Linux账号管理.docx
《Linux账号管理.docx》由会员分享,可在线阅读,更多相关《Linux账号管理.docx(23页珍藏版)》请在冰点文库上搜索。
Linux账号管理
幻灯片1
第7章Linux用户账号与组群账号管理
幻灯片2
●用户账户和组群的管理是Linux系统工作中重要的一部分,而所谓的账号管理是指账号的添加、删除和修改、账号设置以及权限(Permissions)授予等问题。
其中最困难的部分并不在于操作与设置的层次,而是如何建立一套合理又有灵活性的法则来满足企业的需求,这也是本章将要介绍的重点。
幻灯片3
7.1Linux系统用户账号的管理
●7.1.1/etc/passwd文件
●7.1.2/etc/shadow文件
●7.1.3用户账号的创建和维护
幻灯片4
●1、用户帐号:
所谓的“用户”可以是实际的人员。
每个用户帐号都包含一个惟一的识别码(UserID,UID)以及组群识别码(GroupID,GID)。
2、组群帐号:
所谓的“组群”是一种逻辑性的单位,主要集合特定的用户,并授予所有组群成员文件相同的权限,如读取、写入、或运行。
幻灯片5
7.1.1/etc/passwd文件
●passwd文件中的记录是按如下方式组群织的:
●登录名:
口令:
用户标识号:
组群标识号:
用户名:
用户主目录:
命令解释程序
●1、登录名:
即用户帐号,由root或具有相等权限的管理员所指定。
●2、密码:
系统用口令来验证用户的合法性。
●3、用户标识号:
Linux中的每个用户帐号都由一个惟一的识别号码,该号码就称为UID,它是一个数值,最大可达65535。
●4、组群标识号:
这是当前用户的默认工作组群标识。
●5、用户名:
User_name包含有关用户的一些信息,如用户的真实姓名、联系电话和办公室住址等。
●6、用户主目录:
该字段定义了个人用户的主目录,当用户登录后,他的shell将把目录作为用户的工作目录。
●7、命令解释程序:
Shell是当用户登录系统时运行的程序名称,通常Shell程序的全路径名为/bin/bash,但是用户可以使用chsh命令来改变自己的登录Shell。
幻灯片6
7.1.1/etc/passwd文件
●列:
passwd文件中的两条记录:
●root:
x:
0:
0:
root:
/root:
/bin/bash
●go:
x:
500:
500:
:
/home/go:
/bin/bash
●第一条记录描述了root账号。
可以看到,登录名为root;口令字段为“x”,表示真实口令被存放在/etc/shadows文件中;UID为0,因为系统认为UID为0的用户可以不受通常的安全限制;GID也为0,这是惯例,表示这是root组群。
系统中很多文件都属于root账号和root组群;用户名为root;主目录为/root;默认的shell程序为bash.
●第二条记录描述了系统中一个普通的个人用户。
其中,登录名为go;口令字段为“x”;UID为500;GID为500,表明go所在组群在/etc/group文件中编号为500;用户名字段为空,表示没有为该用户指定附加的描述信息;用户主目录为/home/go;默认的shell程序为bash。
幻灯片7
7.1.2/etc/shadow文件
●使用ShadowPasswd的功能又下面优点:
●⑴将原本/etc/passwd文件中的加密密码移到/etc/shadow文件中,但该文件仅允许root读取,所以可提高安全性。
●⑵可记录密码改变的时间。
●⑶可以设置密码使用的时间,以避免用户的密码改变过于频繁。
●⑷可以使用/etc/login.defs文件来设置安全性策略,如密码最小长度或密码最短使用时间。
幻灯片8
7.1.3用户账号的创建和维护
●1.以文本模式对用户账号进行创建和维护
●2.以图形界面对用户账号进行创建和维护
幻灯片9
以文本模式对用户账号进行创建和维护
●1、添加用户账号
●对系统而言,创建一个用户账号需要完成以下步骤:
●⑴添加一个记录到/etc/passwd文件。
●⑵创建用户的主目录。
●⑶在用户的主目录中设置用户的默认配置文件
●为了提高系统的利用率,并且避免因多个用户共用一个root账号而造成不必要的系统安全隐患,通常必须为新用户添加账户。
在Linux系统中,添加用户只能由超级用户来完成,也就是说,只能由root使用useradd/adduser命令来完成该项工作。
幻灯片10
以文本模式对用户账号进行创建和维护
●在使用useradd或adduser命令添加用户账号前,建议先使用“finger”命令来检查将要添加的用户帐号是否存在,以避免账号名重复而失败。
●例:
使用“finger”命令来查询现存账号及目前不存在账号的结果:
●[root@nsroot]#fingeruser01
●Login:
user01Name:
(null)
●Directory:
/home/user01Shell:
/bin/bash
●Neverloggedin.
