1、Linux操作系統(tǒng)實(shí)用教程，第5章：紅帽Linux 9的用戶管理5.1了解用戶和組5.2根帳戶5.3管理用戶帳戶5.4管理用戶組，第5章：紅帽Linux 9的用戶管理。本章總結(jié)了用戶管理是紅帽Linux系統(tǒng)的重要組成部分，包括用戶和組帳戶的管理。所謂賬戶管理是指增加、刪除和修改賬戶、規(guī)劃賬戶和授予權(quán)限的問(wèn)題。本章主要描述紅帽Linux 9的賬戶管理機(jī)制，包括用戶管理和組管理。本章最后介紹了紅帽Linux 9中常用的用戶管理工具。5.1了解用戶和組。在Linux系統(tǒng)中，無(wú)論是本地登錄還是遠(yuǎn)程登錄，每個(gè)系統(tǒng)都必須有一個(gè)帳戶，并對(duì)不同的系統(tǒng)資源擁有不同的訪問(wèn)權(quán)限。在紅帽Linux中，系統(tǒng)帳戶可以分為

2、兩種類型：(1)用戶帳戶：通常，一個(gè)操作員有一個(gè)用戶帳戶，這個(gè)操作員可能是一個(gè)特定的用戶或應(yīng)用程序的執(zhí)行者，如apache和ftp帳戶。每個(gè)用戶都包含一個(gè)唯一的識(shí)別碼，即用戶標(biāo)識(shí)和一個(gè)組識(shí)別碼，即組標(biāo)識(shí)。Linux系統(tǒng)中有兩種用戶帳戶：管理員根用戶和普通用戶。(2)集團(tuán)賬號(hào)：一組用戶賬號(hào)。通過(guò)使用組帳戶，您可以將一組用戶設(shè)置為對(duì)文件具有相同的權(quán)限。管理員為組中的資源分配訪問(wèn)權(quán)限，如讀、寫(xiě)或執(zhí)行權(quán)限，從而節(jié)省日常維護(hù)時(shí)間。5.1了解用戶和組，1。標(biāo)準(zhǔn)用戶在紅帽Linux 9的安裝過(guò)程中，系統(tǒng)會(huì)自動(dòng)創(chuàng)建許多用戶帳戶，這些默認(rèn)用戶被稱為“標(biāo)準(zhǔn)用戶”。除了“根”代表超級(jí)用戶之外，其他用戶帳戶都是系統(tǒng)帳

3、戶，即執(zhí)行時(shí)應(yīng)用程序的身份。應(yīng)當(dāng)注意，標(biāo)準(zhǔn)帳戶是在安裝操作系統(tǒng)時(shí)自動(dòng)創(chuàng)建的用于啟動(dòng)相應(yīng)應(yīng)用程序的用戶。當(dāng)超級(jí)用戶將普通用戶添加到系統(tǒng)中時(shí)，它不能與系統(tǒng)中現(xiàn)有的標(biāo)準(zhǔn)用戶同名。系統(tǒng)中的一些標(biāo)準(zhǔn)賬號(hào)見(jiàn)下表。5.1知道用戶和組，Linux系統(tǒng)的一些標(biāo)準(zhǔn)帳戶，5.1知道用戶和組，2。標(biāo)準(zhǔn)組在紅帽Linux 9的安裝過(guò)程中，系統(tǒng)將自動(dòng)創(chuàng)建默認(rèn)用戶帳戶并添加“標(biāo)準(zhǔn)組”帳戶。類似地，除了用于組織管理人員的“根”組之外，還為應(yīng)用程序提供了在執(zhí)行期間使用的其他帳戶。紅帽Linux 9的一些標(biāo)準(zhǔn)組見(jiàn)下表。Linux系統(tǒng)的一部分標(biāo)有組帳戶和5.2根帳戶。Linux系統(tǒng)中的根帳戶通常用于系統(tǒng)維護(hù)和管理，它對(duì)Linux操

