Linux 帳號與身份管理
2024-07-21 02:37:17
供稿:網(wǎng)友
帳號治理:
治理員的工作中,相當(dāng)重要的一環(huán)就是『治理帳號』啦!因為整個系統(tǒng)都是你在治理的,并且所有的一般用戶的申請,都必須要透過你的協(xié)助才行����!所以你就必須要了解一下如何治理好一個網(wǎng)站的帳號治理啦����!在治理 linux 主機(jī)的帳號時, 我們必須先來了解一下 Linux 到底是如何辨別每一個使用者的�!
· 使用者的 ID 與群組的 ID :
其實 Linux 并不會直接熟悉你的『帳號名稱』����,他熟悉的其實是你的『帳號 ID 』才是�!假如你曾經(jīng)以 tarball 安裝過軟件的話,那么應(yīng)該不難發(fā)現(xiàn),在解壓縮之后的檔案,嘿~檔案擁有者竟然是『不明的數(shù)字』�?希奇吧�?這沒什么好希奇的����,因為 Linux 說實在話,他真的只熟悉代表你身份的號碼而已!而對應(yīng)的號碼與帳號,則是記錄在 /etc/passwd 當(dāng)中!
· 怎樣登入 Linux 主機(jī)呀?
好了�,那么我們再來談一談��,到底我們是怎樣登入 Linux 主機(jī)的呢?其實也不難啦!當(dāng)我們在主機(jī)前面或者是以 telnet 或者 ssh 登入主機(jī)時����,系統(tǒng)會出現(xiàn)一個 login 的畫面讓你輸入帳號����,這個時候當(dāng)你輸入帳號與密碼之后���, Linux 會:
1. 先找尋 /etc/passwd 里面是否有這個帳號?假如沒有則跳出,假如有的話則將該帳號對應(yīng)的 UID ( User ID )與 GID ( Group ID )讀出來��,另外��,該帳號的家目錄與 shell 設(shè)定也一并讀出;
2. 再來則是核對密碼表啦�!這時 Linux 會進(jìn)入 /etc/shadow 里面找出對應(yīng)的帳號與 UID�,然后核對一下你剛剛輸入的密碼與里頭的密碼是否相符����?
3. 假如一切都 OK 的話,就進(jìn)入 Shell 控管的階段啰��!
大致上的情況就像這樣��,所以呢���,當(dāng)你要登入你的 Linux 主機(jī)的時候��,那個 /etc/passwd 與 /etc/shadow 就必須要讓系統(tǒng)讀取啦,(這也是很多攻擊者會將非凡帳號寫到 /etc/passwd 里頭去的緣故!)所以呢,假如你要備份 Linux 的系統(tǒng)的帳號的話����,那么這兩個檔案就一定需要備份才行呦�����!
· 熟悉 UID、GID�����、SUID與SGID:
還記得我們在『檔案系統(tǒng)與檔案屬性』那一篇文章的時候有提到每一個檔案都具有『擁有人與擁有群組』的屬性嗎�?那么檔案如何判別他的擁有者與群組呢?其實就是利用 UID 與 GID 啦�!每一個檔案都會有所謂的擁有者 ID 與擁有群組 ID �,亦即是 UID 與 GID ���,然后系統(tǒng)會依據(jù) /etc/passwd 的內(nèi)容��,去將該檔案的擁有者與群組名稱,使用帳號的形式來秀出來��!我們可以作個小實驗�����,你可以以 root 的身份 vi /etc/passwd ����,然后將你的一般身份的使用者的 ID 隨便改一個號碼�,然后再到你的一般身份的目錄下看看原先該帳號擁有的檔案,你會發(fā)現(xiàn)該檔案的擁有人變成了『數(shù)字了』呵呵���!這樣可以理解了嗎?
