Linux原理及应用12_账号管理.ppt

LINUX原理及应用 第十一章账号管理 Linux系统通过账号管理维护系统的安全性 防止用户非法或越权使用系统资源 11 1了解账号管理 Linux是一个多用户系统 系统需要对普通用户的权限进行限制 用户账号一般包括 普通用户账号 管理账号 系统账号 是Linux系统正常工作所必需的内建的用户 主要是为了满足相应的系统进程对文件属主的要求而建立的 系统用户不能用来登录 例如 bin daemon adm lp等用户 11 1了解账号管理 每个用户都有一个数值 称为UID 超级用户的UID为0 系统用户的UID一般为1 499 普通用户的UID为500 60000之间的值 使用su命令以根操作员的身份执行操作 su命令 也就是改变用户身份的命令 允许你以你的系统上任何用户的身份运行一个命令 存放在子目录 bin中的su命令有七个不同的命令行参数 其中的几个最常用的将在下面介绍 虽然最有可能会使用su命令改变自己的身份为根操作员 但是当你希望改变自己的身分成为其他的用户来调试诸如电子邮件或者打印等问题的时候 这个程序也一样的简便实用 使用su命令的方法很简单 比如说 如果想改变为根操作员的身份 可以象下面这样使用su命令 su Password su incorrectpassword 使用su命令以根操作员的身份执行操作 在缺省的情况下 如果调用su命令的时候没有指定用户名 这个命令就会允许你改变为根操作员身份 使用连字符号 命令行参数确保你在作为根操作员的时候能够使用根操作员的环境变量 要求输入一个口令字 如果输入了一个错误的口令字 su命令会报警并退出执行 如果输入了正确的口令字 将会作为根操作员登录进入系统 如果想返回到原来的shell 请使用shell的exit命令 如下所示 使用su命令以根操作员的身份执行操作 在上面的例子中我们使用了whoami命令显示出执行了exit命令之后 就回到了普通用户状态 su命令的另外一个方便的功能是通过 s命令行参数运行另外一个shell 如果想试试另一个shell 但是又不想使用chsh命令永久地改变shell的话 就可以使用下面的命令 11 2Linux系统中的归属关系模式 Linux和UNIX一样 其进程和文件都存在一个相关联的归属关系的概念 文件与进程的拥有者对其有绝对的控制权 可以控制文件和进程是否允许其他用户访问 这种权利只有root用户才能超越 文件的访问权包括 属主的访问权限 可以使用chmod chgrp属组的访问权限其他人的访问权限 11 2Linux系统中的归属关系模式 Linux中的每个进程也有类似的归属关系 每个进程有4个关联的数值 实际UID有效UID实际GID有效GID通常情况下 实际ID与有效ID是相同的 进程的属主可以可以给进程发信号 也可以降低进程的优先级 但不可以升高 除非是root 在某些特殊情况下 如设置了setuid或setgid位的程序进程 当该进程运行另一个用户的程序文件时 它的有效UID或有效GID分别被临时设置成该程序文件的属主的实际UID或实际GID 从而可以像该属主一样执行该程序的文件 11 2Linux系统中的归属关系模式 注意 setuid setgid程序由其他用户执行时 返回的是该用户的shell 而不是程序属主的shell 否则 假如用户执行完这种程序返回后就变成了该程序的属主 那么要获得root身份 只要执行这么一个程序就够了 系统没有安全可言了 所以作为系统管理员 对这些程序要格外小心 11 3超级用户 超级用户就是拥有root权限的用户 他在Linux或UNIX系统中拥有至高权限 能够胜任所管理的工作 11 3 1root的权威性和危险性 root不受访问权限的限制 不管用户对自己的文件作了何种保护 root都能置之不理 例如想删除目录 home lily目录下的文件 执行以下命令 rm fr home lily但不小心在home前多了一个空格 命令成了 rm fr home lily另外一些特定的操作只能由root执行 如shutdown命令 11 3 2root的登录方式 假如一个用户要转变成root身份 可使用如下命令 这种方式对远程维护是绝对必要的 suroot多数变量没有变化su root跟用root直接登录的环境变量一样从控制台直接登录 11 3 3与root环境变量相关的脚本文件 root跟其他用户一样 其基本行为和环境变量由 