用户管理PPT推荐.ppt

1、RedHat发行版中：0为root用户ID1-499为deamon用户ID范围500以上为普通用户ID范围。用户ID的范围界定推荐如上，但不强制。1.3用户管理方式Linux系统可用的用户管理方式为：NIS使用NIS（版本2）授权NIS+使用NIS+（版本3）授权Files使用本地文件/etc/pssswd/etc/shawdowDB使用本地数据库文件LDAP使用LDAP授权MYSQL使用MYSQL授权1.4NSSNameServiceSwitch.名称服务开关，为常见系统服务和名称解析指明配置数据库来源，包括：本地文件，DNS，NIS，LDAP等NSS包含如下文件：/etc/nsswitch

2、.conf 主配置文件/lib/libnss_compat.so.X 为glibc实现以compat为来源的配置指向/lib/libnss_db.so.X 为glibc实现以db为来源的配置指向/lib/libnss_dns.so.X 为glibc实现以dns为来源的配置指向/lib/libnss_files.so.X 为glibc实现以files为来源的配置指向/lib/libnss_nis.so.X 为glibc实现以nis为来源的配置指向/lib/libnss_nisplus.so.2 为glibc实现以nisplus为来源的配置指向nsswitch.conf文件决定：系统从何处获得用户

3、和密码信息。以及查找顺序，系统从何处获得IP地址，DNS域名解析，主机名。以及查找顺序。1.5PAMPAM（PluggableAuthenticationModulesforLinux）基于Linux的插入式验证模块。PAM实现用户登录授权验证处理。PAM只提供接口，不提供数据库。所以，PAM只是工具。PAM支持从本地文件，ldap，mysql获取用户和密码数据库。PAM的文件：/usr/lib/libpam.so.*PAM核心库/etc/pam.conf或/etc/pam.d/PAM配置文件/usr/lib/security/pam_*.so可动态加载的PAM服务模块1.6如何工作？从登录界

4、面到出现shell系统是如何工作的？1系统输出login提示符，接受用户输入2用户输入用户名，PAM检查用户名的合法性。系统读取/etc/nsswitch.conf文件获取用户密码数据库类型PAM读取用户名数据库。PAM验证用户名的合法性。3用户名合法，输出password提示符。用户名不合法，输出失败信息。4PAM获取用户输入，加密后和密码数据库比对。PAM读取密码数据库。PAM验证密码，完成授权。5密码验证通过后，PAM创建会话，提供shell。2.相关配置文件/etc/passwd/etc/shadow/etc/group/etc/nsswitch.conf/etc/pam.d/logi

5、n2.1/etc/passwd内容节选：root:x:0:/root:/bin/bashbin:1:bin:/bin:/sbin/nologindaemon:2:daemon:/sbin:/sbin/nologinhonliv:1001:/home/honliv:/bin/bashpasswd文件以“:”分段。第一段：用户名，第二段：密码，x号标示passwd文件中不包含密码，密码在shadow文件中。第三段：用户ID第四段：组ID，用户主属组的组ID第五段：解释，备注，关于用户的一些详细信息。第六段：用户主目录第七段：用户shell，/sbin/nologin,不允许登陆。添加用户可以用us

6、eradd名，也可直接编辑passwd文件。2.2/etc/shadow内容节选：$6$LdRV66cqgbYG0Vuz$xNrk7AM0.SA/GmP5IpyGo9D77JXLowDr48WdX0IsaSArU6vhkQfbKW7B7LKBwX0BFv0PRpqRBHO0Eo0kFGR25.:15442:99999:7:*:14937:shadow文件以“:第1段：用户名第2段：密码，!代表未设置密码，$代表设置了密码，*表示不需要密码。第3段：上次修改密码日期，自计算机元年1970年1月1日的天数。第4段：多久后可修改密码，0代表随时可修改第5段：密码的过期时间，99999代表永不过期第6

7、段：过期时间提前警告天数，7天后过期第7段：密码过期后，系统自动禁用账户天数第8段：账户被禁用的天数第9段：备用2.3/etc/group内容节选：rootbin:root,bin,daemondaemon:root,bin,daemongroup文件以“:组名第二段：组口令占位符第三段：组ID第四段：组内用户，逗号分隔添加多个用户。2.4/etc/nsswitch.conf/etc/nsswitch.conf该文件决定系统从何处查找用户和密码信息。以及多种选择方式的优先级。同时该文件还决定hostname，network等服务获取地址和主机名的优先级。passwd:files用户数据库从/e

8、tc/passwd读取shadow:files 密码数据库从/etc/shadow读取group:files组数据库从/etc/passwd读取hosts:files dns 主机名优先从host文件读取，其次通过DNS获取2.5/etc/pam.d/login内容节选：module-type control-flag control-flagauth required pam_env.soaccount sufficient pam_localuser.sopassword requisite pam_cracklib.sosession optional pam_keyinit.somod

9、ule-type模块类型有四种：auth、account、session、password，即对应PAM所支持的四种管理方式。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack。control-flag有四种可能的值：required，requisite，sufficient，optional。它告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况control-flag包含以下两个部分：module-path部分指明库文件路径，相对路径默认基于目录/usr/lib/securityarguments为模块执行的参数。3用户管理命令3.1用户管理命令/bin/use

10、rs查看当前在系统上登录的用户/usr/sbin/usernetctl查看用户是否有操作网卡权限/usr/sbin/newusers从文件批量创建用户/usr/sbin/lnewusers同lnewusers/usr/sbin/adduser同useradd/usr/sbin/useradd添加用户/usr/sbin/luseradd同useradd/usr/sbin/userdel删除用户/usr/sbin/luserdel同userdel/usr/sbin/usermod修改用户属性/usr/sbin/lusermod同usermod3.2组管理命令/usr/bin/groups查看当前在系统上登录的组/usr/sbin/groupadd添加组/usr/sbin/lgroupadd/usr/sbin/groupdel删除组/usr/sbin/lgroupdel/usr/sbin/groupmod修改组属性/usr/sbin/lgroupmod/usr/sbin/groupmems把别的用户添加到自己的同名组，不需要特权