ch用戶與組管理

ch用戶與組管理第1頁/共52頁1.用戶與組賬號一個用戶可以隸屬于不同的組一個組可以包含若干用戶系統(tǒng)通過帳號對用戶與組進(jìn)行管理2第2頁/共52頁賬號Linux系統(tǒng)的賬號分為用戶賬號和組賬號用戶賬號：每個系統(tǒng)的操作者擁有一個用戶賬號，每個用戶賬號具有唯一的標(biāo)識UID和自己所屬組的標(biāo)識GID。組賬號：一組用戶賬號的集合。通過使用組賬號，可以設(shè)置一組用戶對文件具有相同的權(quán)限，管理員通常以組為單位分配對資源的訪問權(quán)限。3第3頁/共52頁用戶Linux中包括幾種不同的用戶：超級用戶：root為默認(rèn)超級用戶，屬于超級用戶組，其UID、GID都固定為0。普通用戶：是由root創(chuàng)建的，每個普通用戶在自己的主目錄下具有完全權(quán)限，普通賬號的UID和GID范圍通常為500-60000。偽用戶：也稱為程序用戶，不允許登錄系統(tǒng)，只用于某個程序正常運行。例如bin和daemon這些后臺程序都有各自的程序用戶。其UID和組GID范圍通常為1-499。每個用戶賬號都會有個基本組，默認(rèn)與賬號名稱相同，為賬號額外加入的組為附加組。4第4頁/共52頁用戶賬號配置文件用戶賬號文件/etc/passwdLinux所有的用戶賬號數(shù)據(jù)都記錄在/etc/passwd文件中，/etc/passwd文件是一個純文本文件，該文件的每一行存儲一個用戶的賬號信息，每行采用了相同的格式：

name:password:uid:gid:comment:home:shell每個字段的意義見下頁

5第5頁/共52頁域說明name用戶登錄名同一系統(tǒng)中用戶登錄名惟一。有些系統(tǒng)中，該字段被限制在8個字符(字母或數(shù)字)的長度之內(nèi)。password口令系統(tǒng)用口令來驗證用戶的合法性。如果該字段中的第一個字符是“*”，那么就表示該賬號被查封了。uid用戶標(biāo)識號uid是一個數(shù)值，Linux系統(tǒng)中惟一的用戶標(biāo)識，用于區(qū)別不同的用戶。系統(tǒng)內(nèi)部管理進(jìn)程和文件保護時使用UID字段。gid組標(biāo)識號當(dāng)前用戶的缺省工組標(biāo)識。具有相似屬性的多個用戶可以被分配到同一個組內(nèi)，每個組都有自己的組名，。comment用戶信息用戶的一些相關(guān)信息，如用戶的真實姓名、辦公室地址、聯(lián)系電話等。home用戶主目錄定義用戶的主目錄，或工作目錄。root用戶的工作目錄為/root，其他用戶在/home目錄下均有自己的主目錄。shell命令解釋程序shell是當(dāng)用戶登錄系統(tǒng)時運行的程序名稱，通常是一個shell程序的全路徑名，如/bin/bash。/etc/passwd解釋6第6頁/共52頁示例以下是/etc/passwd文件的一個示例：root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologin......yan:x:500:500:yan:/home/yan:/bin/bashstu:x:501:501:stu:/home/stu:/bin/bash7第7頁/共52頁用戶口令文件/etc/shadowLinux系統(tǒng)中，口令不直接保存在passwd文件中，通常將passwd文件中的口令字段使用一個“x”來代替，將/etc/shadow作為真正的口令文件，用于保存包括個人口令在內(nèi)的數(shù)據(jù)。當(dāng)然shadow文件不能被普通用戶讀取，只有超級用戶才有權(quán)讀取。/etc/shadow文件是根據(jù)/etc/passwd文件產(chǎn)生的，格式比較相近，一行存儲一個用戶的信息，包括9個部分，每部分之間用“:”分割，見下頁。8第8頁/共52頁域說明用戶名/etc/shadow中用戶名和/etc/passwd是相同的。密碼如果是“x”，表示這個用戶不能登錄到系統(tǒng)。上次修改口令的時間從1970年1月1日起到最近一次修改間隔（天數(shù)）。兩次修改口令間隔最少的天數(shù)如果設(shè)置為0，則禁用此功能，即用戶必須經(jīng)過多少天才能修改其口令，此項功能用處不是太大。兩次修改口令間隔最多的天數(shù)用戶管理員管理用戶口令的時效性，增強了系統(tǒng)的安全性。

