第14章-Linux 账号管理与 ACL 权限设定

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第十四章、Linux账号管理与ACL权限设定要登入Linux系统一定要有账号与密码才行,否则怎么登入,您说是吧?不过,不同的使用者应该要拥有不同的权限才行吧?我们还可以透过user/group的特殊权限设定,来规范出不同的群组开发项目呢~在Linux的环境下,我们可以透过很多方式来限制用户能够使用的系统资源,包括十一章、bash提到的ulimit限制、还有特殊权限限制,如umask等等。透过这些举动,我们可以规范出不同使用者的使用资源。另外,还记得系统管理员的账号吗?对!就是root。请问一下,除了root之外,是否可以有其他的系统管理员账号?为什么大家都要尽量避免使用数字型态的账号?如何修改用户相关的信息呢?这些我们都得要了解了解的!1.Linux的账号与群组1.1使用者标识符:UID与GID1.2使用者账号:/etc/passwd档案结构,/etc/shadow档案结构1.3关于群组:/etc/group档案结构,有效与初始群组,groups,newgrp,/etc/gshadow2.账号管理2.1新增与移除使用者:useradd,useradd参考档,passwd,chage,usermod,userdel2.2用户功能:finger,chfn,chsh,id2.3新增与移除群组:groupadd,groupmod,groupdel,gpasswd群组管理员2.4账号管理实例3.主机的细部权限规划:ACL的使用3.1什么是ACL3.2如何启动ACL3.3ACL的设定技巧:setfacl,getfacl,ACL的设定(user,groupmask,default)4.使用者身份切换4.1su4.2sudo:sudo指令,visudo(/etc/sudoers)(账号,群组,限制指令,别名,时间间隔,配合su)5.用户的特殊shell与PAM模块5.1特殊的shell:/sbin/nologin,nologin.txt5.2PAM模块简介5.3PAM模块设定语法:验证类别(type)、控制标准(flag)、模块与参数5.4常用模块简介:securetty,nologin,pam_cracklib,login流程5.5其他相关档案:limits.conf,6.Linux主机上的用户讯息传递6.1查询使用者:w,who,last,lastlog6.2使用者对谈:write,mesg,wall6.3使用者邮件信箱:mail7.手动新增使用者7.1一些检查工具:pwck,pwconv,pwunconv,chpasswd7.2特殊账号,如纯数字账号的手工建立7.3大量建置账号模板(适用passwd--stdin选项)7.4大量建置账号的范例(适用于连续数字,如学号)8.重点回顾9.本章习题10.参考数据与延伸阅读11.针对本文的建议:=23887Linux的账号与群组管理员的工作中,相当重要的一环就是『管理账号』啦!因为整个系统都是你在管理的,并且所有一般用户的账号申请,都必须要透过你的协助才行!所以你就必须要了解一下如何管理好一个服务器主机的账号啦!在管理Linux主机的账号时,我们必须先来了解一下Linux到底是如何辨别每一个使用者的!使用者标识符:UID与GID虽然我们登入Linux主机的时候,输入的是我们的账号,但是其实Linux主机并不会直接认识你的『账号名称』的,他仅认识ID啊(ID就是一组号码啦)。由于计算机仅认识0与1,所以主机对于数字比较有概念的;至于账号只是为了让人们容易记忆而已。而你的ID与账号的对应就在/etc/passwd当中哩。Tips:如果你曾经在网络上下载过tarball类型的档案,那么应该不难发现,在解压缩之后的档案中,档案拥有者的字段竟然显示『不明的数字』?奇怪吧?这没什么好奇怪的,因为Linux说实在话,他真的只认识代表你身份的号码而已!那么到底有几种ID呢?还记得我们在第六章内有提到过,每一个档案都具有『拥有人与拥有群组』的属性吗?没错啦~每个登入的使用者至少都会取得两个ID,一个是使用者ID(UserID,简称UID)、一个是群组ID(GroupID,简称GID)。那么档案如何判别他的拥有者与群组呢?其实就是利用UID与GID啦!每一个档案都会有所谓的拥有者ID与拥有群组ID,当我们有要显示文件属性的需求时,系统会依据/etc/passwd与/etc/group的内容,找到UID/GID对应的账号与组名再显示出来!我们可以作个小实验,你可以用root的身份vi/etc/passwd,然后将你的一般身份的使用者的ID随便改一个号码,然后再到你的一般身份的目录下看看原先该账号拥有的档案,你会发现该档案的拥有人变成了『数字了』呵呵!这样可以理解了吗?来看看底下的例子:#1.先察看一下,系统里面有没有一个名为dmtsai的用户?[root@~]#grep'dmtsai'/etc/passwddmtsai:x:503:504::/home/dmtsai:/bin/bash==是有这个账号喔![root@~]#ll-d/home/dmtsaidrwx------4dmtsaidmtsai4096Feb618:25/home/dmtsai#瞧一瞧,使用者的字段正是dmtsai本身喔!#2.修改一下,将刚刚我们的dmtsai的503UID改为2000看看:[root@~]#vi/etc/passwd....(前面省略)....dmtsai:x:2000:504::/home/dmtsai:/bin/bash==修改一下特殊字体部分,由503改过来[root@~]#ll-d/home/dmtsaidrwx------4503dmtsai4096Feb618:25/home/dmtsai#很害怕吧!怎么变成503了?因为档案只会记录数字而已!