linux系統(tǒng)安全課件ppt第5章linux 系統(tǒng)中的用戶

5.1linux系統(tǒng)的安全機(jī)制

5.2用戶管理5.2.1用戶密碼管理passwd文件 5.2.2超級(jí)用戶root的管理 5.2.3增加用戶useradd和刪除userdel命令 5.3密碼管理 5.3.1密碼管理文件shadow 5.3.2密碼修改passwd命令 5.4群組管理 5.4.1群組的文件group和gshadow 5.4.2改變所有者chown和群組chgrp命令5.5文件權(quán)限管理 5.5.1文件權(quán)限的查詢 5.5.2系統(tǒng)權(quán)限的查看修改umask和某個(gè)文件目錄的權(quán)限更改chmod命令 5.6用戶的安全管理5.1linux系統(tǒng)的安全機(jī)制linux系統(tǒng)只允許授權(quán)的用戶登錄系統(tǒng)，登錄進(jìn)系統(tǒng)的用戶也只能在自己的權(quán)限范圍內(nèi)訪問(wèn)文件和設(shè)備。每個(gè)系統(tǒng)都有一個(gè)超級(jí)用戶root，他法力無(wú)窮，可以為所欲為，但ubuntu系統(tǒng)默認(rèn)登錄用戶是安裝系統(tǒng)時(shí)創(chuàng)建的普通用戶，只有特殊情況下才可以使用root用戶。Linux系統(tǒng)所采取的安全措施如下：用戶登錄系統(tǒng)時(shí)必須提供用戶名和密碼；以用戶和群組來(lái)控制使用者訪問(wèn)文件和其他資源的權(quán)限；每個(gè)文件都屬于一個(gè)用戶并與一個(gè)群組相關(guān)；每一個(gè)進(jìn)程都與一個(gè)用戶和群組相關(guān)聯(lián)。5.2用戶管理5.2.1用戶信息管理文件passwd在Linux系統(tǒng)中用戶具有如下特性：每一個(gè)用戶都有一個(gè)唯一的用戶標(biāo)識(shí)符；用戶名和UID都存放在/etc/passwd文件中；在口令文件中還存放了每個(gè)用戶的家目錄、以及該用戶登錄后第一個(gè)執(zhí)行的程序；如果沒(méi)有相應(yīng)的權(quán)限就不能讀、寫(xiě)或執(zhí)行其他用戶的文件。系統(tǒng)中所有的用戶信息，系統(tǒng)會(huì)自動(dòng)記錄在passwd文件中，這個(gè)文件保存在/etc/passwd中，文件記錄了每個(gè)用戶的信息，每一個(gè)用戶都占用一行記錄，以冒號(hào)分隔成7個(gè)字段（列），其中第一個(gè)記錄是root用戶的。下面摘錄部分內(nèi)容，如例5.1所示：5.2.2超級(jí)用戶root的管理在每個(gè)Linux系統(tǒng)上都一定有一個(gè)root用戶，root用戶也被稱作超級(jí)用戶，有至高無(wú)上的權(quán)限，普通用戶對(duì)自己的文件添加的訪問(wèn)權(quán)限也不能限制root用戶的訪問(wèn)，root可以完全不受限制地訪問(wèn)任何用戶的賬戶和所有的文件及目錄。但剛安裝好的linux系統(tǒng)沒(méi)有設(shè)置root用戶密碼，ubtun系統(tǒng)默認(rèn)是沒(méi)有激活root用戶的，不能切換為root用戶來(lái)執(zhí)行命令，需要我們手工操作來(lái)激活root用戶，在終端中輸入sudopasswd或者sudopasswdroot命令對(duì)root用戶的操作如例5.2，5.35.2.3增加用戶useradd命令和刪除userdel命令1.增加普通用戶useradd或adduser命令用來(lái)建立用戶帳號(hào)和創(chuàng)建用戶的起始目錄，使用權(quán)限是超級(jí)用戶，其語(yǔ)法格式為：useradd[-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-r]nameuseradd命令的使用參見(jiàn)例4.5–例4.82.userdel刪除用戶命令userdel可以刪除用戶賬號(hào)，和deluser命令功能一樣，其語(yǔ)法形式為：userdel[選項(xiàng)]用戶帳號(hào)userdel可刪除用戶帳號(hào)與相關(guān)的文件。