什么是用户账号管理
用户账号一般包括普通用户账号、管理账号和系统账号。为了鉴别用户身份以及加强系统安全,系统为每个使用它的人分配了一个账号,这就是普通用户账号。每个人拥有一个独立的普通用户账号,每个账号有不同的用户名和密码。用户可以为自己的文件设置保护,允许或限制别人使用它们。用户账号被用来控制对系统的使用,只有拥有账号的人才被允许使用机器。另外,账号还被用来确认用户,保持系统日志,用发送者的名字标记电子邮件,等等。
Linux系统中的归属关系模式
账号管理就像是一把锁。劣质的管理就好比上了一把不用钥匙的锁,人人可以窥探你的隐私。对于如何保障个人权益,答案是两方面的,作为普通用户,不要把你的账号和密码告诉别人;作为管理员,要执行严格的账号管理。
Linux下的用户可以分为三类:超级用户、系统用户和普通用户。每个用户都有一个数值,称为UID。
root:超级用户/管理员 uid,gid=0
可以使用和管理系统中的所有资源
普通用户 uid:500-60000
许可权限范围内使用系统资源
伪用户系统用户(pseudo user):无shell(uid:1-500)
bin
sys
…
超级用户
root 用户是超级用户,它具有至高无上的权利,不仅对系统任何文件都有权限,还可以管理系统。
root 用户的 UID 和 GID 都为0。
实际上,普通用户如果其 UID 和 GID 也都为0,它就成了和root 平起平坐的超级用户了。
大多数情况下,这样做并没什么好处,而且还有坏处。但有时在组织中需要多个系统管理员管理同一系统,多个超级用户有利于管理员的责任明确。
修改用户的 uid 和 gid 为 0,但给系统带来安全问题
usermod –u 0 –o zsan -o:强迫修改uid
用以下自动命令检查 passwd 中的超级用户名
/bin/grep ‘0:0′ /etc/passwd|awk ‘BEGIN {FS=”:” } {print $1}’|mail -s “`date +”%D %T”`” root
awk—一个优秀的样式扫描与处理工具
找回 root 口令
用户管理文件
/etc/passwd 口令文件
username:passwd:UID:GID:fullname:home-dir:shell
用户名:加密的口令:用户ID:组ID:用户的全名或描述:登录目录:登录shell
passwd文件各字段说明:
字 段 说 明
Account 用户在系统中的名字,它不能包含大写字母
Password 用户口令,出于安全考虑,基本上不使用该字
段保存口令,而用字母 “x” 来填充该字段,真
正的密码保存在 shadow 文件
UID 用户 ID 号,惟一表示某用户的数字
GID 用户所属的私有组号, 该数字对应group文件中GID
GECOS 这字段是可选的, 通常用于保存用户命名的信息
Directory 用户的主目录,用户成功登录后的默认目录
shell 用户所使用的shell, 如该字段为空则使用“/bin/sh”
/etc/shadow 影子口令文件
shadow 是一个文本文件,在 shadow 文件中,每行定义了一个用户信息,行中各字段各字段用 “:” 隔开。为进一步提高安全性,shadow 文件中保存的是已加密的口令。
username:passwd:last:may:must:warn:expire:reserved
/etc/shadow 文件中的每个记录用 “:” 隔开为9 个域,每个域的含义分别为:
用户登录名
用户加密后的口令,(若为空表示改用户不需口令即可登陆,若为*号,表示帐号被禁止)
从1970年1月1日至口令最近一次被修改的天数
口令在多少天内不能被用户修改
口令在多少天后必须被修改
口令到期前多少天开始给用户发出警告
口令过期多少天后用户帐号被禁止
自1970年1月1日到帐号过期那一天的天数
保留域
pwconv—开启用户的投影密码
Linux 系统里的用户和群组密码, 分别存放在名称为passwd 和 group 的文件中, 这两个文件位于 /etc 目录下。因系统运作所需, 任何人都得以读取它们,, 造成安全上的破绽。投影密码将文件内的密码改存在/etc 目录下的 shadow 和 gshadow 文件内,只允许系统管理者读取,同时把原密码置换为 “x” 字符,有效的强化了系统的安全性。
pwunconv—关闭用户的投影密码。
执行 pwunconv 指令可以关闭用户投影密码, 它会把密码从 shadow 文件内,重回存到 passwd 文件里。
用户管理器允许查看、修改、添加和删除本地用户和组群。
要使用用户管理器,必须运行X窗口系统,具备 root 权限,并且安装了redhat-config-users RPM 软件包。
从桌面启动用户管理器,单击面板上的”主菜单”→“系统设置”→“用户和组群”,或在 shell 提示(如XTerm或GNOME终端)下键入redhat-config-users 命令。