Linux帳號(hào)與身份管理

wslium

相關(guān)文件
/etc/passwd    系統(tǒng)帳號(hào)信息
/etc/shadow    帳號(hào)密碼信息    經(jīng)MD5 32位加密     在密碼欄前面加『 * 』或『 ! 』表示禁止使用該帳號(hào)
/etc/group     系統(tǒng)群組信息
/etc/gshadow
/etc/default/useradd   新增用戶時(shí)的參考設(shè)置文件
/etc/login.defs       與密碼及 UID/GID 有關(guān)的設(shè)置文件
/etc/skel/*           用戶家目錄參考目錄
/etc/pam.d/passwd     PAM驗(yàn)證模塊
  起始用戶組  initial group
有效用戶組  effective group
相關(guān)命令
newgrp    改變登陸組
useradd  &  adduser    建立新用戶
      [test@linux ~ ]$ useradd -m test  自動(dòng)建立用戶的登入目錄
      [test@linux ~ ]$ useradd -m -g pgroup test 指定所屬組（初始用戶組）
      [test@linux ~ ]$ useradd -r test 建立一個(gè)系統(tǒng)帳號(hào)，這個(gè)賬號(hào)的UID會(huì)有限制（／etc/login.defs）
passwd    更改密碼
      [test@linux ~ ]$ passwd test
usermod   修改用戶帳號(hào)
userdel   刪除帳號(hào)
      [test@linux ~ ]$ userdel -r test   連同家目錄一起刪除
一般用戶使用的命令
chsh      更換登陸系統(tǒng)時(shí)使用的SHELL   [-l]顯示可用的SHELL;[-s]修改自己的SHELL
chfn      改變自己的相關(guān)信息
finger    查找并顯示用戶信息
id        顯示用戶的ID信息
      [test@linux ~ ]$ id test
用戶組相關(guān)命令
groupadd   添加組
groupmod   與usermod類似
groupdel   刪除組
gpasswd
newgrp
切換用戶身份
su test    更改用戶   su -    進(jìn)入root,且使用root的環(huán)境變量
sudo       以其他身份來執(zhí)行指令
  [test@linux ~ ]$ sudo mkdir /root/testing
  Password:
visudo     編輯/etc/sudoers，該文件有一些比較特殊的語法，如果直接使用vi編輯，若輸入有誤則可能會(huì)造成無法啟動(dòng)sudo的后果，因此，建議使用visudo來編輯。該命令必須使用root的身份來執(zhí)行。
     格式：用戶帳號(hào) 登錄的主機(jī) = (可以變換的身份) 可以執(zhí)行的命令
     test ALL=(ALL) ALL                    使用test成為可以隨意使用sudo的身份，如果沒有加上身份聲明的話，即為test ALL= ALL，那么“默認(rèn)是僅能進(jìn)行root的身份切換”
     %wheel ALL = (ALL) ALL                系統(tǒng)里所有wheel群組的用戶都可用sudo，加上"%"代表用戶組
     %wheel ALL = (ALL) NOPASSWD: ALL     wheel群組所有用戶在使用sudo時(shí)都不用輸入密碼
     除單一個(gè)人或單一用戶組之外，還可以指定一些“帳號(hào)別名，主機(jī)別名、命令別名”等數(shù)據(jù)來相互套用，別名必須要使用大寫字母。例：
     User_Alias ADMPW = vbird, dmtsai, vbird1, vbird3         將用戶vbird, dmtsai, vbird1, vbird3加入ADMPW組
     ADMPW ALL = NOPASSWD: !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, \\
     !/usr/bin/passwd root      可以更改使用者密碼,但不能更改root密碼 (在指令前面加入 ! 代表不可)
用戶的特殊SHELL和PAM模塊
特殊的shell、/sbin/nologin
禁止用戶登錄。編輯/etc/nologin.txt文件，在此文件中說明用戶不能登錄的原因，那么下次用戶想要登錄系統(tǒng)時(shí)，屏幕上則會(huì)出現(xiàn)/etc/nologin.txt的內(nèi)容，而不是默認(rèn)的內(nèi)容了。
PAM 模塊：/etc/nologin、/etc/securetty