●Nomail.
●NoPlan.
●[root@nsroot]#fingeruser02
●Finger:
user02:
nosuchuser.
●由以上结果可知,当前系统中已存在名为user01的账号,所以不要再添加该名称的账号,但是user02的名称尚未被使用,因此可以添加用户user02。
幻灯片11
以文本模式对用户账号进行创建和维护
●命令useradd的格式如下所示:
●Useradd[选项][用户登录名]
●便如,需要创建一个用户账号user02,主目录为/home/user02,登录时使用bash作为其shell程序。
可以使用以下命令:
●[root@nsroot]#useradd-d/home/user02-s/bin/bashuser02
幻灯片12
以文本模式对用户账号进行创建和维护
●2、修改用户账号
●添加用户帐号后,管理员有时需要改变账号的内容,此时可以使用“usermod”命令来进行账号内容的修改,其实用方法及参数与useradd命令很相似。
●假设要修改先前建立的User02账号信息,同时将用户的备注文字改为“VicePresident”,而且主目录改为/root,则可以使用下面的命令:
●[root@na1root]#usermod-c“VicePresident”-d/rootUser02
幻灯片13
以文本模式对用户账号进行创建和维护
●3、删除和停用用户账号
●要删除已经存在的用户账号,必须从/etc/passwd文件中删除此用户的记录项,从/etc/group文件中删除提及的此用户,并且删除用户的主目录及其他由该用户创建或属于此用户的文件。
这些工作可以使用userdel命令来完成。
例如,可以使用以下命令删除用户账号user01:
[root@na1root]#userdeluser01
幻灯片14
以文本模式对用户账号进行创建和维护
●4、用户密码管理
●若要改变自己的使用密码,只要直接使用passwd命令即可。
下面是使用“passwd”命令来改变自己密码的方法:
●[alice@ns1alice]$passwd→不加任何参数
●Changingpasswordforuseralice
●Changingpasswordforalice
●(current)UNIXpassword:
→输入目前密码(显示器不显示密码)
●Newpasssrd:
→输入新的密码(显示器不显示密码)
●Retypenewpassword:
→再次输入新的密码(显示器不显示密码)
●Passwrd:
allauthenticationtokensupdatedsuccessfully.→密码修改成功
幻灯片15
以图形界面对用户账号进行创建和维护
●1、添加用户账号
●要添加新用户,点击「添加用户」按钮。
一个如右图所示的窗口就会出现。
在适当的字段内键入新用户的用户名和全称。
在「口令」和「确认口令」字段内键入口令。
口令必须至少有六个字符。
幻灯片16
以图形界面对用户账号进行创建和维护
●2、修改用户账号
●要查看某个现存用户的属性,点击「用户」标签,从用户列表中选择该用户,然后在按钮菜单中点击「属性」(或者从下拉菜单中选择「行动」=>「属性」)。
一个类似右图的窗口就会出现。
幻灯片17
7.2Linux系统用户组群的管理
●7.2.1组群帐号/etc/group文件
●7.2.2工作组群的管理
●
幻灯片18
●在进行账号管理时,使用“组群”为管理的基本单位。
先将需要存入该项资料源的用户加入到同一个组群,然后在授予组群该资料的访问权限。
这样,每个组群成员都可以拥有该项资源的权限,管理员也可以节省日常维护的时间。
●
幻灯片19
7.2.1组群帐号/etc/group文件
●类似于/etc/passwd文件,系统中的每个组群都对应/etc/group文件中一行记录。
记录的各字段属性依次定义如下:
组群名:
口令:
组群标识号:
用户列表。
●
幻灯片20
7.2.1组群帐号/etc/group文件
●下面介绍各个字段的含义。
●1、组群名(group_name):
顾名思义,组群名就是工作组群的名字
●2、口令(passwd):
组群的口令,通常都不使用或用“x”表示。
允许不在这个组群中的其他用户用newgrp命令来访问属于这个组群的资源。
●3、组群标识号(GID):
GID是系统用来区分不同组群的标识号,它在系统中是惟一的。
