Linux 系统账户安全应用（一）

Linux 系统账户安全应用

• Linux用户：管理员用户、程序用户、普通用户

/etc/passwd:  保存用户基本信息
/etc/shadow:  存放密码相关信息
/etc/skel:  用户宿主目录模板文件夹
/etc/login.defs:  新建用户时,用户属性模板文件(只对新建用户生效)

• /etc/login.defs：文件内容基本含义

MAIL_DIR /var/spool/mail:用户通知邮件
PASS_MAX_DAYS 99999:密码最长期限
PASS_MIN_DAYS 0:密码最短使用期限
PASS_MIN_LEN 5:密码最小长度
PASS_WARN_AGE 7:密码过期提前警告时间
UID_MIN 1000:用户最小UID
UID_MAX 60000:用户最大UID
GID_MIN 1000:组最小GID
GID_MAX 60000:组最大GID
CREATE_HOME YES:是否创建宿主目录
UMASK 077 :反掩码(用户创建目录时,用777减去反掩码的值作为该目录的默认权限;用户创建文件时,用666减去反掩码的值作为该目录的默认权限;)
USERGROUPS_ENAB yes::是否允许删除没有用户的基本组
ENCRYPT_METHOD SHA512:用户密码的加密方式

• /etc/passwd：文件内容基本含义
  root : x :0:0:root:/root:/bin/bash
  第一列:用户名
  第二列:密码占位符(密码保存在/etc/shadow)
  第三列:UID
  第四列:GID
  第五列:描述信息
  第六列:用户宿主目录
  第七列:用户登录shell(/etc/shells)

• /etc/shadow：文件内容基本含义

1）第1字段：用户账号名称。
2）第2字段：使用MD5加密的密码字串信息，当为“*”或“！！”时表示此用户不能登录到系统。若该字段内容为空，则该用户无需密码即可登录系统。
第一部分：加密类型。
第二部分：标识符。
第三部分：用户加密后的密码。
3）第3字段：上次修改密码的时间，从1970年01月01日算起
4）第4字段：密码的最短有效天数，默认值为0，表示不进行限制。
5）第5字段：密码的最长有效天数
6）第6字段：提前多少天警告用户口令将过期，默认值为7。
7）第7字段：在密码过期之后多少天内禁用此用户。
8）第8字段：账号失效时间，默认值为空，表示账号永久可用。
9）第9字段：保留（未使用）

• /etc/skel/：文件内容基本含义

.bash_logout：用户注销（退出至待登录界面）时执行文件，默认空。
.bash_profile：当前用户环境变量文件（系统启动时执行的文件）
.bashrc：用户自定义变量文件

• 组分类：
  组分类:基本组/附加组
  基本组(用户默认隶属于的组)
  附加组(为给用户设置权限,把用户手工添加到的组)