stack=65536
nofiles=2000*
nofiles=2000*
*该值(nofiles)只能在AIX4.3.1或以后的版本中更改。
上述定义作为默认值存放在文件/etc/security/limits中,在新用户被加进系统后生效。
直接更改此文件中的定义值
需要将系统重新启动以便使更改生效。
将相应值该为"-1"表示不受softlimits的限制(unlimited)。
下面我们将就各字段逐一进行介绍:
fsize用户创建的文件大小限制。
此定义值(512字节为单位)为该用户可以生成的最大文件的大小。
core生成的core文件大小的限制(512字节为单位)。
cpu用户进程可用cpu的限定值(以秒为单位)。
普通用户只能将此值减小,root可以将此值增大。
这里要注意的
是进程使用CPU的时间取决于AIXKernel(核心程序)进程调度算法,该值在此仅做参考。
data进程数据段大小的限定值(以字节为单位)。
stack进程堆栈段大小的限定值(以字节为单位)。
rss进程常驻内存段的限定值(以字节为单位)。
AIX核心并不参考此限定。
nofiles进程中打开文件的最大数量。
此限定在AIX4.3.1之前的版本中固定为2000。
在AIX4.3.1及其之后的版本中
可将此值增大至32767。
下面介绍三种修改上述限定值的方法:
1.编辑文件/etc/security/limits,直接修改各定义值。
此更改在系统重新启动后生效。
2.使用命令ulimit修改默认值。
例如:
ulimit-fvalue
ulimit-c
ulimit-t
ulimit-d
ulimit-s
ulimit-m
ulimit-n
将修改fsize,core,cpu,data,stack,rss和nofiles的softlimit值。
3.使用命令chuser修改某用户的限定值。
例如:
chuserfsize=
chusercore=chusercpu=
chuserdata=
chuserlimit=
chuserrss=
chusernofiles=
将用户“username”的softlimits改为值“value”。
chuserhard_fsize=
chuserhard_core=
chuserhard_cpu=
chuserhard_data=
chuserhard_limit=
chuserhard_rss=
chuserhard_nofiles=
将用户“username”的hardlimits改为值“value”。
[技术文档]目录:
[技术文档]说明/内容摘要:
[技术文档]详述:
更改HACMP环境里网卡的ip地址
AIX,HACMP
如何更改HACMP环境里网卡的ip地址?
更改HACMP环境里网卡的ip地址的步骤如下:
1.运行命令:
/usr/sbin/cluster/utilities/cllsif>/tmp/cllsif.orig,
/tmp/cllsif.orig文件里就包含您的HACMP网卡当前的ip地址;
2.停止您系统上正在运行的与当前ip地址有关所有应用;
3.停止所有有关节点系统的HACMP服务:
smittyhacmp
ClusterServices
StopClusterServices
4.停止所有有关节点系统的TCPIP服务:
stopsrc-gtcpip
5.更改各个节点的HACMP网卡的boot和standby地址:
smittytcpip
Mini