10 元
下载资源

Linux基础教程(清华课件)-第11章 账 号 管 理

上传人:沙** 文档编号:243071977 上传时间:2024-09-15 格式:PPT 页数:50 大小:449.50KB
返回 下载 相关 举报
Linux基础教程(清华课件)-第11章 账 号 管 理_第1页
第1页 / 共50页
Linux基础教程(清华课件)-第11章 账 号 管 理_第2页
第2页 / 共50页
Linux基础教程(清华课件)-第11章 账 号 管 理_第3页
第3页 / 共50页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版副标题样式,Linux,基础教程(,1,)操作系统基础,清华大学计算机基础教育课程系列教材,汤荷美 董渊 李莉 程志锐 编著,总 目 录,第,1,部分,Linux,操作系统,第,1,章 操作系统概述,第,2,章 处理机管理,第,3,章 存储管理,第,4,章 调度,第,5,章 设备,第,6,章 文件系统,第,2,部分 操作系统命令及,shell,编程,第,7,章,Linux,基本命令,第,8,章 使用,vi,编辑文件,第,9,章,shell,编程,第,3,部分 系 统 管 理,第,10,章,Linux,系统软件的获取和安装,第,11,章 账号管理,第,12,章 文件系统管理,第,13,章,TCP/IP,网络管理,第,14,章 备份与恢复,第,15,章,XWindow,及,Genie,应用程序,第,11,章 账 号 管 理,11.1,了解账号管理,11.2 Linux,系统中的归属关系模式,11.3,超级用户,11.4,其他特殊用户,11.5,普通用户,11.6,用户组策略,11.7,账号相关的配置文件,11.8,小结,习题,Linux,系统通过账号管理维护系统的安全性,防止用户非法或越权使用系统资源。本章介绍账号管理以及与用户账号相关的系统资源的归属和用户组的概念。,11.1,了解账号管理,Linux,是一个多用户系统,与单用户的,MS-DOS,有很大的不同。单用户系统可以由使用者本人负责系统的安全性,而多用户系统中的所有用户都可以共享机器中的资源,包括软件资源和硬件资源。系统对每一个普通用户都设置一定的权限,让其在自己的组内自由工作,而不能跨越这种限制。同时对系统资源设置了访问控制表,(access control list),,即属主,(,文件拥有者,),、组用户和其他人对资源的访问是可读、可写还是可执行。从这里可以看出,账号管理实际就是一种安全策略。它源自,UNIX,,在其他的多用户操作系统如,Windows NT,中也广为采用。,系统的这种安全机制有效地防止了普通用户对系统的破坏。例如存放于,/dev,目录下的设备文件分别对应于硬盘驱动器、打印机、光盘驱动器等硬件设备,系统通过对这些文件设置用户访问权限,使得普通用户无法通过覆盖硬盘而破坏整个系统,从而保护了系统。,用户账号一般包括普通用户账号、管理账号和系统账号。为了鉴别用户身份以及加强系统安全,系统为每个使用它的人分配了一个账号,这就是普通用户账号。每个人拥有一个独立的普通用户账号,每个账号有不同的用户名和密码。用户可以为自己的文件设置保护,允许或限制别人使用它们。用户账号被用来控制对系统的使用,只有拥有账号的人才,被允许使用机器。另外,账号还被用来确认用户,保持系统日志,用发送者的名字标记电子邮件,等等。,除了普通用户账号外,系统还提供了具有管理功能的账号,例如系统管理员使用的超级用户,root,,有了这个账号,管理员可以突破系统的一切限制,方便地维护系统。普通用户也可以用,su,命令使自己转变为超级用户。,# su,password:(,此处提示输入,root,的密码,),如果想回到原来用户账号,用,exit,命令即可。,系统中还有一些账号不能被人交互使用,通常这些账号只能被系统守护进程使用。它们经常必须以除,root,及普通用户账号外的某个特殊用户的,UID,访问某些文件。,系统管理员,(,拥有管理账号的人,),的工作之一就是为系统中的所有普通用户添加账号。为了更好地理解账号管理的必要性,下面介绍,Linux,和,UNIX,系统中的归属关系模式。,11.2Linux,系统中的归属关系模式,Linux,和,UNIX,一样,其进程和文件都存在一个相关联的归属关系的概念。文件与进程的拥有者对其有绝对的控制权,可以控制文件和进程是否允许其他用户访问,这种权力只有,root,用户才可以超越。