在/etc/passwd文件中,用户的组群标识号字段就是用这个数字来指定用户的默认组群。
●4、用户列表(user_list):
用户列表是用“,”分隔的用户登录名集合,列出了这个组群的所有成员。
幻灯片21
7.2.1组群帐号/etc/group文件
●在Linux系统中,root和bin都是管理组群。
系统中很多文件都属于这两个组群。
●实际的应用中,口令字段是完全没有必要的。
事实上,很多系统没有提供设置组群口令的工具。
这是因为要使一个用户成为多个组群的成员,只需要把用户登录名加入到这些组群的用户列表字段中。
●用户可以使用group命令列出当前用户所属的所有组群的名称。
●
幻灯片22
7.2.2工作组群的管理
●1、工作组群概述
●设置了组群后,通过将用户划分到各个特定的组群中,就自动地使用户拥该工作组群的权限。
幻灯片23
7.2.2工作组群的管理
●2、添加组群账号
●
(1)命令行操作
●添加组群账户命令:
groupadd
●加组群账号的groupadd命令使用很容易。
只要直接输入命令和组群名称即可。
若要指定组群群识别码(GID),可以使用“-g”参数。
●例:
[root@ns1root]#groupadd-g600test
幻灯片24
7.2.2工作组群的管理
●2、添加组群账号
●
(2)用户管理器
●要添加新用户组群,点击「添加组群」按钮。
一个类似下图的窗口就会出现。
幻灯片25
7.2.2工作组群的管理
●3、修改组群群账号
●
(1)命令行操作
●修改组群账户命令:
groupmod
●groupmod命令的格式如下:
●#groupmod[-g<新GID][-o]][-n<新组群名>]<现有组群名>
幻灯片26
7.2.2工作组群的管理
●3、修改组群群账号
●
(2)用户管理器
●要查看某一现存组群的属性,从组群列表中选择该组群,然后在按钮菜单中点击「属性」(或选择下拉菜单「文件」=>属性)。
一个类似右的窗口就会出现。
幻灯片27
7.2.2工作组群的管理
●4、删除组群群账号
●删除组群命令为groupdel。
使用此命令可以删除不需要的组群。
●groupdel命令的格式如下:
●#groupdel<组群名>
●同样,也可以在/etc/group文件中将对应组群的记录项删除,从而达到同样的目的。
幻灯片28
7.3添加大量用户
●在平时可能管理员需要添加大量用户帐号的机会并不多,但是在一些比较特殊的情况下,例如新成立的部门或新学期的新生帐号,就必须同时建立许多用户帐号。
幻灯片29
●在处理添加大量用户帐号时,一般使用下面的步骤:
●⑴建立用户信息文件。
其中必须包含所需的数据域位,同时这些字段必须符合/etc/passwd文件中字段的排列次序。
●⑵运行shellscript逐栏读取信息。
●⑶将读取的信息依次在/etc/passwd和/etc/shadow两个文件中建立记录。
幻灯片30
●1、创建批量用户的命令
●⑴newusers命令
●格式:
newusers<文件名
●功能:
成批添加用户。
把文件内容重新定向添加到/etc/passwd文件中。
●⑵chpasswd命令
●格式:
chpasswd<文件名
●功能:
批量更新用户口令。
把文件内容重新定向添加到/etc/shadow文件中。
幻灯片31
●1、创建批量用户的命令
●⑶pwconv命令
●格式:
pwconv
●功能:
用于超级用户启用shadow加密。
●⑷pwunconv命令
●格式:
pwunconv
●功能:
用于超级用户取消shadow加密
幻灯片32
●2、创建批量用户的步骤
●步骤1:
编辑用户信息文件
●步骤2:
运行/usr/sbin/newusers
●步骤3:
运行/usr/sbin/pwunconv
●步骤4:
建立密码文件
●步骤5:
运行/usr/sbin/chpasswd
●步骤6:
运行/usr/sbin/;wconv
幻灯片33
●1、编辑用户信息文件
●建立大量用户帐号,首先使用任何文件编辑器输入用户信息,这些用户信息字段必须符合/etc/passwd文件中字段的排列次序。
●例:
●[root@nslroot]#vi/root/account.txt
●student1:
x:
601:
601:
:
/home/student1:
/bin/bash
●student2:
x:
602:
