Linux 基礎學習

VBird (2005/09/22) Linux --Account Manager基礎 1

Linux 基礎學習

Chapter 14

Account ManagerVBird 2005/09/08


內容關於使用者帳號關於使用者的群組使用者帳號管理使用者群組管理使用者身份切換 PAM 與特殊 Shell 使用者溝通之方式手動增加使用者簡單的使用者安全說明


關於使用者帳號 UID/GID

系統僅認識 User ID 與 Group ID 而已；帳號名與群組名是幫助人類記憶的； UID 與帳號的對應記錄於： /etc/passwd GID 與群組的對應記錄於： /etc/group

如何取得登入的權限資料：使用者輸入帳號，系統與 /etc/passwd 比對；使用者輸入密碼，系統與 /etc/shadow 比對；藉由 /etc/passwd 記錄的資訊、讀取 /etc/group 與 /etc/prof

ile 等相關設定資料後，取得 shell 與屬性。


關於使用者帳號（續）使用者帳號記錄檔： /etc/passwd

root:x:0:0:root:/root:/bin/bash1. 帳號名稱；2. 密碼 ( 已經被移動到 /etc/shadow 當中 )

3. UID 號碼 ( 詳情請看下頁 )

4. GID 號碼，此為 initial group ，名稱需與 /etc/group 對應5. 解釋欄、可設定成類似 BBS 的資訊欄位6. 家目錄所在7. 使用者使用的 Shell 程式


關於使用者帳號（續） UID 的分類：

系統管理員： 0 ：可以有多個帳號的 UID 為 0 喔；

一般身份使用者 System Users ：系統保留，用於安裝、啟動服務等權限

1-99 ：系統保留帳號； 100-499 ：保留給一些服務 (network) 使用；

Regular Users ：一般可登入系統的使用者帳號： 500-65535 ：其他可登入系統的使用者


關於使用者帳號（續）使用者密碼記錄檔： /etc/shadow

root:$1$i9Ejldjfjio389u9:12959:0:99999:7:::1. 帳號名稱；2. 密碼 ( 經過加密的，有多種編碼方式！開頭為『 ! 或 * 』

表示為不可登入的帳號 )

3. 密碼最近一次更動的日期 (1970/1/1 開始計數 )

4. 密碼不可被更動的日數 ( 與第三欄位搭配 )

5. 密碼必須要更動的日數 ( 與第三欄位搭配 )

6. 密碼必須要更動前的警告日數 ( 與第 3,5 欄搭配 )

7. 密碼過期的寬恕日數8. 帳號失效的日期 (1970/1/1 開始計數 )

9. 未使用，保留！


關於使用者帳號（續）一個例子的說明：

dmtsai:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125:

使用者為 dmtsai ；使用 MD5 編碼格式，為可登入帳號 ( 密碼欄位是固定的 ) 最近密碼更動日期： 13025 為 2005/08/30 建立後的五天內不能更動密碼 ( 使用 passwd 顯示錯誤 ) 建立後的 60 天內『必須』變更密碼；密碼到期前 (60 天 ) 的七天，登使用者登入時，會有提示字元告

知使用者必須要變更密碼了；在 5-60 天之內若變更密碼，則 13025 會跟著改變；密碼失效日期為 13125 ，大約在 2005/12/8 左右。


關於使用者帳號（續） root 密碼忘記怎麼辦？

想盡各種方法，只要能夠讀取 /etc/shadow 就對了！可利用 Live CD ；可利用 run level 1 ( 開機時，在 kernel 處加入 -single )

將 /etc/shadow 的密碼欄整個清空；重新開機進入 Linux ，此時 root 不需要密碼即可登入。立即以 passwd 變更密碼！


關於使用者的群組群組設定檔： /etc/group, /etc/gshadow

群組名稱與 GID 對應在 /etc/group 內； /etc/gshadow 僅有在具有群組管理員 ( 類似版主 ) 時，才會

有比較顯著的意義存在。 /etc/group 的內容：

root:x:0:root1. 群組名稱2. 群組密碼 ( 已移動到 /etc/gshadow 內 )

3. GID

4. 支援的帳號


關於使用者的群組（續）有效群組 (effective group) 與初始群組 (initial group)

每個使用者都可以具有多個群組的支援；初始群組：

使用者登入時預設取得的群組權限；記錄檔 /etc/passwd 內的第四個欄位

有效群組：在當時環境下，實際作用的群組權限。能否進行某些檔案的讀取與有效群組有關！可使用 groups 來觀察目前的群組與有效群組

有效群組的切換： newgrp [new group name] 該 user 必須在 group_name 的支援內 (/etc/group 第四欄

位 ) 該 group_name 必須要有密碼 (/etc/gshadow)


