用户账号管理基本概念

最新推荐文章于 2024-07-01 16:37:27 发布

liuliufa

最新推荐文章于 2024-07-01 16:37:27 发布

阅读量3k

点赞数 1

分类专栏： linux 文章标签： shell linux 加密 date 终端工具

linux 专栏收录该内容

49 篇文章 0 订阅

订阅专栏

什么是用户账号管理

用户账号一般包括普通用户账号、管理账号和系统账号。为了鉴别用户身份以及加强系统安全，系统为每个使用它的人分配了一个账号，这就是普通用户账号。每个人拥有一个独立的普通用户账号，每个账号有不同的用户名和密码。用户可以为自己的文件设置保护，允许或限制别人使用它们。用户账号被用来控制对系统的使用，只有拥有账号的人才被允许使用机器。另外，账号还被用来确认用户，保持系统日志，用发送者的名字标记电子邮件，等等。

Linux系统中的归属关系模式
账号管理就像是一把锁。劣质的管理就好比上了一把不用钥匙的锁，人人可以窥探你的隐私。对于如何保障个人权益，答案是两方面的，作为普通用户，不要把你的账号和密码告诉别人；作为管理员，要执行严格的账号管理。

Linux下的用户可以分为三类：超级用户、系统用户和普通用户。每个用户都有一个数值，称为UID。
root：超级用户/管理员   uid,gid=0
     可以使用和管理系统中的所有资源
普通用户   uid:500-60000
     许可权限范围内使用系统资源
伪用户系统用户(pseudo user)：无shell(uid:1-500)
bin
sys
…

超级用户
root 用户是超级用户，它具有至高无上的权利，不仅对系统任何文件都有权限，还可以管理系统。
root 用户的 UID 和 GID 都为0。
实际上，普通用户如果其 UID 和 GID 也都为0，它就成了和root 平起平坐的超级用户了。
大多数情况下，这样做并没什么好处，而且还有坏处。但有时在组织中需要多个系统管理员管理同一系统，多个超级用户有利于管理员的责任明确。

修改用户的 uid 和 gid 为 0，但给系统带来安全问题
usermod –u 0 –o zsan -o：强迫修改uid
用以下自动命令检查 passwd 中的超级用户名
/bin/grep ‘0:0′ /etc/passwd|awk ‘BEGIN {FS=”:” } {print $1}’|mail -s “`date +”%D %T”`” root
awk—一个优秀的样式扫描与处理工具
找回 root 口令
用户管理文件
/etc/passwd 口令文件
username:passwd:UID:GID:fullname:home-dir:shell
用户名:加密的口令:用户ID:组ID:用户的全名或描述:登录目录:登录shell

passwd文件各字段说明：
      字   段           说　明
   Account    用户在系统中的名字，它不能包含大写字母
   Password 用户口令，出于安全考虑，基本上不使用该字
                   段保存口令，而用字母 “x” 来填充该字段，真
                   正的密码保存在 shadow 文件
   UID       用户 ID 号，惟一表示某用户的数字
   GID       用户所属的私有组号, 该数字对应group文件中GID
   GECOS    这字段是可选的, 通常用于保存用户命名的信息
   Directory   用户的主目录，用户成功登录后的默认目录
   shell         用户所使用的shell, 如该字段为空则使用“/bin/sh”

/etc/shadow 影子口令文件
shadow 是一个文本文件，在 shadow 文件中，每行定义了一个用户信息，行中各字段各字段用 “：” 隔开。为进一步提高安全性，shadow 文件中保存的是已加密的口令。
username:passwd:last:may:must:warn:expire:reserved

/etc/shadow 文件中的每个记录用 “：” 隔开为9 个域，每个域的含义分别为：
用户登录名
用户加密后的口令，(若为空表示改用户不需口令即可登陆，若为*号，表示帐号被禁止)
从1970年1月1日至口令最近一次被修改的天数
口令在多少天内不能被用户修改
口令在多少天后必须被修改
口令到期前多少天开始给用户发出警告
口令过期多少天后用户帐号被禁止
自1970年1月1日到帐号过期那一天的天数
保留域
pwconv—开启用户的投影密码
Linux 系统里的用户和群组密码, 分别存放在名称为passwd 和 group 的文件中, 这两个文件位于 /etc 目录下。因系统运作所需, 任何人都得以读取它们，, 造成安全上的破绽。投影密码将文件内的密码改存在/etc 目录下的 shadow 和 gshadow 文件内，只允许系统管理者读取，同时把原密码置换为 “x” 字符，有效的强化了系统的安全性。
pwunconv—关闭用户的投影密码。
执行 pwunconv 指令可以关闭用户投影密码, 它会把密码从 shadow 文件内，重回存到 passwd 文件里。

用户管理器允许查看、修改、添加和删除本地用户和组群。
要使用用户管理器，必须运行X窗口系统，具备 root 权限，并且安装了redhat-config-users RPM 软件包。
从桌面启动用户管理器，单击面板上的”主菜单”→“系统设置”→“用户和组群”，或在 shell 提示（如XTerm或GNOME终端）下键入redhat-config-users 命令。