本文专门介绍Users and Groups模块,它使你能够创建和管理Unix用户账户和Unix组。
内容
一、介绍Unix用户和组
在Linux和其它Unix朝族系统上,一个用户是一个其能通过SSH,telnet,FTP或在调试口登录到系统的账户。用户也能够在服务器本地文件系统上接收电子邮件和自己的文件。每隔用户有一个用户名、密码和家目录,在这个家目录中存储所有它的文件。用户也有若干其它属性,诸如真实名称、shell(当这个用户登录时被运行的程序)和失效日期。
每隔用户至少在一个组的成员,成为它们的主组。此外,一个用户可以是无限数目的二级组的成员。组成员可以用于控制一个用户能够读取和编辑哪些文件。例如,如果两个用户共做相同的项目,你可以把它们放置在相同组中,因而它们都可以编辑一个其它用户不能编辑的特定文件。
每个系统将有若干标准用户账户,如在安装系统时创建的root和nobody,虽然这些中大部分不能用于登录。如果你的服务器被多个人使用,你将需要为每个人多创建一个账户,使得它们能够分开保存它们的文件和邮件。即使你是使用你机器的唯一一个人,为你自己创建一个用户账户,你用其登录,替代使用root账户,是一个好想法。
取决于你的操作系统,用户和组信息将被储存于/etc目录中不同文件中。在现代Linux版本上,/etc/passwd和/etc/shadow用于存储用户详情,而/etc/group用于组详情。Users and Groups模块通过直接编辑那些文件工作,而是通过调用任何外部程序或函数。这意味着如果你使用NIS或者在一台LDAP服务器中存储用户,这个模块不是为你准备的。
二、Users and Groups模块
在System类别下找到的Webmin模块Users and Groups可以用于创建、编辑和删除你系统上所有Unix用户和组。当使用这个模块来编辑像root和daemon的已有系统用户时,你应该总是小心,由于更改或删除它们会使你系统停止工作。一些用户设置它们的家目为/(root目录),所以删除这样的用户会使得在你系统上所有文件都被删除。
除了管理你系统上Unix用户账户,这个模块也能够影响在其它模块中的用户设置。例如,Samba有它自己的用户和密码列表,应该保持它们与Unix密码列表同步。
Webmin能够使用在用户创建、编辑和删除表单上显式的other modules自动为你处理这个。但你必需在你想要自动更新的每个其它模块中启用它。
一旦你进入这个模块,主页在一个表格中列出当前在你系统上存在的所有用户,并且在另一个表格中类出所有组。如果有太多用户或组不能再一个表格中明显显示,则一个允许你搜索一个用户或组的小表格将被显示。
已有用户列表:
已有组列表:
三、创建一个新组
要创建一个新Unix用户,完成以下步骤:
1) 点击已有用户表格上或下的*Create a new user link*。一个用于输入这个新用户详情的表单将出现,如以下截屏所示。
2) 点击User ID字段一般应该保留不变,由于。如果你设置它为与某个其它用户相同的User ID,由于这是由Webmin为你准备的。它们将能够访问各自的文件。这通常不是一个好想法。
3) 在Real name字段,你应该输入用户的完整名称,如_Tom Green_。
4) 每个用户由一个家目录,他在其中存储他的个人文档和首选项文件。在Home directory字段中,你应该输入一个还不存在的目录,如/home/tom。当创建这个用户时,这个目录将被创建并且所有权被授予这个用户。如果在你系统上Webmin为家目录提供了一个Automatic选项,选择它一般是最好的。
5) 用户的shell是一个程序,当他进行某种文本模式登录(诸如通过SSH)或者图形登录后在调试口打开一个shell提示时被运行。Shell负责运行你输入的命令(诸如ls和cat),运行登录和退出时的脚本以及提供一个用于命令编辑的界面。像Bash和tchs的shells对用户使用更简单,因为它们允许上下箭头用于滚动浏览先前的命令,以及tab键来自动补全命令和文件名。在某些情况下,你可能完全不想要一个用户能够进行shell登录--例如,如果用户只是为了能够读和发送邮件。在那种情况下,他的shell应该设置为/bin/bash,它是一个什么也不做并且立即退出的程序。你应该从Shell字段列表中选择你想要这个用户所有的任何shell,或如果你的选项不在这个列表中,选择Other选项并且在最右边文本框中输入这个shell的路径。