關於使用者的群組（續）群組密碼設定檔： /etc/gshadow

root:::root 群組名稱密碼欄，同樣的，若 ! 表示無法提供切換的群組該群組的管理員 ( 類似版主 ) 該群組擁有的支援帳號


使用者帳號管理使用 useradd [options] username 新增帳號

-u ：後面接的是 UID ，是一組數字。直接指定 UID -g ：後面接的是群組名稱，即 initial group -G ：後面接的是群組名稱，寫入 /etc/group 的第四欄 -M ：強制！不要建立使用者家目錄 -m ：強制！要建立使用者家目錄！ -c ：這個就是 /etc/passwd 的第五欄的說明內容 -d ：指定某個目錄成為家目錄，而不要使用預設值； -r ：建立一個系統帳號， UID 會有限制 (/etc/login.defs) -s ：後面接一個 shell ，預設是 /bin/bash


使用者帳號管理（續）使用 useradd [options] username 新增帳號

範例：使用預設值建立 vbird1 帳號；

useradd vbird1 觀察 vbird1 的相關屬性 (UID/GID/ 有否家目錄 /shadow 的密碼

欄 ) UID > 500 以上， GID 可能與 UID 相同，或指向 users ，不一定具有家目錄；但家目錄預設在 /home/vbird1 /etc/shadow 密碼欄預設為『不可登入』的狀態。可能會建立 /etc/group 內的同名群組。

需再以 passwd vbird1 給予帳號一個有效的密碼。


使用者帳號管理（續） useradd

使用 useradd 會修改： /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow

若不指定任何參數，則以預設值進行帳號設定 /etc/default/useradd ( 與帳號之參數較有關 ) /etc/login.defs ( 與密碼與 UID/GID 較有關 ) Group Schemes

Public ：系統以一個通用群組 ( 一般為 users) 作為使用者的預

設群組 Private ：

使用者擁有自己的群組。


使用者帳號管理（續） useradd 的設定檔

/etc/default/useradd GROUP=100 <== 預設的群組 HOME=/home <== 預設的家目錄所在目錄 INACTIVE=-1 <== 在 /etc/shadow 內的第 7 欄 EXPIRE= <== 在 /etc/shadow 內的第 8 欄 SHELL=/bin/bash <== 預設的 shell SKEL=/etc/skel <== 使用者家目錄的內容資料參考目

錄 /etc/skel/

此目錄下的所有檔案都會被複製到使用者的預設家目錄當中，並且會修改權限成為使用者所有。

可以加入、修改檔案 (ex>.bashrc) ，以方便未來新增使用者的預設參數！


使用者帳號管理（續） useradd 的設定檔（續）

/etc/login.defs MAIL_DIR /var/spool/mail PASS_MAX_DAYS 99999 <==/etc/shadow 內的第 5 欄 PASS_MIN_DAYS 0 <==/etc/shadow 內的第 4 欄 PASS_MIN_LEN 5 <==密碼最短的字元長度 PASS_WARN_AGE 7 <==/etc/shadow 內的第 6 欄 UID_MIN 500 <== 使用者最小的 UID UID_MAX 60000 <== 使用者能夠用的最大 UID GID_MIN 500 <== 使用者自訂群組的最小 GID GID_MAX 60000 <== 使用者自訂群組的最大 GID CREATE_HOME yes <== 在不加 -M 及 -m 時，是否主動建立

關於 UID 的取用 (Regular users) 若 /etc/passwd 內有大於 UID_MIN ，取 /etc/passwd 內最大的那個 +1 若 /etc/passwd 內沒有大於 UID_MIN ，則取 UID_MIN 。


使用者帳號管理（續） passwd 給予使用者密碼：

由 root 直接給予： passwd username

使用者自行登入後修改： passwd

一般身份使用者設定密碼的一般規範：密碼不能與帳號相同；密碼盡量不要選用字典裡面會出現的字串；密碼需要超過 8 個字元； ( 與 /etc/login.defs 有關 )


使用者帳號管理（續）練習：

新增一個使用者，帳號為 vbird2 ，且該帳號需求： UID 為 2000 Group 為 users 此使用者還可加入 root, daemon 群組內；使用者需要建立家目錄；使用者的密碼為 vbird2 useradd -m -u 2000 -g users -G root,daemon vbird2 passwd vbird2

建立一個系統帳號，名稱為 vbird3 useradd -r vbird3


使用者帳號管理（續）更改使用者的相關參數：

使用者的相關參數都在 /etc/passwd, /etc/group 內；雖可使用 vi 直接修改，但不建議！系統運作一段時日後，原有的帳號屬性，如 UID/GID 盡可能