这些归属关系就是通过规划用户的权限来体现的。,Linux,中,每个文件都有一个属主和属组,属主可以任意设置文件的访问权限。文件的访问权限包括属主的访问权限,属组的访问权限及其他人的访问权限。属主可以用,chmod,命令去修改,当然,万能的,root,也可以这样做。另外,,root,还可以使用,chown,和,chgrp,命令分别修改文件的属主和属组,但要注意,属主本身只有,chgrp,的权限,而没有,chown,这个权限。例如,文件,file1,的属主为,dongyuan,,属组为,A,,而用户,dongyuan,同时是,A,组和,B,组成员,则,dongyuan,可以用,newgrp B,命令改变自己当前的属组,进入,B,组,然后就可以使用,chgrp,将自己的文件属组改为组,B,。,例如,,dongyuan,使用,chgrp,改变,file1,的属组键入命令:,# chgrp B file1,这样,file1,的属主仍为,dongyuan,,而属组变成了,B,。,root,用户使用,chown,可以同时改变,file1,的属组和属主,例如键入命令:,chown lily:A file1,这样,file1,的属主仍为,lily,,而属组变成了,A,。,Linux,中的每个进程也有类似的归属关系。每个进程都有,4,个关联的数值:实际,UID,,有效,UID,,实际,GID,,有效,GID,。通常情况下,实际,ID,与有效,ID,是相同的,进程的属主可以给进程发信号,也可以降低进程的优先级,但不可以升高,除非是,root,。而在某些特殊情况下,(,如设置了,setuid,或,setgid,位的程序进程,),,当该进程运行另一个用户的程序文件时,它的有效,UID,或有效,GID,分别被临时设置为该程序文件的属主的实际,UID,或实际,GID,,从而可以像该属主一样执行该程序文件。比如普通用户用,passwd,命令修改口令时,可以临时获得,root,权限,修改,/etc/passwd,文件的内容。简单地说,就是使程序,具备了属主的特权,而不是让程序使用者拥有程序属主的特权。,注意,,setuid,、,setgid,程序由其他用户执行时,返回的是该用户的,shell,而不是程序属主的,shell,。否则,假如用户执行完这种程序返回后就变成了该程序的属主,那么要获得,root,身份,只要执行这么一个程序就可以了,系统就没有安全可言了。所以作为系统管理员,对这些程序要格外小心。,综上所述,账号管理就像是一把锁。劣质的管理就好比上了一把不用钥匙的锁,人人可以窥探你的隐私。对于如何保障个人权益,答案是两方面的,作为普通用户,不要把你的账号和密码告诉别人;作为管理员,要执行严格的账号管理。,11.3,超级用户,超级用户就是拥有,root,权限的用户。它在,Linux,或,UNIX,系统中拥有至高权限、能够胜任所有管理工作。在系统管理员手中,它是系统的守护神;在黑客手中,它就成为系统和管理员的灾难。,11.3.1 root,的权威性和危险性,只要掌管了,root,,就拥有对系统内所有用户的生杀大权,对所有文件的处置权,以及对所有服务的使用权。当然,如果不小心敲错了命令,就可能给系统带来毁灭性的打击。一个普通用户只能在系统中做有限的事情,例如编辑自己的文件、修改本组的程序、建立自己的目录、决定别人以何种权限,(,可读、可写、可执行,),访问自己的文件及目录,以及,同组的用户如何访问它们。而,root,不受这些限制,不管用户对自己的文件作了何种保护,,root,都能置之不理。这一方面体现了,root,的特权性,也从另一方面表现出了极大的危险性。例如,普通用户想删除目录,/home/lily,目录下的文件,执行以下命令:,rm-fr /home/lily,但是不小心在,home,前多了一个空格,命令成了:,rm-fr /home/lily,在,Linux,系统中,,rm,可以接受多个参数,即要删除“,/”,和“,/home/lily”,两个目录,而“,/”,表示整个文件系统。当然作为普通用户权限较小,系统不允许这么做。但是如果用户以,root,身份执行这个命令的话,没有任何方法阻拦他,可想而知,这对系统将是灾难性的。,另外一些特定的操作只能由,root,执行,如,shutdown,命令,该命令使用一个系统调用使系统脱机,但普通用户无权执行这个系统调用,否则系统的稳定性将难以预测。