6) 对于Password字段,你有四种选择:*No password required* 用户可以无需输入任何密码登录。*No login allowed* 用户不能登录。*Normal password* 你输入这个用户的密码。 *Pre-encrypted password* 你输入一个已经被加密的密码,诸如从在另一个系统上/etc/shadow文件获取来的一个。一般,你将想要使用*Normal password*选项。注意:在很多操作系统上,实际只使用这个密码的前8个字符。
7) 在大部分系统上,在标题*Password options*下一组输入集合将可用。这些中的一个是*Expiry date*--如果你想要用户在一个特定日期后不能登录,填入这个字段。
8) Minimum days字段是从用户被创建或者密码上次被修改以来,在这个用户再次更改它前,它必需等待的天数。让它留空使得用户想要时能够立即更改。
9) Max days字段时在用户被创建或者密码上次被修改后,密码失效并且必需被更改的天数。一个设置了次选项的用户将被迫周期地更改它的密码,这对系统安全好。让它留空使密码不会失效。
10) Warning days字段在密码失效日期前,用户在登录时将警告他其密码将要失效的天数。如果留空,在用户尝试登录并且被强制选择一个新密码前,他将不知道其窗户已经失效。
11) Inactive days字段:如果用户没有选择新密码,在密码失效后整个账户将被禁用的天数。如果留空,账户将不会失效。
12) 对于Primary group,选择一个已有组或者输入一个新组的名称,Webmin将为你创建它。
13) 如果你想要这个用户是多个组的成员,从Secondary group列表中选择一些组。
14) 如果你想要这个用户的家目录被创建,选择Create home directory?选项。如果这个目录还未存在,你应该选择这个选项以及*Copy files to home directory?*,使得这个用户获得一个像.profile和Desktop的基本设置。
15) 要在你已经配置的其它模块中创建用户,选择*Create user in other modules?*。设置Ssamba模块自动在它的用户列表中创建用户,以及MySQL模块创建一个新数据库用户,是可能的。
16) 要创建用户,点击Create按钮。在一段延时后,你将返回到已有用户列表,它应该包含你新创建的用户。
一旦你点击了Create按钮,这个新用户将能通过SSH,telnet和你已经设置的任何其它服务进行登录。
四、编辑一个已有用户
你通过以下这些步骤能够更改在你系统上已有的任何用户的任何细节。
1) 从已有用户列表点击你想要编辑的用户。一个包含用户细节的表单将出现,显示如下。
2) 更改你想要修改的任何细节,包括用户名。这个字段有在以上Create a new user中描述的相同含义。
3) 如果你更改了User ID或者更改了主组,由这个用户素有的文件需要被更新成使用这个新IDs。在这页底部标签为*Change user ID on files?*和hange group ID on files?*的选项控制哪些目录将被搜索带着老IDs的文件。
4) 如果你更改了用户的家目录,你可以让Webmin重命名它为这个新路径。但,如果新的家目录已经存在,这可能并不总是你想要的。Move home directory if changed?选项是否移动它。
5) 要在其它模块中根据这里的设置更新用户,选择Modify user in other modules?如果你更改了用户名,这也将重命名这个用户的Sendmail邮件文件和Cron作业。
6) 点击Save按钮使得Webmin更新这个用户。一旦结束,你将返回到用户和组的列表。
五、删除用户
当删除一个用户时,你应该总是小心,由于在用户家目录中的重要文件可能会丢失。删除第一次安装你系统时创建的任何用户一般不是一个好主意,尤其root。通过编辑用户并且设置Password选项为*No login allowed*能够禁用你创建的一般用户。如果你仍然想要继续并且删除一个用户,按照这些步骤:
1) 点击你想要从已有用户列表编辑的用户。一个包含这个用户详情的表单将显示。
2) 点击本页底部的Delete按钮。这将产生一个要求你确认这个删除的表单,带有要只删除用户或者他的家目录的按钮。将显示这个用户家目录使用的磁盘空间量。
3) 如果你想要从已经设置了删除的其它模块删除这个用户,选择*Delete user in other modules*选项。将删除属于这个用户的任何Cron作业,以及他的Sendmail邮件文件。