etc bashrc 以bashshell为例 和 etc profile设定 root根目录下有两个配置文件 bashrc和 bash profile 这两个文件可以由用户个人修改 以添加一些个人爱好的环境设置 修改后必须执行后方可生效 如修改完 bashrc 文件后 执行 bashrc 11 4其他特殊用户 除了root和普通账号之外 系统中还有一些账号 它们不能供任何人登录使用 只能由系统内核使用 这些账号有bin sys nobody daemon等 这些账号在不同的操作系统中有很大区别 甚至名称也不一样 11 5普通用户 任何一个提供用户服务的主机都需要对用户账号进行规划 管理 11 5 1增加普通用户 Linux中有一条管理用户的命令useradd 还有一条命令叫adduser 这两者是一回事 adduser是useradd的符号链接 如 useraddcheng上面的命令实际上完成了以下几个工作 向 etc passwd etc shadow etc group中写入用户信息建立用户主目录 home cheng将 etc skel下的内容拷贝到 home cheng下 为用户建立环境变量和准备脚本环境 如果通过root权限手工创建主目录 一定要重新设置该主目录及该目录下文件的属主和属组 11 5 2设置用户口令 为了让用户使用系统 必须为用户设置口令 不同的系统在处理用户口令的问题上也有不同的策略 系统管理员必须为用户设置一个第一次登录使用的密码 如 passwdcheng系统会提示你输入密码并确认 如果修改密码也用这个命令 不过要先输入老密码密码设置成功后 用户就拥有了系统的使用权 默认情况下 用户之间是不可以互相访问的 用户的密码信息保存在 etc passwd和 etc shadow配置文件中 11 5 3删除用户 删除一个用户帐户可以用命令完成 也可手工进行 需要以下步骤删除 etc passwd文件中此用户的信息记录删除 etc group用户列表中出现的此用户 默认设置为一行删除用户的主目录以及由此用户创建的文件 还有此用户在 var spool mail中的信箱也要一并删除用命令能完成所有这些工作 如 userdel rcheng注意 如果不加参数 r userdel将保留用户的主目录 只删除其他几项内容 11 5 3删除用户 一般情况下 用户只有对主目录的写权限 随着主目录的删除 其相关文件也随之消失 但也有可能对该用户开放了其它的目录写权限 因此保存在其他位置的文件就要用find命令查找 如 find usercheng ls或 find uiduserid ls 11 5 4禁用用户 最简单的做法是在 etc shadow文件中找到该用户 并在其password域的前面插入一个 符号 以后要解封时只要删除这个标记即可 11 5 5修改用户信息 很多系统都提供了一些专用命令来修改用户信息 如 修改用户所在的属组 usermod gBlily修改用户的私人信息 chfn 11 6用户组策略 用户可以在不同的组中切换 可以使用chgrp newgrp命令改变组 用户组的相关信息在 etc group配置文件中 11 7账号相关的配置文件 不像Windows2000那样有专门的数据库用来存放用户的信息 Linux系统采用纯文本文件来保存账号的各种信息 其中最重要的文件有 etc passwd etc shadow etc group这几个 因此账号的管理实际上就是对这几个文件的内容进行添加 修改和删除记录行的操作 我们可以使用vi或其他编辑器来更改它们 也可以使用专门的命令来更改它们 不管以哪种形式管理账号 了解这几个文件的内容十分必要 Linux系统为了自己的安全 缺省情况下只允许超级用户更改它们 11 7账号相关的配置文件 11 7 1passwd文件在Linux系统中 用户账号的基本信息存放在文件 etc passwd中 每个用户的信息占有一行 一个典型的passwd文件如下 root x 0 0 root root bin bashbin x 1 1 bin bin daemon x 2 2 daemon bin adm x 3 4 adm var adm lp x 4 7 lp var spool lpd ftp x 14 50 FTPUser home ftp nobody x 99 99 Nobody gdm x 42 42 home gdm bin bashsquid