若不加參數(shù)，則僅刪除用戶帳號(hào)，而不刪除相關(guān)文件。使用權(quán)限是超級(jí)用戶。userdel命令的使用參見(jiàn)例5.9例5.103.強(qiáng)制已登錄用戶退出用戶的退出命令的使用參見(jiàn)例5.11--例5.145.3密碼管理5.3.1用戶密碼管理文件shadowpasswd文件記錄了用戶的基本信息，包括用戶是否設(shè)置密碼的信息，但是用戶的密碼并不保存在給文件中，用戶的密碼保存在/etc/shadow文件中，每一個(gè)用戶數(shù)據(jù)占用一行記錄，它實(shí)際上是存放用戶密碼的數(shù)據(jù)庫(kù)，這個(gè)密碼文件shadow，普通用戶無(wú)權(quán)查看，只要超級(jí)用戶root才可以看，而passwd文件所有用戶都可以查看。例5.15查看密碼文件的后5行5.3.2密碼修改passwd命令在第2.1.6節(jié)中已經(jīng)詳細(xì)介紹了passwd命令，我們知道passwd命令可以修改用戶的密碼，可以激活新添加的用戶（root@ubuntuhl:~#passwd用戶名），可以激活超級(jí)用戶root(shiephl@ubuntuhl:~$sudopasswd或者sudopasswdroot)。那么對(duì)于有些用戶，系統(tǒng)管理員不知道是否設(shè)置了密碼，怎么查看？怎么操作？這些都可以用passwd命令來(lái)是實(shí)現(xiàn)。passwd命令的使用參加例5.16—例5.205.4群組管理5.4.1群組的文件group和gshadowLinux系統(tǒng)中群組（groups）具有如下特性：每個(gè)用戶一定隸屬于至少一個(gè)群組，而每一個(gè)群組都有一個(gè)group標(biāo)識(shí)符，即gid；群組和對(duì)應(yīng)的gid都存放在/etc/group文件中；系統(tǒng)創(chuàng)建用戶時(shí)為每個(gè)用戶創(chuàng)建一個(gè)同名的群組并將該用戶加入到這個(gè)群組中，即每個(gè)用戶至少會(huì)加入一個(gè)與他同名的群組中、也可以加入到其他的群組中；如果有一個(gè)文件屬于某個(gè)群組，那么該群組中所有的用戶都可以訪問(wèn)這個(gè)文件。/etc/group文件存放了所有群組的信息，它實(shí)際上是一個(gè)存放群組信息的數(shù)據(jù)庫(kù)，每個(gè)群組占用一行記錄，每個(gè)記錄以冒號(hào)分隔成4個(gè)字段，每個(gè)字段中若有多個(gè)用戶，每個(gè)用戶名之間以逗號(hào)分隔。每個(gè)字段的含義如例5.21和例5.22所示。5.4.2改變所有者chown和群組chgrp命令1.chown命令用戶擁有的文件和所屬的群組都可以更改，使用系統(tǒng)提供的命令chown和chgrp即可。chown可以改變文件的所有者和群組，其語(yǔ)法形式為：chown[-R][帳號(hào)名稱][文件或目錄](méi)chown[-R][帳號(hào)名稱]:[群組名稱][文件或目錄](méi)在更改文件的所有者或所屬群組時(shí)，可以使用用戶名稱和用戶識(shí)別碼設(shè)置。普通用戶不能將自己的文件改變成其他的所有者，其操作權(quán)限為超級(jí)用戶root。例5.23將文件jerrymos1的所有者由shiephl更改為tomcat，不更改所在的群組，將文件myfil1的所有者和群組都更改為root，將目錄files及其目錄下的所有文件都更為root:root。