一、实验目的

　　　　1）掌握linux管理账户的基本命令；

　　　　2）了解linux用户管理的一般原则；

二、实验步骤

　　　　1）建立与删除普通用户账户，管理组

　　　　　　管理帐户的俱行工具及功能如下：

　　　　　　①useradd [] 添加新用户

 

    　　　　   ②usermod [] 修改已存在的指定用户

 　　　　      ③userdel [-r] 删除已存在的指定帐户，-r参数用于删除用户自家目录

  　　　　     ④groupadd [] 加新组

   　　　　    ⑤groupmod [] 修改已存在的指定组

   　　　　    ⑥groupdel 删除已存在的指定组

　　　　　　操作：

　　　　　　①创建一个新用户user1

　　　　　　    useradd user1

　　　　　　②创建一个新组group1

 

    　　　　　　groupadd group1

 

　　　　　　③创建一个新用户user2并将其加入用户组group1中

 

    　　　　　　useradd -G group1 user2

　　　　　　④创建一个新用户user3，指定登录目录为/www，不创建自家用户目录（-M）

 

  　　　　　　  useradd -d /www -M user3

　　　　　　⑤将用户user2添加到附加组group1中

 

  　　　　　　  usermod -G group1 user2

　　　　　　

 

 　　　　　  至此，group1组中有user1，user2两个用户，用命令查看/etc/group文件如下图：

　　　　　　

 

 　　　　　　⑥删除用户user3，用户uers3从用户组中消失

    　　　　　　userdel user3   

　　　　　　

 

 　　　　　　⑦删除用户user2，同时删除自家目录

    　　　　　　userdel -r user2

　　　　　　

 

 　　　　　　⑧删除组group1，则组group1中的用户则被分配到其自己分配的私有组中。

　　　　　　　groupdel group1

　　　　　　

 

 　　　　2）用户口令管理与口令时效管理

　　　　　　①passwd命令

    　　　　　　passwd命令用来设置用户口令，格式为：passwd [] []

   　　　　　　 用户修改自己的用户密码可直接键入passwd，若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理：

   　　　　　　 passwd -l //禁用用户帐户口令

   　　　　　　 passwd -S //查看用户帐户口令状态

  　　　　　　  passwd -u //恢复用户帐户口令

  　　　　　　  passwd -d //删除用户帐户口令

   　　　　　　 在创建完用户user1后，没给用户passwd口令时，账户默认为禁用状态：

　　　　　　　

 

　　　　　　　 1. 给用户user1创建口令，设置密码

　　　　　　　　passwd user1

　　　　　　　　

 

 　　　　　　　接下来我们再次查看user1状态时，则为如下图所示：

　　　　　　　　

 

 　　　　　　　密码已经设置，且为SHA512加密

　　　　　　　2. 禁用账户user1

　　　　　　　　passwd -l user1

　　　　　　　　

 

 　　　  　　　3 . 恢复账户user1的账户口令：

　　　　　　　　passwd -u user1

　　　　　　　　

 

 　　　　　　  4. 删除用户账户口令

　　　　　　　　passwd -d user1

　　　　　　　　

 　　　　　②chage命令

　　　　　　口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage []

  　　　　　  以下是chage命令的选项说明：

   　　　　　 -m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

 　　　　　   -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

  　　　　　  -d days： 指定从1970年1月1日起，口令被改变的天数。

  　　　　　  -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

  　　　　　  -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

  　　　　　  -W days： 指定口令过期前要警告用户的天数。

   　　　　　 -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

  　　　　　  例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，并且口令过期前5天通知用户

  　　　　　  chage -m 2 -M 30 -W 5 user1

    　　　　　可以使用如下命令查看用户user1当前的口令时效信息：chage -l user1

　　　　　　

 

 　　　　③PAM可插拔验证模块

　　　　　　PAM(Plugable Authentication Module，可插拔验证模块)是由Sun提出的一种认证机制。管理员通过它可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程                         序，同时也便于向系统中添加新的认证手段。不少应用软件都可以与PAM进行集成，当然，操作系统的登录验证过程也可以通过对PAM进行配置来进行。如指定密码复杂性、指                       定用户试图登录的失败次数等，以下列出对这些账号的安全性配置。

　　　　　　1.指定密码复杂性

　　　　　　　　修改/etc/pam.d/system-auth配置：(注意：在root用户下进行，其余用户对这个文件只有读的权限)

   　　　　　　　 vi /etc/pam.d/system-auth

  　　　　　　　  限制密码最少有：2个大写字母，3个小写字母，3个数字，2个符号

 　　　  　　 　   文件中有一行为：

　　　　　　　    password requisite pam_cracklib.so try_first_pass retry=3

　　　　　　　    在其后追加如下参数：

   　　　　　　　 ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

　　　　　　2. 验证时若出现任何与pam_tally有关的错误则停止登录

 

   　　　　　　 auth required pam_tally.so onerr=fail magic_root

　　　　　　3. 账号验证过程中一旦发现连续5次输入密码错误，就通过pam_tally锁定此账号600秒

 

   　　　　　　 account required pam_tally.so deny=5 lock_time=600 magic_root reset

　　　　　　　

 

 

 

 

 

 

 

 

 

 

三、分析与思考 　　　　1）思考还有哪些加强linux账户安全的管理方法？ 　　　　　　　　开启防火墙，仅开启必要端口 　　　　　　　　关闭不必要的服务 　　　　　　　　清除不必要的系统账户 　　　　　　　　使用特定账户开启特定服务，尽量不使用root 　　　　　　　　

禁止root远程登陆

　　　　　　　修改ssh协议端口号

　　　　　　　更改系统信息，不要显示系统版本、内核版本等

　　　　　　　设定连续失败次数锁定账户

　　　　2）比较一下linux账户跟unix账户管理的异同。 　　　　　　　　①Unix系统支持多任务，控制简单、所有数据都纯文本形式存储、保存单根文件、可以同时访问多个账户。

　　　　　　　　②Linux系统也支持多任务，程序可能由一个或者多个进程组成，每个进程可能有一个或者多个进程;多用户，它可以运行多个用户程序、个人账户受适当权限保护、所以账                                    目已经精确定义了系统控制权。

四、心得体会

　　　　掌握了linux管理账户的基本命令；了解了linux用户管理的一般原则。

五、课后习题