国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

liunx 用戶管理
　　建立一個(gè)新的用戶包括兩個(gè)步驟，第一步是使用useradd命令完成一個(gè)新用戶的初始化設(shè)置工作；第二步是用passwd為這個(gè)新用戶設(shè)置密碼。例如，我們要給系統(tǒng)添加一個(gè)用戶叫floatboat，密碼為fan2001z，那相關(guān)的操作是：
　　useradd floatboat <回車>
　　這時(shí)候系統(tǒng)沒有任何顯示。接著：
　　passwd floatboat <回車>
　　系統(tǒng)顯示：
　　Changing password for user floatboat
　　New UNIX password:
　　你輸入：
　　fan2001z<回車>
　　注意，由于linux并不采用類似windows的密碼回顯（顯示為*號）――為避免你輸入密碼時(shí)被人注意到有多少位――所以，輸入的這些字符你是看不見的。
　　系統(tǒng)顯示：
　　Retype new UNIX password:
　　你再重新輸入一次密碼，然后回車確認(rèn)，這時(shí)系統(tǒng)會(huì)顯示：
　　passwd:all authentication tokens updated successfully
　　表示你修改密碼成功了。
　　到這里，新用戶的創(chuàng)建工作就算完成了。下面，我們再補(bǔ)充一些有關(guān)增加新用戶的常識：
　　1、useradd所做的初始化操作已經(jīng)包括在/home目錄下為floatboat賬號建立一個(gè)名為floatboat的主目錄。如果你不想使用這個(gè)缺省的目錄，而希望把他的主目錄放在/home/goal里（還放在/home下，只是一種良好的習(xí)慣，沒有其他什么特別的要求），可以使用useradd的參數(shù)-d，命令如下：
　　useradd -d /home/goal floatboat
　　2、useradd的初始化操作還包括為用戶單獨(dú)建立一個(gè)與用戶名同名的組（floatboat組）。這叫用戶私有組的機(jī)制，與默認(rèn)組機(jī)制相對應(yīng)。對用戶分組一是方便管理，二是可以明確權(quán)限。復(fù)雜的我們將在以后的深入內(nèi)容中探討。我們?nèi)绻胱尨擞脩艏尤胍粋€(gè)已有的組的話，可以使用-g參數(shù)。例如我們想讓floatboat加入webusers組，那么可以使用以下命令：
　　useradd -g webusers floatboat
　　同樣的，我們還可以使用-G參數(shù)使他同時(shí)加入多個(gè)組，例如webusers和ftpusers：
　　useradd -G ftpusers,webusers　floatboat
　　3、passwd命令為一個(gè)用戶設(shè)置密碼，但它實(shí)質(zhì)上是一個(gè)修改密碼的程序。只有超級用戶和用戶自己可以修改密碼，其它的普通用戶沒有給他修改密碼的權(quán)利。用戶密碼的組成要盡量的復(fù)雜，最好包括字母、數(shù)字和特殊符號，而且最好設(shè)成6位以上。太短passwd程序不允許，只是單純的字母或單純的數(shù)字，passwd也會(huì)有意見。你都會(huì)看見passwd出現(xiàn)的提示的，不要害怕，仔細(xì)看看到底它是怎么說的：）
　　4、你在增加一個(gè)新用戶的時(shí)候，也可以設(shè)置用戶登錄的shell。缺省的，系統(tǒng)提供了/bin/bash。你如果非要指定的話，可以使用-s 參數(shù)就可以了。例如
　　useradd -d /www　-s /usr/bin/passwd floatboat
　　注意，這些參數(shù)是可以一塊使用的，如上例所示，它表示增加新用戶，并把其主目錄路徑設(shè)置在/www，登錄的shell為/usr/bin/passwd。關(guān)于shell的更詳細(xì)的說明，請參考下面的修改用戶的個(gè)人設(shè)置相關(guān)內(nèi)容。