提前多少天警告用戶口令將過期當(dāng)用戶登錄系統(tǒng)后，系統(tǒng)登錄程序提醒用戶口令將要作廢。

在口令過期之后多少天禁用此用戶表示用戶口令作廢多少天后，系統(tǒng)會禁用此用戶，即系統(tǒng)不再讓此用戶登錄，也不會提示用戶過期。用戶過期日期指定用戶作廢的天數(shù)，空表示永久可用。保留字段目前為空，以備將來Linux發(fā)展之用。/etc/shadow解釋9第9頁/共52頁示例以下是/etc/shadow文件的一個示例：user1:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7:::user2:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:10第10頁/共52頁組賬號配置文件組賬號配置信息保存在兩個文件中。組賬號文件/etc/group。每一行表示一個組的信息，每行格式：

group_name:password:gid:user_list分別表示：組名、組密碼、GID、組成員列表。root:x:0:rootbin:x:1:root,bin,daemondaemon:x:2:root,bin,daemonyan:x:500:yan11第11頁/共52頁組賬號配置文件組賬號口令文件/etc/gshadow。每一行表示一個組賬號的口令信息，每一行表示一個組的信息，每行格式：group_name:admin,admin,…:user_list分別表示：組名、組密碼（一般情況下，沒有必要設(shè)置）、組管理者、組成員列表。12第12頁/共52頁2.賬號管理命令用戶和組賬戶的管理是Linux系統(tǒng)工作中重要的一部分。在進(jìn)行賬號管理時需要以root身份進(jìn)行操作。用戶和組賬號管理包括：賬號的創(chuàng)建刪除修改授權(quán)13第13頁/共52頁shell命令示例說明useradduseradd

-d/admin–gdgroup–Groot

admin創(chuàng)建輔助管理員賬號admin，基本組指定為dgroup，附加組指定為root，工作目錄指定為/admin。passwdpasswd–uyan解除賬戶yan的鎖。usermodusermod–d/home/admin

admin將admin用戶主目錄移到/home/admin下。userdeluserdel–ryan將賬號yan的賬戶和工作目錄刪除

。susurootsu-root從普通用戶切換到超級用戶。加參數(shù)，表示改變到root用戶的環(huán)境。Groupaddgroupaddstugroup新建組stugroupgroupdel

