chsec 命令

用途

更改安全性节文件中的属性。

语法

chsec [ -f File] [ -s 节] [ -a 属性 = 值 ...]

描述

chsec 命令更改存储在安全配置节文件中的属性。这些安全配置节文件具有可以使用 Attribute = Value 参数指定的属性：

/etc/security/environ
/etc/security/group
/etc/security/audit/hosts
/etc/security/lastlog
/etc/security/limits
/etc/security/login.cfg
/usr/lib/security/mkuser.default
/etc/nscontrol.conf
/etc/security/passwd
/etc/security/portlog
/etc/security/pwdalg.cfg
/etc/security/roles
/etc/security/rtc/rtcd_policy.conf
/etc/security/smitacl.user
/etc/security/smitacl.group
/etc/security/user
/etc/security/user.roles
/etc/secvars.cfg

修改 /etc/security/environ， /etc/security/lastlog， /etc/security/limits和 /etc/security/passwd中的属性时，和 /etc/security/user 文件， Stanza 参数指定的节名必须是有效的用户名或default. 修改 /etc/security/group 文件中的属性时， Stanza 参数指定的节名称必须是有效的组名或default. 修改 /usr/lib/security/mkuser.default 文件中的属性时， Stanza 参数必须是admin或user. 修改 /etc/security/portlog 文件中的属性时， Stanza 参数必须是有效的端口名。修改 /etc/security/login.cfg 文件中的属性时，Stanza 参数必须是有效的端口名、方法名或 usw 属性。

修改当前不存在的节中的 /etc/security/login.cfg 或 /etc/security/portlog 文件的属性时，由 chsec 命令自动创建该节。

不能使用 chsec 命令修改 /etc/security/passwd 文件的 password 属性。使用 passwd 命令代替。

只有 root 用户或具有适当权限的用户才可以更改管理属性。例如，要修改管理组数据，用户必须是 root 用户或具有 GroupAdmin 权限。

注: chsec 命令更改本地用户属性。它不会更改非本地用户属性。您可以使用 chsec 命令来更改远程用户属性。 chsec 命令不会更新本地安全性节文件中的远程用户属性。

标志

项	描述
-a 属性 = 值	指定要修改的属性和该属性的新值。如果不指定值，那么从给定的节中除去属性。
-f 文件	指定要修改的节文件的名称。
-s 节	指定要修改的节的名称。

安全性

访问控制

此命令只将执行访问权授予 root 用户和安全组。该命令具有可信计算库属性，并运行 setuid 命令以允许 root 用户访问安全数据库。

审计事件

事件	信息
USER_Change	用户名，属性
GROUP_Change	组名，属性
PORT_Change	端口，属性

访问的文件

方式	文件
rw	/etc/security/environ
rw	/etc/security/group
rw	/etc/security/audit/hosts
rw	/etc/security/lastlog
rw	/etc/security/limits
rw	/etc/security/login.cfg
rw	/usr/lib/security/mkuser.default
rw	/etc/nscontrol.conf
rw	/etc/security/passwd
rw	/etc/security/portlog
rw	/etc/security/pwdalg.cfg
rw	/etc/security/roles
rw	/etc/security/rtc/rtcd_policy.conf
rw	/etc/security/smitacl.user
rw	/etc/security/smitacl.group
rw	/etc/security/user
rw	/etc/security/user.roles

RBAC 用户注意: 此命令可以执行特权操作。只有特权用户才能执行特权限定的操作。有关权限与特权的更多信息，请参阅安全性中的“特权限定的命令数据库”。有关与该命令相关联的特权和权限的列表，请参阅 lssecattr 命令或 getcmdattr 子命令。要获取命令的全部功能，除 accessauths 以外，角色还应具有以下权限：

aix.security.user.audit
aix.security.role.assign
aix.security

要对 /etc/security/rtc/rtcd_policy.conf 文件执行 chsec 命令，该角色还应具有下列权限：

aix.security.config

示例

要将 /dev/tty0 端口更改为在 60 秒内发生 5 次失败登录尝试时自动锁定，请输入:
```
chsec -f /etc/security/login.cfg -s /dev/tty0 -a logindisable=5 -a logininterval=60
```
要在系统锁定 /dev/tty0 端口后将其解锁，请输入:
```
chsec -f /etc/security/portlog -s /dev/tty0 -a locktime=0
```
允许从 8:00 a.m登录。直到 5:00 p.m。对于所有用户，请输入:
```
chsec -f /etc/security/user -s default -a logintimes=:0800-1700
```
更改用户的 CPU 时间限制joe到 1 小时 (3600 秒) ，请输入:
```
chsec -f /etc/security/limits -s joe -a cpu=3600
```

文件

项	描述
/usr/bin/chsec	对 chsec 命令指定路径。
/etc/security/environ	包含用户的环境属性。
/etc/security/group	包含组的扩展属性。
/etc/security/audit/hosts	包含主机和处理器标识。
/etc/security/group	定义用户的最后登录属性。
/etc/security/limits	定义每个用户的资源配额和限制。
/etc/security/login.cfg	包含端口配置信息。
/usr/lib/security/mkuser.default	包含新用户的缺省值。
/etc/nscontrol.conf	包含一些名称服务的配置信息。
/etc/security/passwd	包含密码信息。
/etc/security/portlog	包含每个端口的失败尝试登录信息。
/etc/security/pwdalg.cfg	包含有关可装入密码算法 (LPA) 的配置信息。
/etc/security/roles	包含有效角色列表。
/etc/security/rtc/rtcd_policy.conf	包含 rtcd 守护程序的配置信息。
/etc/security/smitacl.user	包含用户 ACL 定义。
/etc/security/smitacl.group	包含组 ACL 定义。
/etc/security/user	包含用户的扩展属性。
/etc/security/user.roles	包含每个用户的角色列表。
/etc/security/domains	包含系统的有效域定义。
/etc/secvars.cfg	包含节文件。