鸟哥的Linux私房菜7-------14章 Linux帐号管理与ACL权限设置
浏览数:49 /
时间:2015年06月20日
1. 用户表示符UID与GID
.png)
.png)
.png)
.png)
/etc/passwd文件结构: 有几行就代表有几个帐号在你的系统里
每一行用:分割,一共7个字段。
1.帐号名称
2.密码:早起unix用,现在把密码数据放在/etc/shadow文件中了,这里用x表示
3.UID:0代表系统管理员。
1-499:系统帐号
500-65535:一般用户用
4.GID: /etc/group有关
5.用户信息说明,使用finger时,这个字段能提供很多信息。
6.主文件夹
7.Shell:用户登录系统后取得的一个shell。
/etc/shadow文件结构:共9个字段
1.帐号名称
2.密码
3.最近改动密码日期:以1970/1/1开始累加的日期。
echo $((date --date="2008/09/04"+%s)/86400+1) 查看某个日期累加的天数
4.不可改动天数:几天内不准再次修改
5.需要修改天数:设置密码后多少天内需要修改
6.密码修改期限前警告天数
7.密码过期后宽限时间;(密码失效期)
8.帐号失效日期
9.保留
root忘记密码:重启进入用户维护模式,系统主动赋予root权限的bash接口;
以Live CD开机后挂载根目录去修改/etc/shadow,将里面的密码清空;
2.有效与初始用户组groups,newgrp
/etc/group文件结构
四个字段
1.用户组名称
2.用户组密码:常常给用户组管理员使用,同样密码已经移至/etc/gshadow中,目前用x代替
3.GID
4.该用户组支持的用户,如果你想将某个用户加入到该用户组,就在该字段加入:usr
每个用户在/etc/passwd中第四列的GID就是初始用户组。
当用户支持多用户组时,创建文件时属于那个用户组要看有效用户组(effective group)
groups:用groups指令查看有效用户组,第一个输出的即为有效用户组。
newgrp:使用newgrp指令切换有效用户组,切换的用户组必须是你支持的用户组。
使用newgrp更改当前有效用户组,是以另外一个shell来提供这个功能。如果要想回到原来的环境下,可使用exit回到原本的shell。
/etc/gshadow文件结构
四个字段:
1.用户组名
2.密码列,开头为!表示无合法密码,所以无用户组管理员。
3.用户组管理员帐号
4.用户组的所属帐号:与/etc/group中相同
3.新增与删除用户:useradd
useradd:
useradd [-u uid] [-g initgrp] [-G 次要grp] [-mM] [-c info] [-d homedir] [-s shell] username
-e:后面接日期,格式YYYY-MM-DD,可写入shadow第八项,帐号失效日期
-f:后面接shadow第7项,指定密码是否会失效,0为立刻失效,-1为永不失效
用户创建修改文件:
/etc/passwd:
/etc/shadow:
/etc/group:
/home下创建一个与帐号相同的目录做主文件夹。
若用户在创建用户时指定用户组,则不在/etc/group中主动创建与帐号同名的用户组。
useradd参考文件:
useradd -D:列出useradd 默认值、
这个默认值数据来自:/etc/default/useradd.
GROUP=100:新建帐号的初始化用户组使用GID为100
私有用户机制:系统会创建一个与帐号一样的用户组作为初始用户组。
公共用户机制:就以GID=100作为新建帐号的初始用户组。
HOME=/home:用户主文件夹基准目录。
INACTIVE=-1:密码国企后是否失效的设置值:shadow第7个字段
EXPIRE=: 帐号失效日期:shadow第8个字段
SHELL=/bin/bash:
SKEL=/etc/skel: 用户主文件夹参考基准目录:主文件夹中的各项数据都是由/etc/skel复制过去的,包括.bashrc
CREATE_MAIL_SPOLL=yes:创建用户的mailbox
另外,UID/GID还有密码参数参考:/etc/login.defs
mailbox所在目录;
shadow密码的4,5,6字段内容
UDI/GID指定数值;
用户主文件夹设置值;
用户删除与密码设置值;
使用useradd创建用户时会参考:/etc/default/useradd /etc/login.defs /etc/skel*
4.passwd命令创建密码:默认创建用户后,处于封锁状态,无法登录
echo “afdfgdgf” |passwd --stdin vbird1
passwd [-l] [-u] [--stdin] [-S] [-n 日数] [-x 日数] [-w 日数] [-i 日期] 帐号 #root功能
-l:Lock的意思,将在shadow第二列前加!,是密码失效。
-u:与lock相反,Unlock意思
-S:列出密码相关参数,及shadow中大多数内容
-n:接天数,第4字段,多久不可修改天数
-x:第5段,多久必须修改天数
-w:第6段,密码过期前警告天数
-i:第7段,密码失效日期
passwd 不跟帐号是修改自己密码,跟帐号是修改他人密码。
5.chage 显示详细的密码参数。
chage [-ldEimMW] 帐号名
-l:列出帐号详细的密码参数
-d:修改shadow第三字段,最近更改密码,设置0,则强制用户更改密码
-E:修改shadow第八字段,账号失效日期,设置0则该帐号不能用
-I:修改shadow第七字段,密码失效日期
-m:修改shadow第四字段,密码最短保留天数
-M:修改shadow第五字段,密码多久需要修改
-W:修改shadow第六字段,密码警告日期
usermod:对帐号信息进行微调
usermod [-cdegGlsuLU] username
-c:/etc/passwd第五列说明字段
-d:/etc/passwd第六列主文件夹
-e:/etc/shadow第八字段,帐号失效日期
-f:shadow第七字段,密码失效日期
-g:passwd第四字段,即GID
-G: group文件,次要用户组
-l: 修改帐号名称,passwd第一列
-s: 后接shell实际文件
-u: 修改passwd第三列,UID
-L: 冻结密码 在shadow密码列加!
