鸟哥的Linux私房菜7-------14章 Linux帐号管理与ACL权限设置

1. 用户表示符UID与GID
     /etc/passwd文件结构: 有几行就代表有几个帐号在你的系统里
每一行用:分割,一共7个字段。
     1.帐号名称
     2.密码:早起unix用,现在把密码数据放在/etc/shadow文件中了,这里用x表示
     3.UID:0代表系统管理员。
               1-499:系统帐号
               500-65535:一般用户用
     4.GID:     /etc/group有关
     5.用户信息说明,使用finger时,这个字段能提供很多信息。
     6.主文件夹
     7.Shell:用户登录系统后取得的一个shell。

     /etc/shadow文件结构:共9个字段
     1.帐号名称
     2.密码
     3.最近改动密码日期:以1970/1/1开始累加的日期。
          echo $((date --date="2008/09/04"+%s)/86400+1)     查看某个日期累加的天数
     4.不可改动天数:几天内不准再次修改
     5.需要修改天数:设置密码后多少天内需要修改
     6.密码修改期限前警告天数
     7.密码过期后宽限时间;(密码失效期)
     8.帐号失效日期
     9.保留
          root忘记密码:重启进入用户维护模式,系统主动赋予root权限的bash接口;
                              以Live CD开机后挂载根目录去修改/etc/shadow,将里面的密码清空;
2.有效与初始用户组groups,newgrp
     /etc/group文件结构
四个字段
     1.用户组名称
     2.用户组密码:常常给用户组管理员使用,同样密码已经移至/etc/gshadow中,目前用x代替
     3.GID
     4.该用户组支持的用户,如果你想将某个用户加入到该用户组,就在该字段加入:usr
     
     每个用户在/etc/passwd中第四列的GID就是初始用户组。
     当用户支持多用户组时,创建文件时属于那个用户组要看有效用户组(effective group)
     groups:用groups指令查看有效用户组,第一个输出的即为有效用户组。
     newgrp:使用newgrp指令切换有效用户组,切换的用户组必须是你支持的用户组。
               使用newgrp更改当前有效用户组,是以另外一个shell来提供这个功能。如果要想回到原来的环境下,可使用exit回到原本的shell。

     /etc/gshadow文件结构
     四个字段:
          1.用户组名
          2.密码列,开头为!表示无合法密码,所以无用户组管理员。
          3.用户组管理员帐号
          4.用户组的所属帐号:与/etc/group中相同

3.新增与删除用户:useradd 
     useradd:
     useradd [-u uid] [-g initgrp] [-G 次要grp] [-mM] [-c info] [-d homedir] [-s shell] username
          -e:后面接日期,格式YYYY-MM-DD,可写入shadow第八项,帐号失效日期
          -f:后面接shadow第7项,指定密码是否会失效,0为立刻失效,-1为永不失效
     用户创建修改文件:
          /etc/passwd:
          /etc/shadow:
          /etc/group:
          /home下创建一个与帐号相同的目录做主文件夹。
     若用户在创建用户时指定用户组,则不在/etc/group中主动创建与帐号同名的用户组。
     useradd参考文件:
               useradd -D:列出useradd 默认值、
     这个默认值数据来自:/etc/default/useradd.
          GROUP=100:新建帐号的初始化用户组使用GID为100
          私有用户机制:系统会创建一个与帐号一样的用户组作为初始用户组。
          公共用户机制:就以GID=100作为新建帐号的初始用户组。
          HOME=/home:用户主文件夹基准目录。
          INACTIVE=-1:密码国企后是否失效的设置值:shadow第7个字段
          EXPIRE=:          帐号失效日期:shadow第8个字段
          SHELL=/bin/bash:
          SKEL=/etc/skel:     用户主文件夹参考基准目录:主文件夹中的各项数据都是由/etc/skel复制过去的,包括.bashrc
          CREATE_MAIL_SPOLL=yes:创建用户的mailbox
     另外,UID/GID还有密码参数参考:/etc/login.defs
          mailbox所在目录;
          shadow密码的4,5,6字段内容     
          UDI/GID指定数值;
          用户主文件夹设置值;
          用户删除与密码设置值;
     使用useradd创建用户时会参考:/etc/default/useradd   /etc/login.defs  /etc/skel*