4) 点击Delete User或者Delete user and Home Directory按钮来删除用户。在删除过程中,一个显示删除过程的页面将显示。
六、创建一个新组
通过按照以下步骤能够添加一个新组:
1) 点击已有组上或下的Create a new group链接。一个用于输入这个组详情的表格将出现,按如下显示。
2)为这个新组选择一个名称,并且将它输入到*Group name*字段。这个名称一定不能被任何其它组使用,并且应该简单并且不包含空白。
3) Group ID字段应该保持不变,因为它由Webmin自动确定。如果你更改了它,保证它与任何已有组的ID不同。
4) Password字段可以被忽略,因为组密码从来不被使用。
5) 在Members字段中,输入你想要其成为这个组成员的任何已有用户名。
6) 点击Create按钮使Webmin创建这个新组。一旦它结束,你将返回到用户和组列表。
一旦创建了新组,你可以编辑用户使其成为它们的主组或者它们其中一个二级组。
七、编辑一个已有组
你不经常需要编辑一个已有组,因为通过直接编辑用户能够添加用户到组或者从组中删除用户。但,如果你想要编辑一个组,按照这些步骤:
1) 点击来自已有组列表你想要编辑的组名。这将生成一个如以下显示的组编辑表格。
2) 更改任何细节,诸如组ID或成员列表。更改一个已有组的名称是不可能的。
3) 如果你更改了组ID,由这个组所有的文件需要被更新来使用这个新ID。使用*Change group ID on files?*选项来控制将搜索哪些目录寻找需要更新的文件。
4) 点击Save按钮来使得变化生效。一旦它们结束,你将返回到用户和组的列表。
八、删除一个组
你可以在任何时间删除一个组,但Webmin只在没有用户以此组作为它们主组时才允许你这么做。要删除,按照以下步骤:
1) 点击已有组列表你想要删除组的名称。这将产生一个如以下截屏显示的组编辑表格。
2) 点击此页底部Delete按钮。一个询问你是否真地删除这个组的页面将显示。
3) 点击Delete Group按钮来确定这个删除。一个显示删除过程的页面将显示。
九、查看最近和当前登录
所有Unix系统跟踪由用户使用SSH、telnet或在调试口产生的最近登录。某些也跟踪FTP登录。你可以通过这些步骤,显示包括日期、时间以及来源地址的用户最近登录:
1) 在用户和组列表下,输入你想要跟踪的用户名称到Display logins by字段。如果你想要看到所有用户的登录,只要选择*All users*选项。
2) 将显示一个列出用户最近登录的页面。这个列表可能不包含从你系统初次安装依赖的所有登录,因为很多操作系统为了节省磁盘空间自动地周期的截短日志文件。
通过点击用户和组列表下*Logged In Users*,显示一个现在登录的用户表是可能的。如果一个用户在调试口以图形登录,他可能被多次列出--每一次都对应他打开的每个shell。
十、从批处理文件创建用户
有时你想要一次创建很多用户,不需要经历一次又一次填写用户创建表单。你经常以某类文本有这些用户的细节,包含它们的名称、密码和真实名称。Webmin有一个为你自动化这个任务的特性。
如果你点击*Run batch file*,一个表单将显示,他允许你上传一个包含要创建用户细节的文件。你必需为你想要创建的每个用户包含一行文本,并且每行格式必需匹配在批处理文件页面上显示的格式。
确切地文件格式取决于你系统有关每个用户存储什么信息,但在大多数系统上,每行必需按照以下格式:
create:_username_:_passwd_:_uid_:_gid_:_realname_:_homedir_:_shell_:_min_:_max_:_warn_:_inactive_:_expire_
一个创建一个用户地示例行,其用户ID由Webmin自动分配:
create:tom:password::3001:Tom Green:/home/tom:/bin/bash:::::
如你所见,这行是由一系列由一个冒号分隔地字段组成。当创建一个用户时,第一个字段必须是文本create。其它字段地含义是:
| username | 用户登录名。这不能留空 |
| passwd | 用户密码。如果这个字段留空,则这个用户将不需要密码。如果它只包含了一个字母x,则这个用户将被锁定并且不允许登录。 |
| uid | 新用户地用户ID。这一般留空,使得Webmin可以自动分配一个UID。 |
