红旗Linux软件技术学院-----RCE课程之系统管理：第2章用户管理.doc

第2章 用户帐号管理 教学内容： 用户登录过程和管理命令 用户环境配置 用户安全 教学目标： 了解用户登录过程 熟悉用户管理文件 掌握用户环境配置及管理命令 教学重点： 用户环境配置 用户管理命令 PAM设置 教学难点： PAM设置 一．用户登录过程和用户管理命令 1. 用户登录过程 2. 用户管理配置文件 用户帐号文件——/etc/passwd passwd用于定义系统中的用户账号，以便系统识别用户。当某个用户账号登陆系统时，首先确定有没有这个账号，然后再确定此账号的UID，通过UID来确认用户及其身份。如果账号存在，再由/etc/shadow确定核实账号的密码，然后登陆系统，读取用户的配置文件。 默认情况下，/etc/passwd文件允许所有用户读，只允许root用户修改。 #ls –l /etc/passwd -rw-r--r-- 1 root root 1722 2006-01-01 /etc/passwd passwd文件中每行为一条记录，每条记录共有7个字段域，采用“：”分割，不同的字段描述用户账号的不同属性。passwd文件采用如下形式表示： username:passwd:UID:GID:finger:home-dir:shell 第一字段(username)：用户登陆名(也称用户名或登录名),即用户登入系统时所用的名字。 第二字段(passwd)：密码字段，基于安全考虑，真正的密码被映射到/etc/shadow文件中，此处采用“x”填充。因为/etc/passwd对系统中所有的用户都有只读权限。 第三字段(UID)：UID为标识系统中用户身份的数字。 第四字段(GID)：GID为标识系统中组身份的数字。 第五字段(finger)：用户名全称，保存用户信息的说明性字段，可不设置。 第六字段(home-dir)：用户的家目录所在位置，即用户登入成功后的默认目录。 第七字段(shell)：用户默认所使用的SHELL类型。 注意，部分字段可以为空，但是“：”不能省略。 用户密码文件——/etc/shadow shadow文件和passwd文件对应互补，主要存放用户名、密码（已加密）以及passwd文件中没有包含的重要信息等。基于安全考虑，shadow文件对仅超级用户具备只读权限。 # ls -l /etc/shadow -r-------- 1 root root 1068 2006-01-01 /etc/shadow shadow文件和passwd文件相似，也是每行定义一条记录，每条记录共有9个字段域，采用“：”分割，不同的字段描述用户账号的不同属性。将shadow文件采用如下形式表示： username:passwd:last:may:must:warn:max:expire:reserved 第一字段(username)：用户登陆名(也称用户名或登录名)。 第二字段(passwd)：密码字段（已加密）。若为空，则表示用户登陆不需要密码。若为“！！”，则表示用户没有初始密码，不允许登陆。 若为“$1$2abFCyFE$eNUeNGpJV.RTIwJ4i0ueH.”等，表示用户有设置密码，且密码采用加密算法形成。 第三字段(last)：上次修改密码的时间，即从1970年01月01日到最近一次修改密码的时间间隔（天数）。 第四字段(may)：两次修改密码最小间隔的天数；若为0,则禁用此功能。 第五字段(must)：两次修改密码最大间隔的天数，以提高系统的安全性。 第六字段(warn)：密码过期前多少天给予警告。 第七字段(max)：密码过期后多少天完全禁用用户。 第八字段(expire)：用户账号的有效日期（从1970年的1月1日开始的天数），若为空，账号永久可用。 第九字段(reserved)：保留字段,没有任何含义。 用户组帐号文件——/etc/group group文件用于存放用户组账号信息，该文件对系统中所有的用户都具备只读权限。 # ls -l /etc/group -rw-r--r-- 1 root root 654 2006-01-01 /etc/group group文件也是每行为一条记录，每条记录共有4个字段域，采用“：”分割，不同的字段描述组账号的不同属性。将group文件采用如下形式表示： gname:passwd:gid:members 第一字段：用户组名称第二字段：第三字段：第四字段：用户列表，个用户分割# ls –l /etc/gshadow -r-------- 1 root root 532 2006-01-01 /etc/gshadow