如何分析Linux系統(tǒng)用戶管理
如何分析Linux系統(tǒng)用戶管理��,針對(duì)這個(gè)問題��,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答��,希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡(jiǎn)單易行的方法��。
想必大家都應(yīng)該知道Linux系統(tǒng)是一個(gè)多任務(wù)多用戶的系統(tǒng)吧��,一個(gè)Linux系統(tǒng)通常有很多用戶同時(shí)在線��,這就顯得用戶管理尤為重要��,下面和大家分析一下Linux中用戶管理��。
一��、認(rèn)識(shí)/etc/passwd 和 /etc/shadow
這兩個(gè)文件可以說是Linux系統(tǒng)中最重要的文件之一��。如果沒有或者存在問題��,您是無法登陸Linux系統(tǒng)的
/etc/passwd 由‘:’分割成7個(gè)字段��,每個(gè)字段的具體含義是:
(1) 用戶名(如第一行中的root就是用戶名)��,代表用賬戶的字符串��。用戶名可以是大小寫字母��、數(shù)字��、減號(hào)(不能出現(xiàn)在首位)��、點(diǎn)以及下劃線��,其他字符不合法��。雖然用戶名可以出現(xiàn)點(diǎn)��,但不建議使用��,尤其是首位為點(diǎn)時(shí)��,另外減號(hào)也不建議使用,因?yàn)槿菀自斐苫煜?/span>
(2) 存放的就是該賬號(hào)的口令��,為什么‘x’呢��?早期的nuix系統(tǒng)口令確實(shí)是存放在這里��,但基于安全因素��,后來就將其存放早‘/etc/shadow’中了��,在這里只用一個(gè)‘x’代替��。
(3) 這個(gè)數(shù)字代表用戶標(biāo)識(shí)號(hào)��,也叫做UID��。系統(tǒng)識(shí)別用戶身份就是通過這個(gè)數(shù)字來的0就是root��,也就是您可以修改test用戶的UID為零��,那么系統(tǒng)會(huì)認(rèn)為root和 test為同一個(gè)用戶��。通常UID個(gè)的取值范圍是065535(但實(shí)際上已經(jīng)可以支持到4294967294)��,0是超級(jí)用戶的標(biāo)識(shí)號(hào)��,1499由系統(tǒng)保留��,作為管理賬號(hào)��,普通用戶的標(biāo)識(shí)從500開始��,如果我么你自定義建立一個(gè)普通用戶��,您會(huì)看到該賬戶的標(biāo)識(shí)號(hào)大于或等于500的��。
(4) 這個(gè)數(shù)字代表組標(biāo)識(shí)號(hào)��,也叫做GID��。這個(gè)字段對(duì)應(yīng)著/etc/group中的一條記錄��,其實(shí)/etc/group/和/etc/passwd基本上類似��。
(5) 注釋說明��,該字段沒有實(shí)際意義��,通常記錄該用戶的一些屬性例如姓名��、電話��、地址等。不過��,當(dāng)您使用finger的功能時(shí)就會(huì)顯示這些信息的(稍后作介紹)
(6) 用戶的家目錄��,當(dāng)用戶登錄時(shí)就處在這個(gè)目錄下��,root的家目錄是/root��,普通用戶的家目錄則為/home/username��,這個(gè)字段可以自定義的��,步入您建立一個(gè)普通用戶test1��,要想讓test1的家目錄在/data下��,只要修改/etc/passwd文件中的test1那行中的該字段改為/data既可��。
(7) shell��,用戶登錄后要啟動(dòng)一個(gè)進(jìn)程��,用來將用戶下達(dá)的指令傳給內(nèi)核��,這就是shell��。Linux的shell有很多種sh��、csh��、ksh��、tcsh��、bash/等��,而Redhat/CentOS的shell就是bash��。查看/etc/passwd文件��,該制度單除了/bin/bash外還有/sbin/nologin比較多��,它表示不允許該賬號(hào)登錄��。如果您想建立一個(gè)賬號(hào)不讓他登錄��,那么就可以把該字段蓋晨/sbin/nologin,默認(rèn)是/bin/bash