(Pluggable Authentication Modules, 嵌入式模塊)
PAM的設(shè)置文件放在/etc/pam.d這個(gè)目錄中
更多的環(huán)境相關(guān)設(shè)置在/etc/security/*中
PAM是通過自己提供的相關(guān)模塊來進(jìn)行驗(yàn)證，模塊放在/lib/security/*中
PAM的設(shè)置文件范例
文件格式： 驗(yàn)證的類別   驗(yàn)證的控制標(biāo)準(zhǔn)    使用的PAM模塊   該模塊能使用的參數(shù)
驗(yàn)證的類別(Module type)
auth       進(jìn)行用戶的身份驗(yàn)證                    
account    檢驗(yàn)用戶是否具有正確的使用權(quán)限         
session    管理用戶正確使用該程序時(shí)的環(huán)境設(shè)置   
password   提供驗(yàn)證的修改工作，如修改密碼        
驗(yàn)證的控制標(biāo)準(zhǔn)(control flag)
required  發(fā)生錯(cuò)誤時(shí)，繼續(xù)操作下面的模塊，后續(xù)操作完成后返回failure信息
requisite 發(fā)生錯(cuò)誤時(shí)，立刻給原程序發(fā)送failure的信息并且中斷PAM的運(yùn)行
optional 多用于顯示信息
sufficient  通過驗(yàn)證時(shí)，立刻給原程序發(fā)送通過的信息并且中斷PAM的運(yùn)行
/etc/securetty
pam_securetty 模塊最主要的功能是預(yù)防不安全的登錄環(huán)境，而且主要針對(duì)root用戶。
該模塊被啟用時(shí)，會(huì)去讀取 /etc/securetty 文件，如果我們將被認(rèn)定是安全的終端 terminal 環(huán)境寫入該文件，則root僅可以在那幾個(gè)終端環(huán)境下登錄。
/etc/nologin
pam_nologin 模塊也用于控制用戶登錄，但只針對(duì)一般用戶，對(duì)root沒有效果。
如果/etc/nologin 存在時(shí)，任何一個(gè)一般用戶在嘗試登錄時(shí)，僅會(huì)獲得該文件的內(nèi)容，而無法登錄主機(jī)。
/etc/security/*
Linux 系統(tǒng)的用戶對(duì)話與郵件的使用
查詢用戶
who & w 看誰在線
last 最近登陸主機(jī)的信息
lastlog 最近登入的時(shí)間 讀取 /var/log/lastlog
用戶對(duì)話
talk 與其他用戶交談
write 發(fā)送信息
[abc@linux ~ ]$ write test
Hi, how are you...
按下 [ctrl]+d 發(fā)送
mesg 設(shè)置終端機(jī)的寫入權(quán)限，是否接收消息
[abc@linux ~ ]$ mesg n 禁止接收
[abc@linux ~ ]$ mesg y 打開
[abc@linux ~ ]$ mesg   查看當(dāng)前的mesg狀態(tài)
wall 向所有用戶發(fā)送信息
[abc@linux ~ ]$ wall this is q test
用戶郵件信箱
mail 寫mail
[abc@linux ~ ]$  mail username@localhost -s “郵件標(biāo)題”
  [abc@linux ~ ]$ mail test -s "nice to meet you"
  hello,test
  Nice to meet you in the network.
  byebye!
  .結(jié)束時(shí)輸入點(diǎn)(.)
  Cc:
手動(dòng)增加用戶
PS：最好不要手動(dòng)修改
一些檢查工具
pwck
pwconv  將/etc/passwd 內(nèi)的帳號(hào)與密碼移到/etc/shadow中
pwunconv  將/etc/shadow內(nèi)的密碼欄數(shù)據(jù)寫回/etc/passwd 中，并且刪除/etc/shadow 文件
chpasswd
帳號(hào)的建立
建立所需要的用戶組(vi /etc/group)
將/etc/group與/etc/gshadow同步(grpconv)
建立賬號(hào)的各個(gè)屬性(vi /etc/passwd)
將/etc/passwd與/etc/gshadow同步(pwconv)
建立該帳號(hào)的密碼(passwd)
建立用戶家目錄(cp -a /etc/skel /home/username)
更改用戶家目錄屬性(chown -R username.group /home/username)


本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u2/60913/showart_1736807.html