4.passwd命令创建密码:默认创建用户后,处于封锁状态,无法登录
          echo “afdfgdgf” |passwd --stdin vbird1
          passwd [-l] [-u] [--stdin] [-S] [-n 日数] [-x 日数] [-w 日数] [-i 日期] 帐号  #root功能
               -l:Lock的意思,将在shadow第二列前加!,是密码失效。
               -u:与lock相反,Unlock意思
               -S:列出密码相关参数,及shadow中大多数内容
               -n:接天数,第4字段,多久不可修改天数
               -x:第5段,多久必须修改天数
               -w:第6段,密码过期前警告天数
               -i:第7段,密码失效日期
          passwd 不跟帐号是修改自己密码,跟帐号是修改他人密码。
5.chage 显示详细的密码参数。
     chage [-ldEimMW] 帐号名
          -l:列出帐号详细的密码参数
          -d:修改shadow第三字段,最近更改密码,设置0,则强制用户更改密码
          -E:修改shadow第八字段,账号失效日期,设置0则该帐号不能用
          -I:修改shadow第七字段,密码失效日期
          -m:修改shadow第四字段,密码最短保留天数
          -M:修改shadow第五字段,密码多久需要修改
          -W:修改shadow第六字段,密码警告日期
 usermod:对帐号信息进行微调
     usermod [-cdegGlsuLU] username
          -c:/etc/passwd第五列说明字段
          -d:/etc/passwd第六列主文件夹
          -e:/etc/shadow第八字段,帐号失效日期
          -f:shadow第七字段,密码失效日期
          -g:passwd第四字段,即GID
          -G:     group文件,次要用户组
          -l:     修改帐号名称,passwd第一列
          -s:     后接shell实际文件
          -u:     修改passwd第三列,UID
          -L:     冻结密码 在shadow密码列加!
          -U:     去掉密码前的!
 userdel:删除密码
     删除的用户数据有:/etc/passwd,/etc/shadow
                              /etc/group,/etc/gshadow
                              /home/username,/var/spool/main/username
     userdel [-r] username
          -r:连同用户主文件夹一同删除。    
6.用户功能
     finger:查看用户信息,大部分都是/etc/passwd文件的信息
          finger [-s] username
               -s:仅列出用户帐号,全名,终端机代号和登录时间
               -m:列出与后面接的帐号相同者,   
     chfn: 有点change finger的意思
          -f:     接完整大名
          -o:     办公室房间号
          -p:办公室电话
          -h:家里电话   
     chsh:change shell缩写。
          -l:列出系统可用的shell
          -s:修改自己的shell
          chfn、chsh的权限时SUID,这样普通用户都能用它。
     id:查询某人或自己相关的UID/GID 信息
          id username
7.新增与删除用户
     groupadd:
          groupadd [-g gid] [-r] 用户组名
               -g:     
               -r:新建系统用户组,与/etc/login.defs内的GID_MIN有关
          添加文件数据:/etc/group  /etc/gshadow
     groupmod:与usermod类似
          -g:     修改GID数字(不要随意修改GID)
          -n:修改既有组名
     groupdel:删除用户组
     gpasswd:用户组管理员功能
          gpasswd groupname
          gpasswd [-A username,...] [-M user2] groupname
          gpasswd [-rR] groupname
          -A:将groupname的控制权交给-A后的用户
          -M:将某些帐号加入改组
          -r:将groupname的密码删除
          -R:将groupname的密码栏失效
          gpasswd [-ad] user groupname
               -a:将某位用户加入到groupname中
               -d:将某位用户从groupname中删除
     chgrp:修改组
8.主机的具体权限规定:ACL使用(access control list)
     acl与文件系统支持有关,绝大多数的文件系统都支持acl。
     dumpe2fs -h /dev/hda2查看superblock 中是否开启acl
     mount -o remount,acl /          开启acl
     长期修改支持acl,修改/etc/fstab文件,加入
          LABEL=/1    /   ext3   defaults,acl
     
     acl设置技巧:getfacl,setfacl
     setfacl [-bkRd] [{-m|-x} acl参数] 目标文件名
          -m:设置后续acl参数,不能与-x合用
          -x:删除后续acl参数,不能与-m合用
          -b:删除所有的acl设置参数
          -k:删除默认的acl参数
          -R:递归设置acl
          -d:设置默认acl参数,只对目录有效,该目录下建立的数据都引用此默认值!

