安全linux網(wǎng)絡(luò)嵌入架構(gòu)工程師培訓(xùn)班第五課之用戶及權(quán)限管理

1、Linux 網(wǎng)絡(luò)嵌入架構(gòu)工程師培訓(xùn)班 第五課1、介紹：Linux 是一種多用戶操作系統(tǒng)，為方便用戶使用Linux，必須為不同用戶分配不同的權(quán)限。同時，還需要保證足夠的系統(tǒng)安全性，確定用戶可以哪些文件，不能哪些文件。為了適應(yīng)這些需要，Linux 提供了一套有效的用戶帳號及組群管理方案，將用戶進(jìn)行分組管理（管理組，用戶組，虛擬用戶組），使不同的用戶，不同的用戶，不同的組用戶擁有不同的 和管理權(quán)限，除此之外，Linux 為系統(tǒng)中所有文件提供了一套完整的文件及文件夾管理權(quán)限方案，使不同的用戶（所有者，同組用戶，其他用戶）對相應(yīng)文件擁有不同的權(quán)限。介紹 Linux 操作系統(tǒng)下用戶帳號的管理，重點介紹 L

2、inux 下的用戶基本屬性，圖形界面以及如何在命令行模式下管理用戶帳號。介紹 Linux 操作系統(tǒng)下組群帳號的管理的基本操作，同樣介紹組群管理的基本概念，圖形界面以及命令行模式的組群帳號管理。介紹 Linux 操作系統(tǒng)下文件及文件夾的權(quán)限管理。在字符模式和絕對模式下可根據(jù)用戶所在組的不同（分為所有者，同組用戶，其他用戶）將文件權(quán)限設(shè)置為可讀，可寫，可執(zhí)行。最后介紹如何修改文件擁有者并進(jìn)行掩碼設(shè)置。2、說明：Linux 用戶帳戶管理為管理眾多系統(tǒng)用戶，Linux 提供了完備的組群和用戶兩級管理。用戶名是指系統(tǒng)分配給個人登陸到系統(tǒng)的帳號。組群是指功能及權(quán)限相似的一類用戶的集合。Linux 采用兩極

3、系統(tǒng)用戶管理，給組群及用戶分配不同的權(quán)限，從而使系統(tǒng)具有很高的安全性，如圖：Roottest1test2ftp1ftp2(1)root 用戶：根用戶，系統(tǒng)管理員，系統(tǒng)中唯一擁有最高權(quán)限的用戶，可以操作任何文件并執(zhí)行任何命令。此用戶在安裝 Linux 操作時創(chuàng)建，其 ID 值為 0，一般情況下，只有在必須使用根用戶登陸系統(tǒng)才使用，默認(rèn)情況下此用戶只能在本地登陸，但用戶可以修改/etc/pam.d/login文件以允許 root 用戶登陸系統(tǒng)。(2)普通用戶：能夠管理自身的文件并擁有 root 擁護(hù)賦予的權(quán)限的用戶，這些用戶是在系統(tǒng)安裝完成后有系統(tǒng)管理員創(chuàng)建的，可以直接或登陸系統(tǒng)。(3)虛擬用戶：

4、這類用戶不具有登陸系統(tǒng)的能力，但它們是系統(tǒng)運行中不可缺少的。如bin ,damen,ftp,adm 等。虛擬用戶一般在系統(tǒng)安裝時產(chǎn)生，當(dāng)然，管理員也可以添加此類用戶。Linux 用戶基本屬性#用戶名：cat /etc/passwd：UID ：GID：用戶描述：登陸主目錄：登陸默認(rèn) sroot:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var

5、/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/halt:x:8:12:/var/spool/:/sbin/nologinnews:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:10

6、0:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologin其他用戶組虛擬用戶組ftp普通用戶組 1Root 管理員Linux 系統(tǒng)rpm:x:37:37:/var/lib/rpm:/bin/bashvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin nscd:x:2