再來看看/etc/shadow 這個(gè)文件��,和/etc/passwd類似��,用‘:’分割成9個(gè)字段
每個(gè)字段的含義是:
(1) 用戶名��,跟/etc/passwd對(duì)應(yīng)。
(2) 用戶密碼��,這個(gè)才是該賬號(hào)的真正的面��,不過這個(gè)密碼已經(jīng)加密過了��,但是有些黑客還是能夠解密的��。所以��,該文件屬性設(shè)置為000��,但是root賬戶是可以訪問或更改的��。
(3) 上次更改密碼的日期��,這個(gè)數(shù)字是這樣計(jì)算得來的��,距離1970年1月1日到上次更改密碼的時(shí)間��,例如上次更改密碼的日期為2012年1月1日��,則這個(gè)值就是‘365*(2012-1970)/4+1 = 15341’,因?yàn)槿绻情c年��,則有366天��。
(4) 要多少天才可以更改密碼��,默認(rèn)是0��,即不限制��。
(5) 密碼多少天后到期��。即在多少天內(nèi)必須更改密碼��,例如這里設(shè)置成30��,則30天內(nèi)必須更改一次密碼��,否則將不能登錄系統(tǒng)��,默認(rèn)是9999��,可以理解為永遠(yuǎn)不需要更改��。
(6) 密碼到期前的警告期限��,若這個(gè)值設(shè)置成7��,則表示當(dāng)7天后密碼過期時(shí)��,系統(tǒng)就發(fā)出警告告訴用戶,提醒用戶他的密碼將在7天后到期��。
(7) 賬號(hào)失效期限��。您可以這樣理解��,如果設(shè)置這個(gè)值為3��,則表示:密碼已經(jīng)到期��,然而用戶并沒有在到期前修改密碼��,那么再過3天��,則這個(gè)賬號(hào)就失效了��,即鎖定了��。
(8) 賬號(hào)的生命周期��,跟第三段一樣��,是按距離1970年1月1日多少天算的��。它表示的含義是��,賬號(hào)在這個(gè)日期前可以使用��,到期后賬號(hào)作廢��。
(9) 作為保留用的��,沒有什么意義��。
二��、 新增/刪除用戶和用戶組
1��、新增一個(gè)組“groupadd [-g GID] 組名”
不加“-g”選項(xiàng)則按照系統(tǒng)默認(rèn)的gid創(chuàng)建組��,跟用戶一樣��,GID也是從500開始的��。
2��、 刪除組 “groupdel 組名”
該命令沒有特殊選項(xiàng)��,但有一種情況不能刪除組
這是因?yàn)閡ser1中包含user1用戶��,只有刪除賬戶后才可以刪除該組��。
3、增加用戶 “useradd [-u UID] [-g GID] [-d HOME] [-M] [-s] 用戶名”
‘-u’ 自定義UID
‘-g’是其屬于已經(jīng)存在的某個(gè)組��,后面可以跟組id��,也可以跟組名
‘-d’自定義用戶的家目錄
‘-M’不建立家目錄
‘-s’ 自定義shell
‘useradd’不加任何選項(xiàng)直接跟用戶名��,則會(huì)創(chuàng)建一個(gè)跟用戶名同樣名字的組
\4. 刪除賬戶 “userdel [-r] 用戶名”
‘-r’的選項(xiàng)作用只有一個(gè)��,就是刪除賬戶的時(shí)候連帶賬戶的家目錄一起刪除��。
*chfn 更改用戶的finger(不常用)
*創(chuàng)建/修改一個(gè)用戶的密碼 “passwd [username]”
等創(chuàng)建完賬戶后��,默認(rèn)是沒有設(shè)置密碼的��,雖然沒有密碼��,但該賬戶同樣登錄不了系統(tǒng)��。只有設(shè)置好密碼后登錄系統(tǒng)��。為用戶創(chuàng)建密碼時(shí)��,為了安全起見��,請(qǐng)盡量設(shè)置復(fù)雜一些。您可以按照這樣的規(guī)則來設(shè)置密碼:
a, 長(zhǎng)度大于10個(gè)字符
b, 密碼中包含大小寫字母以及特殊字符“*”��、“&”��、“%”��、等��;
c��,不規(guī)則性(不要出現(xiàn)單詞或者某些數(shù)字)
d, 不要帶自己名字��,公司名字��,自己電話��,自己生日等��。
只有root才可以修該其他賬戶的密碼��,普通賬戶只能修改自己的密碼��,其他賬戶的密碼是不可以修改的
“mk passwd”
