Chinaunix首页 | 论坛 | 博客
  • 博客访问: 757601
  • 博文数量: 285
  • 博客积分: 11
  • 博客等级: 民兵
  • 技术积分: 2340
  • 用 户 组: 普通用户
  • 注册时间: 2010-11-23 17:58
个人简介

真正的安全感,来自你对自己的信心,是你每个阶段性目标的实现,而真正的归属感,在于你的内心深处,对自己命运的把控,因为你最大的对手永远都是自己。| Network+Security+Database.

文章存档

2011年(3)

2010年(1)

2009年(33)

2008年(248)

我的朋友

分类: LINUX

2008-10-24 18:11:30

Linux 是一个多用户的,用户和用户组的是系统员的重要工作之一。本文的内容包括如何利用图形化工具 rfuser 和在命令行界面下完成用户账号、工作组的建立和维护,并正确设置用户权限和安全性问题。

利用图形配置工具 rfuser 与使用命令进行用户/用户组完成的是同样的工作,不同之处在于图形工具的操作界面友好直观,用户也不必去记忆大量的命令和参数。

概述

在 Linux 系统中,每个用户对应一个帐号。Red Flag Server 4.1 安装完成后,系统本身已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即 root。

超级用户承担了系统的一切任务,可以不受限制地进行任何操作,因此建议只有在完全必要的情况下才以 root 身份进行操作。

由超级用户创建允许登录系统的普通用户,一般超级用户也需要为自己建立一个用来处理一般事务的普通帐户。

下面是用户和组群的一些基本概念:

用户名: 系统中用来标识用户的名称,可以是字母、数字组成的字符串,区分大小写。

用户标识UID: 系统中用来标识用户的数字。

用户主目录: 系统为每个用户配置的单独使用环境,即用户登录系统后最初所在的目录,用户的文件都放置在此目录下。

登录shell: 用户登录后启动以接收用户的输入并执行输入相应命令的程序,如/bin/bash、

/bin/csh。

用户组/组群: 具有相似属性的多个用户被分配到一个组中。

组标识GID: 用来表示用户组的数字标识

超级用户在系统中的用户ID和组ID都是0。

普通用户的用户 ID(UID)从500开始编号,并且默认属于与用户名同名的组。组 ID(GID)

也从500开始编号。

用su命令改变身份

用户在系统使用过程中可以随时使用 su 命令来改变身份。例如,系统员在平时工作时可以用普通帐号登录,在需要进行系统维护时用 su 命令获得 root 权限,之后再用 su 回到原帐号。

su 的语法为:su

username 是要切换到的用户名,如果不指定用户名,则默认将用户身份切换为 root,系统会要求给出正确的口令。

默认情况下,只要知道 root 口令,任何用户都可以通过 su 命令切换到 root 身份,这是一个。所以我们强烈建议:只有 wheel 组成员才可以通过 su 命令转换为root。实现的办法是修改 /etc/pam.d/su 文件,取消对如下一句“auth required

/lib/security/$ISA/pam_wheel.so use_uid”的注释。

系统中的用户配置文件

/etc/passwd 文件

Red Flag Server 4.1 系统中用于用户帐号的基本文件是 /etc/passwd,该文件中包含了系统中所有用户的用户名和它们的相关信息。每个用户帐号在文件中对应一行,并且用冒号(;)分为七个域。

每一行的形式如下:

用户名:加密的口令:用户ID:组ID:用户的全名或描述:登录目录:登录shell

下面是 root 用户在此文件中对应的行:

root:X:0:0:root:/root:/bin/bash

Linux 系统将每一个用户仅仅看成是一个数字,即用每个用户惟一的用户 ID 来识别,配置文件

/etc/passwd 给出了系统用户 ID 与用户名之间及其他信息的对应关系。

/etc/passwd 文件对系统的所有用户都是可读的,这样的好处是每个用户都可以知道系统上有哪些用户,但缺点是其他用户的口令容易受到攻击(尤其当口令较简单时)。所以在红旗 Linux 中使用影子口令格式,将用户的口令存储在另一个文件 /etc/shadow 中,该文件只有根用户 root 可读,因而大大提高了安全性

/etc/shadow 文件

为了保证系统的安全性,系统通常对用户的口令进行 shadow 处理,并把用户口令保存到只有超

级用户可读的 /etc/shadow 文件中。该文件包含了系统中所有用户和用户口令等相关信息。

每个用户在该文件中对应一行,并且用冒号分成九个域。每一行包括以下内容:

