1) Linux账号与群组
a) 使用者标识符: UID 与GID
每一个档案都具有『拥有人与拥有群组』的属性,每个登入的使用者至少都会取得两个 ID ,一个是使用者 ID (User ID ,简称 UID)、一个是群组 ID (Group ID ,简称 GID)。
b) 使用者账号
跟使用者账号有关的有两个非常重要的档案,一个是管理使用者 UID/GID 重要参数的 /etc/passwd ,一个则是专门管理密码相关数据的/etc/shadow
c) /etc/passwd档案结构
【账户名称】:用来对应UID,root的UID为0(第三个字段).
【密码】:已经放到了/etc/shadow中,目前只能看到[x].
【UID】:使用者标识符,uid 为0,则表示系统管理员;uid在1到499之间,表示系统账号,uid大于500,则为普通账号。
【GID】:这个与/etc/group有关。
【用户信息说明栏】:解释账号意义,chfn
【家目录】:默认的用户家目录在/home/yourIDname。
【shell】:预设使用哪种shell,但是/sbin/nologin却无法让账号取得shell环境的登入动作。
d) /etc/shadow档案结构
【账户名称】:对应相应的账号,必须要与/etc/passwd 相同。
【密码】:
【最近更改密码的日期】:1970年1月1日作为 1 累加的日期。
【密码不可被更改的天数】:(不第 3 字段相比)
【密码需要重新变更的天数】:(不第 3 字段相比)
【密码需要变更期限前的警告天数】:(不第 5 字段相比)
【密码过期后的账号宽限时间(密码失效日)】:
【账号失效日期】:
【保留】:
e) /etc/group档案结构
这个档案就是在记录 GID 与组名的对应了
【组名】:
【群组密码】:,密码已经移动到/etc/gshadow去
【GID】:/etc/passwd 第四个字段使用的 GID 对应的群组名
【此群组支持的账号名称】:
f) 有效群组(effective group)与初始群组(initial group)
/etc/passwd 里面的第四栏 GID 就是所谓的『初始群组 (initial group) 』!用户一登入系统,立刻就拥有这个群组的相关权限
g) groups:有效与支持群组的观察
#groups 查询当前账户所支持的群组
groups命令第一个输出的群组即为有效群组(effective group)
新建档案的拥有者为有效群组,有效群组的主要用途也在此。
h) newgrp:有效群组的切换
#newgrp 群组名
newgrp命令实际上时另起一个shell,在新的shell中切换群组。如需退出,请使用exit
i) /etc/gshadow
【组名】【密码栏】【群组管理员的账号】【该群组的所属账号】
2) 账号管理
a) 新增账号
#useradd 新建用户名
CentOS 这些默认值主要会帮我们处理几个项目:
---在 /etc/passwd 里面建立一行与账号相关的数据,包括建立 UID/GID/家目录等;
---在 /etc/shadow 里面将此账号的密码相关参数填入,但是尚未有密码;
---在 /etc/group 里面加入一个与账号名称一模一样的组名;
---在 /home 底下建立一个与账号同名的目录作为用户家目录,且权限为 700
b) 设置密码
#passwd username #修改账号名为username的密码
#passwd #修改当前账户的密码
可以使用如下命令查看账号密码参数:
#passwd username –S
#chage username
c) useradd参考档
# useradd –D 呼叫useradd默认值
其实是呼叫/etc/default/useradd档案而来
【GROUP=100】:新建账号的初始群组使用 GID 为 100 ,即user,由于centos采用私有群组机制,故此项设定不会生效,新建账号的初始群组为与账号名称一样的群组。
【HOME=/home】:用户家目录的基准目录(basedir),用户的家目录通常是与账号同名的目录,这个目录将会摆放在此设定值的目录后。
【INACTIVE=-1】:密码过期后是否会失效的设定值,若为-1,则表示永远都不会失效
【EXPIRE=】:账号失效的日期
【SHELL=/bin/bash】:默认使用的 shell 程序文件名,如果不希望用户登入系统取得 shell ,那么设定为 /sbin/nologin。
【SKEL=/etc/skel】:用户家目录参考基准目录,新增的用户家目录下的内容都是由/etc/skel 所复制过去的。
【CREATE_MAIL_SPOOL=yes】:建立使用者的mailbox
d) /etc/login.defs账号额外参考值
此档案规范如下数据:
【mailbox 所在目录】:
【shadow 密码第 4, 5, 6 字段内容】
【UID/GID 挃定数值】
【用户家目录设定值】
【用户删除与密码设定值】
e) useradd这支程序在建立Linux 上的账号时,至少会参考:
/etc/default/useradd
/etc/login.defs
/etc/skel/*
f) usermod:对useradd中设定参数进行调整
#usermod [选项与参数] username
g) userdel 删除用户的相关数据
用户的数据有:
【用户账号/密码相关参数】:/etc/passwd, /etc/shadow
【使用者群组相关参数】:/etc/group,/etc/gshadow
【个人档案】: /home/username,/var/spool/mail/username..
