用户管理PPT推荐.ppt
《用户管理PPT推荐.ppt》由会员分享,可在线阅读,更多相关《用户管理PPT推荐.ppt(15页珍藏版)》请在冰豆网上搜索。
RedHat发行版中:
0为root用户ID1-499为deamon用户ID范围500以上为普通用户ID范围。
用户ID的范围界定推荐如上,但不强制。
1.3用户管理方式Linux系统可用的用户管理方式为:
NIS使用NIS(版本2)授权NIS+使用NIS+(版本3)授权Files使用本地文件/etc/pssswd/etc/shawdowDB使用本地数据库文件LDAP使用LDAP授权MYSQL使用MYSQL授权1.4NSSNameServiceSwitch.名称服务开关,为常见系统服务和名称解析指明配置数据库来源,包括:
本地文件,DNS,NIS,LDAP等NSS包含如下文件:
/etc/nsswitch.conf主配置文件/lib/libnss_compat.so.X为glibc实现以compat为来源的配置指向/lib/libnss_db.so.X为glibc实现以db为来源的配置指向/lib/libnss_dns.so.X为glibc实现以dns为来源的配置指向/lib/libnss_files.so.X为glibc实现以files为来源的配置指向/lib/libnss_nis.so.X为glibc实现以nis为来源的配置指向/lib/libnss_nisplus.so.2为glibc实现以nisplus为来源的配置指向nsswitch.conf文件决定:
系统从何处获得用户和密码信息。
以及查找顺序,系统从何处获得IP地址,DNS域名解析,主机名。
以及查找顺序。
1.5PAMPAM(PluggableAuthenticationModulesforLinux)基于Linux的插入式验证模块。
PAM实现用户登录授权验证处理。
PAM只提供接口,不提供数据库。
所以,PAM只是工具。
PAM支持从本地文件,ldap,mysql获取用户和密码数据库。
PAM的文件:
/usr/lib/libpam.so.*PAM核心库/etc/pam.conf或/etc/pam.d/PAM配置文件/usr/lib/security/pam_*.so可动态加载的PAM服务模块1.6如何工作?
从登录界面到出现shell系统是如何工作的?
1系统输出login提示符,接受用户输入2用户输入用户名,PAM检查用户名的合法性。
系统读取/etc/nsswitch.conf文件获取用户密码数据库类型PAM读取用户名数据库。
PAM验证用户名的合法性。
3用户名合法,输出password提示符。
用户名不合法,输出失败信息。
4PAM获取用户输入,加密后和密码数据库比对。
PAM读取密码数据库。
PAM验证密码,完成授权。
5密码验证通过后,PAM创建会话,提供shell。
2.相关配置文件/etc/passwd/etc/shadow/etc/group/etc/nsswitch.conf/etc/pam.d/login2.1/etc/passwd内容节选:
root:
x:
0:
/root:
/bin/bashbin:
1:
bin:
/bin:
/sbin/nologindaemon:
2:
daemon:
/sbin:
/sbin/nologinhonliv:
1001:
/home/honliv:
/bin/bashpasswd文件以“:
”分段。
第一段:
用户名,第二段:
密码,x号标示passwd文件中不包含密码,密码在shadow文件中。
第三段:
用户ID第四段:
组ID,用户主属组的组ID第五段:
解释,备注,关于用户的一些详细信息。
第六段:
用户主目录第七段:
用户shell,/sbin/nologin,不允许登陆。
添加用户可以用useradd名,也可直接编辑passwd文件。
2.2/etc/shadow内容节选:
$6$LdRV66cqgbYG0Vuz$xNrk7AM0.SA/GmP5IpyGo9D77JXLowDr48WdX0IsaSArU6vhkQfbKW7B7LKBwX0BFv0PRpqRBHO0Eo0kFGR25.:
15442:
99999:
7:
*:
14937:
shadow文件以“:
第1段:
用户名第2段:
密码,!
代表未设置密码,$代表设置了密码,*表示不需要密码。
第3段:
上次修改密码日期,自计算机元年1970年1月1日的天数。
第4段:
多久后可修改密码,0代表随时可修改第5段:
密码的过期时间,99999代表永不过期第6段:
过期时间提前警告天数,7天后过期第7段:
密码过期后,系统自动禁用账户天数第8段:
账户被禁用的天数第9段:
备用2.3/etc/group内容节选:
rootbin:
root,bin,daemondaemon:
root,bin,daemongroup文件以“:
组名第二段:
组口令占位符第三段:
组ID第四段:
组内用户,逗号分隔添加多个用户。
2.4/etc/nsswitch.conf/etc/nsswitch.conf该文件决定系统从何处查找用户和密码信息。
以及多种选择方式的优先级。
同时该文件还决定hostname,network等服务获取地址和主机名的优先级。
passwd:
files用户数据库从/etc/passwd读取shadow:
files密码数据库从/etc/shadow读取group:
files组数据库从/etc/passwd读取hosts:
filesdns主机名优先从host文件读取,其次通过DNS获取2.5/etc/pam.d/login内容节选:
module-typecontrol-flagcontrol-flagauthrequiredpam_env.soaccountsufficientpam_localuser.sopasswordrequisitepam_cracklib.sosessionoptionalpam_keyinit.somodule-type模块类型有四种:
auth、account、session、password,即对应PAM所支持的四种管理方式。
同一个服务可以调用多个PAM模块进行认证,这些模块构成一个stack。
control-flag有四种可能的值:
required,requisite,sufficient,optional。
它告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况control-flag包含以下两个部分:
module-path部分指明库文件路径,相对路径默认基于目录/usr/lib/securityarguments为模块执行的参数。
3用户管理命令3.1用户管理命令/bin/users查看当前在系统上登录的用户/usr/sbin/usernetctl查看用户是否有操作网卡权限/usr/sbin/newusers从文件批量创建用户/usr/sbin/lnewusers同lnewusers/usr/sbin/adduser同useradd/usr/sbin/useradd添加用户/usr/sbin/luseradd同useradd/usr/sbin/userdel删除用户/usr/sbin/luserdel同userdel/usr/sbin/usermod修改用户属性/usr/sbin/lusermod同usermod3.2组管理命令/usr/bin/groups查看当前在系统上登录的组/usr/sbin/groupadd添加组/usr/sbin/lgroupadd/usr/sbin/groupdel删除组/usr/sbin/lgroupdel/usr/sbin/groupmod修改组属性/usr/sbin/lgroupmod/usr/sbin/groupmems把别的用户添加到自己的同名组,不需要特权
升级会员 