Linux安全优化之用户管理

用户及用户组存在的意义

• 用户是操作者在系统中的身份标识
• 组是逻辑概念，是用户的集合，
• 用户的存在为了限制权限
• 组的存在为了归类用户便于管理权限

用户在系统中的存储方式

• 用户在系统中就是文件中的字符串
• 每个字符串映射了该用户所用到的系统资源

深入分析用户涉及到的配置文件及内容

配置文件	内容
/etc/passwd	用户信息库
/etc/group	组信息库
/home/用户同名文件	默认用户家目录
/etc/skel/所有文件	用户环境配置文件模板
/etc/shadow	用户认证信息
/etc/gshadow	组认证信息

用户信息的查看（id命令）

id

• 查看指定用户id信息

符号	作用
id -u	查看用户的uid
id -g	查看用户的gid
id -G	查看用户所在的所有组的id
id -n	显示名字而不显示id数字

用户身份的切换方式及shell的特性

图形中的注销命令

• gnome-session-quit --force（注销当前用户）

su 和 su -

su	su -
只切换用户身份，不切换用户环境	切换用户身份及用户环境

注意：

• 每次su切换到其他用户操作之后必须退出，然后再次切换到其他用户

• 执行时高级用户切换到低级用户不需要密码，低级用户切换到高级需要

• 平级用户切换切换也需要

用户及用户组的建立及删除

• groupadd 和 groupdel 用户组的建立以及删除
• userdel 和 useradd 用户的建立以及删除，
• 建立用户时，读取/etc/login.defs 文件内容确定规则
• useradd的常用参数

符号	用途
- u	指定用户的uid
- g	指定用户的gid
- G	指定用户的附加组
- c	指定用户的说明
- d	指定用户的家目录，默认为 /home/username
- s	指定用户的shell

• 用户和用户组的增加

• 首先进行实时监视操作

watch -n 1

• 用户及用户组的建立
  

• 用户和用户组的删除
  - 在已经建立了用户和组之后要想改变其uid和gid,有两种方法

• 把其删掉，重新建立，在建立时就改好其uid 和gid

• 使用usermod和groupmod

用户及用户组的信息管理

• groupmod -g
• usermod

符号	用途
-l	修改用户名称
-u	修改用户的uid
-g	修改用户的gid
-aG	指定用户的附加组
-c	修改用户的说明
-md	修改用户的家目录 ，默认为/home/username
-s	修改用户的shell类型

-附加组的演示，注意左边组后的变化

小例子练习

用户认证文件的内容分析

/etc/shadow 用户认证信息文件

1. 用户名称
2. 用户密码
3. 密码已经使用时间
4. 密码最短有效期
5. 密码最长有效期
6. .密码到期前警告
7. 密码非活跃天数
8. 密码到期日

• 英文解释
  
  
  
  

用户认证管理

-演示（chage的几种用法，注意左边的变化）

用户权力的下放

• sudo 能把某些超级权限针对性的下放 , 并且不需要普通用户知道 root 密码 , 所以 sudo 相 对于权限无限制性的 su 来说 还是比较安全的
• sudo 能把某些超级权限针对性的下放 , 并且不需要普通用户知道 root 密码 , 所以 sudo 相 对于权限无限制性的 su来说 , 还是比较安全的。
• sudo 执行命令的流程是当前用户切换到 root, 然后以 root 身份执行命令 , 执行完成后 ,直接退回到当前用户 ; 而这些的前提是要通过 sudo 的配置文件 /etc/sudoers 来进行授权

配置文件语法及测试方式

/etc/sudoers

• visudo
• 用户 主机名称=（新执行身份） [NOPASSWD:] 命令

 westos server0.example.com=(root) /usr/sbin/useradd

 westos server0.example.com=(root) NOPASSWD: /usr/sbin/userdel  ##不需要密码

• 演示
  -先进入visudo ,为了规范,大概在第100行左右进行编辑
  
• 查主机名称以及命令所在目录

• 成功
• 成功用mxm用户 useradd 了其他用户
  

管理员更改密码

passwd 用户名