存放密码相关
用户账号文件 /etc/passwd
用户密码文件 /etc/shadow
用户组文件 /etc/group
/etc/passwd/ 用户名、密码、用户ID、主组ID、用户全称、主目录和登录shell
/etc/shadow文件格式:用户名:密码:上次修改密码的时间:两次修改密码间隔的最少天数:两次修改
密码间隔的最多天数:提前几天警告用户密码过期:密码过期几天禁用用户:过期时间:保留字段
/etc/skel目录
在Linux系统中创建一个新用户时,系统会自动把/etc/skel目录下的所有内容(包括目录、文件等)复制到新
用户的主目录“/home/<用户名>”下
组账户信息文件 /etc/group 组名、密码、组ID和用户列表
组密码信息文件 /etc/gshadow 进过md5算法加密处理,只有超级用户才能查看
1.useradd
-u 指定新建用户的用户ID。
-c 指定新建用户的用户全称。
-d 指定新建用户的主目录。
-g 指定新建用户的主组。
-G 指定新建用户所属的附加组。
-s 指定新建用户的登录shell。
-m 强制建立用户的主目录。
2.passwd
设置、修改用户密码,还可以锁定用户账户等。
-d 删除用户密码。
-l 锁定指定用户账户。
-u 解除指定用户账户锁定。
-S 显示指定用户账户的状态。
对于普通用户,要修改其他用户的密码,首先需
要获得权限(使用sudo命令),否则只能修改自
己的账户密码
3.usermod
使用usermod命令可以修改用户的属性信息。
usermod命令的常用选项包括:
-c 指定用户的用户全称。
-d 指定用户的主目录。
-u 修改用户的用户ID。
-g 指定用户的主组。
-G 指定用户所属的附加组。
-s 指定用户的登录shell。
-l 更改用户的用户名
4.userdel
使用userdel命令可以删除指定用户账户,配合
“-r”命令选项,还可以将该用户的主目录一起
删除。
例如,若管理员需要把系统中的test2用户及其主
目录删除,则可以执行命令 userdel -r test2
账户安全
1.groupadd
使用groupadd命令,用户可以创建一个私人组。执行这一命令的结果就是在/etc/group和/etc/gshadow文
件中增加一行信息。例如:创建组ID为1111的用户组test,可以执行:groupadd –g 1111 test
2. groupmod
使用groupmod命令可以修改指定组的属性。
例如:要将系统中已经存在的组ID为1111的组test修改组名为test1、组ID为1112,可执行命令:
groupmod –g 1112 –n test1 test
3.groupdel
使用groupdel命令可以删除指定组。
例如要将系统中已经存在的组test1删除,可执行命令:groupdel test1
使用下面命令检查空口令账户是否存在
[root@localhost ~]# awk -F: ‘($2=="!!") {print $1}’ /etc/shadow
用户口令策略管理
为防止用户使用弱口令或空口令,应在操作系统中配置安全策略,防止该类事件发生。除此之外还应对帐号
口令的生存期,root的远程登录,禁止su到root等策略进行设置
口令复杂度策略设置
Vi /etc/pam.d/system-auth
password requisite pam_cracklib.so 将其修改为:password requisite pam_cracklib.so
try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8
注释:至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8
口令生存期
Vi /etc/login.defs
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数不大于90
PASS_MIN_DAYS 10 #新建用户的密码最短使用天数为10
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数为7
ü Root远程登录
vi /etc/ssh/sshd_config
PermitRootLogin no #则禁止了root从ssh登录
禁止su到root
Vi /etc/pam.d/su
添加下面两行
auth
sufficient
pam_rootok.so
auth
required
pam_wheel.so group=wheel
ü 设置用户登录失败N次锁定
Vi /etc/pam.d/sshd
auth
required pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60
分类目录
/root
root 文件系统是文件系统的顶级目录。它必须包含在挂载其它文件系统前需要用来启动 Linux 系统
的全部文件。它必须包含需要用来启动剩余文件系统的全部可执行文件和库。文件系统启动以后,
所有其他文件系统作为 root 文件系统的子目录挂载到标准的、预定义好的挂载点上。
/bin
目录包含用户的可执行文件
/boot
包含启动linux系统所需要的静态引导程序和内核可执行文件以及配置文件
/dev
包含每一个链接到系统的硬件设备的设备文件,不是驱动,而是计算机上能够访问的设备
/etc
包含主机计算机的本地系统配置文件
/home
主目录存储用户文件,每一个用户都有一个位于/home目录中的子目录
/lib
包含启动系统所需要的共享库文件
/opt
可选文件
/sbin
系统二进制文件,用于系统管理的可执行文件
/tmp
临时目录
/var
可变数据文件存储,包括日志文件、mysql和其他的数据库文件
/usr
包含可共享、只读的文件,包括可执行的二进制文件和库等
Ls命令
-a:列出指定目录下的所有文件和子目录(包括以“.”开头的隐含文件)。
-b:如果文件或目录名中有不可显示的字符时,显示该字符的八进制值。
-c:以文件状态信息的最后一次更新时间进行排序。
-d:如果是目录,则显示目录的属性而不是目录下的内容。
-g:与-l选项类似,但不显示文件或目录的所有者信息。
-G:与-l选项类似,但不显示文件或目录所有者的用户组信息。
-l:使用长格式显示文件或目录的详细属性信息。
-n:与-l选项类似,但以UID和GID代替文件或目录所有者和用户组信息。
-R:以递归方式显示目录下的各级子目录和文件。
日志目录分类
日志功能 /var/log
Access-log
记录web服务的访问日志,error-log是其错误日志
Acct/pacct
记录用户命令
btmp
记录失败记录
lastlog
记录最近几次成功登录的事件和最后一次不成功的登录
messages
服务器的系统日志
Sudolog
记录使用sudo发出的命令
Utmp
记录当前登录的每个用户
Wtmp
一个用户每次登录进入和退出时间的永久记录
Secure
记录系统登录行为,比如ssh的登录记录
wtmp和utmp为二进制文件,不能
用文本查看命令直接查看,可以通
过who、w、users、last和ac查看
这两个文件包含的信息。
Ø who命令查询utmp文件输出包含用
户名、终端类型、登录日期及登录
的来源主机
Ø who命令跟wtmp文件名,则可以查
看所有的登录记录信息
打开方式命令绕过
cat 由第一行开始显示内容,并将所有内容输出
tac 从最后一行倒序显示内容,并将所有内容输出
more 根据窗口大小,一页一页的现实文件内容
less 和more类似,但其优点可以往前翻页,而且进行可以搜索字符
head 只显示头几行
tail 只显示最后几行
nl 类似于cat -n,显示时输出行号
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
