AIX 提供一组缺省的系统特殊用户帐户，以防止 root 和系统帐户（sys）拥有所有操作系统文件和文件系统。

注意: 当要删除系统特殊用户帐户时需要特别谨慎。您可以通过在 /etc/security/passwd 文件相应行的开头插入一个星号（*）来禁用特定帐户。然而，小心不要禁用 root 用户帐户。如果删除了系统特殊用户帐户或禁用了 root 帐户，则操作系统将可能不能正常运行。

以下这些帐户是在AIX操作系统中预定义的：

adm

adm 用户帐户拥有以下基本系统功能：

诊断(Diagnostics)，相应的工具存储在 /usr/sbin/perf/diag_tool 目录中。

记帐(Accounting)，相应的工具存储在以下目录中：

- /usr/sbin/acct

- /usr/lib/acct

- /var/adm

- /var/adm/acct/fiscal

- /var/adm/acct/nite

- /var/adm/acct/sum

bin

bin 用户帐户通常拥有大多数用户命令的可执行文件。该帐户的主要用途是帮助分配重要系统目录和文件的所有权，因为所有东西都不是由 root 和 sys 用户帐户单独拥有的。

daemon

daemon 用户帐户只是为了拥有和运行系统服务器进程及其相关联的文件而存在。该帐户保证这些进程使用适当的文件访问权限运行。

nobody

nobody 用户帐户由“网络文件系统”（NFS）用于启用远程打印。有了这个帐户，程序可以允许临时以 root 用户的权限进行访问。例如，在启用“安全 RPC”或“安全 NFS”之前，检查主 NIS 服务器上的 /etc/public 键值以查找还未分配公用密钥和安全密钥的用户。作为 root 用户，您可以为每个未分配的用户在数据库中创建一个项，通过输入：

newkey -u username

或者，您可以为 nobody 用户帐户在数据库中创建一个项，然后任何用户都可以运行 chkey 程序来在数据库中创建它们自己的项而无需作为 root 用户登录。

root

root 用户帐户，即 UID 0，通过该帐户您可以进行系统维护任务和对系统问题进行故障查找。

sys

sys 用户拥有缺省的“分布式文件服务”（DFS）高速缓存的安装点(mounting point)，高速缓存的安装点必须在客户机上安装或配置 DFS 之前存在。/usr/sys 目录也可以存储系统安装的映象(Install Image)。

除去不必要的缺省用户帐户

在操作系统安装过程中，会创建许多缺省用户和组标识。根据您在系统上运行的应用程序和系统在网络中所处的位置，其中某些用户和组标识可能成为安全弱点，容易被人利用。如果这些用户和组标识是不必要的，那么您可以将其除去以使跟其有关的安全风险最小化。

下表列出了您可能能够删除的最常用的公共缺省用户标识：

表 4. 您可能能够除去的公共缺省用户标识

用户标识

uucp, nuucp

uucp 协议所用的隐藏文件的所有者。uucp 用户

帐户是用于“UNIX 到 UNIX 复制程序”，该程序是在大多数 AIX 系统上存在的一组命令、程序和文件，它们允许用户使用专线或电话线与另一 AIX 系统进行通信。

lpd

打印子系统所使用文件的所有者

imnadm

IMN 搜索引擎（由文档库搜索使用）。

guest

允许那些无权访问帐户的用户访问

下表列出了可能不需要的公共组标识：

表 5. 可能不需要的公共组标识

组标识

uucp

uucp 和 nuucp 用户所属的组

printq

lpd 用户所属的组

imnadm

imnadm 用户所属的组

分析您的系统以确定哪些用户和组标识确实是不需要的。可能也存在其它您可能不需要的用户和组标识。在您的系统投入生产之前，对系统中所有的用户和组标识进行彻底地评估。下载本文