linux账户管理
⑴ 如何管理CentOS账户
作为linux管理员,需要合理管理系统账户,包过群组的创建、密码的设置以及权限的管理等,今天小编要给大家介绍的是CentOS账户的管理,不知道如何管理的朋友可以来学习一下。
Linux每个文件都分3类权限:账户本身的权限,账户所在群组的权限和其它权限。账户和群组是多对多的关系,即一个账户可以属于多个群组,一个群组可以包含多个账户。但是,对于每一个已登录的账户,只能存在一个当前生效的群组(初始群组)。
账户管理相关配置文件如下:账户信息文件是/etc/passwd、账户密码文件是/etc/shadow、群组信息文件是/etc/group、群组密码文件是/etc/gshadow。
1、/etc/passwd文件怎么看
如何管理CentOS账户
如上图,/etc/passwd文件中每一行为一个账户,以冒号作为分割的每个字段意思按序号分别如下:
[1] 账户名。改名使用命令usermod -l
[2] 密码,该字段已启用。账户密码在/etc/shadow文件配置
[3] UID,账户的唯一标识。影响该字段值的命令包括:useradd -u、usermod -u
[4] GID,初始群组的唯一标识,关联/etc/group文件的第3个字段。该群组为账户默认的有效群组(有效群组可以使用newgrp命令进行切换)。影响该字段值的命令包括:useradd -g、usermod -g
[5] 描述。影响该字段值的命令包括:useradd -c、usermod -c
[6] 家目录绝对路径。影响该字段值的命令包括:useradd -d、usermod -d
[7] shell,账户默认启用的shell,当为/sbin/nologin时账户无法登录。账户能使用的shell可以用命令chsh -l查询(查询结果为/etc/shells文件的内容)。影响该字段值的命令包括:useradd -s、usermod -s
2、/etc/shadow文件怎么看
如何管理CentOS账户
如上图,文件/etc/shadow的每一行对应一个账户的密码信息,以冒号作为分割的每个字段意思按序号分别如下:
[1] 账户名,关联/etc/passwd文件的第1个字段
[2] 密码,加密后的密文,加密算法由/etc/login.defs文件中的ENCRYPT_METHOD指定,此处为SHA512。影响该字段值的命令包括:usermod -L(前置!!冻结)、usermod -U(解冻)、passwd -l(冻结)、passwd -u(解冻)、
[3] 创建日期,上图显示的是一个数字,该数字表示自1970-01-01以来所经历的天数。影响该字段值的命令包括:chage -d
[4] 密码创建之后需经历多少天才能再次修改,0表示无此限制。影响该字段值的命令包括:passwd -n、chage -m
[5] 密码创建多少天之后就过期,99999天约等于99999/365年,好几百年意味着密码不会过期。影响该字段值的命令包括:passwd -x、chage -M
[6] 密码过期前多少天开始向用户发送警告信息。影响该字段值的命令包括:passwd -w、chage -W
[7] 密码过期后还能宽限多少天,在此时间段内用户还可以登录和修改密码,过了这个时间段用户就不能够登录了。影响该字段值的命令包括:useradd -f、usermod -f、passwd -i、chage -I
[8] 失效日期,一个数字,该数字表示自1970-01-01以来所经历的天数。过了这一天用户的密码就失效,无论是否过期均不可再登录。影响该字段值的命令包括:useradd -e、usermod -e、chage -E
⑵ Linux系统中基本的用户管理方法
用户管理的配置文件
用户信息文件:/etc/passwd
密码文件:/etc/shadow
用户组文件:/etc/group
用户组密码文件:/etc/gshadow
用户配置文件:
/etc/login.defs
/etc/default/useradd
新用户信息文件:/etc/ske1
登陆信息:/etc/motd /etc/issue
/etc/passwd文件格式
用户类型
Linux用户分为三种:
超级用户(root UID=0)
普通用户(UID 500-60000)
伪用户(UID 1-499)
注意:root不一定是超级用户,但是UID=0的用户一定是超级用户。
伪用户
伪用户与系统和程序服务相关
bin daemon shutdown halt等,任何linux系统默认都有这些伪用户
mail news games apache ftp mysql及sshd等,与linux系统的进程相关
伪用户通常不需要或无法登陆系统
可以没有宿主目录
用户组
每个用户都至少属于一个用户组
每个用户组可以包括多个用户
同一个用户组的用户享有该组共有的权限
/etc/shadow文件格式
/etc/group文件格式
手工添加用户
分别在/etc/passwd 、/etc/group 和/etc/shadow文件中添加一笔记录
创建用户宿主目录
在用户宿主目录中设置默认的配置文件
设置用户初始密码
SetUID
思考:为什么普通用户可以更改密码?
