《操作系统安全》第八章Linux操作系统用户安全管理策略ppt课件.ppt

《《操作系统安全》第八章Linux操作系统用户安全管理策略ppt课件.ppt》由会员分享，可在线阅读，更多相关《《操作系统安全》第八章Linux操作系统用户安全管理策略ppt课件.ppt（106页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第八章第八章 Linux操作系统用户安全管理策略操作系统用户安全管理策略第一部分第一部分 教学组织教学组织一、目的要求1. 了解Linux操作系统的结构及相关特点。2. 了解用户与组的类别及作用。3. 熟悉有关用户与组的主要配置文件。4. 学习用户与组的常见安全操作。二、工具器材1. Red Hat Linux 9.1操作系统或者条件（3）。2. 操作系统自带命令，John the Ripper密码分析软件。3. 工具软件：Daemon Tools Lite虚拟光驱 、VMware Workstation 6虚拟机、Red Hat Linux镜像安装文件。 三、学习方式建议1.安装Linux操

2、作系统软件，并熟悉安装和基本操作，增强对不同于Windows系统操作系统的感性认识，了解Linux的系统结构和指令。2.老师课堂讲授Linux操作系统用户安全管理方法，并利用实验室虚拟系统平台，实验课上机实践操作验证。3.学生课后对照所学知识，利用互联网和图书馆资源广泛查找相关资料，按照所使用计算机情况，对其进行巩固练习和深入学习体会，比较不同的操作指令模式，并总结经验。 第一部分第一部分 教学组织教学组织第二部分第二部分 教学内容教学内容 Linux是一套可以免费使用和自由传播的、类似于UNIX风格的操作系统。Linux最早是由芬兰人托瓦兹(LinusTorvalds)设计的。作为一个多用户

3、、多任务的网络操作系统，Linux有健全的用户和组管理机制，以方便用户使用。在实际的使用过程中，用户需要依据其用户和组对文件/目录所持有的权限进行操作和使用，因此，用户和组管理的安全是保证Linux系统安全的关键因素。 本章将从Linux下的用户和组管理机制出发，主要介绍用户口令的安全性保证机制、用户和组的主要配置文件的安全设置，并介绍与之相关的操作命令。8.1 Linux操作系统概述操作系统概述 Linux是一个日益成熟的操作系统，现在已经拥有大量的用户。由于其安全、高效、兼容性好、对硬件要求低、适合构建安全的网络应用，已被越来越多的人了解和使用。 对于Linux任何人都可以自由地复制、修改

4、、套装发行、销售，但是不可以在发行时加入任何限制，而且所有源代码必须是公开的，以保证任何人都可以无偿取得所有可执行文件及其源代码。本节将着重介绍Linux的发展历程、Linux的系统组成与特性、主要应用领域等。 8.1.1 Linux8.1.1 Linux与与UNIXUNIX 8.1.1.1 Linux8.1.1.1 Linux与与UNIXUNIX的渊源的渊源 要讲1inux的发展历史，不能不提到UNIX和MINIX。Linux的“老大哥”UNIX在经历了近40年的发展和完善后，其性能已经相当可靠、稳定。但UNIX一般运行在昂贵的工作站上，终端用户的个人电脑上不太可能安装它（需要资金购买和升级

5、）。8.1 Linux操作系统概述操作系统概述o Ken Thompson是AT&T旗下贝尔实验室的工程师，1969年他用汇编语言（Assembler）写出了一组内核程序，同时包括一些内核工具程序，以及一个小的文件系统。该系统就是UNIX的原型Unics（当时尚未有UNIX的名称）。Thompson 的这个文件系统有两个重要的概念，分别是： n 所有的程序或系统装置都是文件。 n 不管建构编辑器还是附属文件，所写的程序只有一个目的，要有效的完成目标。 o 这些概念在后来对于Linux的发展有相当重要的影响。但是因为Unics本来是以汇编语言写成的，加上当时的计算机机器架构都不太相同，所以每次安

6、装到不同的机器都得要重新编写汇编语言，很不方便！o 直到1973年，Ritchie等人以C语言写出第一个正式UNIX内核，UNIX正式诞生，UNIX的早期版本源代码可以免费获得，但是当ATT发布UNIX 7时，开始认识到UNIX的商业价值，于是发布的版本7许可证禁止在大学课程中研究其源代码，以免其商业利益受到损害。8.1 Linux操作系统概述操作系统概述o 1991年，芬兰赫尔辛基大学生Linus Torvalds（托瓦兹）编写了一个“类似于Minix”的具有简单任务切换机制的操作系统并将它发到了Minix新闻组。o 托瓦兹在很多热心支持者的帮助下开发和推出了第一个稳定的Linux工作版本。