-U: 去掉密码前的!
userdel:删除密码
删除的用户数据有:/etc/passwd,/etc/shadow
/etc/group,/etc/gshadow
/home/username,/var/spool/main/username
userdel [-r] username
-r:连同用户主文件夹一同删除。
6.用户功能
finger:查看用户信息,大部分都是/etc/passwd文件的信息
finger [-s] username
-s:仅列出用户帐号,全名,终端机代号和登录时间
-m:列出与后面接的帐号相同者,
chfn: 有点change finger的意思
-f: 接完整大名
-o: 办公室房间号
-p:办公室电话
-h:家里电话
chsh:change shell缩写。
-l:列出系统可用的shell
-s:修改自己的shell
chfn、chsh的权限时SUID,这样普通用户都能用它。
id:查询某人或自己相关的UID/GID 信息
id username
7.新增与删除用户
groupadd:
groupadd [-g gid] [-r] 用户组名
-g:
-r:新建系统用户组,与/etc/login.defs内的GID_MIN有关
添加文件数据:/etc/group /etc/gshadow
groupmod:与usermod类似
-g: 修改GID数字(不要随意修改GID)
-n:修改既有组名
groupdel:删除用户组
gpasswd:用户组管理员功能
gpasswd groupname
gpasswd [-A username,...] [-M user2] groupname
gpasswd [-rR] groupname
-A:将groupname的控制权交给-A后的用户
-M:将某些帐号加入改组
-r:将groupname的密码删除
-R:将groupname的密码栏失效
gpasswd [-ad] user groupname
-a:将某位用户加入到groupname中
-d:将某位用户从groupname中删除
chgrp:修改组
8.主机的具体权限规定:ACL使用(access control list)
acl与文件系统支持有关,绝大多数的文件系统都支持acl。
dumpe2fs -h /dev/hda2查看superblock 中是否开启acl
mount -o remount,acl / 开启acl
长期修改支持acl,修改/etc/fstab文件,加入
LABEL=/1 / ext3 defaults,acl
acl设置技巧:getfacl,setfacl
setfacl [-bkRd] [{-m|-x} acl参数] 目标文件名
-m:设置后续acl参数,不能与-x合用
-x:删除后续acl参数,不能与-m合用
-b:删除所有的acl设置参数
-k:删除默认的acl参数
-R:递归设置acl
-d:设置默认acl参数,只对目录有效,该目录下建立的数据都引用此默认值!
setfacl -m u:vbird1:rx acl_test1 #acl_test1文件加入vbird1用rx权限
setfacl -m u::rwx acl_test1 #不加用户代表该文件的所有者
setfacl -m g::rwx acl_test1 #不加组名,表示该文件所在用户组
9.用户身份切换 su
su - 读取以loginshell
su 不加-切换,读取的变量设置为non-login shell的方式,
sudo [-b] [-u 新用户帐号]
-b:后续的命令让系统自行执行,不与目前的shell产生影响
-u:后面接欲切换的用户,若无此项,代表root身份
当执行sudo时,系统判断/etc/sudoers文件中查找该用户是否有执行sudo的权限。
若用户具有sudo权限,让用户输入自己的密码来确认;
若密码成功,则执行sudo后的命令
修改/etc/sudoers文件,用visudo命令
sudoers内容有四个字段
root ALL=(ALL) ALL
1.用户帐号:用来指明那些用户可以执行sudo命令
2.登陆者主机,默认值root代表任何一台网络主机
3.可切换身份,
4.可执行命令
%groupname ALL=(ALL) ALL #加%表示这个用户组的用户可以执行sudo
%groupname ALL=(ALL) NOPASSWD:ALL #免密码执行
myuser1 ALL=(root) /usr/bin/passwd #务必使用绝对路径
myuser1 ALL=(root) !/usr/bin/passwd,!/usr/bin/passwd root,!/usr/bin/passwd [[:alpha:]*] #务必使用绝对路径
通过别名visudo:
User_Alias ADMPW=pro1,pro2,pro3
Cmnd_Alias ADMPWCOM=!/usr/bin/passwd,!/usr/bin/passwd root,!/usr/bin/passwd [[:alpha:]*]
ADMPW ALL=(ALL) ADMPWCOM
Cmnd_Alias(命令别名)
Host_Alias(主机别名)
10.用户特殊shell与PAM模块
pam模块调用流程:
1.用户执行passwd时,并输入密码
2.passwd调用PAM模块进行验证;
3.PAM模块根据/etc/pam.d/中寻找与passwd同名的配置文件
4.根据/etc/pam.d/passwd内的设置,引用相关的PAM模块进行验证分析。
5.将验证的结果(成功失败或者其他)回传给passwd这个程序。
6.passwd根据PAM的回传信息进行下一操作。(参考P437)
11.用户的信息传递
查询用户:w,who,last,lastlog
用户对谈:write,mesg,wall
write 用户帐号 [用户所在终端端口]
write root tty2
infomation crtl-d结束输入
当不想随时有消息立即打断,可执行mesg n,则不会接收任何消息,除了root用户的。
用mesg查看当前的状态,
wall 进行广播
12.用户邮箱mail
13.手动新增用户
pwck:检查/etc/passwd帐号信息与实际主文件夹存在情况,以及/etc/passwd与/etc/shadow信息是否一致
pwconv:主要将/etc/passwd内的帐号与密码移动到/etc/shadow中。这是由于早期的Unix中没有shadow设计的。
pwunconv:将/etc/shadow中的密码歇会到/etc/passwd中,并删除/etc/shadow
chpasswd:读入未加密的密码,并将加密后的密码写入到shadow中。常用于批量创建用户。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
