用戶管理的配置文件
用戶信息文件:/etc/passwd
密碼文件:/etc/shadow
用戶組文件:/etc/group
用戶組密碼文件:/etc/gshadow
用戶配置文件:
/etc/login.defs
/etc/default/useradd
新用戶信息文件:/etc/ske1
登陸信息:/etc/motd /etc/issue
/etc/passwd文件格式
用戶類型
Linux用戶分為三種:
超級用戶(root UID=0)
普通用戶(UID 500-60000)
偽用戶(UID 1-499)
注意:root不一定是超級用戶,但是UID=0的用戶一定是超級用戶。
偽用戶
偽用戶與系統和程序服務相關
bin daemon shutdown halt等,任何linux系統默認都有這些偽用戶
mail news games apache ftp mysql及sshd等,與linux系統的進程相關
偽用戶通常不需要或無法登陸系統
可以沒有宿主目錄
用戶組
每個用戶都至少屬於一個用戶組
每個用戶組可以包括多個用戶
同一個用戶組的用戶享有該組共有的權限
/etc/shadow文件格式
/etc/group文件格式
手工添加用戶
分別在/etc/passwd 、/etc/group 和/etc/shadow文件中添加一筆記錄
創建用戶宿主目錄
在用戶宿主目錄中設置默認的配置文件
設置用戶初始密碼
SetUID
思考:為什麼普通用戶可以更改密碼?
SetUID的定義:當一個可執行程序具有SetUID權限,用戶執行這個程序時,將以這個程序所有者的身份執行。
范例:1.將touch命令授予SetUID權限
2.當vi命令呗授予SetUID權限
3.查找SetUID程序:
代碼如下:
Find / -perm -4000 –o –perm -2000
添加用戶
useradd設置選項 用戶名 -D 查看缺省參數
u:UID
g:缺省所屬用戶組GID
G:指定用戶所屬多個組
d:宿主目錄
s:命令解釋器shell
c:描述信息
e:指定用戶失效時間
代碼如下:
#useradd ksharpdabu //添加ksharpdabu這個賬號
< p>#passwd ksharpdabu /修改ksharpdabu的密碼
或者熟悉系統文件的,可以直接手動添加用戶
用戶組管理命令
添加用戶組groupadd
代碼如下:
groupadd -g 888 webadmin
創建用戶組webadmin ,其GID為 888
刪除用戶組:groupdel 組名
代碼如下:
#groupdel webuser //刪除webuser這個組
修改用戶組星系 :groupmod
代碼如下:
#groupmod -n apache webadmin
修改webadmin組名為apache
用戶組管理命令
Gpasswd設置組密碼及管理組內成員
-a添加用戶到用戶組
-d 從用戶組中刪除用戶
-A設置用戶組管理員
-r刪除用戶組密碼
-R禁止用戶切換為該組
修改用戶信息
usermod
代碼如下:
#usermod -G softgroup ksharpdabu
將用戶ksharpdabu添加到softgroup用戶組中
代碼如下:
#usermod -l ksharpdabu -d /home/samlee –g webadmin Tom
將用戶Tom的登陸用戶名改為ksharpdabu,加入wenadmin組中,用戶目錄改為/home/ ksharpdabu
用戶管理命令
pwk 檢測/etc/passwd文件(鎖定文件)
vipw 編輯/etc/passwd文件
id 查看用戶id和組信息
finger 查看用戶詳細信息
su 切換用戶(su –環境變量切換)
passwd –S 查看用戶密碼狀態
who、w 查看當前登錄用戶信息
用戶組管理命令
groups 查看用戶隸屬於哪些用戶組
newgrp 切換用戶組
grpck 用戶組配置文件檢測
chgrp 修改文件所屬組
vigr 編輯/etc/group文件(鎖定文件
用戶組授權實例
授權用戶jack和mary對目錄/software有寫權限
代碼如下:
# groupadd softadm
< p># usermod -G softadm jack
< p># gpasswd -a mary softadm
< p># chgrp softadm /software
< p># chmod g+w /software
代碼如下:
# ls -ld /software
< p>drwxrwxr-x 2 root softadm 512 Jul 14 06:17 /software
< p># grep softadm /etc/group
< p>softadm::100:jack,mary
禁用和恢復用戶
禁用
代碼如下:
# usermod -L username
< p># passwd -l username
恢復
代碼如下:
# usermod -U username
< p># passwd -u username
刪除用戶
userdel –r 用戶名
-r:刪除用戶目錄
手工刪除:
使用find命令查找屬於某個用戶或者用戶組的文件
Find選項-user、-uid、-group、-gid
對需要保留的文件進行移動和備份
對不需要的文件進行刪除
清除用戶文件中的相關表項
清除用戶宿主目錄
用戶管理命令
change設定密碼
-l 查看用戶密碼設置
-m 密碼修改最小天數
-M 密碼修改最大天數
-d 密碼最後修改的日期
-l 密碼過期後,鎖定賬戶的天數
-E 設置密碼的過期日期,如果為0,代表密碼立即過期;如果為-1,代表密碼永不過期
-W 設置密碼過期前,開始警告的天數
啟動或停用shadow功能
pwconv/pwunconv
grpconv/grpunconv
system-config-users
authconfig /etc/sysconfig/authconfig
批量添加用戶
newusers命令 導入用戶信息文件
pwunconv命令 取消shadow password功能
chpasswd命令 導入密碼文件(密碼文件格式: 用戶名:密碼)
pwconv命令 將密碼寫入shadow文件
實例:一次批量添加10個用戶
限制用戶su為root:
代碼如下:
# groupadd sugroup
< p># chmod 4550 /bin/su
< p># chgrp sugroup /bin/su
< p># ls -l /bin/su
< p>-r-sr-x— 1 root sugroup 18360 Jan 15 2010 /bin/su
設定後,只有sugroup組中的用戶可以使用su切換為root
代碼如下:
# useradd helen
< p># passwd helen
< p># usermod -G sugroup helen //為helen增加su的權限
用sudo替代su:
在執行sudo命令時,臨時成為root
不會洩露root口令
僅向用戶提供有限的命令使用權限
配置文件:/etc/sudoers,編輯配置文件命令visudo
普通用戶使用命令sudo。
格式:用戶名(組名) 主機地址=命令(絕對路徑)
系統弱密碼測試工具John the ripper的使用方法;
代碼如下:
# tar -xzvf john-1.7.6.tar.gz
< p># cd john-1.7.6/run
< p># make
破解用戶ksharpdabu密碼
代碼如下:
# grep ksharpdabu /etc/passwd > /test/ksharpdabu.passwd
< p># grep ksharpdabu /etc/shadow > /test/ksharpdabu.shadow
< p># /test/john-1.6.6/run/unshadow /test/ksharpdabu.passwd
< p>/test/ksharpdabu.shadow > /test/ksharpdabu.john
< p># /test/john-1.6.6/run/john /test/ksharpdabu.john