     創(chuàng)建一個(gè)和ROOT一樣的用戶

     useradd -u 0 -o -g 0 floatboat   這樣就有一個(gè)和ROOT一樣的用戶了

     -u -g 都是0級 即ROOT 級 -O 是允許有相同的ID    也可以使用usemod 中同樣的參數(shù)即其它的參數(shù)了。這樣就可以利用下面介紹的方法（pam.d/ssh）禁止ROOT用戶遠(yuǎn)程登陸了
　　5、刪除一個(gè)用戶可以使用userdel命令，直接帶用戶名做參數(shù)就可以了。
　　
　　修改用戶的設(shè)置
　　對現(xiàn)有用戶的修改，比較常用的主要是修改密碼（使用passwd就好了），修改用戶的登錄shell，修改用戶所屬的默認(rèn)組，設(shè)置賬號有效期，修改用戶的說明信息等等，偶爾也會(huì)用到修改用戶主目錄。
　　
　　修改用戶的登錄shell
　　使用chsh命令可以修改自己的shell，只有超級用戶才能用chsh username為其它用戶修改shell設(shè)置。注意，指定的shell必須是列入/etc/shells文件中的shell，否則該用戶將不能登陸。
　　一般，比較常見的shells文件包括下面這些shell：
　　/bin/bash2
　　/bin/bash
　　/bin/sh
　　/bin/ash
　　/bin/bsh
　　/bin/tcsh
　　/bin/csh
　　而網(wǎng)管們還喜歡在里面加上/usr/bin/passwd，這是為了不然用戶通過控制臺或telnet登錄系統(tǒng)，卻可以使用修改帳戶密碼（比如在FTP里用）。以及/bin/false，也就是不讓這個(gè)用戶登錄的意思嘍^&^，連FTP也不能用。
　　你也可以使用usermod命令修改shell信息，如下所示：
　　usermod -s　/bin/bash floatboat
　　其中/bin/bash和floatboat應(yīng)取相應(yīng)的shell路徑文件名及用戶名。
　　還有一種情況，就是你為用戶設(shè)置了一個(gè)空的shell（就是""），也就是說，這個(gè)用戶沒有shell。呵呵，絕對沒有在我還未曾見過，因?yàn)檫@種用戶登錄后，系統(tǒng)還是會(huì)給它一個(gè)shell用的。不信你試試：
　　usermod -s "" floatboat
　　這種用戶根據(jù)系統(tǒng)的不同，會(huì)有一個(gè)sh或bash進(jìn)行操作，我也沒有看出功能上和其它普通用戶登錄有什么不同。
　　
　　修改用戶所屬的默認(rèn)組
　　這個(gè)功能也可以通過usermod命令來實(shí)現(xiàn)，使用-g參數(shù)，例如把floatboat的默認(rèn)組改為nobody，可以使用如下命令：
　　username -g　nobody floatboat
　　nobody在類UNIX系統(tǒng)中一般都意味著沒有任何權(quán)限。
　　
　　設(shè)置賬號有效期
　　如果使用了影子口令，則可以使用如下命令來修改一個(gè)賬號的有效期：
　　usermod -e MM/DD/YY username
　　例如把用戶floatboat的有效期定為2001年12月31日：
　　usermod -e 12/31/01 floatboat
　　如果把該用戶的有效期設(shè)為已經(jīng)過去的時(shí)間，就可以暫時(shí)禁止該用戶登錄系統(tǒng)。
　　
　　修改用戶的說明信息
　　修改用戶的說明信息，最簡單的方法莫過于直接修改/etc/passwd文件，找到對應(yīng)的用戶記錄行，例如下列行：
　　floatboat:x:503:503::/home/floatboat:/bin/bash
　　你可以直接在第四個(gè)冒號和第五個(gè)冒號之間插入該用戶的說明就可以了。其實(shí)，很多用戶設(shè)置都可以在這修改，比如該行最后一部分/bin/bash就是用戶登錄shell的設(shè)置。關(guān)于這個(gè)/etc/passwd文件，我們后面將進(jìn)一步的深入探討。
　　
　　修改用戶主目錄
　　修改用戶的主目錄主要使用usermod命令的-d參數(shù)，例如：
　　usermod -d　/www　floatboat
　　這一行將floatboat的主目錄改到/www。如果想將現(xiàn)有主目錄的主要內(nèi)容轉(zhuǎn)移到新的目錄，應(yīng)該使用-m開關(guān)，如下所示：
　　usermod -d -m　/www floatboat
　　
　　文件目錄的權(quán)限
　　linux下，每一個(gè)文件、每一個(gè)目錄都有一個(gè)屬主，并針對用戶自己、用戶所在組、其它所有賬號（組）分別設(shè)定讀、寫、執(zhí)行三種權(quán)限。例如，我（假定是webusers組的floatboat帳戶的擁有者）使用如下命令建立一個(gè)新的文件
　　touch mytestfile
　　然后我們使用ls -l mytestfile這一命令來查看這個(gè)文件的權(quán)限狀態(tài)（關(guān)于ls命令，可以查閱本站的命令查詢），可以得到如下的屏幕輸出顯示：
　　-rw-rw-r-- 1 floatboat webusers 0 Feb 6 21:37 mytestfile
　　輸出由空格分為9個(gè)部分，我們比較關(guān)心第一、三、四個(gè)字段，分別表示文件權(quán)限屬性、文件所有者帳戶、文件所屬組。
　　◆使用chown命令修改文件的主人
　　當(dāng)你新建立一個(gè)文件的時(shí)候，文件的所有者當(dāng)然就是你了。這一事實(shí)只有超級用戶（比如說root）才可以通過chown命令改變（例如 chown　otheruser mytestfile,把mytestfile文件的屬主改為otheruser）。普通用戶不能把自己的文件“送”給別人，不然你把有特殊目的的程序給了root怎么辦？：）
　　chown命令的用法比較簡單。這里我先假設(shè)你現(xiàn)在擁有超級用戶權(quán)限，那么你就可以使用如下命令將一個(gè)文件“送給”floatboat了：
　　chown　floatboat　/home/floatboat/thefileisrootcreate.txt （假定該文件是由root創(chuàng)建的）
　　修改一個(gè)目錄的所有者也是類似的：
　　chown floatboat /home/newboat
　　當(dāng)然，如果這個(gè)目錄還有子目錄及文件需要同時(shí)送給floatboat，chown也是支持-R參數(shù)的：
　　chown -R floatboat /home/newboat
　　如果你同時(shí)想修改文件/目錄所屬的組的話，你可以使用以下命令方便的達(dá)到目的：
　　chown -R floatboat.ftpusers /home/newboat
　　這樣，不但文件主人得到了修改，文件所屬的組也變成了ftpusers
　　◆ 修改文件的組屬性
　　文件所屬組你倒是可以改變，前提是：
　　1、你的超級用戶。
　　2、你同時(shí)屬于兩個(gè)或兩個(gè)以上的組。
　　兩個(gè)條件你至少具備一個(gè)，你才能夠把文件所屬舊組變?yōu)樾陆M。使用如下的命令將當(dāng)前目錄下所有html文件所屬的組改為httpd：
　　chgrp httpd *.html
　　和chown命令一樣，chgrp也可以使用-R參數(shù)對一個(gè)目錄內(nèi)的所有文件和子目錄進(jìn)行遞歸的修改組屬性。
　　<提示>：你可以使用不帶參數(shù)的groups命令查看自己屬于哪個(gè)組。
　　
　　文件權(quán)限的設(shè)定是我們這一小節(jié)討論的核心，我們主要介紹chmod命令的兩種用法。
　　
　　◆使用訪問字符串設(shè)置文件目錄權(quán)限
　　正如前面所說的，每一個(gè)文件、目錄都針對用戶自己、用戶所在組、其它所有賬號（組）分別有讀、寫、執(zhí)行三種權(quán)限及其組合。當(dāng)一個(gè)普通用戶新建一個(gè)文件的時(shí)候，它默認(rèn)的訪問權(quán)限顯示就如我們剛才所舉例子的第一個(gè)字段所示?？偣彩蛔址?#8220;-rw-rw-r--”，第一位是目錄區(qū)分標(biāo)志，如果是d的話，表示這是一個(gè)目錄。第二到四位分別表示文件所有者的讀（r：read）、寫（w:write）、執(zhí)行（x:execute）屬性，第五到七位是文件所屬組的讀、寫、執(zhí)行權(quán)限，第八到第十位則是其它用戶的讀、寫、執(zhí)行權(quán)限。如果對應(yīng)的位是相應(yīng)的字母，就是有這相應(yīng)權(quán)限，否則為“-”，表示沒有獲得這個(gè)許可。象剛才例子中的文件就是自己可讀寫，本組可讀寫，其它用戶可讀，所有的用戶（包括自己）都不能執(zhí)行它。
　　我們的用u、g、o分別來指代用戶（user）、組（group）、其它帳戶（other），就可以方便的設(shè)置文件和目錄的權(quán)限了。當(dāng)然，我們也可以用a來表示所有的這三項(xiàng)。
　　例如，我們要對所有perl的腳本文件設(shè)定權(quán)限，對所有用戶都可以讀和