例如,:,# shutdown 10 The Server will be closed after 10 minutes,这个命令通知各个终端用户系统将在,10,分钟后关机,便于普通用户做好充分准备。,以上事实充分说明,root,是一把双刃剑,所以通常情况下系统管理员要为自己分配一个普通用户账号,必要时才用,su,命令将自己改变成为,root,,以避免因疏忽导致的意外错误。,正因为,root,用户拥有这种特殊的地位,保护超级用户的密码也就成了加强系统安全的关键。这样,从某种意义来说,对系统的管理问题也就成了对超级用户密码的管理。系统管理员要严格保护密码,并经常更换,而且密码要足够复杂、足够长,特别是对于重要的系统来说,更要建立严格的密码管理制度。,11.3.2 root,的登录方式,前面已经提到一种登录方式,就是系统管理员以普通用户的身份进入系统,必要的时候再用,su,命令使自己转变成超级用户。不过,su,命令转换身份有一个环境变量转变的问题,读者可以用,env,命令查看身份转换前后的环境变量有何变化。,假设有一个用户要转变成,root,身份,请读者比较使用以下两条指令会有什么区别:,(1) su root,(2) su-root,这里的,root,是默认值,可以不敲。也可以用,su,转换成其他用户,前提是知道其密码。,格式同上:,su,用户账号,su-,用户账号,通过比较,我们可以看出使用第一条命令转变成,root,后,除了少数变量改变外,其他的变量几乎没有变化,好像继承了原用户的环境一样,变化的变,量根据不同的发行版本不同,如,XLinux,与,RedHat,就有差别。但是加上“,-”,后,环境变量就跟,root,直接登录时一样,即“,-”,的意思就是要使用,root,的环境变量。同样,这些规则同样适用于用,su,转换成其他用户账号的情况。,这种方式对于远程维护系统是绝对必要的,因为,root,不能从网络直接,telnet,登录主机。所以系统管理员要实现远程登录,就必须给自己分配一个普通账号。,另外一种登录方式就是从控制台直接登录,对于,UNIX,和,Linux,系统来说,前面我们提到超级用户主宰一切,实际上很有可能是“控制台”主宰一切。这里的控制台指的就是直接通过数据线连接到主机的显示终端。,对于,Linux,而言,普通的,Intel,平台的,RedHat,系统,只要在,Linux,启动时输入以下参数即可不需要密码进入单用户模式:,boot,:,linux 1,而,XLinux,甚至可以直接从启动菜单中选择。即使启动过程不允许输入参数,也可以通过光盘或软盘启动进入系统,这些在安全部分再做介绍。当然对于商业模式,我们可以采用物理隔离的办法来保护主机。不过对于系统管理员来说,应该重视控制台的安全,养成良好的习惯。,11.3.3,与,root,环境变量相关的脚本文件,在,root,根目录下有几个重要的脚本文件,熟知它们的内容有助于更好地控制自己的行为,养成良好的习惯。如,PATH,环境变量一般没有当前路径“,.”,,这样就会督促系统管理员使用绝对路径。,root,跟其他用户一样,其基本行为和环境变量由,/etc/bashrc(,以,bash shell,为例,),和,/etc/profile,设定。,root,根目录下有两个配置文件,.bashrc,和,.bash-profile,,这两个文件可以由用户个人修改,以添加一些个人爱好的环境设置。修改后必须执行后方可生效,如修改完“,.bashrc”,文件后,执行如下,:,# .bashrc,普通用户也可以自行设置自己的环境参数,建议读者动手修改这些脚本,只有试验过才会有更深的体会。,11.4,其他特殊用户,除了,root,和普通账号之外,系统中还存在一些账号,它们不能供任何人登录使用,只能由系统内核使用。这些账号有,bin,、,sys,、,nobody,、,daemon,等。这些账号在不同的操作系统中有很大区别,甚至名称也不一样,如,AIX,中的,system,就相当于,sys,。尽管其中许多已经没有被使用,,Linux,系统中仍保留了这些账号。,Linux,系统中更多地依赖管理员的安全意识,也体现了它是玩家的宠物,没有过多地考虑操作的安全性。,11.5,普通用户,任何一个提供用户服务的主机都需要对用户账号进行规划、管理,因为系统资源是共享的,又要保证用户的隐私,必须设置足够的安全屏障,一个认真负责的系统管理员就必须建好这个安全屏障。系统管理员一般都有大量的工具软件包,以帮助自己顺利、便捷地完成工作。