第14章 Linux用户与组管理.pptVIP

第14章 Linux用户与组管理 Linux操作系统中，用户是活动的主体，可以直接操作和控制系统文件以及资源。因此，管理好系统中的用户成为系统管理员保证系统安全必须认真完成的首要工作。 在Linux操作系统中，任意一个文件和程序都归属于一个特定的“用户”。任意一个用户都由一个惟一的身份来标识，这个标识就叫做用户ID（UID）。并且，系统中的任意一个用户也至少需要属于一个“用户分组”。用户分组同样是由一个惟一的身份来标识的，该标识叫做用户分组ID（GID）。用户可以同时在多个用户分组下，一个正在运行中的程序继承了调用它的用户的权利和访问权限。 14.1 用户文件和组文件 在Linux操作系统中，采用了UNIX的方法，把全部的用户信息保存为普通的文本文件。用户可以修改这些文件来管理用户和组。本节将对这些文件的结构进行详细地介绍。 14.1.1 用户账户文件——passwd /etc/passwd文件是Linux系统下起安全作用的文件之一。这个文件的主要功能是校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（GID）、用户信息、用户登录子目录以及登录后使用的shell。这个文件的每一行保存一个用户的资料，而用户资料的每一个数据项采用冒号“：”分隔。如下所示： LOGNAME：PASSWORD：UID：GID：USERINFO：HOME：SHELL 在上面的信息行中，每行的前面两项是登录名和加密后的口令，后面两项是UID和GID。后面的一项是系统管理员写入的该用户的信息，最后两项是两个路径名：一个是分配给用户的HOME目录，另一个是用户登录后将执行的shell（若为空格则默认为/bin/sh）。下面是一个实际的系统用户的例子： smartchen:x:500:500:smartchen:/home/smartchen:/bin/bash 该用户的基本信息为： 登录名：smartchen； 加密的口令表示：x； UID：500； GID：500； 用户信息：smartchen； HOME目录：/home/Smartchen； 登录后执行的shell：/bin/bash。 14.1.2 用户影子文件——shadow 在前面小节中已经介绍过，Linux使用不可逆的加密算法来加密口令，黑客无法直接得到明文。但是，/etc/passwd文件是全局可读的，如果恶意用户获取了/etc/passwd文件，便极有可能破解口令。而且，现在黑客对账号文件进行字典攻击的成功率越来越高，速度越来越快。因此，针对这种安全问题，Linux广泛采用了“shadow（影子）文件”机制，将加密的口令转移到/etc/shadow文件里，这个文件只为root超级用户可读。同时，/etc/passwd文件的密文域显示为一个x，从而最大限度地减少了密文泄露的机会。 /etc/shadow文件的每行有9个数据项，每个数据项用冒号隔开，格式如下： username:passwd:lastchg:min:max:warn:inactive:expire:flag 上面各选项的含义分别如下： username ：用户的登录名； passwd：加密的用户口令； lastchg：表示从1970年1月1日起到上次修改口令所经过的天数； min：表示两次修改口令之间至少经过的天数； max：表示口令还会有效的最大天数，如果是99999则表示永不过期； warn ：表示口令失效前多少天内系统向用户发出警告； inactive：表示禁止登录前用户名还有效的天数； expire：表示用户被禁止登录的时间； flag：保留域，暂未使用。 14.1.3 用户组账号文件——/etc/group 在Linux中，/etc/passwd文件中包含着每个用户默认的分组ID（GID）信息。而在/etc/group文件中，这个GID被映射到该用户分组的名称以及同一分组中的其他成员中去。 /etc/group文件含有关于小组的信息，/etc/passwd中的每个GID在文件中都有相应的入口项。在入口项中，列出了小组名和小组中的用户。/etc/group文件中控制了小组的许可权限，但是，这并不是必须的。因为系统用UID、GID来决定文件存取权限，即使/etc/group文件不存在于系统中，具有相同的GID用户也可以用小组的存取许可权限共享文件。如果/etc/group文件入口项的第二个域为非空（通常用x表示），则将被认为是加密口令。/etc/group文件中每一行的内容如下所示： 用户分组名。 加过密的用户分组口令。 用户分组ID号（GID）。 以逗号分隔的成员用户清单。 14.1.4 组账号文件——/etc/gshadow 组账号文件的主要功能是为了加强组口令的安全性。