如果只是想让账号[暂时不启用]的话,将/etc/shadow里头账号失效日期 (第八字段) 设定为 0 就可以让该账号无法使用,但是所有跟该账号相关的数据都会留下来。使用 userdel的时机通常是『真的确定不要让该用户在主机上面使用任何数据了!』
3) 用户功能
a) finger 查询用户相关信息,大多是/etc/passwd这个档案中的
【Login:】为使用者账号,即 /etc/passwd 内的第一字段;
【Name:】为全名,即 /etc/passwd 内的第五字段(或称为批注);
【Directory】:就是家目录了;
【Shell】:就是使用的 Shell 档案所在;
【Never logged in.:】调查用户登入主机的情况
【No mail.:】调查 /var/spool/mail 当中的信箱资料;
【No Plan.:】调查 ~vbird1/.plan 档案,并取出来说明!
b) chfn:
c) chsh:change shell
d) id:查阅账户的UID/GID等的信息
e) 新增与移除群组
#groupadd
#groupmod 与usermod相似,用来修改groupadd的参数
#groupdel 删除群组
删除群组时,必须确认 /etc/passwd 内的账号没有任何人使用该群组作为 initial group
f) gpasswd:群组管理员功能
g) 例题
4) 主机的细部权限规划:ACL 的使用
a) 什么是ACL
ACL 是 Access Control List 的缩写,主要的目的是在提供传统的 owner,group,others 的 read,write,execute 权限之外的细部权限设定。ACL 可以针对单一使用者,单一档案或目录来进行 r,w,x 的权限规范。
b) 如何启动ACL
centos中预设ext3时启动支持ACL
# dumpe2fs -h /dev/sda2
c) ACL的设定技巧:getfacl, setfacl
getfacl:取得某个档案/目录的 ACL 设定项目;
setfacl:训定某个目录/档案的 ACL 规范。
d) setfacl指令用法
如果一个档案设定了 ACL 参数后,他的权限部分就会多出一个 + 号了!但是此时你看到的权限与实际权限可能就会有点误差! 可以透过 getfacl 来观察
e) getfacl指令用法
# getfacl filename
显示的数据前面加上 # 的,代表这个档案的默认属性,包括文件名、档案拥有者与档案所属群组。底下出现的 user, group, mask, other 则是属于不同使用者、群组与有效权限(mask)的设定值。
使用者或群组所设定的权限必须要存在于 mask 的权限设定范围内才会生效,此即『有效权限 (effective permission)』
vbird1 与 mask 的集合发现仅有 r 存在,因此 vbird1 仅具有r 的权限而已,并不存在 x 权限!
