Linux 网管 123 --- 第6章. 一般系统管理问题 -5.Linux 密码及 S

2016-01-29 19:19 5 1 收藏

Linux 网管 123 --- 第6章. 一般系统管理问题 -5.Linux 密码及 S,Linux 网管 123 --- 第6章. 一般系统管理问题 -5.Linux 密码及 S

【 tulaoshi.com - Linux 】

 
传统的 Unix 系统保留使用者帐号资料,包括单向加密的密码,存放在一个称做``/etc/passwd'' 的文字档。 
既然这个档案会被很多工具 (像是 ``ls'') 用做显示档案的拥有者等,为了用来比对 user id # 和使用者名称,
这个档案必须是可读的。 结果, 这造成安全上的风险。 
另一个存放帐号的方法,我常使用的一个,是 shadow 密码格式。和传统方法一样,这个方法以相容的方式存放
帐号资料於  /etc/passwd 档案中。 然而,密码的部分是一个“x” 符号 (换言之. 并非真正放在档案中)。
另一个档案,称作  ``/etc/shadow'',存放加密过的密码以及其他资料像是帐号及密码的期限值等。  /etc/shadow 
这个档案只能由 root 读取因此减少了风险。 

有时一些 Linux 发行版本会强迫安装 Shadow 密码套件 以便使用 shadow 格式, Red Hat 让它变得很简单。
要在两者之间切换, 键入(以 root 身分): 
    /usr/sbin/pwconv      转换到 shadow 格式
  /usr/sbin/pwunconv    转换回传统格式
 


使用 shadow 密码时, ``/etc/passwd'' 档内含帐号资料,看起来像这个样子: 
  smithj:x:561:561:Joe Smith:/home/smithj:/bin/bash
 


每一项目栏位都由“:”冒号所分隔,意义如下: 

使用者名称,最多 8 个符号,可以用大小写,通常都是小写 
一个“x”在密码栏。密码存放在 ``/etc/shadow'' 档中。 

user id 数值。由``adduser'' script 所分配。 Unix 使用这个栏位,以及後面的群组栏以辨别档案属於
哪个使用者。 
group id 数值。 Red Hat 使用 group id 作为很独特的强化档案安全的方法。通常 group id 会和 user id
 相同。 

使用者全名。我不大确定这个栏位的最大长度,但是尽量保持合理 (30个字元以下). 

使用者的 home 目录。 通常是 /home/username (例如. /home/smithj). 所有使用者个人档案,网页,回覆信
件等。会放在这里。 

使用者的“shell 帐号”。常被设为``/bin/bash'' 提供取用 bash shell (我个人最喜欢的 shell)。

也许您不想提供给使用者 shell 帐号。您可以建立一个名为 ``/bin/sorrysh''的 script档。例如显示错误讯
息以及把使用者 log off,然後将这个 script 视为他们的预设 shell。 
   注意: 如果帐号需要提供“FTP”传送更新网页等。 shell 帐号要被设定为 ``/bin/bash'' -- 使用者的
    home 目录必须设定特别的权限以防 shell 登入。 查看第7章,网页伺服器及 HTTP 快取代理主机管理 
    一节 有关的细节。 

``/etc/shadow'' 档案内含使用者的密码及帐号期限资料 ,看起来像这个样子: 
  smithj:Ep6mckrOLChF.:10063:0:99999:7:::
 

像密码档一样,shadow 档的每一个栏位也是由“:” 冒号所分开,意义如下: 

使用者名称,最多 8 个符号,可以用大小写,通常都是小写。直接对应 /etc/passwd 档案中的使用者名称。 
密码,加密过的 13 个字元。一个空格 (就是. ::) 表示登入时不需密码 (不是个好主意),一个 ``*'' 项目 
(就是 :*:) 指出帐号已经关闭。 

密码最後一次变更起所经过的日数 (从1970年一月一日起 ) 。 

密码经过几天可以变更 (0 表示可以随时变更) 

密码经过几天必须变更 (99999 表示使用者可以保留他们的密码很多很多年不变) 

密码过期之前几天要警告使用者  (7 为一) 

密码过期几天後帐号会被取消 

从1970年一月一日起,帐号经过几天会被取消 

保留栏位  

来源:http://www.tulaoshi.com/n/20160129/1509093.html

延伸阅读
  Linux 以其效能及可靠性闻名於世。然而, 没有系统是完美的,且随着时间的增加您一定 会遇到意想不到的问题。幸运地,问题的出现是以月计 (和 NT 以日或以计相比),而这些 阻碍会越来越少。  -------------------------------------------------------------------------------- 因为电源中断或系统...
  使用 Netatalk 进行 Macintosh 型态的档案及列印服务 Linux 也可以使用 Netatalk 套件提供 Appleshare 服务 (就是. Macintosh-型态的网路档案及列印分享) 。  这一节会描述如何组态分享,以及如何从客户端机器存取他们。  为了使用 Netatalk,必需在您...
功能说明: 显示用户的ID,以及所属群组的ID。 语 法: id [-gGnru][--help][--version][用户名称] 补充说明: id会显示用户以及所属群组的实际与有效ID。若两个ID相同,则仅显示实际ID。若仅指定用户名称,则显示目前用户的ID。 参 数: -g或--group  显示用户所属群组的ID。  -G或--groups  显示用户...
功能说明: 列出登入系统失败的用户相关信息。 语 法: lastb [-adRx][-f <记录文件][-n <显示列数][帐号名称...][终端机编号...] 补充说明: 单独执行lastb指令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容 记录的登入失败的用户名单,全部显示出来。 参 数: -a  把从何处登...
功能说明: 系统监控程序。 语 法: swatch [-A <分隔字符][-c <设置文件][-f <记录文件][-I <分隔字符][-P <分隔字符][-r <时间][-t <记录文件] 补充说明: swatch可用来监控系统记录文件,并在发现特定的事件时,执行指定的动作。swatch所监控的事件以及对应事件...

经验教程

268

收藏

10
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部