7、1991年11月，Linux 0.10版本发布在Internet上免费供人们使用的，1993年底，带有独立宣言意义的Linux l.0终于诞生了。由于Linux源代码公开，大批高水平程序员的加入，使得Linux迅猛发展。8.1 Linux操作系统概述操作系统概述o Linux从1.3版本之后开始向其它硬件平台上移植，可以囊括从低端到高端的所有应用。现在Linux可以在Intel、DEC的A1pha、Sun Sparc、PowerPC、MIPS等处理器上运行。1995年6月，Linux2.0正式发布，标志着Linux操作系统正式进入了用户化的阶段，它已经能够和TCPIP、WindowsforWo

8、rkgroups、NovellNetWare或WindowsNT网络兼容。o Linux加入自由软件组织(GNU)并遵守公共版权许可证(GPL)。此举完善并提高了Linux的实用性，但是Linux并不排斥在其上开发商业软件，从此Linux又开始了一次飞跃，出现了很多的Linux发行版，如S1ackware、RedHat、SUSE、TurboLinux、OpenLinux等，而且现在还在增加。8.1.1 Linux与与UNIX8.1.1.2 Linux与与GNU、GPL、POSIX的关系的关系o GNU（GUNs Not UNIX的意思，无穷循环）是Richard Mathew Stallman

9、 (史托曼) 在 1984 年发起的。它的目标是创建一套完全自由的操作系统。1992年Linux与其它GNU软件结合，完全自由的操作系统正式诞生。因此，严格地说，Linux应该称为GNU/Linux。目前我们所使用得很多自由软件 ， 几 乎 均 直 接 或 间 接 收 益 于 G N U 计划 。8.1 Linux操作系统概述操作系统概述o 为保证GNU软件可以自由地使用、复制、修改和发布，避免GNU所开发的自由软件被其他人所利用而成为专利软件，所有GNU软件必须遵循GNU通用公共许可证(GNU General Public License，简称GPL)，并且称呼它为CopyLeft（相对于专

10、利软件的CopyRight）。当一个软件挂上了GPL版权声明之后，它自然就成了自由软件，这个软件就具有如下特性：p 取得软件与原始码：你可以根据自己的需求来执行这个自由软件； p 复制：你可以自由的复制该软件； p 修改：你可以将取得的原始码进行程序修改工作，使之适合你的工作； p 再发行：你可以将你修改过的程序，再度的自由发行，而不会与原先的撰写者冲突； 8.1 Linux操作系统概述操作系统概述p 回馈：你应该将你修改过的程序代码回馈于社会。p 但请特别留意，你所修改的任何一个自由软件都不能这样： p 修改授权：你不能将一个 GPL 授权的自由软件，在修改后而将它取消GPL 授权。p 单纯

11、贩卖：你不能单纯的贩卖自由软件。 o GPL不会授予许可证接受人无限的权利，GPL的原则是在版权法下，用户不遵守GPL的条款和条件就没有相应权利。再发行权的授予需要许可证接受人开放软件的源代码及所有修改，且复制件、修改版本都必须以GPL为许可证。o POSIX表示可移植操作系统接口(Portable Operating System Interface，POSIX)。电气和电子工程师协会最初开发POSIX标准，是为了提高UNIX环境下应用程序的可移植性。然而，POSIX并不局限于UNIX。许多其他的操作系统，例如Mcrosoft Windows NT都支持POSIX标准，POSIX.1已经被国

12、际标准化组织(ISO)接受，命名为ISO/IEC 9945-1：1990标准。8.1 Linux操作系统概述操作系统概述o POSIX现在已经发展成为一个非常庞大的标准族，某些部分正处在开发过程中。而Linux的目标是保持和POSIX的兼容。经过以上说明，我们知道了Linux其实就是一个操作系统最底层的核心及其提供的核心工具，它是GNU授权模式，所以，任何人均可取得源代码与执行这个核心程序，并且可以修改。8.1.2 Linux系统的组成系统的组成 Linux操作系统由内核(Kemel)、外壳(Shell)、文件结构和应用程序四个部分构成，如图8.1所示。硬件平台是Linux操作系统运行的基础，