groupdeladmin刪除組admin。groups

groups查詢當(dāng)前登錄到主機的組信息。Users/w/whousers查詢當(dāng)前登錄到主機的用戶信息，三個命令列出的信息有所不同帳號管理命令列表14第14頁/共52頁示例[root@主機名]#su-yan解釋：當(dāng)執(zhí)行這個命令的時候表示切換到y(tǒng)an用戶，并且重新讀取用戶環(huán)境相關(guān)配置文件，即執(zhí)行用戶主目錄下.bash_profile和.bashrc文件，這個也被稱為全切換。15第15頁/共52頁示例（續(xù)）[root@主機名]#suredhat解釋：執(zhí)行這個命令時系統(tǒng)不讀取以上兩個文件，所以一般被稱為半切換，切換之后，yan用戶使用的依舊是此前用戶的環(huán)境配置信息。sudo命令允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或全部需要root權(quán)限的命令工具。該工具可以減少root用戶的登錄和管理時間，提高了系統(tǒng)安全性。因為sudo命令不需要root的密碼，只需要用戶輸入其自身的密碼即可臨時獲得root權(quán)限來運行一些外部命令。該權(quán)限是臨時的，一般命令執(zhí)行完之后shell就會回到當(dāng)前的用戶身份。16第16頁/共52頁示例（續(xù)）例：需要給yan用戶可以執(zhí)行useradd命令的權(quán)限打開/etc/sudoers配置文件[root@主機名]#vi/etc/sudoers在配置文件里添加如下行yanALL=(root)/usr/sbin/useradd切換到y(tǒng)an用戶[root@主機名]#su–yan普通用戶yan執(zhí)行useradd命令來添加用戶stu[yan@主機名]$sudo/usr/sbin/useraddstu17第17頁/共52頁3.用戶與文件系統(tǒng)空間為了保證用戶的獨立性，每個用戶都有自己的使用空間或目錄。系統(tǒng)可以控制用戶對磁盤空間的使用。18第18頁/共52頁主目錄用戶主目錄，有時也稱為工作目錄，每個用戶都有自己的主目錄，不同用戶的主目錄一般互不相同。例如，默認(rèn)情況下用戶yan的主目錄就是/home/yan目錄。用戶剛登錄時，其工作目錄便是主目錄，通常與用戶的登錄名相同?？梢酝ㄟ^“~”字符來引用。修改主目錄有方法一：vi/etc/passwd找到用戶所在行，直接修改。此法很暴力，建議慎用。修改主目錄有方法二：usermodusermod-d/usr/newfolder-uuid注意：-u后面一定要接uid，不是用戶名。19第19頁/共52頁用戶與磁盤空間系統(tǒng)管理員可以控制用戶使用的硬盤空間的大小。用戶磁盤空間的限制是以文件系統(tǒng)（分區(qū)）為單位，而不理會用戶文件放在該文件系統(tǒng)中的哪個目錄。quota（磁盤限額）可以從兩個方面來限制用戶：用戶所能夠支配的索引節(jié)點數(shù)；用戶可以存取的硬盤分區(qū)數(shù)。20第20頁/共52頁磁盤限額需要處理的步驟