不要更動，容易造成使用者權限的錯誤！可使用的修改指令：

usermod


使用者帳號管理（續）更改使用者的相關參數：

usermod [-cdegGlsuLU] username -c ：後面接帳號的說明，即 /etc/passwd 第五欄的說明欄 -d ：後面接帳號的家目錄，即修改 /etc/passwd 的第六欄； -e ：後面接日期，格式是 YYYY-MM-DD 在 /etc/shadow 內的

第八個欄位 -g ：後面接 group name ，修改 /etc/passwd 的第四個欄位， -G ：後面接 group name ，修改的是 /etc/group 囉～ -l ：後面接帳號名稱。 /etc/passwd 的第一欄！ -s ：後面接 Shell 的實際檔案，例如 /bin/bash 或 /bin/csh 等

等 -u ：後面接 UID 數字啦！即 /etc/passwd 第三欄的資料； -L ：暫時將使用者的密碼凍結，讓他無法登入。其實僅改 /etc/s

hadow 的密碼欄。 -U 將 /etc/shadow 密碼欄的 ! 拿掉，解凍啦！


使用者帳號管理（續）更改使用者的相關參數：（練習）

修改 vbird2 的說明為『 In class account 』 usermod -c ‘In class account’ vbird2

設定帳號失效日期為『 2008/1/1 』 usermod -e ‘2008-01-01’ vbird2

凍結該使用者，讓他無法登入，但不改變他的原有資料。 usermod -L vbird2

解凍 usermod -U vbird2


使用者帳號管理（續）密碼設定相關 passwd

可讓使用者修改密碼， root 可設定使用者密碼封鎖 / 解開使用者登入權限

passwd -l account passwd -u account

僅在 /etc/shadow 的 user 密碼欄更動！


使用者帳號管理（續）以 userdel 刪除使用者

userdel account 僅刪除使用者資訊

userdel -r account 連帶刪除家目錄 (SuSE 尚可刪除使用者的工作排程 )

其他使用者檔案的刪除 find / -uid user_id -exec rm {} \;

建議的程序：先以 find 找出該使用者的檔案，並刪除；使用 userdel -r username 整個刪除即可。


使用者帳號管理（續）使用者自己可使用修改屬性的指令

chsh ：修改 shell ，與 /etc/shells 有關； chfn ：修改 /etc/passwd 的第五欄說明內容：

可修改的資料：全名；辦公室門號辦公室電話家裡電話

chfn 可搭配 finger 進行查詢！可建立計畫檔： ~/.plan ，純文字檔。


使用者群組管理群組的新增與刪除：

groupadd [-g gid] [-r] groupname -g ：後面接某個特定的 GID ，用來直接給予某個 GID ～ -r ：建立系統群組啦！與 /etc/login.defs 內的 GID_MIN 有關。嘗試建立 vbirdgroup 群組：

groupadd vbirdgroup groupmod

-g ：修改既有的 GID 數字； -n ：修改既有的群組名稱

groupdel 必須要沒有使用者的 initial group 為該群組才可刪除！


使用者群組管理（續）群組管理員之建立與使用：

gpasswd 建立 /etc/gshadow 的密碼資料 -A ：該群組的管理員 -M ：將某些帳號加入這個群組當中！ -r ：將 groupname 的密碼移除 -R ：讓 groupname 的密碼欄失效， newgrp 就不能使用

練習：設定 vbirdgroup 具有密碼，密碼為 vbirdgroup

gpasswd vbirdgroup 將 vbird2 加入成為 vbirdgroup 的管理員。

gpasswd -A vbird2 vbirdgroup


使用者群組管理（續）群組管理員之建立與使用：

gpasswd 建立 /etc/gshadow 的密碼資料（管理員的工作） -a ：將某位使用者加入到 groupname 這個群組當中！ -d ：將某位使用者移除出 groupname 這個群組當中。

練習：觀察 vbird2 的有效群組為那個？

變換 vbird2 的有效群組應該要使用什麼指令？ newgrp groupname

以 vbird2 登入 tty3 ，並且將 vbird1 加入 vbirdgroup 當中； gpasswd -a vbird1 vbirdgroup


綜合練習練習：

建立一個群組為 novell 其 GID 為 300 如何讓一個新建的使用者在建立後，家目錄就擁有一個子目

錄為 novell ？如何讓終端機登入提示畫面中，多顯示 3 行：

=========================The LCC NET study system.=========================

如何讓使用者在登入後，可以看見：Welcome to the LCC Network Study System.