SetUID的定义:当一个可执行程序具有SetUID权限,用户执行这个程序时,将以这个程序所有者的身份执行。
范例:1.将touch命令授予SetUID权限
2.当vi命令呗授予SetUID权限
3.查找SetUID程序:
代码如下:
Find / -perm -4000 –o –perm -2000
添加用户
useradd设置选项 用户名 -D 查看缺省参数
u:UID
g:缺省所属用户组GID
G:指定用户所属多个组
d:宿主目录
s:命令解释器shell
c:描述信息
e:指定用户失效时间
代码如下:
#useradd ksharpdabu //添加ksharpdabu这个账号
p#passwd ksharpdabu /修改ksharpdabu的密码
或者熟悉系统文件的,可以直接手动添加用户
用户组管理命令
添加用户组groupadd
代码如下:
groupadd -g 888 webadmin
创建用户组webadmin ,其GID为 888
删除用户组:groupdel 组名
代码如下:
#groupdel webuser //删除webuser这个组
修改用户组星系 :groupmod
代码如下:
#groupmod -n apache webadmin
修改webadmin组名为apache
用户组管理命令
Gpasswd设置组密码及管理组内成员
-a添加用户到用户组
-d 从用户组中删除用户
-A设置用户组管理员
-r删除用户组密码
-R禁止用户切换为该组
修改用户信息
usermod
代码如下:
#usermod -G softgroup ksharpdabu
将用户ksharpdabu添加到softgroup用户组中
代码如下:
#usermod -l ksharpdabu -d /home/samlee –g webadmin Tom
将用户Tom的登陆用户名改为ksharpdabu,加入wenadmin组中,用户目录改为/home/ ksharpdabu
用户管理命令
pwk 检测/etc/passwd文件(锁定文件)
vipw 编辑/etc/passwd文件
id 查看用户id和组信息
finger 查看用户详细信息
su 切换用户(su –环境变量切换)
passwd –S 查看用户密码状态
who、w 查看当前登录用户信息
用户组管理命令
groups 查看用户隶属于哪些用户组
newgrp 切换用户组
grpck 用户组配置文件检测
chgrp 修改文件所属组
vigr 编辑/etc/group文件(锁定文件
用户组授权实例
授权用户jack和mary对目录/software有写权限
代码如下:
# groupadd softadm
p# usermod -G softadm jack
p# gpasswd -a mary softadm
p# chgrp softadm /software
p# chmod g+w /software
代码如下:
# ls -ld /software
pdrwxrwxr-x 2 root softadm 512 Jul 14 06:17 /software
p# grep softadm /etc/group
psoftadm::100:jack,mary
禁用和恢复用户
禁用
代码如下:
# usermod -L username
p# passwd -l username
恢复
代码如下:
# usermod -U username
p# passwd -u username
删除用户
userdel –r 用户名
-r:删除用户目录
手工删除:
使用find命令查找属于某个用户或者用户组的文件
Find选项-user、-uid、-group、-gid
对需要保留的文件进行移动和备份
对不需要的文件进行删除
清除用户文件中的相关表项
清除用户宿主目录
用户管理命令
change设定密码
-l 查看用户密码设置
-m 密码修改最小天数
-M 密码修改最大天数
-d 密码最后修改的日期
-l 密码过期后,锁定账户的天数
-E 设置密码的过期日期,如果为0,代表密码立即过期;如果为-1,代表密码永不过期
-W 设置密码过期前,开始警告的天数
启动或停用shadow功能
pwconv/pwunconv
grpconv/grpunconv
system-config-users
authconfig /etc/sysconfig/authconfig
批量添加用户
newusers命令 导入用户信息文件
pwunconv命令 取消shadow password功能
chpasswd命令 导入密码文件(密码文件格式: 用户名:密码)
pwconv命令 将密码写入shadow文件
实例:一次批量添加10个用户
限制用户su为root:
代码如下:
# groupadd sugroup
p# chmod 4550 /bin/su
p# chgrp sugroup /bin/su
p# ls -l /bin/su
p-r-sr-x— 1 root sugroup 18360 Jan 15 2010 /bin/su
设定后,只有sugroup组中的用户可以使用su切换为root
代码如下:
# useradd helen
p# passwd helen
p# usermod -G sugroup helen //为helen增加su的权限
用sudo替代su:
在执行sudo命令时,临时成为root
不会泄露root口令
仅向用户提供有限的命令使用权限
配置文件:/etc/sudoers,编辑配置文件命令visudo
普通用户使用命令sudo。
格式:用户名(组名) 主机地址=命令(绝对路径)
系统弱密码测试工具John the ripper的使用方法;
代码如下:
# tar -xzvf john-1.7.6.tar.gz
p# cd john-1.7.6/run
p# make
破解用户ksharpdabu密码
代码如下:
# grep ksharpdabu /etc/passwd /test/ksharpdabu.passwd
p# grep ksharpdabu /etc/shadow /test/ksharpdabu.shadow
p# /test/john-1.6.6/run/unshadow /test/ksharpdabu.passwd
p/test/ksharpdabu.shadow /test/ksharpdabu.john
p# /test/john-1.6.6/run/john /test/ksharpdabu.john
⑶ linux:如何修改用户的密码
答案:
在Linux系统中,可以通过`passwd`命令修改用户的密码。以下是修改用户密码的详细步骤和解释。
详细解释:
1. 使用passwd命令修改密码
在Linux系统的终端中输入`passwd`命令,系统会提示你输入当前用户的密码以进行身份验证。验证成功后,即可开始修改密码。
2. 为特定用户修改密码
如果你想为特定用户修改密码,可以使用`sudo passwd 用户名`的格式来执行命令。例如,为名为“张三”的用户修改密码,可以输入`sudo passwd 张三`。之后系统会提示你输入该用户的旧密码,验证管理员权限。验证成功后,可以继续设置新密码。
3. 密码修改规则与提示
在修改密码时,系统可能会给出一些提示和要求,以确保密码的安全性和复杂性。例如,某些系统要求密码必须包含大写字母、小写字母、数字和特殊字符,并且达到一定的长度和复杂度。按照这些提示和要求设置密码可以加强系统的安全性。
4. 注意事项
在修改密码时,务必牢记以下几点:
* 密码应足够复杂且难以猜测,避免使用简单的生日、电话号码等容易被人猜到的信息。
* 避免使用过于复杂的密码,以免忘记或难以记忆。建议将密码记录在安全的地方,或者使用密码管理工具来管理复杂的密码。
* 定期更改密码,以增加账户的安全性。很多系统和应用程序都提供了定期提醒更改密码的功能,可以利用这些功能来养成良好的密码管理习惯。
遵循以上步骤和注意事项,可以在Linux系统中轻松修改用户密码。