602:
:
/home/student2:
/bin/bash
●student3:
x:
603:
603:
:
/home/student3:
/bin/bash
●student4:
x:
604:
604:
:
/home/student4:
/bin/bash
幻灯片34
●2、运行/usr/sbin/newusers
●在/usr/sbin目录中,newusers的主要功能是以批处理文件来更新或建立用户帐号,其使用方法很简单。
●例:
●[root@nslroot]#newusers
幻灯片35
●3、运行/usr/sbin/pwunconv
●/usr/sbin/pwunconv程序表示“passwordunconvertshadowpassword”的意思,也就是说它可以将/etc/shadow产生的shadow密码译码,然后回写到/etc/passwd中,同时也将/etc/shadow文件中的密码字段删除,来取消shadowpassword的功能。
幻灯片36
●4、建立密码文件
●按照每个用户名来建立对应的密码表,只是一个很简单的文本文件,主要支持稍后的/usr/sbin/chpasswd命令运行。
●例:
●[root@nslroot]#vi/root/password.txt
●student1:
lxniegh3
●student2:
73h8sjk3
●student3:
pqj37se
●student4:
ka6h9dj7
幻灯片37
●5、运行/usr/sbin/chpasswd
●建立对应的密码表,还需要使用shellscript将密码表中的密码导入到/etc/passwd文件中,在此使用/usr/sbin/chpasswd程序。
●例:
●[root@ns1root]#chpasswd
幻灯片38
●6、运行/usr/sbin/;wconv
●在成功地将密码写入/etc/passwd文件后,由于所有的密码都是以明文的方式来显示,所以很容易对安全性产生顾虑。
因此,必须接着运行/usr/sbin/paconv程序,将密码编码为shadowpassword,并且写入/etc/shadow文件
幻灯片39
●例:
●[root@ns1root]#pwconv
●[root@ns1root]#cat/etc/passwd
●……
●Student1:
x:
601:
601:
:
/home/student1:
/bin/bash
●Student2:
x:
602:
602:
:
/home/student2:
/bin/bash
●Student3:
x:
603:
603:
:
/home/student3:
/bin/bash
●Student4:
x:
604:
604:
:
/home/student4:
/bin/bash
幻灯片40
7.4赋予普通用户特殊权限
●在Linux系统中,管理员往往不止一人,若每位管理员都用root身份进行管理工作,根本无法弄清楚谁该做什么。
所以最好的方式是:
管理员(leader)当系统的root,然后创建一些普通用户,分配一部分系统管理工作给他们。
●现在已经有了可以实现这样的功能命令:
●sudo命令。
幻灯片41
●Sudo命令通过维护一个特权到用户名映射的数据库将特权分配给不同的用户,这些特权可由数据库中所列的一些不同的命令来识别。
为了获得某一特权项,有资格的用户只需简单地在命令行输入sudo与命令名之后,按照提示再次输入口令(用户自己的口令,不是root用户口令)。
●下面以实例来介绍sudo的使用。
幻灯片42
●例:
●管理员需要允许gem用户在主机sun上执行reboot和shutdown命令,在/etc/sudoers中加入:
●gemsun=/usr/sbin/reboot,/usr/sbin/shutdown
●注意:
命令一定要使用绝对路径,以避免其他目录的同名命令被执行,从而造成安全隐患。
●然后保存退出,gem用户想执行reboot命令时,只要在提示符下运行下列命令:
●$sudo/usr/sbin/reboot
●输入正确的密码,就可以重启服务器了。
幻灯片43
7.5Linux系统安全管理
●7.5.1安全管理
●7.5.2安全管理组群成
●7.5.3用户口令的管理
●7.5.4用户账号的管理
●7.5.5管理帐号常用的命令
●
幻灯片44
7.5.1安全管理
