Unit5. linux系统用户管理
3A机制中的3A:account 身份 author授权 auth认证
3A机制组成系统的最底层安全构架
#用户组存在意义
用户组是一个逻辑容器
对用户进行归类和统一授权
#用户用户组在系统中的存在方式
用户是/etc/passwd
中一行字符
用户组在 /etc/group
文件的一行字符
##用户切换
#用户查看 whoami
查看当前用户
id 查看当前用户
-u 查看用户id信息
-g主组id
-G 所有组id
-n 显示名称( -gn 连着用)
id范围*
0-65535
0 超级用户id
1-999 linux系统自用id
1000-65535 用户级id
以上id设定规则都被记录在 /etc/login.defs
#用户切换
su - 用户 切换环境
su 用户 不切换环境
- 切换用户环境
username 如果root——>common user 不需要后者密码
common user > root 需要
common user > common user 需要
做完 及时退出 用户身份
不要在shell中反复执行su命令(导致环境错乱)
#用户涉及到的系统配置文件
/etc/passwd
用户身份信息文件
用户名称:密码:id:主组id:用户说明:用户家目录:用户默认
shell
/etc/group
组身份信息文件
组名称:密码:组id:组的附加成员
/etc/skel/.*
用户环境配置文件模板
/etc/shadow/
用户认证信息文件
/home/
用户 用户家目录
/var/spool/mail/
用户 用户邮箱文件
#用户和用户组建立及删除
- watch -n 1 tail -n 4 /etc/passwd 或ls -l /home
监视功能
useradd username 用户建立
-u id username 用户id(useradd -u 666 lcf )
-g id usrname 主组id
-G id username 附加组id
-d dir username 指定用户家目录
-M 不建立家目录
-c word username 指定用户说明
-s shell username 指定用shell
eg:(/bin/bash)
userdel -r username 用户删除 其中-r 删除用户系统配置文件
groupadd groupname 组建立
-g id groupname 指定组名称
groupdel groupname 组删除
##用户和用户组的信息管理
usermod -l 更改名称
-u 用户id
-g 主族id
-G 更改用户附加组身份 (-G “” lcf 删除附加组)
-aG 添加.......
-c 更改用户说明 ("" lcf 删除说明)
-d 更改家目录指向 /home/westosdir lcf
-md 更改家目录指向同时更改家目录名称
-s 更改默认shell
-L 冻结
-U 解锁
” “代表 空
groupmod -g 更改用户组id
##用户权力下放
在系统中超级用户可以下放普通用户不能执行的操作给普通用户
下放权力配置文件:/etc/sudoers
##下放权力的方法
超级用户执行visudo进入编辑/etc/sudoers模式
格式:
获得权限用户 主机名称=(获得到的用户身份) 命令(多个命令的话用 ,+空格 隔开。eg./usr/sbin/useradd和/usr/sbin/userdel中间是逗号隔开)
即lcf1用户能在westoslinux.westos.org以超级用户身份免密执行/usr/sbin/useradd和/usr/sbin/userdel
其中免密为 NOPASSWD:
一般写在100行左右
主机名称可以用hostname查找
##用户认证信息的管理
/etc/shadow 文件内容说明
格式:
用户名称:用户密码的加密字符:用户密码最后一次被修改时间:密码最短有效期:密码最长有效期:密码过期前警告期:账号非活跃期:账号到期时间:用户自定义(未被使用)
用户名称
passwd -S lcf1 查看密码状态
更改密码
passwd lcf1
或
echo 123 | passwd --stdin lcf1
(都需要在root上进行)
passwd
-l lcf1 冻结账号认证
-u lcf1 解锁账号认证
-d lcf1 删除密码
-e lcf1 修改默认时间为0
-n 1 lcf1 最短有效期(最短一天之内不可以改密码)
-x 30 lcf1 最长有效期 (30天内必须改密码)
-w 2 lcf1 账号过期前警告时间
-i 1 lcf1 账号认证最大时间超过后还能用多久
chage
-d 用户密码组后一次修改的时间,如果设定成0,用户登陆系统后必须修改自己的密码
-m 1 最短有效期(最短一天之内不可以改密码)
-M 30 最长有效期 (30天内必须改密码)
-W 警告期
-I 用户非活跃天数
-E 帐号到期日 格式 -E "YYYY-MM-DD"