13、目前Linux可以在几乎所有类型的计算机硬件平台上运行。 8.1 Linux操作系统概述操作系统概述应用程序外壳（Shell） 硬 件内 核用户图8.1 Linux各主要组成部分关系o1Linux系统的内核系统的内核 内核是系统的心脏，是运行程序和管理硬件设备的核心程序，Linux内核源程序通常都安装在usrsrc/linux下。Linux的内核版本编号如以下的格式： 2.6.18-2.el5 注释：主版本.次版本.释出版本-修改版本 Linux内核版本号的格式为“x.yy.zz”，由主要编号x、次要编号y和修正编号z三部分组成，其中x介于0到9之间，而yy，zz则介于0到99之间。通常数字越

14、大说明版本越高。主要编号随内核的重大改动递增；次要编号表示稳定性，偶数编号用于稳定的版次，奇数编号用于新开发的版本，包含新的特性，可能是不稳定的；修正编号表示校正过的版本，一个新开发的内核可能有许多修订版。8.1 Linux操作系统概述操作系统概述o2Linux系统的外壳系统的外壳 外壳(Shell)程序是系统的用户界面，提供用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执行，并把执行的结果再转换为用户能理解的格式送到输出设备显示。因此，Shell实际上是一个命令解释程序，在用户和内核之间充当类似“翻译”的角色。Linux提供了像Windows那样的可视命令输入界面：X

15、 Window的图形用户界面(GUI)。它提供了很多窗口管理器，其操作就像Windows一样，有窗口、图标和菜单，所有的管理都是通过鼠标和键盘控制。Shell也有多种版本。目前主要有：pBourne Shell：是贝尔实验室开发的。pBASH：意为“Bourne Again Shell”，是GNU操作系统默认的Shell。pKorn Shell：是Bourne Shell的发展，在大部分内容上与Bourne Shell兼容。pC Shell：是Sun公司Shell的BSD版本。8.1 Linux操作系统概述操作系统概述3文件结构文件结构 文件结构是文件存放在磁盘等存储设备上的组织方法。主要体现

16、在对文件和目录的组织上。使用Linux，用户可以设置目录和文件的权限，以便允许或拒绝其他人对其进行访问。Linux目录采用多级树形结构(如图8.2所示)。用户可以浏览整个系统，可以进入任何一个有访问授权的目录，访问那里的文件。8.1 Linux操作系统概述操作系统概述/binbin/sbin/usr/etc/libbinlocalsrc图8.2 Linux的目录结构4Linux系统的应用程序系统的应用程序 内核、Shell和文件结构一起形成了基本的操作系统结构。它们使得用户可以运行程序，管理文件以及使用系统。在Linux操作系统平台下还集成了很多的应用程序和软件开发工具，主要可以分为以下几类：

17、p文本处理工具。如；OpenOffice、Gedit、Kivio、Kword、Scribus、Ed、Ex、和Emacs等。pX Window。X Window系统是一种图形用户界面。目前非常流行的GNOME、KDE图形用户界面都是基于X Window。p编程语言和开发工具。如C、C+、FORTRAN、Perl、Java、GCC等。pInternet工具软件。如浏览器软件Netscape和Mozilla，邮件阅读软件Evolution，Internet服务器软件Apache和WU-FTP等。p数据库。在Linux操作系统中能够使用的数据库较多，如Informix、Oracle、DB2、Sybas

18、e、MySQL等。 8.1 Linux操作系统概述操作系统概述8.1.3 Linux系统的特点和应用系统的特点和应用p1公开源码p2系统安全p3性能突出p4设备独立性p5多用户多任务并发p6良好的可移植性p7安全性强p8丰富的网络功能p9良好的用户界面p 8.1 Linux操作系统概述操作系统概述8.1.3 Linux系统的特点和应用系统的特点和应用 由于Linux系统相对比较不耗资源，适合需要小内核程序的嵌入式系统，只要几百KB不到的程序代码就可以完整驱动整个计算机硬件，并成为一个完整的操作系统，因此非常适合于目前家电或者是小电子产品的操作系统，例如手机、数字相机、PDA、家电用品等嵌入式操

