用户是构建 Linux 安全架构的基础,我们可以通过对用户账户的验证来识别用户的身份;通过对用户账户进行授权,来确保用户只能访问到允许他访问的资源;通过对用户账户的追踪(审核,审计),可以识别用户在系统中执行的操作。
在 Linux 中用户账户主要分三类:
- superuser: 超级用户,用于管理系统,用户名为 root,对系统有完全访问权限。
- system users: 系统用户,给系统提供支持服务的进程使用,并且不可用于交互式登录。
- regular user: 普通用户,用于日常工作。
在 Linux 系统中,每个用户都有一个独一无二的 ID,用于标识用户账户。我们可以通过 id 命令来查看用户 ID:
it@ubuntusvr:~$ id yu
uid=1001(yu) gid=1001(yu) groups=1001(yu)
root 用户: 0
普通用户:
- 系统用户 1 ~ 999 ( CentOS 6 以及之前是 1~499 )
- 登录用户 1000+ ( CentOS 6 以及之前是 500+ )
与用户相关的配置文件:
- /etc/passwd:用户及其属性信息,如,用户名,UID,home 目录等等;
- /etc/shadow:用户密码及其属性信息
passwd 文件格式:
root@testsvra:~# cat /etc/passwd | head -n 1
root:x:0:0:root:/root:/bin/bash
在 passwd 文件中,每一行表示一个用户,其被划分成 7 列:
- 第一列:用户等登陆名,如,root;
- 第二列:用户的密码信息,在早期的 Linux 系统中,密码信息也是放在该文件中,后来从安全考虑,将密码信息移到了 shadow 文件中了,所以这里就显示了一个 x;
- 第三列:用户的 ID(UID),root 用户的 UID 为 0;
- 第四列:用户的主组 ID(GID),root 组的 GID 也是 0;
- 第五列:用户的注释信息(对用户的说明)
- 第六列:用户的 home 目录
- 第七列:用户默认使用的 bash
我们可以通过 man 5 passwd 获取文件的详细说明;
shadow 文件格式
root@testsvra:~# cat /etc/shadow | tail -n 2
user1:$6$m4O.xiGUrBBnA/os$9zoL4vxneGAdMH5w6xLtJsUqiuKGK2A5zJO8EsS8Qofvvsx8oY6IeyZmYFN1cuzTbQC3zGn5I06aJpTWsWhz1/:18682:0:99999:7:::
user2:!$6$MQ1L1YnDKHd1eipk$vyIiM/7icva5J1655ChnanIhVVC.9UnYRBruN0YgJapTEEbjEyqkuBXHZOb.x4QmNgpSASfQtpdEh5RZm4AUX1:18683:0:99999:7:::
在 shadow 文件中,每一行表示一个用户,其被划分成 9 列:
- 第一列:用户的登录名,如,user1;
- 第二列:用户的密码,该字段是一个通过加密(一般通过 sha512 加密)过的密文,如果在密码前面有一个 !(如 user2),则表示该用户被禁用;
- 第三列:密码更改的时间,该列显示的是 —— 自1970年1月1日开始到更改密码那天的天数(我们可以通过 data +%s 获取自1970年1月1日到现在的秒数,然后通过计算获取天数),如果显示为 0 表示用户下次登录需要更改密码;
- 第四列:密码最短使用期限,默认为 0,即随时可以更改密码;
- 第五列:密码最长使用期限,默认为 99999 天,算是永不过期了;
- 第六列:密码过期前多少天通知用户,默认为 7 天;
- 第七列:密码过期后几天,账户将被锁定;
- 第八列:自 1970年1月1日起,账号多少天后失效
- 第九列:保留字段
你可以通过 man 5 shadow 查看 shadow 文件的详细说明;
可以通过 getent 命令查看指定用户在 passwd 和 shadow 文件中的内容:
root@testsvra:~# getent passwd user1
user1:x:1001:1001::/home/user1:/bin/bash
root@testsvra:~# getent shadow user1
user1:$6$nQtBCCSADY2RrmiT$QKhS6OVQvs6qhDUohA3FeOes5Jn9fz4MvoTMWF.2x7fK/hEPSf1PLGbpNHMrGCsxjZYGPJhk45pWBBNA.qAiP0:18683:0:99999:7:::
Linux 中的程序(进程),能够访问的资源,取决于运行这个程序的用户的权限,如,不同的用户,运行同一个程序(cat),他们能访问的资源也不同:
root@testsvra:~# cat /etc/shadow | head
root:*:18474:0:99999:7:::
daemon:*:18474:0:99999:7:::
bin:*:18474:0:99999:7:::
sys:*:18474:0:99999:7:::
sync:*:18474:0:99999:7:::
games:*:18474:0:99999:7:::
man:*:18474:0:99999:7:::
lp:*:18474:0:99999:7:::
mail:*:18474:0:99999:7:::
news:*:18474:0:99999:7:::
root@testsvra:~#
root@testsvra:~# su - user1
user1@testsvra:~$ cat /etc/shadow
cat: /etc/shadow: Permission denied