为了让读者对工具的幕后工作有所了解,,11.7,节还将介绍如何通过修改配置文件达到目的。,11.5.1,增加普通用户,Linux,中有一条管理用户的命令,useradd,,还有一条命令叫,adduser,,这两者是一回事,,adduser,是,useradd,的符号链接。,通常情况下,增加用户可以不必指定用户的组,下面的命令会自动完成相应的工作,例如用下面的命令将为,cheng,创建一个普通用户账号:,# useradd cheng,系统默认处理用户,ID,与组,ID,相同,但是,AIX,和,Solaris,都需要指定用户组。同时命令脚本为用户创建主目录和相应的环境变量。,上面的命令实际上完成了以下几个工作:,(1),向,/etc/passwd,、,/etc/shadow,、,/etc/group,中写入用户信息,(2),建立用户主目录,/home/cheng,(3),将,/etc/skel,下的内容拷贝到,/home/cheng,下,为用户建立环境变量和准备脚本环境,读者可以自己通过试验比较文件内容的变化。如果通过,root,权限手工创建主目录,一定要重新设置该主目录及该目录下文件的属主和属组。,11.5.2,设置用户口令,现在已经成功地在系统中添加了一个用户,但是用户还不能登录。为了让用户,cheng,使用系统,必须为,cheng,设置口令。不同的系统在处理用户口令的问题上也有不同的策略,,Alpha,的,RedHat,版本在设置口令之前会禁止用户登录,系统管理员必须为用户设置一个第一次登录使用的密码,可以使用如下命令:,# passwd cheng,系统会提示你输入密码,并提示确认你的输入。只有当两次输入一致,密码设置才算成功。用户用这个密码登录以后可以自己修改密码,命令格式同上,即“,# passwd”,,然后根据系统提示输入密码,不过系统会要求你先提供老的密码,即未修改前的密码。,密码成功设置完毕,这个用户就拥有了系统的使用权。不同的用户可以设置自己的目录和文件访问权限。默认情况下,用户之间是不可以互相访问的。用户的密码信息保存在,/etc/passwd,和,/etc/shadow,配置文件中。,11.5.3,删除用户,删除一个用户账户可以用命令完成,也可以手工进行,需要以下的步骤:,(1),删除,/etc/passwd,文件中此用户的信息记录。,(2),删除,/etc/group,用户列表中出现的此用户,默认设置为一行。,(3),删除用户的主目录以及由此用户创建的文件,还有此用户在,/var/spool/mail,中的信箱也要一并删除。,用命令,userdel,能完成所有这些工作。命令如下:,# userdel-r cheng,注意,如果不加参数,-r,,,userdel,将保留用户的主目录,只删除其他的几项内容。,一般情况下,用户只有对主目录的写权限,随着主目录的删除,其相关文件也随之消失。但也有可能对该用户开放了其他的目录写权限,因此保存在其他位置的文件就要用,find,命令查找。利用,find,命令的,-user,、,-uid,选项可以很方便的找到属于某个用户的文件。命令如下:,# find /-user cheng-ls,或,# find /-uid userid-ls,该命令用,ls -l,显示所有属主为,cheng,的文件。读者可以用以下命令查看,find,命令的功能,它带有许多参数,熟练使用它们可以带来许多便利。,注意: 使用,-user,选项时,/etc/passwd,文件中必须有用户的记录信息。当一条命令要用到用户的登录名或组名时,系统在执行这个命令的过程中,就需要根据,/etc/passwd,和,/etc/group,中的相关记录,将命令行中的登录名和组名转化为,UID,和,GID,。如果找不到相关的记录,系统就不能够识别给出的登录名和组名,这时就要直接使用该用户的,UID,和,GID,来标识用户。当管理员使用,userdel,命令删除了用户信息后,就必须根据用户的,UID,查找属于该用户的其他文件,,UID,就是上例中,-uid,参数后的,userid,。,11.5.4,禁用用户,有时,由于用户本身的原因或者考虑到系统安全的需要,需要查封一个账号。大多数系统都采用了,shadow,技术,对于这种系统,最简单的做法就是在,/etc/shadow,文件中找到该用户,并在其,password,域的前面插入一个“*”符号,以后要解封时只要删除这个标记即可。