19、作系统。 从功能来看，Linux不仅可以作为普通的个人桌面操作系统，也可以作为大型网络服务器平台、软件开发平台、科学计算平台(目前已有64位的Linux操作系统)等。这让它与Windows、UNIX一起形成操作系统市场领域中的三足鼎立之势。8.1 Linux操作系统概述操作系统概述8.2 保护用户口令策略保护用户口令策略 8.2.1 Linux的用户与用户组概述的用户与用户组概述 管理员的工作中，相当重要得一环就是“管理账号”，因为整个系统都处在你的管理下，所有普通账号甚至管理员账号的申请，都需要通过你的协助才行，所以我们就必须要了解如何才能管理好一个主机的账号。在管理Linux系统的账号时，

20、我们有必要先了解一下Linux到底是如何辨别每一个使用者（账号）的。 n用户与用户组标识符：UID与GID Linux是多用户系统，每个用户都有一个账号，在Linux操作系统中，每一个文件和程序都归属于一个特定的“用户”。每一个用户都由一个唯一的身份来标识，这个标识叫做用户标识符（User ID，UID）。 并且，系统中的每一个用户也至少需要属于一个“用户组”，这个小组可以包含许多用户。与用户一样，用户组也是由一个唯一的身份来标识，该标识叫做用户组标识符（Group ID，GID）。 8.2 保护用户口令策略保护用户口令策略 8.2.2 用户标识符安全用户标识符安全1Linux系统中的用户分类

21、 Linux系统中用户可以分为3种：超级用户、服务（系统）用户和普通用户。其中，超级用户root和服务用户是在安装系统的过程中由安装程序自动创建的特殊用户，具有特殊的作用。（一）超级用户 Linux系统安装过程中，安装程序会引导用户创建超级账号root，用于首次登录系统，该用户相当于Windows操作系统中的Administrator。 8.2 保护用户口令策略保护用户口令策略 由于root用户没有权利限制（在采用了SELinux安全机制的Linux系统中，root用户的权限也会受到一定的限制），因此在这个账号下，对系统还不太熟悉的人很容易由于误操作而造成灾难性的后果，甚至使整个系统崩溃。为了

22、避免发生意外，应该注意以下几点。n(1)设置和保密root的口令，不让普通用户用root账号登录，确保只有系统管理员才能用root账号登录。n(2)使用系统时，时刻记住自己的身份，如果命令提示符是“#”，则是超级账号，此时应该对自己的操作保持清醒的头脑。n(3)只有在十分必要的情况下才用超级账号登录系统。8.2 保护用户口令策略保护用户口令策略 （二）服务用户 这类用户也被叫伪用户或假用户，它们是在安装系统的过程中自动创建的。这些账号不具有登录系统的能力，但却对操作系统的运行有重要的作用。可以在账号文件etcpasswd中看到，服务用户所在行的最后一个字段的值是sbinnologin，表示它们

23、不能用来登录系统。（三）普通用户 这类用户由系统管理员根据需要自行创建添加的，能够用来登录系统，如果用户登录后的命令提示符是“$”，则是普通用户，表示权限有限。其实也可以由root账号创建其它的超级用户，登录后的命令提示符是“#”，它的权限等同root。 8.2 保护用户口令策略保护用户口令策略 2Linux系统中的用户组 通过对用户进行分组，可以更有效地实现对用户权限的管理，类同于Windows中用户与组的关系。不同的用户可以属于不同的组，也可以属于相同的组，也可以是同一个用户同时属于多个不同的组，同组的用户对特定的文件拥有相同的操作权限。如果某个用户属于多个组，那么其权限是几个组权限的累加

24、。 和用户的类型相似，相应的也可以把这些组分为3种类型：超级用户组、服务用户组和普通用户组。其中，超级用户组、服务用户组是由系统创建、启动生成的，普通用户组是超级用户根据需要创建的。8.2 保护用户口令策略保护用户口令策略 Linux用户如果需要登入系统以取得shell环境（相当于Windows中的用户桌面）来工作时，它需要如何进行呢？系统处理过程如下。 1）先寻找/etc/passwd里面是否有你输入的账号？如果没有则跳出，如果有的话则将该账号对应的UID与GID (在/etc/group中)读出来，另外，该账号的主目录与shell设定也一并读出； 2）再来则是核对密码表，这时系统会进入/e

25、tc/shadow里面找出对应的账号与UID，然后计算刚刚输入的密码的散列值，核对是否与里面的密码散列值相符。 3）如果一切都成功的话，就进入Shell控管的阶段。 8.2 保护用户口令策略保护用户口令策略 8.2.3 安全用户口令的设定原则安全用户口令的设定原则 口令是访问控制的简单而有效地方法，只要口令保持机密，非授权用户就无法使用该账号。尽管如此，由于它只是一个字符串，一旦泄露，口令就不能提供任何安全了，因此，用户口令的维护是至关重要的。 早期系统的密码就放在/etc/passwd 文件中，但是这个文档是所有用户都能够读取的，为了更好的安全考虑，Linux系统将所有的用户密码加密后都存放