4、作系統(tǒng)的所有部分都有無(wú)限的訪問(wèn)權(quán)限。值得注意的是，系統(tǒng)真正關(guān)心的不是帳戶的用戶名，而是帳戶的用戶標(biāo)識(shí)，即用戶標(biāo)識(shí)。在/etc和passwd文件中定義的超級(jí)用戶的uid為0，也就是說(shuō)，如果一個(gè)帳戶的UID為零，系統(tǒng)會(huì)將該用戶視為超級(jí)用戶。當(dāng)超級(jí)用戶登錄到Linux系統(tǒng)時(shí)，系統(tǒng)將不會(huì)限制用戶的訪問(wèn)并驗(yàn)證用戶的安全性，因此超級(jí)用戶根可以像文件的所有者一樣操作任何人的文件或管理文件。5.2根帳戶，在大多數(shù)版本的Linux中，不建議使用根帳戶直接登錄系統(tǒng)。當(dāng)系統(tǒng)管理員需要從普通用戶切換到超級(jí)用戶時(shí)，他可以使用su或su-command，然后輸入根帳戶的密碼，而不是再次登錄。例如，使用su命令切換用戶：t

5、ommyhost tom$ su在tom帳戶下使用su命令密碼：輸入根帳戶密碼rootmyhost tom#輸入根帳戶并使用su命令切換用戶：tommyhost tom$ su在tom帳戶下使用su命令密碼：輸入根帳戶密碼rootmyhost root#輸入根帳戶，5.2根帳戶，當(dāng)需要返回到原來(lái)的普通用戶帳戶時(shí)，直接輸入退出命令。如果要輸入其他普通用戶賬戶，可以直接在su命令后添加其他賬戶，然后輸入密碼。su和su命令區(qū)別在于，當(dāng)su切換到相應(yīng)的用戶時(shí)，當(dāng)前工作目錄將自動(dòng)轉(zhuǎn)換到切換用戶的主目錄。輸入后，系統(tǒng)會(huì)提示輸入相應(yīng)用戶的密碼，只有輸入的密碼正確，才能完成身份轉(zhuǎn)換。如果su命令后沒(méi)有攜帶用

6、戶名，系統(tǒng)默認(rèn)從用戶切換到超級(jí)用戶，并提示用戶輸入超級(jí)用戶密碼。5.3管理用戶帳戶5 . 3 . 1 Linux的影子密碼系統(tǒng)，5 . 3 . 1 Linux的影子密碼系統(tǒng)在早期版本的Linux中，用戶帳戶數(shù)據(jù)(包括用戶名、用戶標(biāo)識(shí)、組標(biāo)識(shí)、用戶主目錄和用戶使用的外殼)保存在/etc/passwd文件中。因?yàn)樵撐募?duì)任何用戶都是可讀的，所以存在密碼安全風(fēng)險(xiǎn)。在紅帽Linux 9中，為了確保用戶密碼的安全性，用戶密碼數(shù)據(jù)不再保存在/etc/passwd文件中，用戶密碼被加密并存儲(chǔ)在/etc/shadow文件中。passwd文件仍然保持所有用戶的可讀性，而影子文件只能由根帳戶讀取。這種機(jī)制被稱為影

7、子密碼系統(tǒng)。默認(rèn)安裝紅帽Linux 9時(shí)，影子文件中的密碼由MD5加密。5.3管理用戶帳戶5 . 3 . 1 Linux的影子密碼系統(tǒng)，1用戶帳戶信息/etc/passwd通常，Linux中的所有帳戶信息都記錄在/etc/passwd中，并且該文件的訪問(wèn)屬性為644，這意味著它可以被所有用戶讀取，但是只能被根組中的用戶修改。在/etc/passwd文件中，每行代表一個(gè)用戶的帳戶信息，每個(gè)用戶的信息使用“:”來(lái)分隔不同的字段記錄，包括7個(gè)字段，如下表所示。/etc/passwd、5.3管理用戶帳戶、5 . 3 . 1 Linux影子密碼系統(tǒng)中包含的字段，每個(gè)字段的含義如下：用戶名：是用戶登錄系統(tǒng)

8、時(shí)的登錄名，由root或與root具有相同權(quán)限的管理員指定，每個(gè)用戶登錄系統(tǒng)時(shí)必須使用指定的登錄名。密碼：用戶登錄系統(tǒng)時(shí)使用的密碼。通常，這個(gè)字段是一個(gè)“x”，這意味著它是一個(gè)加密的密碼。加密的密碼放在/etc/shadow文件中，該文件只能由根組的帳戶訪問(wèn)。如果該字段顯示“*”，則表示相應(yīng)的賬號(hào)被停用。UID:每個(gè)帳戶的唯一標(biāo)識(shí)號(hào)，其最大值可描述為65535。UIDs在500之前的帳戶用于提供系統(tǒng)服務(wù)。管理員添加的第一個(gè)通用UID是500，然后是501、502，依此類推。5.3管理用戶帳戶5 . 3 . 1 Linux影子密碼系統(tǒng)，GID:組帳戶的唯一標(biāo)識(shí)號(hào)。用戶組信息存儲(chǔ)在/etc/gro