Any questions mail to me please.

root@localhost


綜合練習練習：

建立一個使用者，參數如下：全名為： The LCC account initial 群組為： novell 其他群組為： users 登入帳號： novell 密碼： lccnet 需要建立家目錄

請嘗試以 novell 登入系統 ( 在 tty2) 如何將 novell 暫時 lock 不予登入！


使用者身份切換切換使用者的身份： su

- ：完整切換成為 root 的工作環境； -l ：完整切換成為一般使用者的工作環境 -m ： -m 與 -p 是一樣的，表示『使用目前的環境設定，而

不重新讀取新使用者的設定檔。』 -c ：僅進行一次指令，所以 -c 後面可以加上指令練習：

用 root 切換身份成為 vbird2 用 vbird2 切換身份成為 root 用 vbird2 切換身份成為 novell ？用 vbird2 ，使用 root 的權限執行 passwd vbird3 ？


使用者身份切換（續）切換使用者的身份： sudo

當使用者執行 sudo 時，系統會主動的去尋找 /etc/sudoers 檔案，判斷該使用者是否有執行 sudo 的權限；

若使用者具有可執行 sudo 的權限後，便讓使用者『輸入使用者自己的密碼』來確認；

若密碼輸入成功，便開始進行 sudo 後續接的指令；不過， root 執行 sudo 時，不需要輸入密碼；若欲切換的身份與執行者身份相同，那也不需要輸入密碼。需求：

使用者能進行的工作，必須在 /etc/sudoers 規範！！


使用者身份切換（續）切換使用者的身份： sudo ，利用 visudo

/etc/sudoers 內容的語法： username HOST = (newusername) commands %groupname HOST = (newuser) commands

讓 vbird2 可以進行所有身份使用者的工作？ vbird2 (ALL) = (ALL) ALL

讓 vbird3 僅能負責 daemon 的工作？ vbird3 (ALL) = (daemon) ALL

在 /etc/sudoers 尚可利用 Alias 來設定。 ( 需大寫字元 ) User_Alias ALIASNAME= user1,user2,user3… Cmd_Alias CMDNAME = cmd1, cmd2…


使用者身份切換（續）切換使用者的身份： sudo ，利用 visudo

練習：設定一組帳號別名，名稱為 ADMUSER ，內含 vbird1, vbird

2 設定一組命令別名，名稱為 ADMCMD ，內容至少含有 /bin/

su 設定 ADMUSER 能用的指令僅有 ADMCMD 。


PAM 與特殊 Shell

系統帳號預設的不可登入 shell /sbin/nologin

即使不小心讓系統帳號有密碼，他還是不能登入；登入資訊可以另外以 /etc/nologin.txt 取代。


PAM 與特殊 Shell （續） PAM ： Pluggable Authentication Modules 使用者與應用程式之間的一個認證界面 PAM 的相關檔案：

應用程式使用 PAM 所需『同名』設定檔位於： /etc/pam.d/*

PAM 本身提供的模組位於： /lib/security/*

預設的 PAM 環境檔案放置於 /etc/security/*

應用程式利用 function call 的方式啟用 PAM 相關的函式，利用函式 return 的資訊進行認證的判斷。


PAM 與特殊 Shell （續） PAM 設定檔格式：

[Module type] [Control flag] [modules] [arguments] Module type

auth: authentication request account: controls various aspects of the account session: provides functions during user session password: checks password

control flag required: must be successfully processed requisite: as above, but ends immediately when error optional: sufficient:


PAM 與特殊 Shell （續） Module type

auth: 確認使用者的認證情況通常要求以密碼完成；也可能以智慧卡或其他指紋辨識系統；

account: 確認使用者的 permission 相關資訊當使用者登入此服務時，能夠取得的權限與相關資訊

session: 使用者進入該服務後的環境設定 session 在認證成功後即開啟；可用以設定 user 的環境及 system log 的資訊

password: 允許密碼的變更通常為要求密碼的變更之認證需求。


PAM 與特殊 Shell （續） Control flag

required: 該模組必須要能夠『成功』的完成認證；若認證失敗，仍可將資訊記錄下來才結束；

requisite: 若認證失敗，則立即結束，不會有資訊紀錄下來

optional: 通常用在額外的訊息顯示

sufficient: 若之前的所有模組都沒有錯誤訊息，則立刻呼叫服務執行，

後續的模組不會再被啟動；若有錯誤訊息，則繼續底下的模組流程


PAM 與特殊 Shell （續）一個簡單的範例： /etc/pam.d/login

#%PAM-1.0auth required pam_securetty.soauth required pam_stack.so service=system-authauth required pam_nologin.soaccount required pam_stack.so service=system-authpassword required pam_stack.so service=system-authsession required pam_selinux.so closesession required pam_stack.so service=system-authsession optional pam_console.sosession required pam_selinux.so multiple open


