Linux 是一個多用戶的>操作系統 ,用戶和用戶組的管理是系統管理員的重要工作之一。本文的內容包括如何利用圖形化工具 rfuser 和在命令行界面下完成用戶賬號、工作組的建立和維護,並正確設置用戶權限和 安全 性問題。 利用圖形配置工具 rfuser 與使用命令進
Linux 是一個多用戶的>操作系統,用戶和用戶組的管理是系統管理員的重要工作之一。本文的內容包括如何利用圖形化工具 rfuser 和在命令行界面下完成用戶賬號、工作組的建立和維護,並正確設置用戶權限和
安全性問題。
利用圖形配置工具 rfuser 與使用命令進行用戶/用戶組管理完成的是同樣的工作,不同之處在於圖形工具的操作界面友好直觀,用戶也不必去記憶大量的命令和參數。
概述
在 Linux 系統中,每個用戶對應一個帳號。Red Flag Server 4.1 安裝完成後,系統本身已創建了一些特殊用戶,它們具有特殊的意義,其中最重要的是超級用戶,即 root。
超級用戶承擔了系統管理的一切任務,可以不受限制地進行任何操作,因此建議只有在完全必要的情況下才以 root 身份進行操作。
由超級用戶創建允許登錄系統的普通用戶,一般超級用戶也需要為自己建立一個用來處理一般事務的普通帳戶。
下面是用戶和組群管理的一些基本概念:
用戶名: 系統中用來標識用戶的名稱,可以是字母、數字組成的字符串,區分大小寫。
用戶標識UID: 系統中用來標識用戶的數字。
用戶主目錄: 系統為每個用戶配置的單獨使用環境,即用戶登錄系統後最初所在的目錄,用戶的文件都放置在此目錄下。
登錄shell: 用戶登錄後啟動以接收用戶的輸入並執行輸入相應命令的程序,如/bin/bash、
/bin/csh。
用戶組/組群: 具有相似屬性的多個用戶被分配到一個組中。
組標識GID: 用來表示用戶組的數字標識
超級用戶在系統中的用戶ID和組ID都是0。
普通用戶的用戶 ID(UID)從500開始編號,並且默認屬於與用戶名同名的組。組 ID(GID)
也從500開始編號。
用su命令改變身份
用戶在系統使用過程中可以隨時使用 su 命令來改變身份。例如,系統管理員在平時工作時可以用普通帳號登錄,在需要進行系統維護時用 su 命令獲得 root 權限,之後再用 su 回到原帳號。
su 的語法為:su
username 是要切換到的用戶名,如果不指定用戶名,則默認將用戶身份切換為 root,系統會要求給出正確的口令。
默認情況下,只要知道 root 口令,任何用戶都可以通過 su 命令切換到 root 身份,這是一個安全漏洞。所以我們強烈建議:只有 wheel 組成員才可以通過 su 命令轉換為root。實現的辦法是修改 /etc/pam.d/su 文件,取消對如下一句“auth required
/lib/security/$ISA/pam_wheel.so use_uid”的注釋。
系統中的用戶管理配置文件
/etc/passwd 文件
Red Flag Server 4.1 系統中用於管理用戶帳號的基本文件是 /etc/passwd,該文件中包含了系統中所有用戶的用戶名和它們的相關信息。每個用戶帳號在文件中對應一行,並且用冒號(;)分為七個域。
每一行的形式如下:
用戶名:加密的口令:用戶ID:組ID:用戶的全名或描述:登錄目錄:登錄shell
下面是 root 用戶在此文件中對應的行:
root:X:0:0:root:/root:/bin/bash
Linux 系統將每一個用戶僅僅看成是一個數字,即用每個用戶惟一的用戶 ID 來識別,配置文件
/etc/passwd 給出了系統用戶 ID 與用戶名之間及其他信息的對應關系。
/etc/passwd 文件對系統的所有用戶都是可讀的,這樣的好處是每個用戶都可以知道系統上有哪些用戶,但缺點是其他用戶的口令容易受到攻擊(尤其當口令較簡單時)。所以在紅旗 Linux 中使用影子口令格式,將用戶的口令存儲在另一個文件 /etc/shadow 中,該文件只有根用戶 root 可讀,因而大大提高了安全性。
/etc/shadow 文件
為了保證系統的安全性,系統通常對用戶的口令進行 shadow 處理,並把用戶口令保存到只有超
級用戶可讀的 /etc/shadow 文件中。該文件包含了系統中所有用戶和用戶口令等相關信息。
每個用戶在該文件中對應一行,並且用冒號分成九個域。每一行包括以下內容:
1、 用戶登錄名
2、 用戶加密後的口令,(若為空,表示該用戶不需口令即可登錄,若為 * 號,表示該帳號被禁
止)
3、 從1970年1月1日至口令最近一次被修改的天數
4、 口令在多少天內不能被用戶修改
5、 口令在多少天後必須被修改
6、 口令過期多少天後用戶帳號被禁止
7、 口令在到期多少天內給用戶發出警告
8、 口令自1970年1月1日被禁止的天數
9、 保留域
/etc/group 文件
在 Linux 中,使用組來賦予用戶訪問文件的不同權限。組的劃分可以采用多種標准,一個用戶可
同時包含在多個組內。管理用戶組的基本文件是 /etc/group,其中包含了系統中所有用戶組的相關信息。每個用戶組對應文件中的一行,並用冒號分成四個域。其中每一行的形式如下:
用戶組名:加密後的組口令:組ID:組成員列表
下面是用戶組 sys 在 /etc/group 中對應的一行:
sys:x:3:root,bin,adm
代表的信息包括:系統中有一個稱為 sys 的用戶組,設有口令,組 ID 為3,組中的成員有 root、
bin、adm 三個用戶。
Red Flag Server 4.1 在安裝中同樣創建了一些標准的用戶組,在一般情況下,建議您不要對這些用戶組進行刪除和修改,除非您完全明白它們的用途和意義。
/etc/skel 目錄
一般來說,每個用戶都有自己的主目錄,用戶成功登錄後就處於自己的主目錄下。主目錄中存放有與用戶相關的文件、命令和配置。當為新用戶創建主目錄時,系統會在新用戶的主目錄下建立一份
/etc/skel 目錄下所有文件的拷貝,用來初始化用戶的主目錄。
使用rfuser管理用戶與組群
利用 rfuser 用戶和組群管理工具,可以輕松的管理系統中的用戶和用戶組,包括完成新建、查看、管理帳號、密碼、權限等所有操作。
在控制面板的“系統配置”項中選擇“本地用戶和組”,或在 KDE 桌面環境下使用命令 rfuser ,
即可打開本地用戶和組管理器。
rfuser 工具需要以超級用戶身份運行。
系統缺省創建的用戶和組群對於系統管理和應用程序的使用有重要的意義,不要隨意修改或刪除它們,尤其是 root 用戶,否則有可能導致系統異常甚至崩潰。
查看用戶和用戶組
在圖2-1所示的本地用戶和組管理主界面中,點擊“用戶”標簽列出本地用戶及其基本信息,包括用戶名、用戶 UID、所屬主組群、用戶描述信息、登錄 shell 和用戶的主目錄信息;點擊“組”標
簽顯示系統中組群信息,包括