| gid | 用户主组地ID。这不能是一个组名,并且不能留空。如果输入多个GID,这个用户将在第一个组后以所有这些组的二级成员被添加 |
| realname | 用户真实名称。不应该留空,但实际上不强制。 |
| homedir | 一个将被创建并且其所有权赋予这个用户的目录。如果这个模块已经被配置成自动分配家目录,你可以留空。 |
| shell | 用户登录shell。这个字段不能留空。 |
| min | 从创建这个用户或者密码上次修改以来,这个用户在再次更改密码前必须等待的天数。可以留空,允许用户想要时立即修改。 |
| max | 在用户创建后或者密码上次更改后,密码失效并且必须被更改的天数。如果留空,密码不会失效。 |
| warn | 在密码失效日期前,在用户登录时将被警告密码即将失效的天数。如果留空,在密码失效前,用户将不知道它的密码已经失效。 |
| inactive | 如果用户还没有选择一个新密码,在密码失效后的天数,整个系统将被禁用。如果留空,账户不会失效。 |
| expire | 这个账户将在这个日期失效。你必须输入从1970年1月1日以来的天数。 |
你一旦创建了一个包含要创建的用户细节的文件,使用*Upload batch file*或*Local batch file*字段选取它,并且点击*Execute batch*按钮。一个显示每个创建的用户以及遇到的任何错误的页面将被显示。最常见错误是在其中一行中缺失字段--每行必须有正确数目的字段,并且即使一个字段是空白,也必须包含它旁边的冒号分隔符。
十一、配置用户和组模块
类似其它Webmin模块,用户和组有若干选项,点击用户和组列表上Module Config能够配置这些选项。你能够安全更改的选项以及它们的含义是:
| Command to run before making changes | 你无论输入什么shell命令到这个字段,只在执行任何操作前运行这个命令,诸如添加、删除或修改用户或组。它可以用于做这样的事情,像在Webmin做任何更改前,备份/etc/passwd文件。命令可以通过检查环境变量确定Webmin要做什么,如在"Before and after commands"部分解释。 |
| Command to run after making changes | 像以上选项,但在执行任何操作前运行这个命令。如果你想要在创建一个用户后运行某个命令,为了为那个用户设置其它文件,它是非常有用的。 |
| Permission on new home directory | 新创建家目录的八进制权限,用与chmod命令使用的相同格式。 |
| Copy files into new home directory from | 假设"Copy files to home directories of created users?"选项开启,复制到新创建用户的家目录中的目录和文件。如果你输入的任何路径是一个目录,在这个目录中所有文件和子目录都将被复制。这个选项通常默认设置为/etc/skel,它是一个包含.bash_logout .bash_profile .bashrc的系统目录。 |
| Automatic home directory base | 通常在这个目录下创建用户家目录。如果这个选项设置了,在用户创建表单将为Home目录字段显示一个Automatic选项。如果选择了,家目录将由这个选项以及下面的*Automatic home directory style*确定。 |
| Automatic home directory style | 这个选项控制在base下一个新用户家目录的路径。最常见默认选的home/username选项将使它成为在base下一个子目录,与username有相同名称。所以如果你创建了一个名为tom的用户并且家目录base设置为/home,则产生的家目录为/home/tom。其它选项将使用username的前一或二个字母创建子目录。如果在你系统上有非常多用户,并且想要避免在/home中写数千次条目,它们是有用的。 |
| Lowest UID for new users | 当Webmin自动为一个新用户选择一个用户ID时,它将不会挑选比在这个选项中指定小的UID。在大多数系统上,一般用户用户ID大于500,而系统用户用户ID小于500。 |
| Lowest GID for new users | 类似以上选项,但用于组IDs。 |