26、在/etc/shadow文件内了。 8.2 保护用户口令策略保护用户口令策略 8.2.3 安全用户口令的设定原则安全用户口令的设定原则 o 1安全口令的选择 口令是进入系统的第一道防线，选择一个有效的口令就等于成功了一半。系统管理员和普通用户可以做一些事情以保证选择了有效地口令。系统管理员能对用户的口令进行强制性的修改，设置口令的长度，甚至防止用户使用太容易猜测的口令。 很多用户喜欢使用一些黑客容易猜测到的拼写短语，如自己的姓名、生日，爱人或者孩子的生日，常用单词等等来设定密码。有效的口令是用户容易记住但“黑客”很难破解的，使用一个8位的随机字符的各种组合大约有31012可能，最先进的计算机也

27、需要几年的时间来穷举，因而是安全的。所以建议用户在设定密码的过程中，尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。8.2 保护用户口令策略保护用户口令策略 安全用户口令的设定原则安全用户口令的设定原则 （1）选择长口令，至少为8个字符（Linux要求是6个），口令越长黑客破解的时间成指数增长。（2）混合大小写字母：Linux区分大小写。（3）混合字母和数字及符号：在口令中添加数字和字符，如&、$、和 之类的特殊字符。（4）挑选一个自己可以记住，但一般人很难琢磨出来的口令，可以使用简写或其他记忆方法来帮助自己记忆口令。比如“I a

28、m a student at 2010”就能用来产生口令“iaasa2010”，用户自己可以轻易记住该口令，但是其他人很难猜到。（5）使用Linux安全程序，如passwd+程序能强制用户使用健壮的口令，npasswd，anlpasswd都是优秀的口令检查程序，可以用来测试口令的安全性。 8.2 保护用户口令策略保护用户口令策略 o安全口令的设置禁忌：（1）不要只使用单词或数字，尤其是现成的词汇：像名称、词典中的词汇，甚至电视剧或小说中的用语，这些在破解词典中已经集成了。（2）不要使用自己都记不住的口令，你要么会长时间不使用而遗忘，要么会将它记录在什么地方。（3）千万不要使用个人信息，如果攻击

29、者知道自己的身份，推导出所用口令就会变得非常容易。（4）不要笔录自己的口令：决不要把口令写在纸上或者是电脑上。（5）用户若可以访问多个系统或者多台主机，不要在所有系统和机器上都使用同样的口令。8.2 保护用户口令策略保护用户口令策略 8.2.4 用户口令加密函数用户口令加密函数 Linux采用的用户口令加密函数如下： char *crypt(const char *key, const char *salt); 这个函数现在提供两种算法：MD5和DES。建议使用MD5加密算法，它能够支持更长的口令字符数，而选择DES加密的话，口令长度不能超过8位。 关于crypt函数，它有两个参数。第一个参数

30、key是指真正的明文密码，salt参数是用于扰乱用的辅助加密的字串。 crypt函数就是根据salt的不同来选择不同的算法。这两种算法有本质的区别：两种方法产生的加密字串不同。MD5的结果是把12个字符放在开始，后跟加密的字串；而DES则把salt的两个字符加在首部，然后加上11个加密后的字串共13个。8.2 保护用户口令策略保护用户口令策略 8.2.5 使用密码分析工具验证使用密码分析工具验证 关于密码文件的检查指令，系统自带的有pwck、grpck、chpasswd 与pwconv等指令。（1）pwck与grpck指令 pwck用来验证用户账号文件（/etc/passwd）和影子文件（/e

31、tc/shadow）的一致性，其验证文件中的每一个数据项中每个字段的格式以及数据的正确性。如果发现错误，该命令将会提示用户删除出现错误的数据项。与pwck命令类似，grpck命令是用来验证组账号文件（/etc/group）和组口令文件（/etc/gshadow）的一致性与正确性的。 8.2 保护用户口令策略保护用户口令策略 8.2.5 使用密码分析工具验证使用密码分析工具验证 （2）其它工具 John the Ripper是一个工具软件，用于在已知密文的情况下尝试破解出明文的破解密码软件。主要支持对DES、MD5两种加密方式的密文进行破解工作。它可以工作于多种机型以及多种操作系统之下。John

