摘要

• 使用者的管理(增加、刪除、修改和切換)
• 使用者組的管理
• 使用者和組的配置檔案/etc/shadow、/etc/passwd、/etc/group
• 記錄使用者歷史操作命令history

如要下載筆記和程式碼請到我的github。
歡迎訪問我的主頁檢視更多文章。

使用者與使用者組基礎

• Linux作為一種多使用者的作業系統(伺服器系統)，允許多個使用者同時登陸到系統上，並響應每個使用者的請求;
• 系統管理員的非常重要的工作之一是管理使用者，包括：
  
  • 新增和刪除使用者;
  • 分配使用者主目錄;
  • 限制使用者許可權。
• Linux識別多使用者的流程：
  
  • 使用者提供使用者和密碼，經過驗證後登入到系統;
  • Linux為每一個使用者啟動一個程序，然後由這個程序接受使用者的各種請求;
  • 建立使用者時，需要限定其許可權(root使用者擁有所有許可權sudo -s)，如不能修改配置檔案，不能檢視其他使用者目錄等;
  • 被劃分為一個使用者組的使用者預設擁有使用者組許可權。

使用者和組的新增useradd、groupadd

• useradd：建立新使用者;
  
  • 預設情況下，不帶-m引數的useradd命令不為新使用者建立主目錄，此時使用者可以登入到系統Shell，但不能登入到圖形介面;
  • -g：引數用於指定使用者所屬的組，不帶-g引數時預設為新使用者建立同名使用者組，然後將新使用者歸入該組;
  • -s：指定使用者登入後使用的Shell(目錄)，否則預設使用sh;
  • 建立流程:(1)先建立使用者名稱useradd username
    ;(2)建立密碼passwd username。
• groupadd：增加使用者組，groupadd groupname。

記錄使用者操作history

• Shell會記錄使用者的每一條命令。
• history：列出所有使用過的命令並加以編號;
  
  • history命令只在bash中適用;
  • 歷史命令記錄被存在使用者主目錄下的.bash_history中，該檔案預設可以儲存1000條命令記錄;
  • history <num>:列出最近次輸入的命令;
  • history列出當前使用者的命令歷史，檢視其他使用者命令應到其主目錄的.bash_history檢視。

passwd和shadow檔案

• Linux中做的一切基本配置最終都會反映到配置檔案，包括使用者管理。
• /etc/passwd:登記所有使用者資訊;
• /etc/shadow:儲存使用者的登入密碼(加密);
• 直接修改配置檔案也可以實現使用者管理。

刪除使用者userdel

• userdel:用於刪除使用者帳號;
  
  • 預設情況下，不刪除使用者主目錄;
  • -r:刪除使用者帳號，同時刪除使用者主目錄;

管理使用者帳號usermod

• usermod常用選項及含義：

- 同樣可以通過修改配置檔案/etc/passwd、/etc/shadow和/etc/group來修改使用者資訊。

檢視使用者資訊id

• id：檢視使用者資訊;
  
  • 以使用者名稱作引數，檢視使用者的UID、GID及所屬組;
  • 不帶引數，則顯示當前登入使用者的資訊。

使用者間切換su

• ubuntu使用sudo -s或/bin/su(絕對路徑更為安全)來獲得root許可權。
• su username：用於切換使用者。

受限的特權sudo

• root許可權是不可分隔的，其他使用者要獲取某個特權時採用sudo命令;
• 使用流程：
  
  • sudo會首先要求使用者輸入使用者自己的口令;
  • 使用者在在一段時間內(5分鐘)沒有再次使用sudo，就必須再次輸入口令。
• /etc/sudoers指定使用者可以執行的特權命令;
  
  • root ALL=(ALL) ALL指定root使用者可以使用sudo在任何機器上(1st ALL)以任何使用者身份(2nd ALL)執行任何命令(3rd)，無括號時以root身份執行;
  • %admin:替代所有屬於admin組的使用者，Ubuntu安裝時建立的使用者自動加入admin組。
• sudoer的每行包含下面內容：
  
  • 該許可權適合的使用者;
  • 這一行配置在哪些主機上適用;
  • 該使用者可以執行的命令;
  • 該命令以那個使用者身份執行。
• sudo -u可以以其他使用者身份執行命令。
• visudo：修改sudoers檔案時使用的命令。

/etc/passwd檔案

• 早期所有資訊都在/etc/passwd中，後來出於安全考慮，加密口令轉移到/etc/shadow。
• /etc/passwd中每一行代表一個使用者，每一行由7個欄位組成，使用冒號分隔;
  
  • 登入名;
  • 口令佔位符;
  • 使用者ID(UID);
  • 預設組ID號(GID);
  • 使用者私人資訊;
  • 使用者主目錄;
  • 登入shell。
• 口令佔位符代表演算法加密，且口令放置在/etc/shadow中。
• Linux上使用最廣泛的演算法是MD5，MD5加密後長度是一個固定值(34個字元)。加密過程中，MD5演算法會隨機加入稱作”salt”的資料，使一個口令可以對應多個不同的加密後形式。
• 常用加密演算法通過字首識別;
  
  • MD5演算法以”1$1$”開頭;
  • Blowfish演算法以“2a$2a$”開頭。
• UID號：用於唯一標識系統中的使用者。
  
  • 是一個32位無符號整數;
  • root使用者的UID為0。
  • 虛擬使用者(bin/daemon)被分配到比較小的UID號，通常安排在passwd檔案的開頭;
  • 真實使用者的UID號一般從比較大的數開始，這樣可以為虛擬使用者提供足夠的餘地(本機從1000開始)。
• GID號：指定使用者登入時預設所在的組;
  
  • 一個32位整數;
  • root組的GID號為0;
  • 在/etc/group中定義。

/etc/shadow檔案

• /etc/shadow存放加密後的使用者口令。
• /etc/shadow檔案的每一行代表一個使用者，並以冒號分隔每一個欄位，每個欄位的含義如下;
  
  • 登入名;
  • 加密後口令；
  • 上次修改口令日期;
  • 兩次修改口令之間的天數(最少);
  • 兩次修改口令之間的天數(最多);
  • 提前多少天提醒使用者修改口令;
  • 在口令過期多少天后禁用該使用者;
  • 帳號過期的日期(usermod);
  • 保留，為空。
  • 絕對日期是從1970.1.1至今的天數。

/etc/group檔案

• /etc/group檔案中儲存系統所有組的名稱，及每個組的成員列表;
• 檔案每一行表示一個組，由4個冒號分隔的欄位組成，含義分別是：
  
  • 組名;
  • 組口令佔位符(如果口令欄位是一個x，表示還有一個/etc/gshadow檔案用於存放口令);
  • GID號;
  • 成員列表，逗號分開，不能有空格。
• 應該保證GID的唯一性。
• 實際上使用者所屬組是/etc/group和/etc/passwd中相應組的並集。

參考文獻

Linux從入門到精通 劉憶智 著