| Create new group for new users | 如果这个选项设置为Yes,当创建一个新用户时,默认操作是创建一个相同名称的组并且使它成为这个用户的主组。 |
| Assign same ID to new user and group | 这个选项只在启用了先前选项时才有作用。如果设成Yes,当为新用户创建新组时,Webmin将确保它们的UID和GID相同。这实际上没有什么不同,但一些管理员喜欢。 |
| Check for sendmail alias clashes? | 如果设置成Yes,当创建或者重命名一个用户时,Webmin将检查是否有一个相同名称的Sendmail别名。这对防止这样的用户创建,由于重定向它到某个其它地址,其不能接收邮件。 |
| Only delete files owned by user? | 如果设置成Yes,当在用户家目录中删除一个不属于它的用户文件时,将不被删除。 |
| Maximum user and group name length | 用户或组名的最大可用长度。如果这是由默认设置,因为操作系统将不识别更长用户名,调整它不是一个好想法。 |
| Default group for new users | 在新用户创建表单上默认的主组。 |
| Default secondary groups for new users | 一个空格分隔的二级组的列表,在新用户创建表单上将默认选择它。 |
| Default shell for new users | 在新用户创建表单上默认的shell。 |
| Default minimum days for new users | 在此天数前不允许密码更改的默认天数。 |
| Default maximum days for new users | 在此天数后必须更改密码的默认天数。 |
| Default warning days for new users | 在密码失效前用户被警告的默认天数。 |
| Default inactive days for new users | 在密码失效后禁用这个用户的默认天数。 |
| Maximum number of users to display | 如果在此模块主页上的用户或组数目超过了这个数值,用户或组表格将被一个搜索表单替代。如果在你系统上用户数目刚超过这个默认限制,你可能想要调节这个数值。 |
| Sort users and groups by | 这个选项控制在此模块主页上用户和组的顺序。 |
| Number of previous logins to display | 这个选项限制要显示的被记录的登录数目,因而这个表格在保存无限登录历史的系统上不会变得太大。 |
| Display users groups by | 默认,在这个模块主页上以每个用户或组一行显示的用户和组。如果你更改这个选项为Name only,则仅每个用户的用户名将显示,如果你有大量用户,节省了大量屏幕空间。更改为Primary group categorized也将仅用用户名显示用户,但通过它们的主组分类。 |
| Conceal plain-text password? | 如果设成Yes,当编辑或者创建一个用户时,Normal password字段将只显示星号替代你输入的实际密码。如果你担心在创建用户时别人偷看,这有用。 |
| Get user and group info from | 即使这个模块直接读取和编辑系统用户,组和密码文件,在某些情况中,在你系统上将有来自另一个源(诸如NIS)的用户和组。当显示一个用户主组或者其是一个组的成员的用户时,Webmin将默认使用系统调用getpw族来获取一个用户和组的列表,替代直接读取用户和组文件。这一般是要做的正确事情,但在一些情况中,它将不能正常运行或者非常慢。如果你确认你想要这个模块不再使用getpw函数,你才更改这个选项为Files。 |
| Generate password for new users? | 如果这个选项设成Yes,当创建一个新用户时,Webmin将默认为你产生一个随机密码。 |
| Show office and phone details | 通常,一个用户Real name字段只包含其名称。但,它也能包含其它信息,诸如它的办公室位置,家庭电话以及工作电话。这些额外字段由finger命令显示,并且由系统用/etc/passwd文件以逗号分隔的real name字段存储。如果你想要能够单独地编辑这些额外信息,设置这个选项为Yes。但,如果再你系统上用户名在它们中包含逗号,它将不能正常工作。 |
