資源描述:
《Linux操作系統(tǒng)案例教程電子教案 第5章 用戶與組群管理.ppt》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、第五章用戶與組群管理5-1用戶管理概述1�、用戶管理的范圍用戶帳號(hào)管理組帳號(hào)管理用戶/組帳號(hào)的權(quán)限管理5.1用戶和組文件Linux系統(tǒng)中文件從何而來(lái)?文件和程序用戶組創(chuàng)建安裝歸屬于執(zhí)行繼承����、調(diào)用UIDGID5.1用戶和組文件Linux繼承了Unix傳統(tǒng)的方法,把全部用戶信息保存為普通的文本文件����。用戶可以通過(guò)對(duì)這些文件的修改來(lái)管理用戶和組�����。文件保護(hù)策略有:1.登錄名和登錄密碼2.加密3.設(shè)置訪問(wèn)特權(quán)5.1.1用戶賬號(hào)文件――passwd口令文件(/etc/passwd)該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名���、加密的口令數(shù)據(jù)項(xiàng)���、用戶ID(UID)、默認(rèn)的用戶分組ID(G
2���、ID)�、GECOS字段、用戶登錄子目錄以及登錄后使用的shell�����。該文件的每一行保存一個(gè)用戶的資料��,而用戶資料的每一個(gè)數(shù)據(jù)項(xiàng)之間采用冒號(hào)“:”分隔��。jl:x:100:0:JimLane,ECT8-3,,:/staff/ji:/bin/sh5.1.1用戶賬號(hào)文件――passwd登錄名注意它的唯一性���,它的長(zhǎng)度一般不超過(guò)32個(gè)字符,它們可以包括冒號(hào)和換行之外的任何字符�。登錄名要區(qū)分大小寫(xiě)���。放在/etc/passwd文件的開(kāi)頭部分的用戶是系統(tǒng)定義的虛擬用戶bin���、daemon�����。(2)加密的口令當(dāng)編輯/etc/passwd文件來(lái)創(chuàng)建一個(gè)新賬號(hào)時(shí)�,在加密口令字段的位置要放一
3��、個(gè)星號(hào)(*)。這個(gè)星號(hào)防止未經(jīng)授權(quán)就使用該賬號(hào),直到設(shè)置了真實(shí)的口令為止�。5.1.1用戶賬號(hào)文件――passwd(4)GID組的ID是一個(gè)32位整數(shù)����。GID0是給root的組保留的����。GID1通常指的是名為“bin”的組��,GID2指的是“daemon”組���。(5)GECOS字段通常用來(lái)定義每個(gè)用戶的個(gè)人信息���。(3)UID是32位無(wú)符號(hào)整數(shù),它能表示從0到4294967296的值��。建議在可能的情況下將站點(diǎn)上的最大UID號(hào)限制在32767。root的UID為0�。UID在整個(gè)機(jī)構(gòu)中應(yīng)該是唯一的5.1.1用戶賬號(hào)文件――passwd(6)用戶的登錄子目錄每個(gè)用戶都需要有地方
4、保存自己的配置文件��。這個(gè)地方就叫做用戶登錄子目錄�����。要禁止沒(méi)有主目錄的用戶登錄���,可以把/etc/login.defs中的CREATE_HOME設(shè)置為no。(7)登錄shell用戶上機(jī)后運(yùn)行的shell���,此處出現(xiàn)的是默認(rèn)的shell��,大多數(shù)情況下是/bin/bash�����。查�看/etc/passwd的�內(nèi)�容/etc/passwd是一個(gè)簡(jiǎn)單的文本文件���,以純文本顯示加密口令的做法存在安全隱患�����。同時(shí)�,由于/etc/passwd文件是全局可讀的�����,加密算法公開(kāi)���,惡意用戶取得了/etc/passwd文件,便極有可能破解口令�。Linux/Unix廣泛采用了“shadow文件”機(jī)制����,
5���、將加密的口令轉(zhuǎn)移到/etc/shadow文件里�,該文件只為root超級(jí)用戶可讀��,而同時(shí)/etc/passwd文件的密文域顯示一個(gè)*��,從而最大限度地減少了密文泄漏的機(jī)會(huì)���。5.1.2用戶影子文件――shadowshadow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域,格式如下:登錄名�����;加密后的口令�����;上次修改口令的時(shí)間;兩次修改口令之間的最少天數(shù)����;兩次修改口令之間的最大天數(shù);若最大天數(shù)是99999���,則永遠(yuǎn)不過(guò)期在口令作廢之前多少天�����,login程序應(yīng)該開(kāi)始警告用戶口令即將過(guò)期��;在達(dá)到了最大口令作廢天數(shù)之后,登錄賬號(hào)作廢之前必須等待的天數(shù)賬號(hào)過(guò)期的天數(shù)。若該字段的值為空�����,則該賬號(hào)永遠(yuǎn)
6����、不過(guò)期�����;保留字段�����,目前為空。username:passwd:lastchg:min:max:warn:inactive:expire:flag5.1.2用戶影子文件――shadow用戶影子文件――shadow各項(xiàng)詳解?登錄名?加密口令?口令上次更改時(shí)距1970年1月1日的天數(shù)?口令更改后不可以更改的天數(shù)?口令更改后必須再更改的天數(shù)(有效期)?口令失效前警告用戶的天數(shù)?口令失效后距賬號(hào)被查封的天數(shù)?賬號(hào)被封時(shí)距1970年1月1日的天數(shù)?保留未用username:passwd:lastchg:min:max:warn:inactive:expire:flagshad
7、ow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域����,格式如下:5.1.3用戶組賬號(hào)文件――group/etc/group文件包含了Linux組的名稱和每個(gè)組中的成員列表�。例如:wheel:x:10:evi,garth,trent每一行代表了一個(gè)組其中包含有四個(gè)字段:組名����;被加密的口令(已被廢棄�����,很少使用);GID��;成員列表,彼此用逗號(hào)隔開(kāi)(注意不要加空格)�����。為了避免與廠商提供的GID發(fā)生沖突���,一般從GID100開(kāi)始分配本地組。/etc/group的內(nèi)容5.1.4組賬號(hào)號(hào)文件――gshadow組口令與組的其他信息相分離的安全機(jī)制�,其格式如下:用戶組名:加密的組口令:組成員列表s
8、upersun:8kuw
