Linux用戶管理詳解(中).docx

Linux用戶管理詳解(中)在我的上一篇Linux中用戶管理詳解(上)我們已經(jīng)明白通過命令useradd每創(chuàng)建一個用戶都會在相應(yīng)的配置文件中添加相關(guān)的信息和創(chuàng)建用戶的宿主目錄。其實今天要和大家說的是和用戶相關(guān)的linux安全問題，在安全中有一種技術(shù)人們稱它為“后門”技術(shù)，其實就是說一些“小黑”，入侵到服務(wù)器后得到root權(quán)限，最常見的就是添加一個用戶方便日后來訪。雖然這是一個初級的技術(shù)，但是這個能夠看出你對/etc/passwd和/etc/shadow文件的熟悉程度。如果你是黑客的話，入侵到一個系統(tǒng)后，你為了防止管理員修改密碼導(dǎo)致你不能登錄，而你去修改密碼，這不是明擺著要通知管理員他的系統(tǒng)已近被入侵了，所以這個時候可以通過編輯passwd和shadow文件來實現(xiàn)如下內(nèi)容：rootqiuri #echo admin:x:0:0:/usr/src:/bin/bash /etc/passwdrootqiuri #echo admin:!:14143:0:99999:7: /etc/shadow通過以上兩條命令可以添加一個UID為0的具有管理員權(quán)限的賬戶，也可以編輯配置文件手工輸入，當(dāng)然，這里小黑們會盡量的掩蓋自己創(chuàng)建的這個賬戶，首先用戶名稱一般會選擇一個類似系統(tǒng)應(yīng)用程序的賬戶，用戶的主目錄也不會和其它賬戶一樣放在/home下。總之盡量的逃過哪些粗心的管理員。當(dāng)然，還沒有設(shè)置密碼是不能夠通過遠(yuǎn)程可以連接上服務(wù)器的，這個時候用passwd來設(shè)置一下：輸入要設(shè)置的密碼，之后查看/etc/shadow配置文件后密碼位已近成為md5加密的亂碼。rootqiuri # passwd adminrootqiuri # grep admin /etc/shadowadmin:$1$1IoPDSJW$3NxLHwcXeutWT1lIMb4Zy1:14163:0:99999:7:這個時候我們可以測試一下登錄，這個時候我們沒有必要退出后再登錄，我們可以使用su命令切換用戶，大家在使用這條命令的時候最常見的問題如下：rootqiuri # su adminbash-3.1#rootqiuri # su adminbash-3.1#咋看起來這兩條命令沒有什么區(qū)別，當(dāng)我們使用su admin命令的時候，我們輸入一個認(rèn)為可用的命令的時候會得到“command not found”的錯誤信息。是由于su命令不能在根用戶環(huán)境中的讀操作。為了解決這個問題，只能在給su命令添加一個”的選項，也就是su admin這樣的格式。我們使用pwd查看一下這兩個命令的區(qū)別：rootqiuri # su adminbash-3.1# pwd/rootbash-3.1# su - admin-bash-3.1# pwd/usr/src看到了吧，其實這兩個命令的區(qū)別就是：使用su命令切換用戶后，不會修改當(dāng)前登錄會話的目錄或者環(huán)境；而su 后，通常會修改用戶的登錄目錄為用戶自己的根目錄，并且用戶自己的變量也可以使用了?；蛟S有人還有疑問為何提示符為”-bash-3.1#”了，其實這個”-bash-3.1”不是關(guān)鍵，主要是看”#”和”$”來區(qū)別用戶的類型。這里變?yōu)椤?bash-3.1”的原因是我們創(chuàng)建的admin用戶沒有自己的初始配置文件，我們使用命令創(chuàng)建用戶的時候都會從/etc/skel這個目錄中復(fù)制到用戶的宿主目錄。這里查看一下這個配置文件：rootqiuri # ls -al /etc/skel/total48drwxr-xr-x2 root root4096 09-18 21:26 .drwxr-xr-x 94 root root 12288 10-11 20:27 .-rw-r-r-1 root root24 2006-07-12 .bash_logout-rw-r-r-1 root root176 2006-07-12 .bash_profile-rw-r-r-1 root root124 2006-07-12 .bashrcrootqiuri #我們看到這些都是一下隱藏文件，這些文件是用于用戶的環(huán)境變量的shell腳本，用戶登錄后可以修改這些文件。我在以后的文章中詳細(xì)介紹這些文件的用途。那我們就將這些文件復(fù)制過去看看：rootqiuri # cp -r /etc/skel/.