linux賬戶管理
⑴ 如何管理CentOS賬戶
作為linux管理員,需要合理管理系統賬戶,包過群組的創建、密碼的設置以及許可權的管理等,今天小編要給大家介紹的是CentOS賬戶的管理,不知道如何管理的朋友可以來學習一下。
Linux每個文件都分3類許可權:賬戶本身的許可權,賬戶所在群組的許可權和其它許可權。賬戶和群組是多對多的關系,即一個賬戶可以屬於多個群組,一個群組可以包含多個賬戶。但是,對於每一個已登錄的賬戶,只能存在一個當前生效的群組(初始群組)。
賬戶管理相關配置文件如下:賬戶信息文件是/etc/passwd、賬戶密碼文件是/etc/shadow、群組信息文件是/etc/group、群組密碼文件是/etc/gshadow。
1、/etc/passwd文件怎麼看
如何管理CentOS賬戶
如上圖,/etc/passwd文件中每一行為一個賬戶,以冒號作為分割的每個欄位意思按序號分別如下:
[1] 賬戶名。改名使用命令usermod -l
[2] 密碼,該欄位已啟用。賬戶密碼在/etc/shadow文件配置
[3] UID,賬戶的唯一標識。影響該欄位值的命令包括:useradd -u、usermod -u
[4] GID,初始群組的唯一標識,關聯/etc/group文件的第3個欄位。該群組為賬戶默認的有效群組(有效群組可以使用newgrp命令進行切換)。影響該欄位值的命令包括:useradd -g、usermod -g
[5] 描述。影響該欄位值的命令包括:useradd -c、usermod -c
[6] 家目錄絕對路徑。影響該欄位值的命令包括:useradd -d、usermod -d
[7] shell,賬戶默認啟用的shell,當為/sbin/nologin時賬戶無法登錄。賬戶能使用的shell可以用命令chsh -l查詢(查詢結果為/etc/shells文件的內容)。影響該欄位值的命令包括:useradd -s、usermod -s
2、/etc/shadow文件怎麼看
如何管理CentOS賬戶
如上圖,文件/etc/shadow的每一行對應一個賬戶的密碼信息,以冒號作為分割的每個欄位意思按序號分別如下:
[1] 賬戶名,關聯/etc/passwd文件的第1個欄位
[2] 密碼,加密後的密文,加密演算法由/etc/login.defs文件中的ENCRYPT_METHOD指定,此處為SHA512。影響該欄位值的命令包括:usermod -L(前置!!凍結)、usermod -U(解凍)、passwd -l(凍結)、passwd -u(解凍)、
[3] 創建日期,上圖顯示的是一個數字,該數字表示自1970-01-01以來所經歷的天數。影響該欄位值的命令包括:chage -d
[4] 密碼創建之後需經歷多少天才能再次修改,0表示無此限制。影響該欄位值的命令包括:passwd -n、chage -m
[5] 密碼創建多少天之後就過期,99999天約等於99999/365年,好幾百年意味著密碼不會過期。影響該欄位值的命令包括:passwd -x、chage -M
[6] 密碼過期前多少天開始向用戶發送警告信息。影響該欄位值的命令包括:passwd -w、chage -W
[7] 密碼過期後還能寬限多少天,在此時間段內用戶還可以登錄和修改密碼,過了這個時間段用戶就不能夠登錄了。影響該欄位值的命令包括:useradd -f、usermod -f、passwd -i、chage -I
[8] 失效日期,一個數字,該數字表示自1970-01-01以來所經歷的天數。過了這一天用戶的密碼就失效,無論是否過期均不可再登錄。影響該欄位值的命令包括:useradd -e、usermod -e、chage -E
⑵ Linux系統中基本的用戶管理方法
用戶管理的配置文件
用戶信息文件:/etc/passwd
密碼文件:/etc/shadow
用戶組文件:/etc/group
用戶組密碼文件:/etc/gshadow
用戶配置文件:
/etc/login.defs
/etc/default/useradd
新用戶信息文件:/etc/ske1
登陸信息:/etc/motd /etc/issue
/etc/passwd文件格式
用戶類型
Linux用戶分為三種:
超級用戶(root UID=0)
普通用戶(UID 500-60000)
偽用戶(UID 1-499)
注意:root不一定是超級用戶,但是UID=0的用戶一定是超級用戶。
偽用戶
偽用戶與系統和程序服務相關
bin daemon shutdown halt等,任何linux系統默認都有這些偽用戶
mail news games apache ftp mysql及sshd等,與linux系統的進程相關
偽用戶通常不需要或無法登陸系統
可以沒有宿主目錄
用戶組
每個用戶都至少屬於一個用戶組
每個用戶組可以包括多個用戶
同一個用戶組的用戶享有該組共有的許可權
/etc/shadow文件格式
/etc/group文件格式
手工添加用戶
分別在/etc/passwd 、/etc/group 和/etc/shadow文件中添加一筆記錄
創建用戶宿主目錄
在用戶宿主目錄中設置默認的配置文件
設置用戶初始密碼
SetUID
思考:為什麼普通用戶可以更改密碼?