32、 the Ripper 1.7是目前比较好的破解密码工具，在解密过程中会自动定时存盘，用户可以强迫中断解密过程（使用Ctrl+C组合键），下次还可以从中断的地方继续进行下去（john-restore命令）。任何时候敲击键盘，用户都可以看到整个解密的进行情况，所有已经被破解的密码会被保存在当前目录下的JOHN.POT文件中，shadow文件中所有密文相同的用户会被归成一类，这样JOHN就不会进行无谓的重复劳动了。8.2 保护用户口令策略保护用户口令策略 用户可以从网上下载其最新版本john-1.7.3 for Linux版本，它包含DOC、SRC和RUN三个目录，在机器上执行以下命令即可：8.2

33、 保护用户口令策略保护用户口令策略 安装好后，用户可以灵活使用以下几种方式来对自己的账户密码进行测试： （1）简单解密方式。 （2）字典解密方式。 （3）其它方法。 8.3 账号与组安全管理策略账号与组安全管理策略8.3.1 用户与用户组账号文件用户与用户组账号文件 Linux系统中每个用户都有一个账号文件，包括用户名、口令、用户标识号、组标识号以及主目录等信息，Linux把全部的用户信息保存为普通的文本文件，用户可以通过对这些文件进行修改来管理用户和组。本节将对这些文件的内容进行详细介绍。 8.3 账号与组安全管理策略账号与组安全管理策略8.3.1.1 用户账号文件用户账号文件passwd

34、passwd是一个文本文件，用于记录Linux系统中的所有用户账号，该文件位于“etc”目录下。/etc/passwd文件是Linux安全的关键文件之一，该文件在用户登录时校验用户的登录名、加密的口令数据项、用户ID（UID）、用户组ID（GID）、用户信息、用户登录主目录以及登录后使用的shell。这个文件的构造是这样的：每一行都代表一个账号，有几行就代表有几个账号在你的系统中，每个账号资料由7个字段组成，不同数据域采用冒号“：”分隔。如下所示： logname：password：uid：gid：userinfo：home：shell 头两项是登录名和加密后的口令，后面的两个数是用户标识号U

35、ID和组标识号GID，第五项是系统管理员写入的有关该用户的详细描述信息，第六项是路径名：分配给该用户的主目录，最后一项是用户登录后将执行的shell（若为空格则默认为/bin/sh）。8.3 账号与组安全管理策略账号与组安全管理策略 下面的例子显示的是执行head命令看到的部分内容。8.3 账号与组安全管理策略账号与组安全管理策略o 1.用户登录名：root。即账号名称，就是在“login”后输入的名称，它在同一系统中应该是唯一的，其长度一般不超过8个字符。o 2.加密的口令：x。所有用户的口令存放都是加密的，这个字段的密码移动到/etc/shadow中（该文件只对root用户可读），所以你只

36、会看到一个“x”。 o 3.UID：0。即用户标识号，当UID为0的时候，就是 root。在Linux系统内部处理用户的访问权限时，系统用的是UID值，当UID相同时，即使登录名不同，在系统看来也代表它们对系统资源所拥有的权限完全一样。此外Linux中的UID分类需要我们了解一下： 表8-1 UID说明8.3 账号与组安全管理策略账号与组安全管理策略o 4.GID：0。记录的是用户所在组的组标识号，是从032767之间的整数。o 5.用户信息：root。可选的，通常用于保存用户的相关信息。o 6.用户的主目录：/root。这个域用来指定用户的主目录，每一个用户都需要有地方保存专属于自己的配置文

37、件，以免改变其他用户定制的操作环境。o 7.Shell：/bin/bash。当用户登入系统后就会取得一个Shell，它属于用户自己的操作环境，用户遇到的第一个程序就叫做shell。8.3 账号与组安全管理策略账号与组安全管理策略8.3.1.2 用户组账号文件用户组账号文件group group文件位于etc下，用于存放用户的组账号信息，该文件的内容任何用户都可以读取。/etc/passwd文件中包含着每个用户默认的GID。下面显示的是该文件的部分内容。8.3 账号与组安全管理策略账号与组安全管理策略 /etc/group文件含有各用户组的信息，用户组就像用户一样可以有口令，如果/etc/gro

