linux账号与身份管理系统,linux账号与身份管理

Linux账号与身份管理

1.      linux账号与用户组

用户标识符：UID与GID

虽然我们平时在登录linux主机的时候，会输入账号，但是linux并不会直接认识我们的账号，它认识的仅仅是ID。ID是一串数字，存储在/etc/passwd中。而账号仅仅是为了方便我们记忆而已。

Linux一共有两种ID，即UID和GID，UID是用户身份的标识，GID是群组的标识，它存在/etc/shadow中。

2.      用户账号

当我们登录主机时，会出现一个login界面提示我们登录，这时输入我们的账号和密码后,linux会做什么呢?

1)     先查找/etc/passwd看是否有这个账号，如果没有则退出，反之读出该用户的UID,GID，shell以及家目录等信息。

2)     Linux进入/etc/shadow中查找对应的账号与UID，判断用户输入的密码与里面的密码是否一致。

3)     如果一切相符，则进入shell的掌控阶段。

由上面的流程可以得知，与账号有关的最重要的两个文件就是/etc/passwd以及/etc/shadow，一个管账号，一个管密码。

/etc/passwd文件结构

root:x:0:0:root:/root:/bin/bash

huli:x:500:500:huli:/home/huli:/bin/bash

其中每一行代表一个字段，有一些账号是系统正常运行所必须得，我们称它们为系统账号，每一行共有7个字段，使用’:’分隔开

1)用户名称

2)密码，一般是一个’x’，由于安全起见，现在的版本中密码都移到了/etc/shadow中。

3)UID

4)GID

5)账户描述信息

6)用户家目录

7)该用户默认的shell

注意：当UID是0时，表示这个账户是系统管理员，因此，要使一个账号变成系统管理员，可以将它的UID设成0。

/etc/shadow文件结构

root:$1$3FuRYPZx$CxcC2ghSgPjp7MzbWAal:15251:0:99999:7:::

同样，shadow的每一行也代表一个账户，也是以’:’分隔，但是它有9个字段。

1)用户名称，与passwd对应

2)密码：这是真正的密码，经过加密，如果密码栏的第一个字符是’*’或者是’!’，表示这个账号并不会用来登录。

3)最近更改密码的日期，这是距离1970年1月1日的天数。

4)密码不可更改的天数：这个字段表示这个账号的密码需要经过几天后才能更改，如果是0的话，表示密码随时可以更改。

5)密码需要重新更改的天数：如果为99999的话，表示密码不需要更改

6)密码更改期限前的警告期限

7)密码过期的宽限时间：如果密码失效了，还可以用这个密码在这个字段设置的天数内进行登录，如果在这个天数后还没有更改密码，那么账号将无法再进行登录。

8)账号失效日期，这个字段是自1970年以来的总日数。

9)保留

有效用户组与初始用户组

初始用户组：新增加一个账户时的默认用户组

有效用户组：新建立一个文件时，文件所属的用户组

可以使用groups来查看当前用户所属的用户组，在输出地消息中，第一个输出的用户组就为有效用户组。我们可以使用newgrp来改变我们的有效用户组。

账号管理：useradd、相关设置文件、passwd、usermod、userdel

Useradd username

参数：

-u : 后面接UID，是一组数字。直接给这个账号制定一个特定的UID

-g : 后面接的用户组名称就是上面提到的初始用户组。

-G: 后面接的用户组名称是这个账号还可以支持的用户组

-M: 强制，不要建立用户家目录。

-m : 强制，要建立用户家目录。

-c : 这个是/etc/passwd第5栏的说明内容。

-d : 指定某个目录称为家目录，而不要使用默认值。

-r : 建立一个系统账号，这个账号的UID会有限制(/etc/login.defs)