SetUID的定義:當一個可執行程序具有SetUID許可權,用戶執行這個程序時,將以這個程序所有者的身份執行。
範例:1.將touch命令授予SetUID許可權
2.當vi命令唄授予SetUID許可權
3.查找SetUID程序:
代碼如下:
Find / -perm -4000 –o –perm -2000
添加用戶
useradd設置選項 用戶名 -D 查看預設參數
u:UID
g:預設所屬用戶組GID
G:指定用戶所屬多個組
d:宿主目錄
s:命令解釋器shell
c:描述信息
e:指定用戶失效時間
代碼如下:
#useradd ksharpdabu //添加ksharpdabu這個賬號
p#passwd ksharpdabu /修改ksharpdabu的密碼
或者熟悉系統文件的,可以直接手動添加用戶
用戶組管理命令
添加用戶組groupadd
代碼如下:
groupadd -g 888 webadmin
創建用戶組webadmin ,其GID為 888
刪除用戶組:groupdel 組名
代碼如下:
#groupdel webuser //刪除webuser這個組
修改用戶組星系 :groupmod
代碼如下:
#groupmod -n apache webadmin
修改webadmin組名為apache
用戶組管理命令
Gpasswd設置組密碼及管理組內成員
-a添加用戶到用戶組
-d 從用戶組中刪除用戶
-A設置用戶組管理員
-r刪除用戶組密碼
-R禁止用戶切換為該組
修改用戶信息
usermod
代碼如下:
#usermod -G softgroup ksharpdabu
將用戶ksharpdabu添加到softgroup用戶組中
代碼如下:
#usermod -l ksharpdabu -d /home/samlee –g webadmin Tom
將用戶Tom的登陸用戶名改為ksharpdabu,加入wenadmin組中,用戶目錄改為/home/ ksharpdabu
用戶管理命令
pwk 檢測/etc/passwd文件(鎖定文件)
vipw 編輯/etc/passwd文件
id 查看用戶id和組信息
finger 查看用戶詳細信息
su 切換用戶(su –環境變數切換)
passwd –S 查看用戶密碼狀態
who、w 查看當前登錄用戶信息
用戶組管理命令
groups 查看用戶隸屬於哪些用戶組
newgrp 切換用戶組
grpck 用戶組配置文件檢測
chgrp 修改文件所屬組
vigr 編輯/etc/group文件(鎖定文件
用戶組授權實例
授權用戶jack和mary對目錄/software有寫許可權
代碼如下:
# groupadd softadm
p# usermod -G softadm jack
p# gpasswd -a mary softadm
p# chgrp softadm /software
p# chmod g+w /software
代碼如下:
# ls -ld /software
pdrwxrwxr-x 2 root softadm 512 Jul 14 06:17 /software
p# grep softadm /etc/group
psoftadm::100:jack,mary
禁用和恢復用戶
禁用
代碼如下:
# usermod -L username
p# passwd -l username
恢復
代碼如下:
# usermod -U username
p# passwd -u username
刪除用戶
userdel –r 用戶名
-r:刪除用戶目錄
手工刪除:
使用find命令查找屬於某個用戶或者用戶組的文件
Find選項-user、-uid、-group、-gid
對需要保留的文件進行移動和備份
對不需要的文件進行刪除
清除用戶文件中的相關表項
清除用戶宿主目錄
用戶管理命令
change設定密碼
-l 查看用戶密碼設置
-m 密碼修改最小天數
-M 密碼修改最大天數
-d 密碼最後修改的日期
-l 密碼過期後,鎖定賬戶的天數