PAM 與特殊 Shell （續）簡單的範例：

兩個常見的 PAM 模組 /lib/security/pam_securetty.so

允許 root 登入的安全環境 (/etc/pam.d/login) 可與 /etc/securetty 配合

/lib/security/pam_nologin.so 僅對一般身份有效，對 root 無效。避免 user 登入的模組 (/etc/pam.d/login) 需與 /etc/nologin 配合 ( 手動增加此一檔案 ) ，此檔

案若存在，則 users 將無法登入，且 user 嘗試登入時，會顯示出 /etc/nologin 的內容 (ASCII 檔案格式 )


PAM 與特殊 Shell （續）簡單的範例：

/etc/security/limit.conf 可以限制使用者的相關資源！範例：

dmtsai hard fsize 10240 @users hard fsize 10240


PAM 與特殊 Shell （續）練習：

以 root 登入，並建立 /etc/nologin ，內容： Maintaining……..Please login latter

嘗試以其他 regular user 登入查閱 /var/log/messages 的內容如何取消？

拿掉 /etc/nologin 拿掉 /etc/pam.d/login 內的

#auth required pam_nologin.so


使用者溝通之方式查詢線上使用者：

w, who, finger, last, lastlog

與線上使用者的互動： write username mesg [y|n] wall “messages…”

Email 傳遞消息： mail -s “title” username mail ( 進入 mailbox) mail -f mailboxfile


使用者溝通之方式（續）每個可正常登入主機的 user 均有 mailbox

參考： MAIL 變數一般 Linux 的 mailbox 放在 /var/spool/mail 每個 mailbox 都是一個檔案輸入 mail 即可讀取 mail box 的內容。

mail 指令 – 直接輸入 mail 即可讀取 mailbox > 所指為目前的處理中的信件 enter 或 n 進入下一封信件 ? help h print header (亦可輸入 h number) d number delete e number edit R number replay to sender s number file 將郵件儲存到 file 中 x 或 exit 不進行任何動作離開 mail q 進行完動作後離開 ( 若有 d 則需此！ )


使用者溝通之方式（續） mail 指令 – mail [-acs] user@host

-a file 附加檔案 (舊版本沒有此項 ) -c 密件副本 -s subject mail -f mailboxfile

練習： (1) 請寄一封信給 root 本機， title 為” good point”

mail -s “good point” root (2) 將該封信件轉存到 /tmp/mymail

mail ，並以 s number /tmp/mymail 轉存 (3) 請將該封信讀出來

mail -f /tmp/mymail (4) 請將 ~/.bashrc 內容寄給自己

mail -s “bashrc content” < ~/.basrhc


手動增加使用者一些慣用工具：

pwck ：檢驗 /etc/passwd /etc/shadow 的問題 pwconv ：將 /etc/passwd 密碼轉換到 /etc/shadow pwuconv ：將 /etc/shadow 移至 /etc/passwd ，並刪除 /etc

/shadow chpasswd ：將來自 STDIN 的格式『 username|passwd 』

中，將 passwd 加密後， update 到 /etc/shadow 內。將 vbird2 的密碼換成 vbird2 echo “vbird2:vbird2” | chpasswd


手動增加使用者（續）建立一純數字 1234 這個帳號：

使用 vi 編輯 /etc/passwd ；使用 pwconv 同步化密碼；給予 1234 這個帳號一個合法的密碼；建立 1234 這個帳號的家目錄 (注意其權限！ ) 嘗試以 1234 登入。


簡單的使用者安全說明 Security Policies 的一般策略

Local security and user account 每個使用者應有自己的權限而不互相干擾 root 除外！他有最高級的權限

Linux password Encryption 不可將密碼以明碼存在加密為 one way 過程，若密碼超過 8 位，不容易破解

Boot Procedure Protection 開機過程中的各項資訊應加密 BIOS/MBR…. 可修訂 /boot/grub/menu.lst

File Permissions Configuration Network Security and local security


簡單的使用者安全說明（續） Security tips

避免以 root 進行各項日常工作；若可能，盡量以加密的連線進行連線處理不要僅以 IP 位址作為確認的動作務必保持網路服務套件 (www/mail…) 的更新非必要的網路服務務必關閉； (netstat -anp) 務必瞭解 RPM 檔案的來源正確性瞭解備份的重要性檢驗 log file 使用防火牆 tcp_wrapper

Documents

Linux 基礎學習