1、 用户登录名

2、 用户加密后的口令,(若为空,表示该用户不需口令即可登录,若为 * 号,表示该帐号被禁

止)

3、 从1970年1月1日至口令最近一次被修改的天数

4、 口令在多少天内不能被用户修改

5、 口令在多少天后必须被修改

6、 口令过期多少天后用户帐号被禁止

7、 口令在到期多少天内给用户发出警告

8、 口令自1970年1月1日被禁止的天数

9、 保留域

/etc/group 文件

在 Linux 中,使用组来赋予用户访问文件的不同权限。组的划分可以采用多种标准,一个用户可

同时包含在多个组内。用户组的基本文件是 /etc/group,其中包含了系统中所有用户组的相关信息。每个用户组对应文件中的一行,并用冒号分成四个域。其中每一行的形式如下:

用户组名:加密后的组口令:组ID:组成员列表

下面是用户组 sys 在 /etc/group 中对应的一行:

sys:x:3:root,bin,adm

代表的信息包括:系统中有一个称为 sys 的用户组,设有口令,组 ID 为3,组中的成员有 root、

bin、adm 三个用户。

Red Flag Server 4.1 在安装中同样创建了一些标准的用户组,在一般情况下,建议您不要对这些用户组进行删除和修改,除非您完全明白它们的用途和意义。

/etc/skel 目录

一般来说,每个用户都有自己的主目录,用户成功登录后就处于自己的主目录下。主目录中存放有与用户相关的文件、命令和配置。当为新用户创建主目录时,系统会在新用户的主目录下建立一份/etc/skel 目录下所有文件的拷贝,用来初始化用户的主目录。

使用rfuser用户与组群

利用 rfuser 用户和组群工具,可以轻松的系统中的用户和用户组,包括完成新建、查看、帐号、密码、权限等所有操作。

在控制面板的“系统配置”项中选择“本地用户和组”,或在KDE桌面环境下使用命令 rfuser ,即可打开本地用户和组器。

rfuser 工具需要以超级用户身份运行。

   系统缺省创建的用户和组群对于系统和应用程序的使用有重要的意义,不要随意修改或删除它们,尤其是 root 用户,否则有可能导致系统异常甚至崩溃。

查看用户和用户组

在图2-1所示的本地用户和组主界面中,点击“用户”标签列出本地用户及其基本信息,包括用户名、用户 UID、所属主组群、用户描述信息、登录 shell 和用户的主目录信息;点击“组”标签显示系统中组群信息,包括组名称、组 ID 和组成员。

默认情况下,用户和组列表中会列出系统中所有的用户和用户组信息。如果要想只显示使用过程中添加的用户和用户组信息而不显示系统内建用户和用户组,按下窗口右上方的“隐藏系统帐户”按钮,或者在菜单中选择“工具隐藏系统帐户”,这时显示用户信息.

要恢复显示所有用户/用户组信息,按窗口右上方的“显示所有帐户”按钮,或者在“工具”菜单中选择“显示所有帐户”。

添加新用户

点击工具栏中的“添加新用户”按钮,出现“增加新用户”向导。在“用户信息”窗口中输入用户名和描述信息,用户名的首位必须是英文字母,并且不能与已有的用户名重复;“用户ID”是该用户在系统中唯一的标识,范围是1~65535,默认情况下,系统会为用户指定一个500以上的标识号,也可以手工指定用户的 UID号,但推荐由系统自动分配;“登录shell”一般只需采用默认的/bin/bash;添加用户时默认会在系统中创建一个用户主目录 /home/username ,也可以指定其他的目录。

点击“继续”按钮进入下一步,在右侧的“密码”和“确认”文本框中输入至少6位的用户密码。

密码最好是数字、字母及特殊字符的组合,图方便使用简单的数字、英语单词、生日、电话等都可能成为个人信息安全的隐患。

可以设置用户密码的使用期限,选中“永不过期”则用户密码永远有效;选择“无密码”表示该用户不需要密码就可以登录系统。

点击“继续”按钮进入“用户—组关系设置”界面。

从系统已有的用户组列表中选择新添加用户将从属的组,按“增加->”按钮加入“隶属于”列表。

一个用户可以同时从属于几个不同的组,在“主组群”中选择用户所属的主组名称。

Red Flag Server 4.1 使用 UPG(user private group)机制,如果在此步骤中没有选择新用户所属的用户组,系统会在创建新用户的同时会默认创建一个和用户名同名的组。
阅读(1523) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~