,如用户,lily,被禁用,则,/etc/shadow,中关于,lily,用户的表述为:,lily:*,1,QRfSIh.2,6UokDtNIau1sjTsEAe3Kp0:11258:0:99999:7:,另外有些版本的,UNIX,在,/etc/passwd,文件中对用户的,password,域符号有特殊规定,比如,AIX 3,中就规定“!”代表可登录账号,而其他符号表示该账号不可登录。对这类系统只要简单地在此处改写一下登录符号即可。,第,11.7,节将在配置文件中介绍什么是,password,域等概念。,11.5.5,修改用户信息,很多系统都提供了一些专用命令,如,usermod,、,groupmod,、,chfn,等等来修改用户信息,这些信息存放在,/etc/passwd,和,/etc/group,文件中;,passwd,命令可以用来修改用户密码,输入的密码经加密后,存放在,/etc/shadow,文件中。如修改用户所在的属组,:,# usermod-g B lily,即把,lily,的属组改为,B,。,修改用户的私人信息用,chfn,命令,运行时,对一般用户来说,要求先输入密码,再依次输入真实姓名、办公室地址、办公室电话、家庭电话等信息。,# chfn,Changing finger information for lily.,Password:,Name,: lily,Office,: 1407,Office Phone,: 6273845,Home Phone,: 4566653,这些信息将存入,/etc/passwd,文件中,这些信息可以通过,finger,命令查看。,修改用户的,shell,用,chsh,命令,同,chfn,一样,它也需要普通用户提供密码,也可以通过,finger,命令查看到修改后的信息如下:,# finger lily,Login: lily Name: lily,Directory:/home/lily Shell:/bin/bash,Office: 1407,,,627-3845 Home Phone: 456-6653,Never logged in.,No mail.,No Plan.,由上面的叙述可知,用户信息保存在,3,个文件中,,/etc/passwd,、,/etc/shadow,及,/etc/group,,所以直接修改这些文件也可以简单直观地达到目的。,11.6,用户组策略,组的概念对于管理用户的文件特别关键。用户可以决定自己的文件对同组的用户开放到什么程度,即可读、可写或可执行,或者三者的某个组合。对组外用户的访问限制可以更加严格,例如仅给只读的权限。,使用,ls-l,命令就可以看到每个文件的属主和属组,以及文件的权限。在,11.2,节中提到可以使用,chown,、,chgrp,、,chmod,等命令来改变目录及文件的访问权限。使用,groups,命令可以列出当前的注册用户所属的所有组的名称。,Linux,中如果创建用户时不指定用户组的话,系统默认地为用户生成一个组,其标识符,GID,与用户的,UID,是大小相等的整数。实际系统中,根据不同的需求,用户可以属于多个组,用户可以在不同的组中切换。,11.2,节中也提供了切换到另一个组的方法,即,newgrp,命令。用户组的相关信息在,/etc/group,配置文件中。,除了将用户添加到其他组以外,有些系统提供密码访问的方式访问其他组,这种方法安全性不是很高,很少采用。,11.7,账号相关的配置文件,11.7.1 passwd,文件在,Linux,系统中,用户账号的基本信息存放在文件,/etc/passwd,中,每个用户的信息占有一行。一个典型的,passwd,文件如下:,root:x:0:0:root:/root:/bin/bash,bin:x:1:1:bin:/bin:,daemon:x:2:2:daemon:/sbin:,adm:x:3:4:adm:/var/adm:,lp:x:4:7:lp:/var/spool/lpd:,sync:x:5:0:sync:/sbin:/bin/sync,shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown,halt:x:7:0:halt:/sbin:/sbin/halt,mail:x:8:12:mail:/var/spool/mail:,news:x:9:13:news:/var/spool/news:,uucp:x:10:14:uucp:/var/spool/uucp:,operator:x:11:0:operator:/root:,games:x:12:100:games:/usr/games:,gopher:x:13:30:gopher:/usr/lib/gopher-data:,ftp:x:14:50:FTP