| Display user email from | 这个选项控制电机这个用户编辑页面上Read Email按钮时,使用哪个模块。你应该确认根据你正在使用的邮件系统恰当地设置它,因为Sendmail和Qmail为用户邮箱使用不同的位置和文件格式。 |
| Minimum password length | 如果设置,你将不能创建或编辑其普通文本密码短于这个长度的用户。这个选项以及下面三个选项页影响Change Passwords和Cluster Users和Groups模块。如果你想要委托用户管理给别人,并且不信任它的密码质量,它们是有用的。 |
| Prevent dictionary word passwords | 如果这个选项设置,完全匹配来自字典的任何单词的密码将不被允许。 |
| Perl regexp to check password against | 如果设置,密码必须匹配这个Perl正则表达式。例如,要强制所有密码包含至少一个数字,你为这个选项输入[0-9]。 |
| Prevent passwords containing username? | 当设置这个选项为Yes,完全匹配或包含这个用户用户名的密码将不被允许。 |
在本页System configuration标题下其它选项控制Webmin从哪些文件读写用户和组信息。由于根据你的操作系统类型自动设置它们,除非你知道你在做什么,否则不应该更改它们。
十二、在命令前和后
如在"Configuring the Users and Groups module"部分解释,你可以指定在这个模块中采取任何操作前和后要被运行的shell命令。因为为用户或组的每次添加、修改或删除调用这些命令,它们需要告诉确切执行什么操作的一些方式。它们可以使用在运行命令前设置的环境变量做这件事。环境变量是:
| USERADMIN_USER | 被创建,修改或删除的用户的用户名 |
| USERADMIN_ACTION | 指示采取什么操作。可能值是:CREATE_USER, MODIFY__USER, DELETE__USER, CREATE_GROUP, MODIFY_GROUP, DELETE_GROUP, USERADMIN_USER。用户的用户名被创建、修改或删除。当执行一个组操作时,不设置。 |
| USERADMIN_UID | 用户的用户ID被窗户、修改或删除。 |
| USERADMIN_GID | 用户的组ID。 |
| USERADMIN_REAL | 用户的真实名称,包括任何办公室和电话信息。 |
| USERADMIN_SHELL | 用户的shell |
| USERADMIN_HOME | 用户的家目录。 |
| USERADMIN_PASS | 如果可用,用户的纯文本密码。 |
| USERADMIN_SECONDARY | 一个这个用户属于的逗号分隔的任何二级组的列表。 |
| USERADMIN_GROUP | 组名被添加,修改或者删除。当执行一个用户操作时,不设置。 |
所以例如,如果你想要在创建用户时发出邮件,在更改选项为以下后,设置要运行的命令:
[ "$USERADMIN_ACTION" = "CREATE_USER" ] && echo "Added user $USERADMIN_USER ($USERADMIN_REAL)" || mail -s "Added new user" you@yourdmain.com
十二、模块访问控制
授权一个Webmin用户或组仅访问在Users and Groups模块中一个特性子集是可能的。这最常用于运行一个次级管理员能够只编辑系统上选取的用户和组,并且用仅有限方式更改它们的属性。例如,在虚拟主机环境中,你可能想要赋给一个Webmin用户最多创建和编辑10个UID在一个有限范围内并且家目录在一个固定目录下的能力。这些特权使这个用户无法获得root权力来影响不属于它的用户。
1) 在Webmin Users模块中,点击*Webmin User*模块下你想要编辑用户名称下*Available Webmin modules*标题下*System*下的*Users and Groups*。这将向你显访问控制表单。
2)更改*Can edit module configuration?*字段为No。
