Linux操作系统是多用户操作系统,帐户实质上就是一个用户在系统上的标识,广义上讲,Linux的帐户包括用户帐户和组帐户两种。用户帐户分为普通用户帐户和超级用户帐户两种。管理员帐户对系统具有绝对控制权;组帐户分为私有组和标准组,当创建一个新用户时,若没有指定他所属于的组,Linux就建立一个和该用户同名的私有组,此私有组中只包含该用户自己,标准组可以容纳多个用户。若使用标准组,在创建一个新用户时就应该指定他所属于的组。同一个用户可以同属于多个组,其登录后所属的组称为主组,其它的组称为附加组。
一、实验目的
1)掌握linux管理账户的基本命令;
2)了解linux用户管理的一般原则。
二、实验步骤
1)建立与删除普通用户账户,管理组
管理帐户的俱行工具及功能如下:
useradd [] 添加新用户
usermod [] 修改已存在的指定用户
userdel [-r] 删除已存在的指定帐户,-r参数用于删除用户自家目录
groupadd [] 加新组
groupmod [] 修改已存在的指定组
groupdel 删除已存在的指定组
①建立一个新用户user1
useradd user1
查看用户是否创建成功
②创建一个新组group1
groupadd group1
③创建一个新用户user2并将其加入用户组group1中
useradd -G group1 user2
④创建一个新用户user3,指定登录目录为/www,不创建自家用户目录(-M)
useradd -d /www -M user3
⑤将用户user1添加到附加组group1中
usermod -G group1 user1
至此,group1组中有user1,user2两个用户,用命令cat /etc/group查看/etc/group文件如下图:
(注:用户user3不属于组group1中的用户)
⑥删除用户user3,用户uers3从用户组中消失
userdel user3
⑦删除用户user2,同时删除自家目录
userdel -r user2
⑧删除组group1,则组group1中的用户则被分配到其自己分配的私有组中。
groupdel group1
2)用户口令管理与口令时效管理
1、passwd命令
passwd命令用来设置用户口令,格式为:passwd [] []
用户修改自己的用户密码可直接键入passwd,若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理:
passwd -l //禁用用户帐户口令
passwd -S //查看用户帐户口令状态
passwd -u //恢复用户帐户口令
passwd -d //删除用户帐户口令
在创建完用户user1后,没给用户passwd口令时,账户默认为禁用状态:
①给用户user1创建口令,设置为:111111
passwd user1
接下来我们再次查看user1状态时,则为如下图所示:
密码已经设置,且为SHA512加密
②禁用账户user1
passwd -l user1
③恢复账户user1的账户
passwd -u user1
④删除用户账户
passwd -d user1
用户user1的密码即为空。
2、chage命令
口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage []
下面列出了chage命令的选项说明:
-m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。
-M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。
-d days: 指定从1970年1月1日起,口令被改变的天数。
-I days: 指定口令过期后,帐号被锁前不活跃的天数。如果值为0,帐号在口令过期后就不会被锁。
-E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。
-W days: 指定口令过期前要警告用户的天数。
-l: 列出指定用户当前的口令时效信息,以确定帐号何时过期。
例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,并且口令过期前5天通知用户
chage -m 2 -M 30 -W 5 user1
可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1
3、PAM可插拔验证模块
PAM(Plugable Authentication Module,可插拔验证模块)是由Sun提出的一种认证机制。管理员通过它可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。不少应用软件都可以与PAM进行集成,当然,操作系统的登录验证过程也可以通过对PAM进行配置来进行。如指定密码复杂性、指定用户试图登录的失败次数等,以下列出对这些账号的安全性配置。
① 指定密码复杂性
修改/etc/pam.d/system-auth配置:(注意:在root用户下进行,其余用户对这个文件只有读的权限)
vi /etc/pam.d/system-auth
限制密码最少有:2个大写字母,3个小写字母,3个数字,2个符号
文件中有一行为:
password requisite pam_cracklib.so try_first_pass retry=3
在其后追加如下参数:
ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2
②验证时若出现任何与pam_tally有关的错误则停止登录
auth required pam_tally.so onerr=fail magic_root
③账号验证过程中一旦发现连续5次输入密码错误,就通过pam_tally锁定此账号600秒
account required pam_tally.so deny=5 lock_time=600 magic_root reset
三、心得体会
此次实验,我学会了如何建立与删除普通用户账户、管理组,以及账户口令的设置及删除。但笔者尚为新手,对于PAM认证机制,设置成功之后,却始终无法验证成功。笔者通过新建了一个新用户test,并用su test来进行用户登录,未设置PAM前,能通过su来登录回root,但当设置完PAM后,即使密码正确,也显示登录root的密码错误。此外,想用test用户修改密码,输错5次后来验证锁定账号机制,可是输错5次后依然能成功登上,就算将PAM中的magic_root改为magic_test也没什么用。这一项耗费了笔者太多时间与精力,在查阅各种资料无果后,只能遗憾放弃。但我会继续学习,一定解决这一问题。
四、分析与思考
1)思考还有哪些加强linux账户安全的管理方法?
答:①开启防火墙,仅开启必要端口
②关闭不必要的服务
③使用特定账户开启特定服务,尽量不使用root
④更改系统信息,不要显示系统版本、内核版本等
2)比较一下linux账户跟unix账户管理的异同。
答:①Unix系统支持多任务,控制简单、所有数据都纯文本形式存储、保存单根文件、可以同时访问多个账户。
②Linux系统也支持多任务,程序可能由一个或者多个进程组成,每个进程可能有一个或者多个进程;多用户,它可以运行多个用户程序、个人账户受适当权限保护、所以账目已经精确定义了系统控制权。
五、答题