7.1.1 用户身份的鉴别方式
用户是操作系统中不可或缺的角色,每个操作系统中至少拥有一个或以上数量的用户,由于用户可对系统的数据、资源等具有一定的操作权限,因此如何对能够登录系统的用户进行有效地控制就成了系统安全的一道防线。
- 基于ID的用户身份识别
在Linux系统下不同用户间的身份是靠它拥有一无二的ID(identification)来区分,ID是每个用户名称所对应的一个整数数字,这个数字也是用户权限的象征,ID值在一定范围内的用户它们就有相同的权限。
在系统下的ID有UID(User Identification)和GID(Group Identification)这两类,通常情况下UID与GID是相同的,这是在创建用户是系统为每个用户分配的。UID所对应的用户有系统管理员、虚拟用户(伪用户)和普通用户这三类,不管有多少个用户名只要UID相同那么系统都将它们视为同一个用户。从配置文件的层面上说,用户在登录需要时,系统是根据/etc/passwd文件中该用户名所对应的UID来为这个用户初始化工作环境。
对于UID的类型,其共有实际UID、有效UID和保存的设置UID这三类,实际UID是用于标明进程具体的执行者,有效UID是标明进程执行时对文件的访问权限,保存的设置UID是用于标识可执行程序文件的设置UID位。当然,这三个概念则是相对于系统的进程来说的。 - 基于PAM模块的用户身份认证
系统安全和系统资源地合理使用确实是一件让系统管理员头痛的事情,在一个系统中对使用应用程序或服务的用户身份确认、限制用户访问服务的时间段及限制应用程序或服务对系统资源的使用率等等这些问题常规的安全措施并不能妥善地解决。
自Red Hat Enterprise Linux的第3版起,其内核已集成了一种叫做可插入式