x 101 101 var spool squid dev nullcheng x 500 500 cic home cheng bin bash 11 7 1passwd文件 passwd文件中每条用户记录都具有以下格式 登录账号 密码域 用户标识符 组标识符 用户信息 主目录 用户shell 若为空格则默认为 bin sh 字段说明 登录账号 用户登录Linux系统时使用的名称 密码 这里的密码是经过加密后的密码 一般是采用MD5加密方式 而不是真正的密码 若为 x 说明密码经过了shadow的保护 我们随后就介绍 UID 用户的标识 是一个数值 Linux系统内部使用它来区分不同的用户 GID 用户所在基本组的标识 是一个数值 Linux系统内部使用它来区分不同的组 相同的组具有相同的GID 个人资料 可以记录用户的完整姓名 地址 办公室电话 家庭电话等信息 主目录 通常是 home username 这里username是用户名 用户执行 cd 命令时当前目录会切换到个人主目录 Shell 定义用户登录后激活的Shell 默认是BashShell 从passwd文件中可以看到 第一行是root用户 紧接的是系统用户 普通用户通常在文件的尾部 当然它们所在的顺序并不是很重要的 11 7 2shadow文件 在passwd文件中 有一个字段是用来存放经过加密的密码 我们先来看以下passwd文件的权限 root redflag root ls l etc passwd rw r r 1rootroot10923月1218 00 etc passwd可以看到任何用户对它都有读的权限 如果不让所有的用户对它有读的权限 Linux系统会出现一些问题 虽然密码已经经过加密 但还是不能避免别有用心的人轻易地获取加密后的密码后进行解密 如 字典法 穷举法等 于是Linux系统对密码提供了更多一层的保护 即把加密后的密码重定向到另一个文件 etc shadow root redflag root ls l etc shadow r 1rootroot7583月1218 00 etc shadow 11 7 2shadow文件 用户账号的口令对系统的安全至关重要 etc shadow文件中就保存了所有用户口令的加密信息 shadow只对超级用户可读 一般用户无法读取 下面是一个shadow文件的实例 root y9e2Gzjq MCCc 11145 0 99999 7 bin 11145 0 99999 7 daemon 11145 0 99999 7 adm 11145 0 99999 7 lp 11145 0 99999 7 ftp 11145 0 99999 7 nobody 11145 0 99999 7 gdm 11145 0 99999 7 squid 11145 0 99999 7 cheng 1 PwqdIiQ0 vBYHwbSA Mt310ICCwSrI 11242 0 99999 7 11 7 2shadow文件 etc shadow文件包含了所有用户口令的加密信息 每个用户占一条记录 登录账号加密口令口令上次更改时间与1970年1月1日相隔的天数口令更改后 不能再次更改的天数口令的有效期 99999表示未设有效期口令失效前警告用户的天数口令失效后距账号被查封的天数 默认值 1账号封时距1970年1月1日的天数 默认值 1保留未用 11 7 2shadow文件 安装Linux系统时 系统缺省采用shadow来保护密码 如果安装Linux时未启用shadow 可以使用pwconv命令启用shadow 注意用root用户登录来执行该命令 root redflag root pwconv执行的结果是 etc passwd文件中的密码字段被改为 x 同时产生 etc shadow文件 相反 如果要取消shadow功能 使用pwunconv命令 11 7 3group文件 系统用户想查看自己所处的组 或者管理员要为某个用户增加一个组权限 都需要修改 etc group文件的内容 root 0 rootbin 1 root bin daemondaemon 2 root bin daemonsys 3 root bin admadm 4 root adm daemonpopusers x 231 slipusers x 232 postgres x 233 slocate x 21 squid x