3) *Unix users who can be edited*字段控制哪些用户可以被这个Webmin用户修改。一般,你在*Users with UIDs in range*中设置它并且在它旁边的字段中输入最大和最小UIDs,诸如5000和5100。
4) 要允许新Unix用户的添加,设置*Can create new users?*字段为Yes。
5) 设置*Can view batch file form?*选项为No。这将防止这个Webmin用户从一个批处理脚本创建和编辑用户,这将防止这个Webmin用户从一个脚本创建和编辑用户,这通常不是碧瑶的。允许它没有授权这个用户任何其它特权并且不是一个安全风险。
6) 对于*UIDs for new and modified users*字段,输入与在第四步中相同UIDs。
7) 取消选取*More than one user can have same UID*选项,但保留选择*UIDs of existing users can be changed*。一个不受信任的次级管理员通常不应该被允许用相同UID创建多个用户,由于它可能引起的问题。当UID冲突被阻止,Webmin用户将不能够在它允许UID范围内创建任意多Unix用户。
8) 在*Allowed groups for new or modified users*字段,以一般选择Only groups选项斌且输入任何组的名称,新用户能够是其主或次级成员。通常,你只输入一个组,像users。保留这个字段设为All groups是个不好的做法,因为它会允许这样用户的创建,其是root或bin组的成员,并且因而其能编辑重要系统文件和可执行文件。如果允许用户在相同GID范围内创建它自己的多个组,Groups with GIDs in range选项是有用的。
9) 要限制能够分配给一个新用户的shells,设置Allowed shells for new or modified users为Listed并且输入它们的路径到下面的文本框。这对允许仅邮件用户的创建,其总是有shell /bin/false。
10) 设置Home directory must be under字段为一个目录,其将仅用于由这个Webmin用户创建的账户。设置它为/home是一个不好的想法,因为这使这个次级管理员能重命名或删除在home下属于其它用户的目录。而是,输入像/home/_subadmin_的路径。要强制每个用户的家目录是基于其用户名(诸如/home/subadmin/_username_),勾选*Home directory is always same as username*框。
11) 要禁止Webmin用户取消选取在用户创建、编辑和删除表单底部的一些选项,取消选取匹配的Allowed on save options。未被选择的任何将总是被开启。
12) 假设你只想Webmin用户创建和编辑Unix用户,设置*Unix groups who can be edited*字段为*No groups*。
13) 如果你想要限制用户查看最近登录,更改*Can display logins by*字段。能够用telnet或SSH登录的任何用户可以允许上个命令来显示登录,因此设置这个选项为No users通常没有使你的系统更安全。
14)最后,点击Save。你将返回到这个模块的主页并且新的访问控制限制将立即应用于Webmin user。
当授权一个Webmin用户访问某个Unix用户要小心,由于一个错误可能使它能编辑root用户或创建一个等价于root的新用户。也有很多其它用户,像bin、uucp和httpd,它们拥有重要系统文件或者被用于运行服务器和守护进程。能够以这些用户之一编辑或登录的某些人会获取你系统上root特权或者访问他本不应该访问的文件。
在Disk Quotas和Scheduled Cron Jobs模块中访问控制经常被设置成允许编辑与在这个模块中编辑和创建的那些用户相同Unix用户的配额和Cron作业。所有模块支持UID范围和主组访问控制选项,能够用相同方式设置它们。
使用Users and Groups访问控制表单来允许一个用户编辑或创建所选的Unix组也是可能的,虽然这通常一般不太有用。授权一个未受信用户编辑系统上所有组不是一个好想法,由于它会使自己成为root组或者bin组成员并且因而能够读或写关键文件。
3200
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