●1、安全管理
●Linux系统安全管理包括多个要素,例如,普通用户的系统安全、超级用户的系统安全、文件系统的安全、进程安全以及网络安全等。
只有以上各个要素协调配合才能真正地保证系统不易受到致命的打击。
●
幻灯片45
7.5.1安全管理
●2、安全管理的目标
●⑴防止非法操作
●⑵数据保护
●⑶正确管理用户
●⑷保证系统的完整性
●⑸记账
●⑹系统保护
幻灯片46
7.5.2安全管理组群成
●1、物理安全
●物理安全对于任何计算机都是非常重要的。
一般来说,物理安全应该包括以下方面:
●⑴保证放置计算机机房的安全,必要时应添加报警系统。
同时系统提供备份方案,把备份好的软件放置在另一个安全地点。
●⑵保证所有的通信设施都不会被非法人员临听。
●⑶钥匙或信用卡识别设备、用户口令钥匙分配、文件保护,备分域恢复方案等关键文件档资料要保存在安全的位置。
幻灯片47
7.5.2安全管理组群成
●2、普通用户安全管理
●Linux系统管理员的职责之一是保证用户资料安全。
其中一部分工作是由用户的管理部门来完成的。
但作为系统管理员,有责任发现和报告系统的安全问题。
●系统管理员可以定期随机抽选一用户,将该用户的安全检查结果发送给他及其管理部门。
此外,用户的管理部门应该强化安全意识,制定完善的安全管理规划。
幻灯片48
7.5.2安全管理组群成
●3、超级用户安全管理
●超级用户在安全管理方面需要注意的事项如下:
●⑴在一般情况下最好不使用root账号,应使用su命令进入普通用户账号。
●⑵超级用户不要运行其他用户的程序。
●⑶经常改变root口令
●⑷精心地设置口令时效
●⑸不要把当前工作目录排在PATH路径表的前面,以避免“特洛伊木马”的入侵。
幻灯片49
7.5.2安全管理组群成
●⑹不要未退出系统就离开终端。
●⑺建义将登录名root改成其他名称。
●⑻注意检查不寻常的系统使用情况。
●⑼保持系统文件安全的完整性。
●⑽将磁盘的备份存放在安全的地方。
●⑾确保所有登录账号都有用户口令
●⑿启动记账系统。
幻灯片50
7.5.3用户口令的管理
●1、设置好的用户口令
●一个好的用户口令至少有6个字符。
口令中不要包含个人信息,如生日、名字、门牌号码等。
用户口令中最好有一些非字母(即数字、标点等)字符,最好便于记忆。
幻灯片51
7.5.3用户口令的管理
●2、用户口令管理策略
●设置好的用户口令并不意味着用户口令系统的安全,它只能使入侵者不能直截了当地闯入系统内。
只有采用正确的用户口令管理策略,才能保证用户口令不会困为人为因素泄密。
幻灯片52
7.5.3用户口令的管理
●3、用户口令时效
●由于用户口令的安全性随着时间的推而变弱,所以,经常改变用户口令有利于系统安全。
Liunx提供了设置用户口令的时效机制,系统管理员可以通过修改/etc/shadow文件实现。
●如下例:
幻灯片53
7.5.3用户口令的管理
●root:
dJUQfur62wzeA:
11289:
0:
99999:
7:
:
:
●从上面的示例可以看到,对于root用户,加密口令为dJUQfur62wzeA,最后一次修改口令的时间距1970年1月1日有11289天,即2000年11月7日。
第四个字段为0,表示用户可以随时修改口令。
第五个字段表示用户需在99999天后修改口令,也就是说无需修改口令。
当我们将这行记录改为:
●root:
dJUQfur62wzeA:
11289:
0:
91:
7:
10:
:
●这表示用户可以随时修改口令,但必须至少在91天内修改一次;如果在84(91-7)天内不修改口令,系统将通知用户修改。
如果不修改,则在101(91+10)天后,停用该用户账号。
幻灯片54
7.5.3用户口令的管理
●4、安全的用户口令操作
●多数情况下,用户口令丢失都与用户误操作有关。
为保证用户口令安全必须注意以下问题:
●⑴不要将用户口令写下来。
●⑵用户在输入口令时,应避免多人使用同一个账号。
●⑶保证用户一人一个口令,以避免多个使用同一个账号。
●⑷不要重复使用同一口令。
●⑸不要在不同系统上使用同一口令。
●⑹不要通过网络或MODEM来传送口令。
幻灯片55
7.5.4用户账号的管理
●Linux的每个用户对系统的安全都负有责任。
●保证系统有一个安全的/etc/passwd文件是十分必要的,维护该文件时应注意以下问题:
●⑴尽量避免直接修改/etc/
升级会员 