f) 取消ACL属性
#setfacl -b 档案名
5) 使用者身份切换
a) su
在su的用法中,减号[-]涉及到login-shell 与non-login shell 的变量读取方法。
单纯使用『 su 』切换成为 root 的身份,读取的变量设定方式为 non-login shell 的方式,这种方式很多原本的变量不会被改变,因此,务必添加减号[-]
一个只有 root 才能进行的指令,且执行完毕就恢复原本的身份,那就可以加上 -c 这个选项
若要完整的切换到新使用者的环境,必须要使用『 su- username 』或『 su -l username 』, 才会连同 PATH/USER/MAIL 等变量都转成新用户的环境;
如果仅想要执行一次 root 的指令,可以使用『 su - -c "指令串" 』癿方式来处理;
使用 root 切换成为任何使用者时,并不需要输入新用户的密码;
多人使用su来连接root时,容易导致root密码泄露,此时可以使用sudo来解决。
b) sudo
并非所有人都能够执行 sudo , 而是仅有 /etc/sudoers 内的用户才能够执行 sudo 这个指令。
系统默认仅有 root 可以执行 sudo
无法使用『 su - sshd 』去切换系统账号 (因为sshd为系统账号,且shell 是 /sbin/nologin), 这个时候sudo 就好用了,立刻以 sshd 的权限在 /tmp 底下建立档案
c) sudo执行流程
1. 当用户执行 sudo 时,系统于 /etc/sudoers 档案中搜寻该使用者是否有执行 sudo 的权限;
2. 若使用者具有可执行 sudo 的权限后,便让使用者『输入用户自己的密码』来确认;
3. 若密码输入成功,便开始进行 sudo 后续接的指令(但 root 执行 sudo 时,不需要输入密码);
4. 若欲切换的身份与执行者身份相同,那也不需要输入密码。
d) sudo执行的重点是:『能否使用sudo 必须要看 /etc/sudoers 的设定值, 而可使用 sudo 者是透过输入用户自己的密码来执行后续的指令串』
e) visudo与/etc/sudoers
除了 root 之外的其他账号,若想要使用 sudo 执行属于 root 的权限指令,则 root 需要先使用 visudo 去修改 /etc/sudoers ,让该账号能够使用全部或部分 root 指令功能。
f) 单一用户进行 root 所有指令,与sudoers 档案语法:
那个 ALL 是特殊关键词,代表任何身份、主机或指令的意思
g) 利用群组以及免密码的功能处理 visudo
任何加入 wheel 这个群组的使用者,就能够使用 sudo 切换任何身份来操作任何指令』
以上的关键字nopasswd可以实现免密码使用sudo
h) 有限制的指令操作
当使用者仅能使用 passwd 这个指令帮忙 root 修改其他用户的密码
! 代表『不可执行』的意思,可以执行『 passwd 任意字符』,但是『 passwd 』与『 passwd root 』这两个指令例外! 如此一来授权用户 就无法改变 root 的密码了
i) 透过别名建置 visudo
j) sudo时间间隔问题:
两次执行 sudo 的间隔在五分钟内,那么再次执行 sudo 时就不需要再次输入密码
k) sudo搭配 su 的使用方式
只要输入『 sudo su - 』并且输入『自己的密码』后,立刻变成 root 的身份!不但 root 密码不会外流,用户的管理也变的非常方便!
6) 用户的特殊 shell 与 PAM 模块
a) 特殊的 shell, /sbin/nologin
所谓『无法登入』指的仅是:『这个使用者无法使用bash 或其他 shell 来登入系统』而已, 并不是说这个账号就无法使用其他的系统资源
可以修改/etc/nologin.txt配置文件,当用户无法登入时,提示我们自定义的信息,而不是系统预设的信息。
b) PAM(Pluggable Authentication Modules, 嵌入式模块)
c) PAM模块设定语法
以passwd这个指令为例,呼叫PAM的流程为:
1. 用户开始执行 /usr/bin/passwd 这支程序,并输入密码;
2. passwd 呼叫 PAM 模块进行验证;
3. PAM 模块会到 /etc/pam.d/ 找寻与程序 (passwd) 同名的配置文件;
4. 依据 /etc/pam.d/passwd 内的设定,引用相关的PAM 模块逐步进行验证分析;
5. 将验证结果 (成功、失败以及其他信息) 回传给 passwd 这支程序;
6. passwd 这支程序会根据 PAM 回传的结果决定下一个动作 (重新输入新密码或者通过验证!)
