Linux操作系统安全配置 课件 项目3　账户与登录安全配置.pptx

单击此处编辑母版标题样式用户密码设置

学习内容passwd命令0102/etc/passwd文件03/etc/shadow文件

passwd命令1普通用户和超级权限用户都可以运行passwd命令。普通用户只能更改自己的用户密码。root用户可以修改任何用户的密码。提示如何修改用户的密码？

锁定某个用户test01不能修改密码。passwd命令1

/etc/passwd文件2由若干个字段组成，字段之间用“:”隔开。每行的格式如下：用户名：密码：uid?：gid：用户描述：主目录：登陆shell提示root:x:0:0:Superuser:/:daemon:x:1:1:Systemdaemons:/etc:bin:x:2:2:Ownerofsystemcommands:/bin:

2用户名：每个用户的标识字符串密码：这里的x表示是暗文显示。uid：0为root保留ID。1-99为系统保留ID,分配给系统预定义帐号。123/etc/passwd文件2

2gid:记录的是用户所属的用户组。用户描述：记录着用户的一些个人情况。主目录：用户的起始工作目录，它是用户在登录到系统之后所处的目录。456/etc/passwd文件2登录shell:默认情况下这个字段的值为/bin/bash。7

/etc/shadow文件3由若干个字段组成，字段之间用“:”隔开。每行的格式如下：登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留提示root:$6$AZ50BXgr4L.q3q2w$s1EdJ03CJSgfU9kCZP91LNlp/bvDVT8WVRgdJk1OpWzxrfy70QHl6jpgJMaA3Slv9UcB922L0hgH2DrDn.8ee.:16779:0:99999:7:::daemon:*:16141:0:99999:7:::bin:*:16141:0:99999:7:::

2/etc/shadow文件3登录名：与/etc/passwd文件中的登录名一致的用户账号口令：存放的是加密后的用户口令最后一次修改时间：表示的是从某个时刻起，到用户最后一次修改口令时的天数。123最小时间间隔：指的是两次修改口令之间所需的最小天数。4

2最大时间间隔：指的是口令保持有效的最大天数。警告时间：表示的是从系统开始警告用户到用户密码正式失效之间的天数。56/etc/shadow文件3不活动时间：表示的是用户没有登录活动但账号仍能保持有效的最大天数。7失效时间：给出的是一个绝对的天数。8

单击此处编辑母版标题样式锁定账户管理

学习内容锁定账户0102锁定口令出错N次的账户03总结

锁定账户11.通过修改/etc/passwd文件中用户登录的shell通过修改/etc/passwd文件中用户登录的shell类型为/sbin/nologin，可以对用户账户进行锁定和解锁。创建文件/etc/nologin.txt，在改文件中输入系统管理员想给被锁用户的提示，该提示会在被锁账户登录时显示。创建/etc/nologin.txt文件，并在文件中输入提示信息

锁定账户11.通过修改/etc/passwd文件中用户登录的shell查看test2用户的shell类型，修改该shell类型为/sbin/nologin,然后查看修改结果如图所示，该用户的shell类型修改为/sbin/nologin即完成了用户账户锁定。测试该账户。解除账户锁定只需要将shell类型改为/bin/bash即可。

锁定账户12.使用passwd命令锁定个别用户登录使用命令passwd可以对用户账户进行锁定和解锁，如下图所示。passwd-l用户名#锁定账户passwd-u用户名??#解锁账户?

锁定账户13.通过修改用户配置文件/etc/shadow锁定账户通过修改用户配置文件/etc/shadow，将第二栏设置为“*”锁定账户，使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式。锁定过程如下图所示。

锁定账户14.通过修改/etc/passwd文件中用户登录的shell使用命令usermod命令可以对用户账户进行锁定和解锁，如图5所示。usermod–L用户名?????#锁定帐号usermod-U用户名????#解锁帐号

锁定口令出错N次的账户21.PAM简介PAM（PluggableAuthenticationModules）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务