* /usr/srcrootqiuri # su - adminrootqiuri # pwd/usr/admin當(dāng)然，通過這種方法創(chuàng)建的后門用戶很容易被細(xì)心的管理員發(fā)現(xiàn)，但是如果你對這些配置文件不是很熟悉的話也是很難發(fā)現(xiàn)問題。這就是火能助人，也能殺人的道理。當(dāng)發(fā)現(xiàn)這樣的用戶，我們需要做的是將其刪除，刪除用戶的命令是userdel。1)userdel命令用于刪除linux系統(tǒng)中的用戶賬號，命令格式如下：userdel -r user_name一般，在使用這條命令的時候，如果不添加”-r”的話，不會刪除用戶的宿主目錄，這樣就可以保存該用戶在系統(tǒng)中的文件，要是想刪除的話我們可以手工的去刪除該目錄。但是你已經(jīng)確認(rèn)該宿主目錄中的文件可以刪除，直接使用”-r”這樣就可以一次性的刪除用戶操作。rootqiuri #userdel r admin2)手工刪除用戶手工刪除一個用戶需要執(zhí)行如下步驟：從/etc/passwd、/etc/shadow、/etc/group配置文件中刪除該用戶的相關(guān)條目，之后刪除該用戶的宿主目錄。但是，在我們工作的過程中，為了提高系統(tǒng)的安全性最常用的就是禁用和啟用賬戶?？梢允褂胾sermod命令來禁用賬號：rootqiuri # grep u1 /etc/shadow#禁用前查看一下u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri # usermod -L u1#禁用賬號rootqiuri # grep u1 /etc/shadow#再次查看一下，發(fā)現(xiàn)多出一個!，表明用戶已禁用u1:!$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri #當(dāng)因工作需要的時候，可以將已禁用的賬號u1重新啟用，命令如下：rootqiuri # usermod -U u1#重新啟用賬號rootqiuri # grep u1 /etc/shadow#發(fā)現(xiàn)!已經(jīng)移除，表明用戶已啟用u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri #從上邊的操作可以看出usermod命令禁用和啟用賬號功能是通過在/etc/shadow配置文件中，在用戶密碼位之前添加和刪除!實現(xiàn)的。當(dāng)然也可以使用手工添加或刪除!來實現(xiàn)效果。不知道大家還記不記得我在上一篇文章中提到可以通過設(shè)置shadow文件中的“賬號失效期”來設(shè)置賬號的有效期限。這里也可以使用usermod命令實現(xiàn)，命令格式如下：usermod e YYYY-MM-DD name通過這個命令可以設(shè)置用戶賬號的過期時間，就是說在此日期之前用戶賬戶生效，過了這個日期后用戶將禁止登錄。設(shè)置后如下所示：rootqiuri # usermod -e 2008-10-18 u1#設(shè)置賬號過期時間rootqiuri # grep u1 /etc/shadow#驗證結(jié)果u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:14170:rootqiuri #在實際的管理工作中，如果我們一個一個的去管理賬號的話，無形中會增加我們大量的管理負(fù)擔(dān)和造成不必要的錯誤。可以使用“用戶組”來解決這些問題。那么什么是“用戶組”呢？用戶組就是一個具有相同特性的用戶集合，在同一個組中的所有用戶具有相同的組權(quán)限。一般情況下我們使用useradd創(chuàng)建用戶的時候會創(chuàng)建和用戶同名的用戶組，但是有些時候我們需要單獨的創(chuàng)建用戶組，可以使用groupadd命令實現(xiàn)？命令格式如下：groupadd -g gid -o -r -f group我們創(chuàng)建一個qiuri組為例：rootqiuri # groupadd qiuri#添加用戶組rootqiuri# grep qiuri /etc/group#驗證是否創(chuàng)建成功qiuri:x:501:如果我們要創(chuàng)建一個xifeng組同時組ID為1000rootqiuri # groupadd -g 1000 xifeng#添加組ID為1000的用戶組rootqiuri # grep xifeng /etc/group#驗證結(jié)果xifeng:x:1000:我們會創(chuàng)建組了，但是如何將用戶添加到相應(yīng)的組呢？