38、up文件入口项的第二个字段为非空（通常用x表示），则将被认为是加密口令。/etc/group文件中的每一行定义了一个组的信息，各字段用“：”分开，每个用户组的信息由4个字段组成，如表8-2所示:8-2 group文件各字段说明8.3 账号与组安全管理策略账号与组安全管理策略 以上面举例的最后一行为例，它说明在系统中存在一个名为adm的用户组，它的信息如下：1用户组名称为adm。2用户组口令已经加密，用“x”表示。3GID为4。4同组的成员用户有：root，adm，daemon。 8.3 账号与组安全管理策略账号与组安全管理策略8.3.2 用户与用户组影子文件用户与用户组影子文件8.3.2.1

39、用户影子文件用户影子文件shadow /etc/shadow文件的每行是用冒号“：”分割成的9个字段，格式如下：username: passwd: lastchg: min: max: warn: inactive: expire: flag下面显示的是使用“cat”指令查看到该文件的内容。8.3 账号与组安全管理策略账号与组安全管理策略 在shadow文件中，每行定义了一个用户信息，第一行从左往右每个字段的含义如下。o1.用户登录名：root。由于密码也需要跟随账号，要与/etc/passwd中相同才行。 o2.加密口令：这个字段内的数据才是真正的密码，而且是经过加密的密码，所以只会看到一些

40、特殊符号的字母。o3.口令上次更改时距1970年1月1日的天数：15073。日期的时间是以1970年1月1日作为开始而累加的日期，上述的15073指的就是2011-04-08那一天。o4.两次修改口令之间至少经过的天数：0。这个账号的密码在最近一次被更改后需要经过多少天才可以再被变更。如果是0的话，表示密码随时可以更改的意思。o5.口令还有效的最大天数：99999。这个字段可以指定在最近一次更改密码后，在多少天内需要再次的变更密码才行。而如果像上面的99999，那就表示永不过期。o6.口令失效前警告用户的天数：7。如上面的例子，则是密码过期之前的7 天之内，系统都会警告该用户。o7.禁止登录前

41、用户名还有效的天数(密码失效日)：空。过了该期限后用户依旧没有更新密码，该密码就算过期了。要注意密码过期与密码失效并不相同。o8.账号被禁止登入的日期：空。这个日期跟第三个字段一样，都是使用1970年1月1日以来的总天数。o9.保留：最后一个字段是保留的，看以后有没有新功能加入。8.3 账号与组安全管理策略账号与组安全管理策略 由于shadow如此的重要，因此可不能随意修改，但在某些情况下我们还要使用各种方法来处理这个文件。比如“我的密码忘记了” 怎么办？ （1）普通账号的密码忘记了：这个最容易解决，请系统管理员帮忙，他会重新设定好你的密码而不需要知道你的旧密码，利用root的身份使用pass

42、wd指令来处理即可。 （2）root密码忘记了：这就比较麻烦，因为你无法使用root的身份登入了，但我们可以重新启动进入单人维护模式后，系统会主动的给予root权限的bash接口，此时再以passwd修改密码即可；或以Live CD开机后挂载根目录去修改/etc/shadow，将里面root的密码字段清空，再重新启动后root将不用密码就可登入，登入后再用passwd指令设定root密码即可。 8.3 账号与组安全管理策略账号与组安全管理策略8.3.2.2 组口令文件组口令文件gshadow 同用户账号文件的作用一样，组口令文件也是为了加强组口令的安全性，而采用的一种将组口令与组的其他信息相分

43、离的安全机制。etc /gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户有权读取。下面显示的是通过命令查看到的该文件的内容。 /etc/gshadow文件中每行定义一个用户组信息，行中各字段间用“：”分隔，共4个字段，各字段的含义如表8-3所示。 表8-3 gshadow文件各字段说明8.3 账号与组安全管理策略账号与组安全管理策略8.3.3 账号与组管理安全账号与组管理安全 前面讲述了在Linux系统中，用户和组管理需要用到的比较重要的几个文件，这些文件包含了用户和组的所有重要信息。下面将介绍如何通过命令行方式来进行用户和组的安全管理操作。 8.3.3.1 用户账

44、号的创建和维护用户账号的创建和维护 （1）添加用户账号 对Linux系统而言，创建一个账号，系统自动完成以下几个步骤。o1.在etcpasswd、etcgroup、etcshadow和etcgshadow文件中增添了一行记录。 o2.在home目录下创建新用户的主目录。o3.将etcskel目录中的文件拷贝到用户的主目录中。 8.3 账号与组安全管理策略账号与组安全管理策略 几乎所有的Linux系统中都提供了useradd或adduser命令，这两个命令能完成以上一系列的工作，通常这两个命令没有区别。useradd命令的常用格式是：useradd 选项 用户名。表8-4列出了useradd命令

