5.1linux系統的安全機制

5.2用戶管理5.2.1用戶密碼管理passwd文件 5.2.2超級用戶root的管理 5.2.3增加用戶useradd和刪除userdel命令 5.3密碼管理 5.3.1密碼管理文件shadow 5.3.2密碼修改passwd命令 5.4群組管理 5.4.1群組的文件group和gshadow 5.4.2改變所有者chown和群組chgrp命令5.5文件權限管理 5.5.1文件權限的查詢 5.5.2系統權限的查看修改umask和某個文件目錄的權限更改chmod命令 5.6用戶的安全管理5.1linux系統的安全機制linux系統只允許授權的用戶登錄系統，登錄進系統的用戶也只能在自己的權限范圍內訪問文件和設備。每個系統都有一個超級用戶root，他法力無窮，可以為所欲為，但ubuntu系統默認登錄用戶是安裝系統時創建的普通用戶，只有特殊情況下才可以使用root用戶。Linux系統所采取的安全措施如下：用戶登錄系統時必須提供用戶名和密碼；以用戶和群組來控制使用者訪問文件和其他資源的權限；每個文件都屬于一個用戶并與一個群組相關；每一個進程都與一個用戶和群組相關聯。5.2用戶管理5.2.1用戶信息管理文件passwd在Linux系統中用戶具有如下特性：每一個用戶都有一個唯一的用戶標識符；用戶名和UID都存放在/etc/passwd文件中；在口令文件中還存放了每個用戶的家目錄、以及該用戶登錄后第一個執行的程序；如果沒有相應的權限就不能讀、寫或執行其他用戶的文件。系統中所有的用戶信息，系統會自動記錄在passwd文件中，這個文件保存在/etc/passwd中，文件記錄了每個用戶的信息，每一個用戶都占用一行記錄，以冒號分隔成7個字段（列），其中第一個記錄是root用戶的。下面摘錄部分內容，如例5.1所示：5.2.2超級用戶root的管理在每個Linux系統上都一定有一個root用戶，root用戶也被稱作超級用戶，有至高無上的權限，普通用戶對自己的文件添加的訪問權限也不能限制root用戶的訪問，root可以完全不受限制地訪問任何用戶的賬戶和所有的文件及目錄。但剛安裝好的linux系統沒有設置root用戶密碼，ubtun系統默認是沒有激活root用戶的，不能切換為root用戶來執行命令，需要我們手工操作來激活root用戶，在終端中輸入sudopasswd或者sudopasswdroot命令對root用戶的操作如例5.2，5.35.2.3增加用戶useradd命令和刪除userdel命令1.增加普通用戶useradd或adduser命令用來建立用戶帳號和創建用戶的起始目錄，使用權限是超級用戶，其語法格式為：useradd[-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-r]nameuseradd命令的使用參見例4.5–例4.82.userdel刪除用戶命令userdel可以刪除用戶賬號，和deluser命令功能一樣，其語法形式為：userdel[選項]用戶帳號userdel可刪除用戶帳號與相關的文件。若不加參數，則僅刪除用戶帳號，而不刪除相關文件。使用權限是超級用戶。userdel命令的使用參見例5.9例5.103.強制已登錄用戶退出用戶的退出命令的使用參見例5.11--例5.145.3密碼管理5.3.1用戶密碼管理文件shadowpasswd文件記錄了用戶的基本信息，包括用戶是否設置密碼的信息，但是用戶的密碼并不保存在給文件中，用戶的密碼保存在/etc/shadow文件中，每一個用戶數據占用一行記錄，它實際上是存放用戶密碼的數據庫，這個密碼文件shadow，普通用戶無權查看，只要超級用戶root才可以看，而passwd文件所有用戶都可以查看。例5.15查看密碼文件的后5行5.3.2密碼修改passwd命令在第2.1.6節中已經詳細介紹了passwd命令，我們知道passwd命令可以修改用戶的密碼，可以激活新添加的用戶（root@ubuntuhl:~#passwd用戶名），可以激活超級用戶root(shiephl@ubuntuhl:~$sudopasswd或者sudopasswdroot)。那么對于有些用戶，系統管理員不知道是否設置了密碼，怎么查看？怎么操作？這些都可以用passwd命令來是實現。