[root @test /root]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
test:x:500:500:test user:/home/test:/bin/bash <==將 500 改成 510
[root @test /root]# cd /home/test
[root @test test]# ll
-rw-rw-r-- 1 500 test 12542 APR 12 11:22 test
看上面���,擁有這變成了數(shù)字了~
· 熟悉 /etc/passwd 檔案與 /etc/shadow 檔案:
這兩個檔案可以說是 Linux 里頭最重要的檔案之一了!假如沒有這兩個檔案的話���,呵呵!您可是無法登入 Linux 的呦��!
o passwd 的構(gòu)造:
這個檔案的構(gòu)造是這樣的:每一行都代表一個帳號���,有幾行就代表有幾個帳號在你的系統(tǒng)中����!不過需要非凡留意的是,里頭很多帳號本來就是系統(tǒng)中必須要的(例如 bin, daemon, adm, nobody 等等)�,請不要隨意的殺掉他~~�;
o [root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
o 上面是 Red Hat 預(yù)設(shè)的幾個帳號����,這些帳號是系統(tǒng)在使用的呦!我們先來看一下 root 這個系統(tǒng)治理員這一行好了�,你可以明顯的看出來�,每一行使用『:』分隔開�����,共有七個咚咚�����,分別是:
1. 帳號名稱:就是帳號名稱啦!對應(yīng) UID 用的�����!例如 root 就是預(yù)設(shè)的系統(tǒng)治理員的帳號名稱�����;
2. 密碼:早期的 Unix 系統(tǒng)的密碼是放在這個檔案中的���,不過由于這樣一來很輕易造成資料的被竊取��,所以后來就將資料給他改放到 /etc/shadow 中了,這一部份等一下再說�,而這里你會看到一個 x �����,呵呵!別擔(dān)心密碼已經(jīng)被移動到 shadow 這個加密過后的檔案啰;
3. UID:這個就是使用者識別碼(ID)啰���!通常 Linux 對于 UID 有幾個限制需要說給您了解一下:
1. 0 :系統(tǒng)治理員,所以當(dāng)你要作另一個系統(tǒng)治理員帳號時,你可以將該帳號的 UID 改成 0 即可��;
1~500 :保留給系統(tǒng)使用的ID�����,其實 1~65534 之間的帳號并沒有不同,也就是除了 0 之外,其它的 UID 并沒有不一樣���,
預(yù)設(shè) 500 以下給系統(tǒng)作為保留帳號只是一個習(xí)慣。
這樣的好處是,以 named 為例��,這個程序的預(yù)設(shè)所有人 named 的帳號 UID 是 25 ����,當(dāng)有其它的帳號同樣是 25
時,很可能會造成系統(tǒng)的一些小問題!為了杜絕這樣的問題,建議保留 500 以前的 UID 給系統(tǒng)吧���!
500~6553 :給一般使用者用的!
1.
上面這樣說明可以了解了嗎?是的����, UID 為 0 的時候����,就是 root 呦�����!所以請非凡留意一下你的 /etc/passwd 檔案�����!
2. GID:這個與 /etc/group 有關(guān)!其實 /etc/group 的觀念與 /etc/passwd 差不多���,只是他是用來規(guī)范 group 的而已!
3. 說明:這個字段并沒有什么用途����,只是用來解釋這個帳號的意義而已��!
4. 家目錄:這是使用者的家目錄��,以上面為例����, root 的家目錄在 /root ���,所以當(dāng) root 登入之后��,馬上在的所在就是 /root 里頭啦��!呵呵�!假如你有個帳號的使用空間非凡的大���,你想要將該帳號的家目錄移動到其它的硬盤去��,沒有錯��!可以在這里進(jìn)行修改呦!預(yù)設(shè)的使用者家目錄在 /home/yourIDname
5. Shell :所謂的 shell 是用來溝通人類下達(dá)的指令與硬件之間真正動作的界面����!我們通常使用 /bin/bash 這個 shell 來進(jìn)行指令的下達(dá)�!關(guān)于 shell 的用法我們會在后面再提及的��!這里比較需要注重的是����,有一個 shell 可以用來替代成讓帳號無法登入的指令��!那就是 /bin/false 這個東西��!這也可以用來制作純 pop 郵件帳號者的資料呢!
o shadow 的構(gòu)造:
由于 /etc/passwd 并不安全��,所以后來發(fā)展出將密碼移動到 /etc/shadow 這個檔案中分隔開來的技術(shù)���!并且加入了很多的限制參數(shù)在 /etc/shadow 里頭����!我們來了解一下這個檔案的構(gòu)造吧��!