d) 常用模块简介
/etc/pam.d/*:每个程序个别的 PAM 配置文件;
/lib/security/*:PAM 模块档的癿实际放置目录;
/etc/security/*:其他 PAM 环境的配置文件;
/usr/share/doc/pam-*/:详细的 PAM 说明文件。
e) login的 PAM 验证机制流程
7) Linux主机上的用户信息传递
a) 查询使用者: w, who, last, lastlog
#last #查询自系统建立以来登陆的用户信息
#w/who #目前系统中已登录的用户
#lastlog #用户账号最近登陆的时间
b) 使用者对谈: write, mesg, wall
#mesg n #设置mesg状态为n,表示不接受其他用户的信息
#mesg y #设置mesg状态为y,表示接受其他用户的信息
#mesg #查看mesg 的状态;
#wall #对当前系统上所有的用户进行广播信息
注意:只有在在线时信息才能生效或传达
c) 使用者邮件信箱: mail
mailbox 都会放置在 /var/spool/mail 里面,一个账号一个 mailbox (档案)
#mail username@localhost -s"邮件标题" #寄出邮件
由于mail程序中,编辑信件内容不太方便,可以使用数据流重导向功能来使用vi编辑,如下:
#mail username@localhost -s"邮件标题"< filename
#mail #收信
前面那个 > 代表目前处理的信件,而在大于符号的左边那个 N 代表该封信件尚未读过,直接按回车键enter进入查看邮件内容,退出时输入x即可
8) 手动新增使用者
a) 检查工具
#pwck #检查/etc/passwd /etc/shadow 的信息是否一致
#grpck #检查群组
b) pwconv
将 /etc/passwd 内的账号与密码,移动到/etc/shadow 当中!
正常使用useradd添加用户时,pwconv不会有任何动作。
c) 手动建立账户流程
1. 先建立所需要的群组 ( vi /etc/group);
2. 将 /etc/group 与 /etc/gshadow 同步化 ( grpconv );
3. 建立账号的各个属性 ( vi /etc/passwd);
4. 将 /etc/passwd 与 /etc/shadow 同步化 ( pwconv );
5. 建立该账号的密码 ( passwdaccountname );
6. 建立用户家目录 ( cp -a /etc/skel/home/accountname );
7. 更改用户家目录的属性 ( chown -Raccountname.group /home/accountname )。
d) 大量建置账号模板
9) 总结
a) 使用者的账号/群组与 UID/GID 对应,参考/etc/passwd 及 /etc/group 两个档案
b) /etc/passwd档案结构以分号隔开,共分为七个字段,分删是『账号名称、密码、UID、GID、全名、家目录、shell』
c) 使用者可以支持多个群组,其中在新建档案时会影响新档案群组者,为有效群组。而写入 /etc/passwd 的第四个字段者, 称为初始群组。
d) 与使用者建立、更改参数、初除有关的指令为:useradd, usermod, userdel等,密码建立则为 passwd;
e) 与群组建立、修改、删除有关的指令为:groupadd, groupmod, groupdel 等;
f) 群组的观察与有效群组的切换分删为:groups 及 newgrp ;
g) useradd指令作用参考的档案有:/etc/default/useradd, /etc/login.defs, /etc/skel/ 等等
h) 观察用户详细的密码参数,可以使用『 chage -l 账号 』;
i) ACL可进行单一个人或群组的权限管理,设定可使用 setfacl ,查阅则使用 getfacl ;
10) 练习
a) 账号分开管理
b) 暂时停掉账号
o将 /etc/passwd 的 shell 字段写成 /sbin/nologin ,即可让该账号暂时无法登入主机;
o将 /etc/shadow 内的密码字段,增加一个 * 号在最前面,这样该账号亦无法登入!
o 将 /etc/shadow 的第八个字段关于账号取消日期的那个,设定小于目前日期的数字,那么他就无法登入系统了!
------以上整理自鸟哥的Linux私房菜