第6章、权限的管理.docVIP

第六章、权限的管理 一、基本概念 1、用户和组 （1）、在Linux中用户帐户可分为3类： · 超级用户 （root） 系统用户 普通用户 （2）、用户组 · 在Linux中，当添加新用户时，若未指定所属组，那么将为其建立一个同名字的组。 2、相关文件 （1）、/etc/passwd（用户帐户信息文件）（任何人都可以读取，但只有root可以更改） 文件中每个用户帐户的信息占一行，每行用冒号（：）分隔成7个字段，含意如下： 1、登陆帐户：用户登录Linux时使用的名称。 2、密码：经过MD5散列过的密文，不是真正的密码。若为X说明密码使用安全信息文件/etc/passwd。 3、用户ID（UID）：位于0—65535之间，0为root保留，1—499一般给系统用户，500—60000为普通用户。 4、用户组ID（GID）：0—65535之间。 5、用户信息：存储关于用户的数据。如：完整的姓名、房间号和办公室电话等。 6、用户宿主目录：需要用户宿主目录的绝对路径名。 7、登录shell：绝对路径名称。默认为/bin/bash。 （2）、/etc/shadow （用户帐户安全信息文件）（默认root可以读取） 用户密码安全映射到的一个文件，每行由冒号（：）分成9段组成，其每段含意： 1、帐户名：和/etc/passwd文件中的对应登录帐户字段一样。 2、密码：经过MD5散列过的密文。 3、密码最后一次修改的时间：用户在最后一次修改密码的时间，单位为天（从1970年1月1日起计算的天数）。 4、两次修改密码的最小天数：两次修改密码允许的最小天数。如果为0，表示用户可以随时修改密码。 5、密码有效期：密码自修改后保持有效的最多天数，即多少天后必须修改密码。如果不强制更改密码，这个字段被设为99999。 6、警告时间：在密码被取消前，系统提前通知用户的天数。一般情况下提前一周通知用户，因此该区域缺省设置为7。 7、不活动时间：口令过期多少天后，该账户被禁用。 8、失效时间：密码失效的绝对天数（从1970年1月1日开始计算）。 9、标志：未使用。 （3）、/etc/group （ 组帐户信息文件） 用冒号（：）分成4段组成 1、组名：组的名字。 2、密码：该组的密码。为了安全起见，同样要使用安全信息文件。组的安全信息文件为/etc/gpasswd。 3、组ID（GID）：组的标识符，与UID类似。 4、用户列表：该组包含的用户帐户，每个帐户之间用逗号（，）分隔。 （4）、/etc/gshadow （组帐户安全信息文件） 用冒号（：）分为4段组成。 1、组名：组的名字。 2、密码：为这个组创建的密码。 3、组管理员：该组的管理员帐户。 4、组成员：该组包含的用户帐户。 （5）、/etc/default/useradd 创建一个新用户时，会使用到这个文件中的一系列缺省设置。改变它会影响到每个新建用户的初级设置。文件内容如下： 每行定义—— 1、GROUP：起始组。定义新建用户应该属于哪个组。但这取决于命令中所使用的选项。 2、HOME：用户的宿主目录存在的位置。 3、INACTIVE：是否启用帐户过期停权。-1表示不启用。 4、EXPIRE：帐户终止日期。格式为YYYY-MM-DD，该日期经过计算被映射到/etc/shadow中失效时间字段。不设置表示不启用。 5、SHELL：所用shell类型。 6、SKEL：用户宿主目录中默认文件的存放位置。也就是说当我们添加用户时，用户宿主目录下的文件（如：.bash_profile、.bashrc等），都是从这个目录中复制过去的。 （6）、/etc/skel （用于为新用户分配初始化脚本） 解释这几个登陆脚本—— 用户登陆时执行两类初始化脚本： 其一：系统初始化脚本，/etc/profile（这是全局配置文件，在系统引导过程3阶段后执行。 其二：用户登录时执行的/etc/skel目录下的两个脚本文件： 1、.bash_profile （用户登录时执行） 2、.bashrc （用户登录shell时执行） root用户可以编辑这些文件。 （7）、/etc/login.defs 定义shadow密码基本信息的文件。这里的信息会影响到每个新建用户，从而改变/etc/shadow文件中的相应字段。 每行定义如下： 1、MAIL_DIR：创建用户时，在目录/var/spool/mail中创建一个与用户名一致的mail文件。 2、PASS_MAX_DAYS：定义每个用户的密码有效期。其作用与/etc/shadow中的“密码有效期”字段一致。 3、PASS_MIN_DAYS：定义两次修改密码的最小天数。其作用与/etc/shadow中“两次修改密码的最小天数”的字段一致