passwd命令的使用參加例5.16—例5.205.4群組管理5.4.1群組的文件group和gshadowLinux系統中群組（groups）具有如下特性：每個用戶一定隸屬于至少一個群組，而每一個群組都有一個group標識符，即gid；群組和對應的gid都存放在/etc/group文件中；系統創建用戶時為每個用戶創建一個同名的群組并將該用戶加入到這個群組中，即每個用戶至少會加入一個與他同名的群組中、也可以加入到其他的群組中；如果有一個文件屬于某個群組，那么該群組中所有的用戶都可以訪問這個文件。/etc/group文件存放了所有群組的信息，它實際上是一個存放群組信息的數據庫，每個群組占用一行記錄，每個記錄以冒號分隔成4個字段，每個字段中若有多個用戶，每個用戶名之間以逗號分隔。每個字段的含義如例5.21和例5.22所示。5.4.2改變所有者chown和群組chgrp命令1.chown命令用戶擁有的文件和所屬的群組都可以更改，使用系統提供的命令chown和chgrp即可。chown可以改變文件的所有者和群組，其語法形式為：chown[-R][帳號名稱][文件或目錄]chown[-R][帳號名稱]:[群組名稱][文件或目錄]在更改文件的所有者或所屬群組時，可以使用用戶名稱和用戶識別碼設置。普通用戶不能將自己的文件改變成其他的所有者，其操作權限為超級用戶root。例5.23將文件jerrymos1的所有者由shiephl更改為tomcat，不更改所在的群組，將文件myfil1的所有者和群組都更改為root，將目錄files及其目錄下的所有文件都更為root:root。2.chgrp命令變更群組的命令為chgrp[選項]用戶組文件chgrp[選項]--reference=參考文件文件chgrp命令的使用參加例5.24—例5.265.5文件權限管理5.5.1文件權限的查詢每一個文件（或目錄）具有3種不同的使用者：這個文件（或目錄）的所有者的權限；與所有者用戶在同一個群組的其他用戶的權限；既不是所有者也不與所有者在同一個群組的其他用戶的權限。Linux系統的文件操作權限包括：r：表示read權限，即可閱讀文件，也可以使用ls命令列出目錄內容的權限。w：表示write權限，即可編輯文件或在一個目錄中創建和刪除文件的權限。x：表示execute權限，即可執行程序或使用cd命令切換到該目錄以及使用帶有-l選項的ls命令列出該目錄中詳細內容的權限等。-：表示沒有相應的權限（與所在位置的r、w、或x相對應）例5.27查看當前目錄下文件和目錄的操作權限5.5.2系統權限的查看修改umask和某個文件目錄的權限更改chmod命令

1．系統權限的查看修改umask命令umask命令的使用參加例5.28—例5.302．通過修改配置文件來永久更改系統權限掩碼如果想在當前系統中長時間的使用自己設置的權限掩碼，可以超級用戶的身份來修改系統配置和shell配置文件。第一步：修改系統配置，以超級用戶root的身份打開系統配置文件/etc/profile，第二步：修改shell配置，以超級用戶root的身份打開shell配置文件：/etc/bash.bashrc，3．目錄文件的權限更改chmod命令可以使用chmod命令來更改文件的操作權限，其語法形式為：chmod[選項]mode文件或目錄名mode權限設定字串，格式如下：[ugoa...][[+-=][rwxX]...][,...]，共有三組數值，第一組表示設定誰的權限，具體是：第二組是運算符，具體含義為：+:加入權限-:刪除權限=:設定權限第三組表示具體的權限值，具體為：r:read讀的權限w:write寫的權限x:execute執行的權限權限更高命令的使用參加例5.32—例5.355.6用戶的安全管理首先就是對用戶進行嚴格的審查，并分別給不同的用戶以不同的操作權限，操作的權限的設置在5.5節中做了詳細介紹；其次就是用戶身份的確認，堅決杜絕不合法用戶的存在，對于可疑的用戶要堅決刪除，遵循寧可錯殺千人，不可放過一人的原則；第三種就是加強密碼的管理，防止別有用心的人破解合法用戶的密碼。常見的用戶安全管理措施有：1.只有超級用戶root才可以新增用戶2.新增用戶的權限很小，無法直接登錄Linux系統，只能在授權用戶登錄后使用su命令切換到新增的用戶3.每一個用戶都屬于某一個群組，群組的權限在創建群組時賦予4.用戶信息和密碼分別放置在不同