          setfacl -m u:vbird1:rx acl_test1  #acl_test1文件加入vbird1用rx权限
          setfacl -m u::rwx acl_test1     #不加用户代表该文件的所有者
          setfacl -m g::rwx acl_test1     #不加组名,表示该文件所在用户组

9.用户身份切换  su
     su -     读取以loginshell
     su     不加-切换,读取的变量设置为non-login shell的方式,
     
     sudo [-b]  [-u 新用户帐号]
          -b:后续的命令让系统自行执行,不与目前的shell产生影响
          -u:后面接欲切换的用户,若无此项,代表root身份
     当执行sudo时,系统判断/etc/sudoers文件中查找该用户是否有执行sudo的权限。
     若用户具有sudo权限,让用户输入自己的密码来确认;
     若密码成功,则执行sudo后的命令
     
     修改/etc/sudoers文件,用visudo命令
     sudoers内容有四个字段
     root     ALL=(ALL)      ALL
     1.用户帐号:用来指明那些用户可以执行sudo命令
     2.登陆者主机,默认值root代表任何一台网络主机
     3.可切换身份,
     4.可执行命令
     %groupname    ALL=(ALL)     ALL     #加%表示这个用户组的用户可以执行sudo
     %groupname     ALL=(ALL)     NOPASSWD:ALL     #免密码执行
     myuser1      ALL=(root)      /usr/bin/passwd     #务必使用绝对路径
     myuser1      ALL=(root)      !/usr/bin/passwd,!/usr/bin/passwd root,!/usr/bin/passwd [[:alpha:]*]     #务必使用绝对路径
     
通过别名visudo:
     User_Alias  ADMPW=pro1,pro2,pro3
     Cmnd_Alias ADMPWCOM=!/usr/bin/passwd,!/usr/bin/passwd root,!/usr/bin/passwd [[:alpha:]*]
     ADMPW ALL=(ALL) ADMPWCOM

     Cmnd_Alias(命令别名)
     Host_Alias(主机别名)

10.用户特殊shell与PAM模块
          pam模块调用流程:
               1.用户执行passwd时,并输入密码
               2.passwd调用PAM模块进行验证;
               3.PAM模块根据/etc/pam.d/中寻找与passwd同名的配置文件
               4.根据/etc/pam.d/passwd内的设置,引用相关的PAM模块进行验证分析。
               5.将验证的结果(成功失败或者其他)回传给passwd这个程序。
               6.passwd根据PAM的回传信息进行下一操作。(参考P437)
11.用户的信息传递     
     查询用户:w,who,last,lastlog
     用户对谈:write,mesg,wall
          write 用户帐号  [用户所在终端端口]
          write root tty2
               infomation   crtl-d结束输入
          当不想随时有消息立即打断,可执行mesg n,则不会接收任何消息,除了root用户的。
          用mesg查看当前的状态,
          wall 进行广播
12.用户邮箱mail
13.手动新增用户
     pwck:检查/etc/passwd帐号信息与实际主文件夹存在情况,以及/etc/passwd与/etc/shadow信息是否一致
     pwconv:主要将/etc/passwd内的帐号与密码移动到/etc/shadow中。这是由于早期的Unix中没有shadow设计的。
     pwunconv:将/etc/shadow中的密码歇会到/etc/passwd中,并删除/etc/shadow
     chpasswd:读入未加密的密码,并将加密后的密码写入到shadow中。常用于批量创建用户。

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。