9、up文件中，根組的GID為0。管理員創(chuàng)建的第一個(gè)組的GID是500，然后是501、502，依此類推。賬戶信息：主要存儲(chǔ)用戶的附加信息，如用戶名、電話號(hào)碼或用戶的詳細(xì)描述。用戶可以使用finger命令查看該字段的內(nèi)容，使用chfn命令修改其內(nèi)容。用戶登錄后直接進(jìn)入的目錄。默認(rèn)情況下，每個(gè)用戶都有一個(gè)主目錄。根用戶的主目錄是/root，管理員創(chuàng)建的用戶主目錄通常是/home/。例如，tom用戶的主目錄是/home/tom。5.3管理用戶帳戶5.3.1 Linux的影子密碼系統(tǒng)，登錄外殼：用戶登錄系統(tǒng)時(shí)使用的外殼，紅帽Linux 9默認(rèn)使用/bin/bash，用戶可以使用chsh命令更改他們的登錄外

10、殼。如果用戶僅通過(guò)用戶帳戶從系統(tǒng)獲得一些服務(wù)，但不希望用戶登錄到Linux工作站，則可以將登錄外殼修改為/bin/false、/bin/true、/dev/null和/sbin/nologin之一。2.在Linux系統(tǒng)中，用戶密碼文件/etc/shadow通常使用影子密碼機(jī)制。用戶的身份信息存儲(chǔ)在/etc/passwd文件中，用戶的密碼信息被加密存儲(chǔ)在另一個(gè)文件/etc/shadow中，并且只設(shè)置了根帳戶的可讀屬性，大大提高了系統(tǒng)的安全性能。5.3管理用戶帳戶5 . 3 . 1 Linux的影子密碼系統(tǒng)在/etc/shadow文件中有9個(gè)字段，每個(gè)字段用“:”分隔。其中保存了用戶名、加密密碼和

11、其他信息。每個(gè)字段的含義見(jiàn)下表。/etc/shadow、5.3中包含的字段管理用戶帳戶5.3.1 Linux的影子密碼系統(tǒng)，影子密碼機(jī)制可以提供以下優(yōu)點(diǎn)：(1)將原始/etc/passwd文件中的密碼移動(dòng)到/etc/shadow文件中，而影子文件只能由管理員根帳戶讀取，這可以稱為5.3管理用戶帳戶5.3.1 Linux的影子密碼，而且密碼是用MD5算法加密的，根帳戶不能直接獲取密碼內(nèi)容，但根帳戶可以更改密碼內(nèi)容(2)可以記錄密碼更改的時(shí)間。(3)您可以設(shè)置密碼使用時(shí)間，以避免頻繁更改密碼。(4)/etc/log in . defs文件可用于設(shè)置密碼的安全原則，如密碼的最小長(zhǎng)度或最短使用時(shí)間。用

12、戶管理包括建立合法帳戶、設(shè)置和管理用戶密碼、修改帳戶屬性以及在必要時(shí)刪除帳戶。雖然大多數(shù)類似UNIX的系統(tǒng)支持直接修改/etc/passwd文件來(lái)管理帳戶信息，但是如果有/etc/shadow文件，這種方法將會(huì)失敗。5.3管理用戶帳戶5.3.2 setuid和setgid，5.3.2 setuid和setgid用于存儲(chǔ)用戶信息的/etc/passwd文件只能由超級(jí)用戶修改，而用于存儲(chǔ)用戶密碼的文件/etc/shadow只能由超級(jí)用戶訪問(wèn)。只有當(dāng)普通用戶執(zhí)行passwd命令時(shí)，他們才能讀取和修改/etc/passwd和/etc/shadow文件，以便普通用戶可以修改他們的密碼。為了解決用戶更改密

13、碼時(shí)文件系統(tǒng)訪問(wèn)權(quán)限的沖突，Linux將setuid屬性設(shè)置為/usr/sbin/passwd命令。Setuid是文件所有者擁有的一個(gè)特殊屬性，它使得設(shè)置了setuid位的程序無(wú)論由誰(shuí)啟動(dòng)都自動(dòng)獲得文件所有者的許可。在Linux中，具有setuid屬性的文件通常是/usr/bin/passwd程序，如下圖所示。通常，setuid屬性只在可執(zhí)行文件上設(shè)置，因?yàn)殡m然理論上可以將setuid屬性添加到不可執(zhí)行文件中，但這樣做通常沒(méi)有意義。5.3管理用戶帳戶5.3.2 setuid和setgid，文件屬性中s所占的位是setuid位，而“s”表示對(duì)應(yīng)的文件設(shè)置了setuid屬性，因?yàn)閜asswd程序的