一般有以下幾種情況？1)創(chuàng)建用戶的時候指定用戶屬于那個用戶組例如：我們創(chuàng)建一個test用戶，同時這個用戶屬于qiuri組，這個時候系統(tǒng)就不會再建立與用戶名同名的用戶組賬號了。命令格式:uersadd -g group_name user_name創(chuàng)建過程：rootqiuri # grep qiuri /etc/group#確認(rèn)用戶組qiuri是否存在qiuri:x:1001:rootqiuri # useradd -g qiuri test#將創(chuàng)建用戶指定到qiuri組rootqiuri # grep test /etc/passwd#查看用戶是否創(chuàng)建成功，是否屬于組qiuri。test:x:510:1001:/home/test:/bin/bashrootqiuri # grep qiuri /etc/groupqiuri:x:1001:說明：驗證用戶屬于那個組的時候也可以使用命令groups user_name來查詢。2)更改用戶的用戶組一般什么時候需要更改用戶組呢？例如：我們在創(chuàng)建用戶的時候忘記指定用戶屬于那個用戶組，這個時候我們執(zhí)行此命令?？梢允褂胾sermod g來更新組的名稱，這里我們將test用戶從qiuri組更改到xifeng組。命令格式：uermod g group_name user_name更改過程：rootqiuri # usermod -g xifeng test#更改用戶所屬于的組rootqiuri # grep test /etc/passwd#確認(rèn)用戶組ID是否發(fā)生變化test:x:510:1000:/home/test:/bin/bashrootqiuri # grep xifeng /etc/group#確認(rèn)組ID為1000的組是否是xifeng。xifeng:x:1000:rootqiuri #3)將用戶添加到其它組一個用戶可以同時屬于多個組，例如：test用戶同時屬于qiuri和xifeng組，可以通過usermod G命令來實現(xiàn)。注意：這條命令執(zhí)行的前提條件是確認(rèn)該用戶是否存在，也就是說是將已有用戶添加到相應(yīng)的組。命令格式：usermod G group_name user_name方法一、添加過程：rootqiuri # usermod -G qiuri test#讓用戶test同時屬于qiuri組rootqiuri # grep test /etc/passwd#查看一下用戶配置文件，無變化test:x:510:1000:/home/test:/bin/bashrootqiuri # egrep qiuri|xifeng /etc/group#查看一下用戶組配置文件中關(guān)于xifeng和qiuri組。個人認(rèn)為使用groups test命令查看更方便些。xifeng:x:1000:qiuri:x:1001:testrootqiuri #或者使用gpasswd命令，命令格式如下：gpasswd a user_name group_name方法二、添加過程：rootqiuri # gpasswd -a test qiuri#讓用戶test同時屬于qiuri組Adding user test to group qiurirootqiuri # egrep qiuri|xifeng /etc/group#驗證結(jié)果xifeng:x:1000:qiuri:x:1001:testrootqiuri # grep test /etc/passwdtest:x:510:1000:/home/test:/bin/bashrootqiuri #當(dāng)我們需要修改組的名稱的時候可以使用groupmod -n實現(xiàn)，命令格式：groupmod -nnew_group_name old_ group_name例如：將組qiuri更改為qiurixifengrootqiuri # groupmod -n qiurixifeng qiuri#修改組名稱rootqiuri # grep qiuri /etc/group#確認(rèn)結(jié)果qiurixifeng:x:1001:testrootqiuri #和組名稱對應(yīng)的就是用戶名稱，我們可以usermod l修改用戶名稱，命令格式如下：usermod l new_user_name old_ user_namerootqiuri # usermod -l qiuri test#修改用戶名稱rootqiuri # grep qiuri /etc/passwd#驗證結(jié)果qiuri:x:501