-E 設置密碼的過期日期,如果為0,代表密碼立即過期;如果為-1,代表密碼永不過期
-W 設置密碼過期前,開始警告的天數
啟動或停用shadow功能
pwconv/pwunconv
grpconv/grpunconv
system-config-users
authconfig /etc/sysconfig/authconfig
批量添加用戶
newusers命令 導入用戶信息文件
pwunconv命令 取消shadow password功能
chpasswd命令 導入密碼文件(密碼文件格式: 用戶名:密碼)
pwconv命令 將密碼寫入shadow文件
實例:一次批量添加10個用戶
限制用戶su為root:
代碼如下:
# groupadd sugroup
p# chmod 4550 /bin/su
p# chgrp sugroup /bin/su
p# ls -l /bin/su
p-r-sr-x— 1 root sugroup 18360 Jan 15 2010 /bin/su
設定後,只有sugroup組中的用戶可以使用su切換為root
代碼如下:
# useradd helen
p# passwd helen
p# usermod -G sugroup helen //為helen增加su的許可權
用sudo替代su:
在執行sudo命令時,臨時成為root
不會泄露root口令
僅向用戶提供有限的命令使用許可權
配置文件:/etc/sudoers,編輯配置文件命令visudo
普通用戶使用命令sudo。
格式:用戶名(組名) 主機地址=命令(絕對路徑)
系統弱密碼測試工具John the ripper的使用方法;
代碼如下:
# tar -xzvf john-1.7.6.tar.gz
p# cd john-1.7.6/run
p# make
破解用戶ksharpdabu密碼
代碼如下:
# grep ksharpdabu /etc/passwd /test/ksharpdabu.passwd
p# grep ksharpdabu /etc/shadow /test/ksharpdabu.shadow
p# /test/john-1.6.6/run/unshadow /test/ksharpdabu.passwd
p/test/ksharpdabu.shadow /test/ksharpdabu.john
p# /test/john-1.6.6/run/john /test/ksharpdabu.john
⑶ linux:如何修改用戶的密碼
答案:
在Linux系統中,可以通過`passwd`命令修改用戶的密碼。以下是修改用戶密碼的詳細步驟和解釋。
詳細解釋:
1. 使用passwd命令修改密碼
在Linux系統的終端中輸入`passwd`命令,系統會提示你輸入當前用戶的密碼以進行身份驗證。驗證成功後,即可開始修改密碼。
2. 為特定用戶修改密碼
如果你想為特定用戶修改密碼,可以使用`sudo passwd 用戶名`的格式來執行命令。例如,為名為“張三”的用戶修改密碼,可以輸入`sudo passwd 張三`。之後系統會提示你輸入該用戶的舊密碼,驗證管理員許可權。驗證成功後,可以繼續設置新密碼。
3. 密碼修改規則與提示
在修改密碼時,系統可能會給出一些提示和要求,以確保密碼的安全性和復雜性。例如,某些系統要求密碼必須包含大寫字母、小寫字母、數字和特殊字元,並且達到一定的長度和復雜度。按照這些提示和要求設置密碼可以加強系統的安全性。
4. 注意事項
在修改密碼時,務必牢記以下幾點:
* 密碼應足夠復雜且難以猜測,避免使用簡單的生日、電話號碼等容易被人猜到的信息。
* 避免使用過於復雜的密碼,以免忘記或難以記憶。建議將密碼記錄在安全的地方,或者使用密碼管理工具來管理復雜的密碼。
* 定期更改密碼,以增加賬戶的安全性。很多系統和應用程序都提供了定期提醒更改密碼的功能,可以利用這些功能來養成良好的密碼管理習慣。
遵循以上步驟和注意事項,可以在Linux系統中輕松修改用戶密碼。