7、8:28:NSCD Daemon:/:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinrpc:x:32:32:Portmapper RPC user:/:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologinnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologinnull:x:47:47:/var/spool/mqueu

8、e:/sbin/nologinsmmsp:x:51:51:/var/spool/mqueue:/sbin/nologin pcap:x:77:77:/var/arpwatch:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin ntp:x:38:38:/etc/ntp:/sbin/nologin gdm:x:42:42:/var/gdm:/sbin/nologinanqn:x:500:500:anqn:/home/anqn:/bin/bash下面以 root(根用戶)和anqn(普通用戶)用戶為例，詳細(xì)介紹 Lin

9、ux 用戶所擁有的屬性（各屬性之間用冒號隔開）。1 用戶名(username)位于第 1 列，如root,test 都是用戶名。2 已加密號之間的(encrypt password)Linux 系統(tǒng)擁有很強(qiáng)的安全性，所有都經(jīng)過加密，因此在以上文件第 1 個與第 2 個冒內(nèi)容均顯示為X,表示已經(jīng)加密，因此文件對所有用戶的已經(jīng)加密的用另一個文件/etc/shadow 專門。3 用戶 ID(user ID) Linux 的任何一個用戶都有唯一的一個用戶 ID 號，此屬性是標(biāo)識用戶最重要的內(nèi)容之一，root 用戶的ID 為 0，是系統(tǒng)第 1 個帳號，用戶自己創(chuàng)建的普通用戶從 500 開始，如anqn

10、用戶。4默認(rèn) ID(grou) 某用戶默認(rèn)屬于某一個組群，組群是 Linux 用戶中的一個概念。5用戶描述(user description) 對用戶進(jìn)行簡要的描述，如 root 用戶可以描述為”root”,也可以保留為空,如 test 用戶。6用戶主目錄(users home dictionary) 系統(tǒng)默認(rèn)的主目錄,也是系統(tǒng)登陸時用戶所在的路徑,如root 用戶的主目錄”/root”,所有其他用戶的主目錄都在/home 文件夾下,如anqn 用戶的主目錄為/home/anqn7 用戶登陸（susers login s）Linux 提供了多種 s，因此，在用戶登陸系統(tǒng)時，此屬性用戶規(guī)定用戶登

11、陸系統(tǒng)時的默認(rèn) s程序,如root 和 test 用戶的默認(rèn) s都為 bash。用戶可以更改自己使用的 s圖形界面用戶管理Redhat-config-packageRedhat-config-usersls /etc/skel/ -alls /homt/anqn1 alrootlocalhost root# ls /etc/skel -al總用量 28drwxr-xr-x drwxr-xr-x-rw-r-r-rw-r-r-rw-r-r-rw-r-r-rw-r-r-2 root56 root1 root1 root1 root1 root1 rootroot rootroot root root

12、 rootroot40967 月 14 23:47 .40967 月 15 08:06 .24 2003-02-11191 2003-02-11124 2003-02-11847 2003-02-20120 2003-02-27.bash_logout.bash_profile.bashrc.emacs.gtkrcrootlocalhost root# ls /home/anqn1 -al總用量 28drwx-drwxr-xr-x-rw-r-r-rw-r-r-rw-r-r-rw-r-r-rw-r-r-2 anqn14 root1 anqn11 anqn11 anqn11 anqn11 anqn

13、1anqn1 root anqn1 anqn1 anqn1 anqn1anqn140967 月 17 14:30 .40967 月 17 14:30 .24 2003-02-11191 2003-02-11124 2003-02-11847 2003-02-20120 2003-02-27.bash_logout.bash_profile.bashrc.emacs.gtkrc命令行模式下用戶管理方式在 Linux 環(huán)境下采用命令行模式管理用戶帳號有多種方式,例如，可以使用文本編輯器(vi,emacs 等)直接修改/etc/passwd文件，添加新用戶;也可以使用 adduseruserdel等