（1）修改/etc/fstab文件，在相應(yīng)的mount命令行中加入限額選項/dev/hda7/homeExt3defaults,usrquota,grpquota12（2）重新裝載Linux分區(qū)[root@主機名]#mount-oremount/home（3）在欲加磁盤限額的文件系統(tǒng)的安裝點目錄建立aquota.user和aquota.group文件[root@主機名]#cd/home//注意：/home為單個分區(qū)/dev/hda7的裝載點[root@主機名]#touchaquota.user//為用戶設(shè)置磁盤限額[root@主機名]#touchaquota.group//為用戶組設(shè)置磁盤限額21第21頁/共52頁磁盤限額需要處理的步驟（續(xù)）（4）生成符合系統(tǒng)要求的aquota.user和aquota.group[root@主機名]#quotacheck/home//生成符合系統(tǒng)要求的aquota.user[root@主機名]#quotacheck-g/home//生成符合系統(tǒng)要求的aquota.group22第22頁/共52頁磁盤限額需要處理的步驟（續(xù)）（5）為用戶設(shè)置磁盤空間限額[root@主機名]#edquota[-u]user_name[root@主機名]#edquota-ggroup_name//對于用戶組，本命令將開啟一個vi窗口。[root@主機名]#edquota[-u]-pprotuseruser1user2user3[root@主機名]#edquota-g-pprotgroupgroup1group2group3[root@主機名]#edquota-t//設(shè)定softquota和hardquota之間的時間，本命令將開啟一個vi窗口。23第23頁/共52頁4.文件權(quán)限管理文件權(quán)限管理是文件管理與用戶管理的結(jié)合。分為兩部分：常用的文件權(quán)限管理特殊的權(quán)限管理24第24頁/共52頁文件權(quán)限文件權(quán)限是指對文件的訪問權(quán)限，包括對文件的讀、寫、刪除、執(zhí)行等。文件的權(quán)限分為三組：文件擁有者權(quán)限文件所屬群組權(quán)限其他用戶的權(quán)限可以設(shè)置r、w、x，分別表示讀、寫、執(zhí)行權(quán)限。25第25頁/共52頁查看文件的權(quán)限屬性ls命令：查看文件以及目錄的權(quán)限信息。不帶任何參數(shù)的ls命令只顯示文件名稱?！發(fā)s–al”可以顯示當(dāng)前目錄下所有文件或者子目錄的權(quán)限信息。示例：oradata文件的權(quán)限26第26頁/共52頁文件權(quán)限示例第一列顯示文檔類型與執(zhí)行權(quán)限，由十個字符組成，分為4個部分：第1部分，“d”表示目錄。第2部分，對文檔所有者（oracle）權(quán)限的設(shè)定，“rwx”表示用戶對oradata目錄有讀、寫和執(zhí)行的所有權(quán)限。第3部分，對文檔所屬用戶組（oinstall）權(quán)限的設(shè)定，“r-x”表示用戶組對oradata目錄有讀和執(zhí)行的權(quán)限，但是沒有寫的權(quán)限。第4部分，對文檔擁有者之外的其他用戶權(quán)限的設(shè)定，“r--”表示其他用戶或用戶組對oradata目錄只有讀的權(quán)限。27第27頁/共52頁文件權(quán)限示例（續(xù)）第二列顯示的是文檔的鏈接數(shù)，這個鏈接數(shù)就是硬鏈接的概念，即多少個文件指向同一個i節(jié)點。第三列顯示了文檔所屬的用戶和用戶組，也就是文檔是屬于哪個用戶以及哪個用戶組所有。28第28頁/共52頁文件權(quán)限示例（續(xù)）第四列顯示的是文檔的大小，默認(rèn)顯示的是以bytes為單位，但是也可以通過命令的參數(shù)修改顯示的單位，例如可以通過“l(fā)s-sh”組合人性化地顯示文檔的大小。對于目錄，通常只顯示文件系統(tǒng)默認(rèn)block的大小。第五列顯示文檔最后一次的修改日期，通常以月、日、時、分的方式顯示。第六列顯示的是文檔名稱，Linux下以“.”開頭的文件是隱藏文件，同理以“.”開頭的目錄是隱藏目錄，隱藏文檔只有通過ls命令的“-a”選項才能顯示。29第29頁/共52頁改變屬主和屬組改變屬主可以用chown命令，一般語法為：chown[-R]用戶名稱文件或目錄chown[-R]用戶名稱:用戶組名稱文件或目錄-R：進(jìn)行遞歸式的權(quán)限更改，也就是將目錄下的所有文件、子目錄都更新成為指定的用戶組權(quán)限。通常用于變更某一目錄的情況。注意，在執(zhí)行操作前，確保指定的用戶以及用戶組在系統(tǒng)中是存在的。30第30頁/共52頁改變訪問權(quán)限chmod用于改變文件或目錄的訪問權(quán)限。有兩種用法：方法一：字符設(shè)定法方法二：數(shù)字設(shè)定法31第31頁/共52頁改變訪問權(quán)限（字符設(shè)定法）語法：chmod[who][+|-|=][mode]文件名Who：可以是下面字母中的任何一個或者它們的組合。u表示“用戶”，即文件或目錄的所有者。g表示“用戶組”，即文件或目錄所屬的用戶組。o表示“其它用戶”。a表示“所有用戶”。它是系統(tǒng)默認(rèn)值。32第32頁/共52頁改變訪問權(quán)限（字符設(shè)定法）語法：chmod[who][+|-|=][mode]文件名操作符號含義如下：“+”表示添加某個權(quán)限?！?”表示取消某個權(quán)限?！?”表示賦予給定的權(quán)限，同時取消文檔以前的所有權(quán)限。33第33頁/共52頁改變訪問權(quán)限（字符設(shè)定法）語法：chmod[who][+|-|=][mode]文件名mode表示可以執(zhí)行的權(quán)限，可以是“r”（只讀）、“w”（可寫）和“x”（可執(zhí)行），以及它們的組合。文件名可以是以空格分開的文件列表，支持通配符。例：修改hello.sh文件，使其所有者具有所有權(quán)限，用戶組和其他用戶具有只讀權(quán)限。#chmodu=rwxg,o=rhello.sh34第34頁/共52頁改變訪問權(quán)限（數(shù)字設(shè)定法）語法：chmodabc文件名數(shù)字設(shè)定法0表示沒有任何權(quán)限；1表示有可執(zhí)行權(quán)限；2表示有可寫權(quán)限；4表示有可讀權(quán)限。如果想讓文件的屬主擁有讀和寫的權(quán)限，可以通過4+2=6來實現(xiàn)。35第35頁/共52頁改變訪問權(quán)限（數(shù)字設(shè)定法）例：修改hello.sh文件，使其所有者具有讀寫權(quán)限，用戶組和其他用戶具有只讀權(quán)限。#chmod611hello.sh例：修改hello.sh文件，使其所有者具有所有權(quán)限，用戶組具有只讀和執(zhí)行權(quán)限，其他用戶具有執(zhí)行權(quán)限。