#因为我们乱改,所以导致503找不到对应的账号,因此显示数字!#3.记得将刚刚的2000改回来![root@~]#vi/etc/passwd....(前面省略)....dmtsai:x:503:504::/home/dmtsai:/bin/bash==赶紧改回来!你一定要了解的是,上面的例子仅是在说明UID与账号的对应性,在一部正常运作的Linux主机环境下,上面的动作不可随便进行,这是因为系统上已经有很多的数据被建立存在了,随意修改系统上某些账号的UID很可能会导致某些程序无法进行,这将导致系统无法顺利运作的结果。因为权限的问题啊!所以,了解了之后,请赶快回到/etc/passwd里面,将数字改回来喔!Tips:举例来说,如果上面的测试最后一个步骤没有将2000改回原本的UID,那么当dmtsai下次登入时将没有办法进入自己的家目录!因为他的UID已经改为2000,但是他的家目录(/home/dmtsai)却记录的是503,由于权限是700,因此他将无法进入原本的家目录!是否非常严重啊?使用者账号Linux系统上面的用户如果需要登入主机以取得shell的环境来工作时,他需要如何进行呢?首先,他必须要在计算机前面利用tty1~tty7的终端机提供的login接口,并输入账号与密码后才能够登入。如果是透过网络的话,那至少使用者就得要学习ssh这个功能了(服务器篇再来谈)。那么你输入账号密码后,系统帮你处理了什么呢?1.先找寻/etc/passwd里面是否有你输入的账号?如果没有则跳出,如果有的话则将该账号对应的UID与GID(在/etc/group中)读出来,另外,该账号的家目录与shell设定也一并读出;2.再来则是核对密码表啦!这时Linux会进入/etc/shadow里面找出对应的账号与UID,然后核对一下你刚刚输入的密码与里头的密码是否相符?3.如果一切都OK的话,就进入Shell控管的阶段啰!大致上的情况就像这样,所以当你要登入你的Linux主机的时候,那个/etc/passwd与/etc/shadow就必须要让系统读取啦(这也是很多攻击者会将特殊账号写到/etc/passwd里头去的缘故),所以呢,如果你要备份Linux的系统的账号的话,那么这两个档案就一定需要备份才行呦!由上面的流程我们也知道,跟使用者账号有关的有两个非常重要的档案,一个是管理使用者UID/GID重要参数的/etc/passwd,一个则是专门管理密码相关数据的/etc/shadow啰!那这两个档案的内容就非常值得进行研究啦!底下我们会简单的介绍这两个档案,详细的说明可以参考man5passwd及man5shadow(注1)。/etc/passwd档案结构这个档案的构造是这样的:每一行都代表一个账号,有几行就代表有几个账号在你的系统中!不过需要特别留意的是,里头很多账号本来就是系统正常运作所必须要的,我们可以简称他为系统账号,例如bin,daemon,adm,nobody等等,这些账号请不要随意的杀掉他呢!这个档案的内容有点像这样:Tips:鸟哥在接触Linux之前曾经碰过Solaris系统(1999年),当时鸟哥啥也不清楚!由于『听说』Linux上面的账号越复杂会导致系统越危险!所以鸟哥就将/etc/passwd上面的账号全部删除到只剩下root与鸟哥自己用的一般账号!结果你猜发生什么事?那就是....呼叫升阳的工程师来维护系统@_@!糗到一个不行!大家不要学啊![root@~]#head-n4/etc/passwdroot:x:0:0:root:/root:/bin/bash==等一下做为底下说明用bin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin我们先来看一下每个Linux系统都会有的第一行,就是root这个系统管理员那一行好了,你可以明显的看出来,每一行使用『:』分隔开,共有七个咚咚,分别是:1.账号名称:就是账号啦!用来对应UID的。例如root的UID对应就是0(第三字段);2.密码:早期Unix系统的密码就是放在这字段上!但是因为这个档案的特性是所有的程序都能够读取,这样一来很容易造成密码数据被窃取,因此后来就将这个字段的密码数据给他改放到/etc/shadow中了。所以这里你会看到一个『x』,呵呵!3.UID:这个就是使用者标识符啰!通常Linux对于UID有几个限制需要说给您了解一下:id范围该ID使用者特性0(系统管理员)当UID是0时,代表这个账号是『系统管理员』!所以当你要让其他的账号名称也具有root的权限时,将该账号的UID改为0即可。这也就是说,一部系统上面的系统管理员不见得只有root喔!不过,很不建议有多个账号的UID是0啦~1~499(系统账号)保留给系统使用的ID,其实除了0之外,其他的UID权限与特性并没有不一样。默认500以下的数字让给系统作为保留账号只是一个习惯。由于系统上面启动的服务希望使用较小的权限去运作,因此不希望使用root的身份去执行这些服务,所以我们就得要提供这些运作中程序的拥有者账号才行。这些系统账号通常是不可登入的,所以才会有我们在第十一章提到的/sbin/nologin这个特殊的shell存在。根据系统账号的由来,通常系统账号又约略被区分为两种:1~99:由distributions自行建立的系统账号;100~499:若用户有系统账号需求时,可以使用的账号UID。500~65535(可登入账号)给一般使用者用的。事实上,目前的linux核心(2.6.x版)已经可以支持到4294967295(2^32-1)这么大的UID号码喔!4.上面这样说明可以了解了吗?是的,UID为0的时候,就是root呦!所以请特别留意一下你的/etc/passwd档案!5.GID:这个与/etc/group有关!其实/etc/group的观念与/etc/passw

1 / 80
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功