14、所有者是超級(jí)用戶根，所以當(dāng)passwd程序執(zhí)行時(shí)，它自動(dòng)獲得超級(jí)用戶的權(quán)限，所以無(wú)論哪個(gè)用戶執(zhí)行passwd程序，它都可以修改系統(tǒng)的密碼文件。要向文件添加setuid屬性，可以使用以下命令：chmod u s或chmod 4xxx，passwd文件的setuid屬性，5.3管理用戶帳戶5.3.2 setuid和setgid，其中u s表示向文件所有者添加setuid屬性，其屬性字為4000，xxx表示文件的原始訪問(wèn)屬性。Setgid類似于setuid，只是setgid是文件所屬組的一個(gè)特殊屬性。當(dāng)帶有setgid的可執(zhí)行文件運(yùn)行時(shí)，它會(huì)自動(dòng)獲得該文件對(duì)應(yīng)的組權(quán)限。因?yàn)榻M權(quán)限不如用戶權(quán)限準(zhǔn)確，所

15、以很少有程序使用setgid。要將setgid屬性添加到文件中，您可以命令：chmod g s或chmod 2xxx，其中g(shù) s表示將setgid屬性添加到文件所屬的組中，其屬性字為2000，xxx表示文件的原始訪問(wèn)屬性。Setuid和setgid屬性是普通Linux安全機(jī)制的后門。原則上，它們只用于顯式和不可或缺的功能。特別是，具有超級(jí)用戶權(quán)限的setuid屬性的應(yīng)用程序通常是系統(tǒng)攻擊的目標(biāo)。因此，請(qǐng)謹(jǐn)慎使用。5.3管理用戶帳戶5.3.3使用命令行管理用戶，5.3.3使用命令行管理用戶1添加用戶帳戶在紅帽Linux 9中添加用戶帳戶您可以使用添加用戶或用戶添加命令，因?yàn)樘砑佑脩裘钍怯脩籼砑?/p>

16、命令的鏈接，所以這兩個(gè)命令的使用格式完全相同。useradd命令的使用格式如下：useradd parameterSee有關(guān)創(chuàng)建新用戶帳戶的常見(jiàn)參數(shù)和含義，請(qǐng)參見(jiàn)下表。，useradd命令的參數(shù)和含義，5.3管理用戶帳戶，5.3.3使用命令行管理用戶，示例5.1建立jack帳戶，其主目錄為/home/tom，屬于tom組，帳戶信息為普通用戶，用戶外殼為/bin/bash，帳戶有效期至2008年12月1日。命令的執(zhí)行過(guò)程如圖所示。5.3管理用戶帳戶，5.3.3使用命令行管理用戶，根我的主機(jī)根#用戶添加d/home/Tom G500-c“一般用戶”s/bin/bashe2008-12-1 Jack

17、，2更改用戶密碼在Linux系統(tǒng)中，除了一個(gè)帳戶外，每個(gè)用戶都應(yīng)該有一個(gè)相應(yīng)的密碼。Root(系統(tǒng)管理員)應(yīng)該在創(chuàng)建用戶帳戶時(shí)為每個(gè)用戶分配一個(gè)初始密碼，然后在用戶使用該密碼登錄系統(tǒng)后自己修改該密碼。用戶應(yīng)該選擇易于記憶的密碼，同時(shí)確保密碼的魯棒性。用戶添加命令示例，5.3管理用戶帳戶5.3.3使用命令行管理用戶。由于入侵者可以使用自動(dòng)化工具和軟件多次嘗試登錄系統(tǒng)，簡(jiǎn)單的密碼很容易被破解。因此，強(qiáng)密碼應(yīng)該具備以下特征：不包含個(gè)人信息，沒(méi)有鍵盤順序規(guī)則，不使用字典中的單詞，最好包含非字母符號(hào)，長(zhǎng)度不小于8位數(shù)字，并且容易記憶。在紅帽Linux 9中，超級(jí)用戶可以使用passwd命令為普通用戶設(shè)置或修改用戶密碼。用戶也可以直接