linux 单元 5 ― 用户管理

单元5—用户管理目标添加一个新用户账户用户专用组修改/删除用户帐户组管理密码时效策略更换账户sudo网络用户验证配置示例:NIS配置示例:LDAP配置SUID和SGID可执行文件SGID目录粘贴位（StickyBit）默认文件权限访问控制列表（ACL）SELinuxSELinux续SELinux:目标策略SELinux:管理结束单元5目标学习了本单元后，你应该能够：●配置用户和组账户●修改文件拥有者及权限●使用“特殊”权限SUID/SGID/Sticky●用NIS和LDAP配置网络用户●设定ACL添加一个新用户账户最常用的方法是useradd：●useradd[options]username●运行useradd相当于：●编辑/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow●创建并丰富主目录●设定权限和拥有者●用passwd设定账户密码●用newusers可添加一组账户用户专用组●当创建用户帐户时，同时也会创建一个同名的专用组●用户被分配到这个专用组●和这个组一起为用户提供新文件●优点:防止新文件归“公共”组所有●缺点:可能会鼓励创建“任何人都可以访问”的文件修改/删除用户帐户●要更改用户的/etc/passwd条目中的字段，您可以:●手动编辑文件●用usermod[options]username命令●删除用户:●在filename/etc/passwd●用userdel[-r]username组管理●添加到/etc/group和/etc/gshadow的条目●groupadd●groupmod●groupdel密码时效策略●在默认状况下，密码不会过期●强制密码失效是强大安全策略的一部分●修改/etc/login.defs文件中默认的有效期设定●要修改已存在用户的密码时效，使用chage命令●chage[options]username更换账户●语法●su[-][user]●su[-][user]–ccommand●允许用户暂时成为其它用户●默认用户是根用户●“-”选项生成一个新的shell，一个登录shellsudo●在/etc/sudoers中列出的用户根据如下条件执行命令:●有效用户ID0●根用户组的组ID●当使用sudo命令时，在/etc/sudoers文件中如果没有列出用户，那么就会联系管理员网络用户●有关用户的信息可在一台远程服务器上集中保存和管理●每个用户账户都必须提供两种类型的信息●账户信息:UID号码、默认shell、主目录、组成员身份等等●验证:验证登录中提供的密码是否正确的方法验证配置●system-config-authentication●配置验证的GUI工具●对于基于文本的工具，使用authconfig-tui●装载authconfig-gtkRPM●支持的账户信息服务:●（本地文件）、NIS、LDAP、Hesiod、Winbind●支持的验证机理:●（NSS）、kerberos、LDAP、SmartCard、SMB、Winbind示例:NIS配置●必须安装ypbind和portmapRPM●运行system-config-authentication●启动NIS来提供用户信息●指定NIS服务器和NIS域名●保留默认验证（通过NSS）●这到底是在做什么呢？●更改了五个文本配置文件示例:LDAP配置●必须安装nss-ldap和openldapRPM●运行system-config-authentication●启用LDAP来提供用户信息●指定服务器、搜索几点DN和TLS●启用LDAP来提供验证●这到底是在做什么呢？●更改了五个文本配置文件SUID和SGID可执行文件●通常由用户启动的进程会在该用户的用户和组安全环境下运行●为可执行文件设定SUID和/或SGID位可使其在该文件的拥有者和/或组的用户和/或组安全环境下运行SGID目录●用来生成合作目录●一般来说，在一个目录中创建的文件属于用户的默认组●当在一个目录中创建一个带SGID位设定的文件时，它属于与该目录相同的组粘贴位（StickyBit）●通常对一个目录有写权限的用户可删除该目录中的任意文件，而无须考虑该文件的权限或者拥有者●有粘贴位设定的目录，只有文件的拥有者才可以删除该文件●示例：ls–ld/tmpdrwxrwxrwt12rootroot4096Nov215:44/tmp默认文件权限●默认情况下所有用户对文件都有读和写（但没有执行）权限●默认情况下，所有用户对目录都有读、写和执行权限●umask可用来保留生成文件的权限●用户的umask值为022●文件的权限为644●目录的权限为755●对合作组可能需要将umask值改为002访问控制列表（ACL）●为多用户或者组的文件和目录赋予访问权限rwx●mount–oacl/directory●getfaclfile|directory●setfacl–mu:gandolf:rwxfile|directory●setfacl–mg:nazgul:rwfile|directory●setfacl–md:u:frodo:rwdirectory●setfacl–xu:samwisefiledirectorySELinux●对比强制访问控制（MAC）和随机访问控制（DAC）●一组叫做“策略（policy）”的规则会决定控制的严格程度●进程要么是被限制的，要么是无束缚的●策略被用来定义被限制的进程能够使用哪些资源●默认情况下，没有别明确允许的行为将被拒绝执行