-s : 使用的默认shell

这个命令可能会更改的文件有：

/etc/passwd

/etc/shadow

/etc/group

/etc/gshadow

/home/username

这个命令参考的文件有：

/etc/default/useradd

/etc/login.defs

/etc/skel/*

passwd(更改密码)

passwd [-lunxwS] username

参数：

-l : 将username账号的密码锁住(lock)，在/etc/shadow内的密码栏修改。

-u: 将-l的lock解开

-n: 后面接天数，/etc/shadow内的第四栏

-x: 后面接天数，/etc/shadow内的第五栏

-w: 后面接天数，/etc/shadow内的第六栏

-S: 显示当前这个username的相关信息

注意：所有的用户均可使用passwd来修改自己的密码，但只有root可以使用该命令修改别人的密码。

usermod(用于修改账号相关的信息)

usermod [-cdegGlsuLU] username

参数：

-c  : 后面接账号的说明,/etc/passwd的第5栏

-d  : 后面接账号的家目录，/etc/passwd的第6栏

-e  : 后面接日期，格式是YYYY-MM-DD,/etc/shadow的第8栏

-g  : 后面接group name,/etc/passwd的第4栏

-G  : 修改该用户所支持的用户组，修改的是/etc/group

-l   :后面接账号名称，/etc/passwd的第一栏

-s   :后面接shell的实际文件，如果/bin/bash

-u   :后面接UID，/etc/passwd第3栏

-L   :暂时冻结用户，即修改/etc/shadow的密码栏

-U   :将/etc/shadow密码栏的！去掉，解冻。

Userdel(删除账户)

Userdel [-r] username

参数：

-r : 连同用户的家目录一起删除

切换用户身份(su,sudo)

su可以切换到root身份，不过需要root密码。如果直接使用su，那么MAIL/PATH/USER等环境变量还是原来登陆者的(注意HOME变量会切换)，如果希望在切换身份时环境变量也跟着变，那么建议使用su -。

su [-lmc] [username]

参数：

-          : 如果执行su –时，表示该用户想要变换身份成为root,且使用root的环境参数文件，如/root/.bash_profile等

-l   : 后面可以接用户，例如su –l huli，这个-l的好处是，可使用变换身份者

的所有相关环境设置文件。

-m  :-m与-p是一样的，表示“使用当前环境设置，而不重新读取新用户的设置文件”

-c   :仅进行一次命令，-c后面接命令。

sudo的一个弊端是普通用户必须知道管理员的密码，当系统中有许多用户时，

如果每个用户都知道管理员密码，便存着者安全隐患。这个时候，可以使用

sudo,sudo是如何工作呢？

当用户执行sudo时，系统会先查找/etc/sudoers文件，判断用户是否有sudo。

如果有权限，便提示用户输入自己的密码来确认。

若密码输入成功，便可执行命令。

sudo [-u [username|#uid]] command

参数：

-u : 后面接用户账号名称，或者是UID。

手动增加用户

如果要手动增加用户，必须清楚得了解到所有相关的设置文件。

一般，手动增加用户会涉及到以下几个文件的修改：

/etc/passwd

/etc/shadow

/etc/group

/etc/gshadow

/home/username

系统提供了一些工具来保证手动添加用户的安全性

peck

它能够检查/etc/passwd账号设置文件内的信息，以及实际的家目录是否存在

等信息，还可以比较/etc/passwd、/etc/shadow的信息是否一致，另外，如果

/etc/passwd内德数据字段错误，也会提示修改。

pwconv

这个命令的目的是将/etc/passwd内的账号与密码移到/etc/shadow中。

pwunconv

这个命令的目的是将/etc/shadow内的密码栏数据写回到/etc/passwd中。

grpconv

这个命令的目的是将/etc/group内的账号与密码移动到/etc/gshadow中

chpasswd

这个命令可以读入未加密前的密码，并且经过加密后，将加密后的密码写入

/etc/shadow中。它可以由标准输入读入数据，每个数据的格式是:

“username:password”

例：echo “skind:user!@#” | chpasswd