45、常用的选 项和作用。 表8-4 useradd的主要选项及作用8.3 账号与组安全管理策略账号与组安全管理策略8.3.3.1 用户账号的创建和维护用户账号的创建和维护 o出于系统安全考虑，Linux系统中的每一个用户除了有其用户名外，还有其对应的用户口令。因此使用useradd命令增加用户时，还要用passwd命令为每一位新增的用户设置口令。o该命令的一般格式为：passwd 用户名。o其中用户名为需要修改口令的用户名。只有超级用户可以使用“passwd 用户名”修改其他用户的口令，普通用户只能用不带参数的passwd命令修改自己的口令。8.3.3.1 用户账号的创建和维护用户账号的创建和维护

46、下面给出使用useradd命令添加用户的例子。8.3.3.1 用户账号的创建和维护用户账号的创建和维护 使用了上述命令后，新建的用户账号暂时还无法登录，因为还没有为其设置口令，在用passwd口令设置口令后，该账号才能用于登录系统。8.3.3.1 用户账号的创建和维护用户账号的创建和维护o在没有指定用户UID和GID时，命令useradd自动选取，它是将etcpasswd文件中最大的UID值加1，同时将etcgroup文件中的最大的GID值也加1。ouseradd命令使用配置文件etclogindefs和etcdefaulVuseradd来保存创建用户时使用的默认参数。这样，对于大量基本一致的

47、用户数据，可以通过修改该文件来设置正确的默认参数，从而达到减少系统管理员手工输入的目的。 8.3.3.1 用户账号的创建和维护用户账号的创建和维护（2）管理用户账号 使用useradd建立了新账号后，在预设的情况下，该账号是暂时被封锁的，也就是说，该账号无法登入，我们可以看到/etc/shadow内的第二个字段是“！”，表示无密码口令，需要设定新口令就好了，用passwd指令设定口令。passwd命令功能强大，除了设置、修改用户账号的口令外，还有其他的功能。 该命令的使用格式是：passwd 选项 用户名。其中常用的选项及作用如表8-5所示。 8.3.3.1 用户账号的创建和维护用户账号的创建

48、和维护表8-5 passwd的常用选项及作用8.3.3.1 用户账号的创建和维护用户账号的创建和维护范例：给用户“zhangsan2”设置初始密码口令锁定密码查询用户密码状态解除密码锁定状态查看设定每30天需要变更密码，密码过期后7天未使用就宣告密码效删除密码。 8.3.3.1 用户账号的创建和维护用户账号的创建和维护8.3.3.1 用户账号的创建和维护用户账号的创建和维护 passwd的使用要注意，尤其是对root账号，很多时候会忘记在passwd后加上账号，结果就变成改变root自己的密码，普通账号建立密码需要使用“passwd 账号”的格式，使用纯“passwd”表示修改自己的密码！ 在

49、使用useradd后，发现某些地方还可以进行细节修改。此时，我们当然可以直接到/etc/passwd或/etc/shadow去修改相对应字段的数据，不过，Linux也提供了其它指令让大家来进行账号相关参数的更改，这就是usermod命令。它的功能更为强大，该命令的使用格式是：usermod 选项 用户名。其中常用的选项及作用如表8-6所示。 表8-6 usermod的常用选项及作用8.3.3.1 用户账号的创建和维护用户账号的创建和维护（3）删除用户账号 这个功能就太简单了，目的在删除用户的相关数据，userdel命令删除账号的同时也删除用户的主目录，包括其中的文件以及用户邮件池中的文件，命令

50、格式是：userdel -r 用户名。如果不使用选项“-r”，则仅删除用户账号而不删除相关文件。 rootlocalhost root# userdel -r zhangsan2 使用这个指令的时候要小心，通常我们要移除一个账号的时候，可以手动的将 /etc/passwd与/etc/shadow 里头的该账号删除即可。如果该账号只是“暂时不启用”的话，那么将/etc/shadow 里头账号失效日期 (第八字段) 设定为0就可以使该账号无法使用，但所有跟该账号相关得数据都会留下，使用userdel的时机通常是“你真的确定不要让该用户在系统里使用任何数据了！” 8.3 账号与组安全管理策略账号与组