#chmod751hello.sh36第36頁/共52頁文件特殊權(quán)限37特殊權(quán)限設(shè)置方法與shell命令解釋setuidchmodu+sfilename該命令用于文件，當(dāng)文件具有該權(quán)限之后，無論文件被誰執(zhí)行，該程序都有文件所有者的權(quán)限setgidchmodg+sdirname該命令用于目錄，當(dāng)目錄具有該權(quán)限之后，在該目錄內(nèi)無論哪個用戶新建立的文件都有和目錄相同的組。stickbitchmod+tdirname用于目錄，表示目錄內(nèi)的文件只能被root和文件所有者刪除，即使目錄具有o+w的權(quán)限。文件的不可變屬性chattr+ifilename用于文件，表示即使root用戶也不能刪除這個文件，直到取消這個屬性為止?？捎胠sattr來查看文件的這個屬性。umaskumask022常用的umask值有022、027、002、006、007。指定哪些權(quán)限不應(yīng)該被授予。

umask決定目錄和文件被創(chuàng)建時得到的初始權(quán)限。一般默認(rèn)為022，表示新建的目錄權(quán)限是755(=777-022)，文件的權(quán)限是644(=666-022)。第37頁/共52頁文件特殊權(quán)限（setuid）例：[root@主機名]#ls-l/usr/bin/passwd

-rw-r--r--1rootroot……/etc/passwd

-rwsr-xr-x1rootroot……/usr/bin/passwd/etc/passwd文件存放的各個用戶的賬號與密碼信息。/usr/bin/passwd是執(zhí)行修改和查看此文件的程序，但從權(quán)限上看/etc/passwd僅有root權(quán)限的寫權(quán)限，作為普通用戶沒有權(quán)限修改/etc/passwd文件。給/usr/bin/passwd權(quán)限setuid后，普通用戶就可以通過執(zhí)行passwd命令，臨時擁有root權(quán)限，去修改/etc/passwd文件。38第38頁/共52頁文件特殊權(quán)限（stickbit）例：[root@主機名]#ls-dl/tmp