User:/home/ftp:,nobody:x:99:99:Nobody:/:,gdm:x:42:42:/home/gdm:/bin/bash,squid:x:101:101:/var/spool/squid:/dev/null,cheng:x:500:500:cic:/home/cheng:/bin/bash,可以看出,,passwd,文件中每条用户记录都具有以下格式:,登录账号:密码域:用户标识符,UID,:组标识符,GID,:用户信息:主目录:用户,shell(,若为空格则默认为,/bin/sh),登录账号用来区分不同的用户,在系统中是惟一的。用户名的命名规则通常限制在,8,个字母或数字的组合之内。,现在的,Linux,系统通常都使用了,shadow,技术,将加密后的口令放在,shadow,文件中,而只在密码域中放一个“,x”,,改成其他符号也没有关系,主要是习惯问题。这样,一般用户就无法得到加密后的口令,增加了系统的安全性。,UID,是用户标识符,,Linux,中普通用户的,UID,默认为,500,以后的某个整数,系统在内部处理进程和文件保护时使用,UID,。,UID,应当是独一无二的,其他用户不应当有相同的,UID,数值。如果在,/etc/passwd,文件中有两个不同的登录账号有相同的,UID,,则这两个用户对相互的文件具有相同的存取权限。登录账号和,UID,相比较更直观,对用户来说,使用登录账号更方便,对系统来说,UID,更重要。,GID,是组标识,表示用户所在组别的一个整数。组的概念对用户是相当重要的,一个组中可以包含多个用户,同组中的用户可以享有组内的特权,如可以访问相同的目录或文件等。默认添加用户时为用户分配一个和,UID,同等的组值。,用户信息域中存放用户相关的信息,如真实姓名、办公室地址、电话等。当然也可以不填写。同样可以通过,chfn,命令输入用户信息。,主目录域标明用户的主目录,当用户登录时,,shell,自动将主目录作为它的工作目录。普通用户的主目录一般放在,/home,下,例如用户,cheng,的主目录就是,/home/cheng,。,用户,shell,域是用户登录时运行的程序。它实际上是一个命令解释器,类似于,dos,中的,command,,它通常放在,/bin,目录下,由第,2,部分可以知道,,shell,有许多版本,用户可以根据个人喜好任选一种,前提是该,shell,程序必须存在于系统中。,11.7.2 shadow,文件,用户账号的口令对系统的安全至关重要,,/etc/shadow,文件中就保存了所有系统用户口令的加密信息。只要得到了文件,在,internet,上随便找一个密码破解程序就能找出相当一部分用户的密码。另外,,paasswd,对一般用户是可读的,如果加密后的密码信息放在该文件中,则系统中的每个用户都可以读到加密后的口令。以前由于硬件速度的限制,试图破解一个精心选择的口令几乎是不可能的,而随着硬件技术的不断发展,以及网络功能的充分利用,一般的加密算法已经不能保证密码的安全性了,所以才产生了,shadow,技术,即将加密后的口令放在,shadow,文件中,而在,passwd,中相应的位置只放,一个“,x”,。,shadow,只对超级用户是可读的,一般用户无法读取。,下面我们列出一个典型的,shadow,文件的一部分:,root:y9e2Gzjq/MCCc:11145:0:99999:7:,bin:*:11145:0:99999:7:,daemon:*:11145:0:99999:7:,adm:*:11145:0:99999:7:,lp:*:11145:0:99999:7:,sync:*:11145:0:99999:7:,shutdown:*:11145:0:99999:7:,halt:*:11145:0:99999:7:,mail:*:11145:0:99999:7:,news:*:11145:0:99999:7:,uucp:*:11145:0:99999:7:,operator:*:11145:0:99999:7:,games:*:11145:0:99999:7:,gopher:*:11145:0:99999:7:,ftp:*:11145:0:99999:7:,nobody:*:11145:0:99999:7:,gdm:!:11145:0:99999:7:,postgres:!:11145:0:99999:7:,squid:!:11145:0:99999:7:,cheng:,1,PwqdIiQ0,vBYHwbSA/Mt31OICCwSrI/:11242:0:99999:7:,/etc/shadow,文件包含了用户口令的加密信息,以及口令的有效期信息,每个用户占一条记录,每条记录,9,个域,依次定义如下:,(1),登录账号,(2),加密口令,“*”或其他符号表示不能用来登录。