o root:$K.K2.hqu.QfV.dkjjteojiasdlkjeo:11661:0:99999:7:::
bin:*:11661:0:99999:7:::
daemon:*:11661:0:99999:7:::
adm:*:11661:0:99999:7:::
o 這是 shadow 的形式�,也同樣的以『:』作為分隔的符號�����。數(shù)一數(shù)��,共可以發(fā)現(xiàn)有九個字段,分別給他說明如下:
1. 帳號名稱:這個跟 passwd 需要對應(yīng)�����!也就是跟 passwd 相同的意思啦��!
2. 密碼:這個才是真正的密碼����,而且是經(jīng)過編碼過的密碼啦����!你只會看到有一些非凡符號的字母就是了!需要非凡留意的是���,雖然這些加密過的密碼很難被解出來,但是『很難』不等于『不會』����,所以����,這個檔案的預(yù)設(shè)屬性是『-rw-------』亦即只有 root 才可以讀寫就是了�!你得隨時注重��,不要不小心更動了這個檔案的屬性呢��!另外,假如是『 * 』表示這個帳號并不會被用來登入的意思。
注重事項:密碼忘記或者被更動了�?有的時候會發(fā)生這樣的情況����,就是說�,你的 root 密碼忘記了!要怎么辦?重新安裝嗎?另外,有的時候是被入侵了�����, root 的密碼被更動過,該如何是好?這個時候就必須要使用到 /etc/shadow 這個資料了���!我們剛剛知道密碼是存在這個檔案中的,所以只要你能夠以軟盤開機(jī),進(jìn)入『單人維護(hù)系統(tǒng)』,那么就可以不用輸入密碼來以 root 的身份登入(通常就是在 boot: 時輸入 linux single 就是了?��。┤缓筮M(jìn)入 /etc/shadow 這個檔案中,將 root 的密碼這一欄全部清空�����!然后再登入 Linux 一次�,這個時候 root 將不需要密碼(有的時候需要輸入空格符)就可以登入了!這個時候請趕緊以 passwd 設(shè)定 root 密碼即可����!
3. 上次更動密碼的日期:這個字段記錄了『更動密碼的那一天』的日期����,不過����,很希奇呀��!在我的例子中怎么會是 11661 呢�?呵呵���,這個是因為計算 Linux 日期的時間是以 1970 年 1 月 1 日作為 1 ���,而 1971 年 1 月 1 日則為 366 啦�����!所以這個日期是累加的呢��!得注重一下這個資料呦!那么最近的 2002 年 1 月 1 日就是 11689 啦����,上面的日期則是 2001 年 12 月 5 日的意思�!了解了嗎�����?
4. 密碼不可被更動的天數(shù):第四個字段記錄了這個帳號的密碼需要經(jīng)過幾天才可以被變更���!假如是 0 的話�,表示密碼隨時可以更動的意思�����。這的限制是為了怕密碼被某些人一改再改而設(shè)計的!假如設(shè)定為 20 天的話��,那么當(dāng)你設(shè)定了密碼之后��, 20 天之內(nèi)都無法改變這個密碼呦�����!
5. 密碼需要重新變更的天數(shù):由于害怕密碼被某些『有心人士』竊取而危害到整個系統(tǒng)的安全,所以有了這個字段的設(shè)計����。你必須要在這個時間之內(nèi)重新設(shè)定你的密碼�,否則這個帳號將會暫時失效��。而假如像上面的 99999 的話����,那就表示�,呵呵,密碼不需要重新輸入啦����!不過�,假如是為了安全性,最好可以設(shè)定一段時間之后���,嚴(yán)格要求使用者變更密碼呢!
6. 密碼需要變更期限前的警告期限:當(dāng)帳號的密碼失效期限快要到的時候����,系統(tǒng)會依據(jù)這個字段的設(shè)定�,發(fā)出『警告』言論給這個帳號��,提醒他『再過 n 天你的密碼就要失效了����,請盡快重新設(shè)定你的密碼呦���!』���,如上面的例子�,則是密碼到期之前的 7 天之內(nèi)