drwxrwxrwt6rootroot409608-2211:37/tmptmp目錄是所有用戶共有的臨時文件夾，所有用戶都擁有讀寫權(quán)限。這就必然出現(xiàn)一個問題，A用戶在/tmp里創(chuàng)建了文件a.file，此時B用戶看了不爽，在/tmp里把它給刪了（因為擁有讀寫權(quán)限），但是執(zhí)行失敗。原因在于，在/tmp目錄中，只有文件的擁有者和root才能對其進(jìn)行修改和刪除，其他用戶則不行。粘滯位t的用途一般是把一個文件夾的的權(quán)限都打開，然后來共享文件，就像/tmp目錄一樣。39第39頁/共52頁5.系統(tǒng)安全性Linux一直以穩(wěn)定高效且安全著稱,但世無完物，其存在于系統(tǒng)內(nèi)的細(xì)小安全隱患同樣不可小覷。帳號安全性常見漏洞安全性SELinux40第40頁/共52頁帳號安全性（1）root帳號安全當(dāng)管理員在離開時忘了把root注銷，這就存在隱患，所以我們希望系統(tǒng)能夠自動從shell中注銷，以達(dá)到保護root帳戶的安全。解決方法為：設(shè)置一個特殊的變量“tmout”，即編輯文件/etc/profile，在“histfilesize=”命令行的下一行增加“tmout=900”，表示所有用戶如果在15分鐘內(nèi)無任何操作將自動注銷此帳戶。注意，增加了此命令行后，請重新用root登錄，更改才能生效。41第41頁/共52頁帳號安全性（2）刪除無用帳號Linux提供了多種帳號類型，以下是可以有選擇性刪除的系統(tǒng)帳號：Sendmail服務(wù)器帳號：news、uucp、operatorXwindows服務(wù)器帳號：gopher具有某些特權(quán)的帳號：adm、shutdown、mail、sync還有某些系統(tǒng)用戶、組用戶、匿名FTP帳戶等賬號刪除命令格式為：[root@主機名]#userdelusername42第42頁/共52頁常見漏洞安全性（1）緩沖區(qū)溢出如果用root分區(qū)記錄數(shù)據(jù)，就可能因為拒絕服務(wù)產(chǎn)生大量日志或垃圾郵件，從而導(dǎo)致系統(tǒng)崩潰。很多系統(tǒng)專家建議：為/var目錄設(shè)立單獨的分區(qū)用于存放日志和郵件，避免root分區(qū)被溢出；為特殊的應(yīng)用程序單獨設(shè)立分區(qū)；以及為/home目錄單獨設(shè)立一個區(qū)。經(jīng)過這樣的單獨分區(qū)，可以有效避免針對Linux分區(qū)溢出的某些惡意攻擊。43第43頁/共52頁常見漏洞安全性（2）監(jiān)聽服務(wù)配置文件/etc/inetd.conf此文件定制/usr/sbin/inetd將要監(jiān)聽的服務(wù)，建議把不用的服務(wù)關(guān)閉。操作方法：顯示系統(tǒng)開放的所有服務(wù)[root@主機名]#grep-v"#"/etc/inetd.conf運行命令關(guān)閉不需要的服務(wù)[root@主機名]#killall-HUPinetd配置后將其改為“不可更改，只能用root帳戶才能解開”[root@主機名]#chattr-i/etc/inetd.conf最后查看哪些服務(wù)在正常運行[root@主機名]#netstat-na--ip44第44頁/共52頁常見漏洞安全性（3）限制用戶資源對系統(tǒng)上的用戶資源作適當(dāng)限制可以有效防止DoS類型的攻擊，如最大進(jìn)程數(shù)等。操作方法為：如果是對所有用戶作限制，先編輯/etc/pam.d/login文件，檢查是否有sessionrequired/lib/security/pam_limits.so，然后編輯/etc/security/limits.con，并加入以下幾行：hardcore0----------(禁止corefiles)hardrss5000-------(限制內(nèi)存使用)hardnproc20------(限制進(jìn)程數(shù))45第45頁/共52頁SELinux介紹SELinux，是NSA（美國國家安全局）和SCC開發(fā)的Linux的一個擴張強制訪問控制安全模塊。原先是在Fluke上開發(fā)的，2000年以GNUGPL發(fā)布。并非所有的Linux發(fā)行版都支持SELinux。SELinux是一個在內(nèi)核中執(zhí)行，提供MAC能力的子系統(tǒng)，以彌補傳統(tǒng)的DAC架構(gòu)的不足。SELi