,(3),口令上次更改时间与,1970,年,1,月,1,日相隔的天数,(4),口令更改后不可以再次更改的天数,,0,表示可以随时更改,(5),口令的有效期,即口令更改后必须再次更改的天数,,99999,表示未设有效期,(6),口令失效前警告用户的天数,(7),口令失效后距账号被查封的天数,默认值,-1,(8),账号被封时距,1970,年,1,月,1,日的天数,默认值,-1,(9),保留未用,其中,加密口令域不能为空,否则用户不用密码即可登录,包括系统账号在内。口令长度随加密算法的不同而不同,一般它由,13,个有效字符组成。口令长度、有效日期等条件在“,/etc/login.defs”,文件中设置。,11.7.3 group,文件,系统用户要查看自己所处的组,或者管理员要为某个用户增加一个组权限,都需要修改,/etc/group,文件的内容,该文件的例子如下:,root:0:root,bin:1:root,bin,daemon,daemon:2:root,bin,daemon,sys:3:root,bin,adm,adm:4:root,adm,daemon,popusers:x:231:,slipusers:x:232:,postgres:x:233:,slocate:x:21:,squid:x:101:,utmp:x:234:,cheng:500:cheng,在,/etc/group,文件中,每个组的信息占有一行记录,每个记录包括四个域,其格式如下:,组名:组访问密码:组标识符,GID,:用户名列表,(,用户名间以“,”分隔,),其中组访问密码域不经常使用,一般用“*”或其他字符填充,这时就只能通过修改,/etc/group,文件达到目的,可以在相应的组下添加该用户名。如果系统提供了组加密的工具软件包提供组密码,将出现加密的密文。,如果密码错误或不允许组访问,运行,newgrp,命令后,就会得到一个“,permission denied”,的错误信息。如果运行成功,则启动一个具有该组,GID,的,shell,,结束任务后,用户可以用,exit,或者不带参数的,newgrp,命令退出到原来的,shell,环境。,由于用户登录时,系统从,/etc/passwd,文件中取,GID,,而不是从,/etc/group,中取,GID,,所以,group,文件和,passwd,文件应当具有一致性。,11.8,小结,Linux,在很大程度上是出于学习和爱好而装备的个人系统,一般只有机主使用,这种情况下,对账号管理是没有什么要求的,但是一旦系统由多人使用,作为系统管理员,就必须保证系统的可靠运行和正常服务。,本章中对用户账号的管理重点放在对超级用户和普通用户的讲解上,从安全角度上讲,作为系统管理员,一定要提防系统账号出现的漏洞,要经常关注安全方面的信息,及时打好补丁程序。另外本章中出现的命令也没有详细地说明,因为查看命令是手册所应该提供的功能,读者完全可以用,man,命令查看在线文档获得更为详细的命令信息。,另外在本章中没有提到的图形界面工具,如,userconf,、,linuxconf,等,这些工具的使用留给读者自己解决。,习题,11-1,不使用,useradd,命令,请直接通过修改账号配置文件达到添加、删除、禁用用户账号的目的。用户账号名可以任意选择,(,注意:实验机上操作完成后应该清理自己的工作,),。,11-2,使用图形化界面工具,userconf,和,linuxconf,配置用户账号。,11-3,试着在不使用,chfn,命令时修改用户的私人信息,并用,finger,命令查看修改的用户信息正确与否。,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 小学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!