2.chgrp命令變更群組的命令為chgrp[選項(xiàng)]用戶組文件chgrp[選項(xiàng)]--reference=參考文件文件chgrp命令的使用參加例5.24—例5.265.5文件權(quán)限管理5.5.1文件權(quán)限的查詢每一個(gè)文件（或目錄）具有3種不同的使用者：這個(gè)文件（或目錄）的所有者的權(quán)限；與所有者用戶在同一個(gè)群組的其他用戶的權(quán)限；既不是所有者也不與所有者在同一個(gè)群組的其他用戶的權(quán)限。Linux系統(tǒng)的文件操作權(quán)限包括：r：表示read權(quán)限，即可閱讀文件，也可以使用ls命令列出目錄內(nèi)容的權(quán)限。w：表示write權(quán)限，即可編輯文件或在一個(gè)目錄中創(chuàng)建和刪除文件的權(quán)限。x：表示execute權(quán)限，即可執(zhí)行程序或使用cd命令切換到該目錄以及使用帶有-l選項(xiàng)的ls命令列出該目錄中詳細(xì)內(nèi)容的權(quán)限等。-：表示沒(méi)有相應(yīng)的權(quán)限（與所在位置的r、w、或x相對(duì)應(yīng)）例5.27查看當(dāng)前目錄下文件和目錄的操作權(quán)限5.5.2系統(tǒng)權(quán)限的查看修改umask和某個(gè)文件目錄的權(quán)限更改chmod命令

1．系統(tǒng)權(quán)限的查看修改umask命令umask命令的使用參加例5.28—例5.302．通過(guò)修改配置文件來(lái)永久更改系統(tǒng)權(quán)限掩碼如果想在當(dāng)前系統(tǒng)中長(zhǎng)時(shí)間的使用自己設(shè)置的權(quán)限掩碼，可以超級(jí)用戶的身份來(lái)修改系統(tǒng)配置和shell配置文件。第一步：修改系統(tǒng)配置，以超級(jí)用戶root的身份打開(kāi)系統(tǒng)配置文件/etc/profile，第二步：修改shell配置，以超級(jí)用戶root的身份打開(kāi)shell配置文件：/etc/bash.bashrc，3．目錄文件的權(quán)限更改chmod命令可以使用chmod命令來(lái)更改文件的操作權(quán)限，其語(yǔ)法形式為：chmod[選項(xiàng)]mode文件或目錄名mode權(quán)限設(shè)定字串，格式如下：[ugoa...][[+-=][rwxX]...][,...]，共有三組數(shù)值，第一組表示設(shè)定誰(shuí)的權(quán)限，具體是：第二組是運(yùn)算符，具體含義為：+:加入權(quán)限-:刪除權(quán)限=:設(shè)定權(quán)限第三組表示具體的權(quán)限值，具體為：r:read讀的權(quán)限w:write寫(xiě)的權(quán)限x:execute執(zhí)行的權(quán)限權(quán)限更高命令的使用參加例5.32—例5.355.6用戶的安全管理首先就是對(duì)用戶進(jìn)行嚴(yán)格的審查，并分別給不同的用戶以不同的操作權(quán)限，操作的權(quán)限的設(shè)置在5.5節(jié)中做了詳細(xì)介紹；其次就是用戶身份的確認(rèn)，堅(jiān)決杜絕不合法用戶的存在，對(duì)于可疑的用戶要堅(jiān)決刪除，遵循寧可錯(cuò)殺千人，不可放過(guò)一人的原則；第三種就是加強(qiáng)密碼的管理，防止別有用心的人破解合法用戶的密碼。常見(jiàn)的用戶安全管理措施有：1.只有超級(jí)用戶root才可以新增用戶2.新增用戶的權(quán)限很小，無(wú)法直接登錄Linux系統(tǒng)，只能在授權(quán)用戶登錄后使用su命令切換到新增的用戶3.每一個(gè)用戶都屬于某一個(gè)群組，群組的權(quán)限在創(chuàng)建群組時(shí)賦予4.用戶信息和密碼分別放置在不同