标签:tab 登录 锁定 校验 gshadow code ber 优先 域用户
//与用户相关的配置文件:/etc/passwd: #用户的配置文件, 保存用户账户的基本信息
/etc/shadow #用户影子口令文件
一、用户帐号文件——passwd
1.“/etc/passwd”文件是UNIX安全的关键文件之一。该文件用于用户登录时效验用户的登录名、加密的口令数据项、用户ID(UID)、默认的用户组ID(GID)、用户信息、用户主目录及登录后使用的shell。
2.“/etc/passwd”文件的每一行保存一个用户的资料,而用户数据按域以冒号“ :”分隔。格式如下
username:password:uid:gid:userinfo:home:shell
各个域的含义如下所示
“/etc/passwd”文件中域的含义
| 域 | 含义 |
| username | 登录名 |
| password | 加密的用户口令 |
| uid | 用户ID |
| gid | 用户组ID |
| userinfo | 用户信息 |
| home | 分配给用户的主目录 |
| shell | 用户登录后将执行的shell(若为空格则默认为“/bin/sh”) |
下面是一个实际用户的例子。
user1:x:500:500: user1:/home/user1:/bin/bash
那么该用户的基本信息如下所示。
1.登录名:user1。
2.加密的口令表示:x。
3.UID:500。
4.GID:500。
5.用户信息:user1.
6.用户主目录:“/home/user1”。
7.登录后执行的shell:“/bin/bash”。
//任何拥有0值UID的用户都具有root用户访问权限。
二、用户影子文件——shadow
1.针对恶意用户取得“/etc/passwd”文件,linux系统目前广泛采用“shadow(影子)文件”机制,将加密的口令转移到“/etc/shadow”文件里。“/etc/shadow文件”只为root超级用户可读,而相应的“/etc/passwd”
文件的密文域显示为一个“x”,从而最大限度地减少了密文泄露的机会。
2.和“/etc/passwd”类似,“/etc/shadow”文件中每条记录用冒号“:”分隔,形成9个域,格式如下:
username:password:lastchg:min:max:warn:inactive:expire:flag
各个域含义如下所示:
“/etc/shadow”文件中域的含义
| 域 | 含义 |
| username | 用户登陆名 |
| password | 加密的用户口令 |
| lastchg | 表示从1970年1月1日期到上次修改口令所经过的天数 |
| min | 表示俩次修改口令之间至少经过的天数 |
| max | 表示口令还会有效的最大天数,如果是99999则表示永不过期 |
| warn | 表示口令失效前多少天内系统向用户发出警告 |
| inactive | 表示禁止登录前用户名还有效的天数 |
| expire | 表示用户被禁止登录的时间 |
| flag | 保留域 |
//有域未被定义以:表示
三、用户帐号文件——group和gshadow
1.“/etc/passwd”文件包含在每个用户组ID(GID),在“/etc/passwd”文件中寻找同组用户较费时。“/etc/grop”文件包含关于用户组信息,“/etc/grop”提供了一个比较快捷的寻找途径。
2.在“/etc/passwd”中每个GID在“/etc/grop”中都应该有相应的项列出用户组和其他的用户。
2.“/etc/group”文件记录格式如下所示:
group_name:group_password:group_id:group_members
各个域的含义如下
“/etc/group”的域及其含义
| 域 | 含义 |
| group_name | 用户组名 |
| group_password | 加密后的用户组口令 |
| group_id |
用户组ID(GID) |
| group_members | 以逗号分隔的成员用户清单 |
和用户帐号文件passwd一样,为了应对黑客对其实行的暴力攻击,用户组文件也采用一种将组口令的其他信息相分离的安全机制——gshadow。
“/etc/gshadow”文件记录格式如下:
group_name:group_password: group_members
其中各个域的含义如下
“/etc/gshadow”的域及其含义
| 域 | 含义 |
| group_name | 用户组名 |
| group_password | 加密后的用户组口令 |
| group_members | 以逗号分隔的成员用户清单 |
四、pwck和grpck命令
1.pwck命令:作用是检验“/etc/passwd”和“/etc/shadow”每个域的格式及数据的正确性,并对二者的一致性进行校验。如果错误,系统将提示用户对出现错误的数据项进行修改或删除。
2.grpck命令:作用是检验“/etc/group”和“/etc/gshadow”数据项中每个域的格式及其数据的正确性,并对组帐号文件“/etc/group”及其影子文件“/etc/gshadow”的一致性进行校验。如果错误,系统将提示用户对出现错误的数据项进行修改或删除。
五、linux用户管理命令
1.useradd 添加用户
当使用useradd命令不加参数选项,后面直接跟所添加的用户名时,系统首先会读取配置文件/etc/login.defs和/etc/default/useradd文件中所配置的信息建立用户的家目录,并复制/etc/skel中的所有文件(包括隐藏的环境配置文件)到新用户的家目录中。
useradd语法
|
[root@localhost ~]# man useradd useradd -D [options] |
命令选项
| -c comment :新账户的password的说明栏 -u: 指定 UID 标记号。这个值是唯一的,除非用-o选项。数字不可为负值 -d: 指定宿主目录,缺省为 /home/用户名 -e: 指定帐号失效时间 -f: 账户过期几天后永久停权。 -g: 指定所属的基本组(组名或GID) -G: 指定所属的附加组(组名或GID) -m: 用户目录如不存在则自动建立。 -M: 不为用户建立并初始化宿主目录。优先于/etc/login.defs文件的设定。 -n: 默认情况下,用户的用户组和用户的名称会相同,如果命令加了-n参数,就不会生成和用户同名的用户组 -r: 用来建立系统账户。系统账户的UID会比定义在/etc/login.defs的UID_MIN来的小。 -s: 指定用户的登录Shell |
普通用户和超级用户都可以运行passwd命令,但普通用户只能更改自身的用户密码。超级用户则可以设置或修改所有用户的密码
当直接passwd命令后面不接任何参数或用户名时,则表示修改当前登陆用户的密码。
-d 清空密码,仅root能操作
-f 强制操作,仅root能操作
-k 保留即将过期的用户在期满后仍能使用
-l 锁定用户账户;锁定用户无权更改其密码,仅root能操作 -S 查看用户账户的状态 -u 解锁用户账户;仅root能操作 --stdin 从标准输入取密码
标签:tab 登录 锁定 校验 gshadow code ber 优先 域用户
原文地址:https://www.cnblogs.com/chimu/p/13938900.html