14、用戶管理命令,以及使用 pwconv 命令使 passwd 和 shadow 文件保持一致。1 查看用戶信息查看用戶信息主要有以下命令。whoami查看當(dāng)前用戶名who查看當(dāng)前登陸系統(tǒng)的用戶w查看當(dāng)前登陸系統(tǒng)用戶及詳細(xì)信息。id 查看用戶的 UID,GID 及所歸屬的用戶組。su 用戶切換工具 finger 查看用戶詳細(xì)信息 write 給發(fā)送信息wall 給所有用戶發(fā)送信息2 添加用戶，修改用戶(必須擁有系統(tǒng)管理權(quán)限的用戶才可以添加用戶)以下是使用不帶參數(shù)useradd 添加用戶useradd anqn1 ls /home/less /etc/passed | grep anqn1以下是使用

15、參數(shù) useradd 添加用戶useradd anqn2 cless /etc/passwd | grep anqn2 ls /home/d /home/anqn2 g root s /bin/bash u 509usermod 修改用戶屬性less /etc/passwd | grep anqn2usermod c “” d /home/anqn1 g bin anqn3tail /etc/passwd | grep anqn2用戶去除管理passwd d anqn2passwd d root鎖定帳號/passwd l /鎖定某帳號passwd u passwd u fpasswd S/起用

16、鎖定帳號/強(qiáng)制啟用/顯示帳號為空的已鎖定帳號信息Linux 采用/etc/passwd 文件管理用戶信息(包括)，但是文件對系統(tǒng)用戶仍然可讀，雖然經(jīng)過加理，但安全性仍然存在問題,passwd 文件中存放了對口令明文采用DES 和 MD 方式加密后的密文,利用高性能計算機(jī)及蠻力搜索的辦法，完全可能用窮舉的方法空令明文，因此，為了加強(qiáng)系統(tǒng)的安全性,系統(tǒng)提供了專門的管理文件/etc/shadow，幾乎所有的 linux 都使用 shadow 方式對文件加密,密文保存在/etc/shadow 文件中,而該文件對一般用戶是不可讀的,只有 root 用戶可以.root:$1$DLo6vOMj$ISbN3K

17、2xr2QsqX1c0 bin:*:14074:0:99999:7: daemon:*:14074:0:99999:7: adm:*:14074:0:99999:7:lp:*:14074:0:99999:7:sync:*:14074:0:99999:7:shutdown:*:14074:0:99999:7: halt:*:14074:0:99999:7:*:14074:0:99999:7:news:*:14074:0:99999:7:uucp:*:14074:0:99999:7:operator:*:14074:0:99999:7: games:*:14074:0:99999:7: gophe

18、r:*:14074:0:99999:7: ftp:*:14074:0:99999:7: nobody:*:14074:0:99999:7: rpm:!:14074:0:99999:7:vcsa:!:14074:0:99999:7:nscd:!:14074:0:99999:7:sshd:!:14074:0:99999:7:rpc:!:14074:0:99999:7:rpcuser:!:14074:0:99999:7:w1:14074:0:99999:7:nobody:!:14074:0:99999:7:null:!:14074:0:99999:7:smmsp:!:14074:0:99999:7:

19、pcap:!:14074:0:99999:7:xfs:!:14074:0:99999:7:ntp:!:14074:0:99999:7:gdm:!:14074:0:99999:7:anqn:$1$nlG4XDFt$hkHNpuyPsaaIhGhKLtOYD/:14074:0:99999:7: anqn2:14077:0:99999:7:cat /etc/passwd | grep anqn2 cat /etc/shadow | grep anqn2 pwunconvcat /etc/passwd | grep anqn2 cat /etc/shadow | grep anqn2 pwconvcat /etc/shadow | grep anqn2/將回寫到passwd 文件/將寫入到 shadow 文件cat /etc/passwd | grep anqn2cat /etc/group/查看群組文件內(nèi)容命令行模式下組群管理方式tail /etc/group