這個(gè)命令經(jīng)常用來生成密碼��,省的自己去想��。默認(rèn)您的Linux是沒有這個(gè)命令的��,需要安裝一個(gè)包“expect”��,如果您的Centos可以上網(wǎng)��,請(qǐng)使用yum install expect 既可完成安裝��。安裝好后��,輸入“mkpasswd”
Linux中有時(shí)候普通用戶做某些事情是有限制的��。這時(shí)候就需要切換root身份來做事了��。
現(xiàn)假設(shè)我用一個(gè)普通用戶test登錄(登陸后使用“whoami”命令查看當(dāng)前用戶是誰)
命令su “su [-] username”
后面可以跟‘-’也可以不跟��,普通用戶su不加username時(shí)及時(shí)切換到root用戶��,當(dāng)然root用戶同樣可以su到普通用戶��。‘-’這個(gè)字符的作用是��,加上后會(huì)初始化當(dāng)前用戶的各種環(huán)境變量��。我們用一個(gè)簡(jiǎn)單地實(shí)驗(yàn)來說明加與不加‘-’的區(qū)別:
命令sudo
用su是可以切換用戶身份��,如果每個(gè)普通用戶都能切換到root身份,如果某個(gè)用戶不小心泄漏了root的密碼��,那豈不是系統(tǒng)非常的不安全��?沒有錯(cuò)��,為了改進(jìn)這個(gè)問題��,產(chǎn)生了sudo這個(gè)命令��。使用sudo執(zhí)行一個(gè)root才能執(zhí)行的命令是可以辦到的��,但是需要輸入密碼��,這個(gè)密碼并不是root的密碼而是用戶自己的密碼��。默認(rèn)只有root用戶能使用sudo命令��,普通用戶想要使用sudo��,是需要root預(yù)先設(shè)定的��,即��,使用 visudo 命令去編輯相關(guān)的配置文件/etc/sudoers. 如果沒有visudo這個(gè)命令��,請(qǐng)使用 yum install -y sudo 安裝��。
默認(rèn)root能夠sudo是因?yàn)檫@個(gè)文件中有一行 “root ALL=(ALL) ALL” 在該行下面加入 “test ALL=(ALL) ALL” 就可以讓test用戶擁有了sudo的權(quán)利��。使用 “visudo” 命令編輯/etc/sudoers配置文件��,其實(shí)它的操作方法和前面阿銘介紹的 “vi” 命令使用方法是一樣的��,按 ‘i’ 進(jìn)入編輯模式��,編輯完成后��,按 “Esc” ��,再輸入 ”:wq” 完成保存��。
此時(shí)可以驗(yàn)證一下test的權(quán)限了
由于切換到test賬戶后的當(dāng)前目錄依舊是在/root 下��,test賬戶沒有任何權(quán)限��,所以 ‘ls’ 的時(shí)候提示說權(quán)限不夠��,然而使用 sudo ls 輸入test賬戶自身的密碼后就有權(quán)限了��。初次使用sudo 時(shí)會(huì)有上面的一大段提示��,而后再次使用sudo 命令則不再提示。
如果每增加一用戶就設(shè)置一行��,這樣太麻>煩了��。所以您可以這樣設(shè)置��。把 “# %wheel ALL=(ALL) ALL” 前面的 ‘# ‘ 去掉��,讓這一行生效��。它的意思是��,wheel這個(gè)組的所有用戶都擁有了sudo的權(quán)利��。接下來就需要您把想讓有sudo權(quán)利的所有用戶加入到wheel這個(gè)組中即可��。
什么是Linux系統(tǒng)
Linux是一種免費(fèi)使用和自由傳播的類UNIX操作系統(tǒng)��,是一個(gè)基于POSIX的多用戶��、多任務(wù)��、支持多線程和多CPU的操作系統(tǒng)��,使用Linux能運(yùn)行主要的Unix工具軟件��、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議��。
關(guān)于如何分析Linux系統(tǒng)用戶管理問題的解答就分享到這里了��,希望以上內(nèi)容可以對(duì)大家有一定的幫助��,如果你還有很多疑惑沒有解開��,可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)��。