 

ROOT權(quán)限控制

Linux是當(dāng)前比較流行的網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)，它繼承了UNIX系統(tǒng)安全、穩(wěn)定、高效等優(yōu)點(diǎn)。在Linux系統(tǒng)中Root擁有最高權(quán)限，正因如此攻擊者往往以獲取Root權(quán)限為目標(biāo)。作為管理員如何有效地對Root進(jìn)行有效管理呢?本文將從權(quán)限控制的角度，提供幾個(gè)安全技巧。
　　演示環(huán)境

　　Red Hat Enterprise Linux 5

　　1、遠(yuǎn)程登錄

　　我們知道在RHEL系統(tǒng)中，默認(rèn)是允許Root用戶直接遠(yuǎn)程登錄的。假若攻擊者獲取了Root的密碼，然后進(jìn)行遠(yuǎn)程登錄，那整個(gè)服務(wù)器就淪陷了。因此，我們要做好Root的權(quán)限限制，拒絕其遠(yuǎn)程登錄。這樣，就算攻擊者獲取了Root密碼，也不能通過遠(yuǎn)程登錄控制服務(wù)器。限制Root遠(yuǎn)程登錄的方法有很多種，筆者向大家推薦兩種。

　　(1)SSH限制

　　我們知道SSH是Linux系統(tǒng)中用于遠(yuǎn)程維護(hù)管理的一個(gè)服務(wù)，類似于Windows系統(tǒng)中的Telnet或者遠(yuǎn)程桌面3389。通過SSH限制Root遠(yuǎn)程登錄，我們需要做的就是修改SSH的配置文件。找/etc/ssh/sshd_config文件，在其中添加PermitRootLogin no。需要注意的是Linux系統(tǒng)是大小寫敏感的，不要輸錯(cuò)。輸入完畢后，保存并退出，然后輸入命令service sshd restart重啟SSH服務(wù)使修改生效。這樣當(dāng)通過Root遠(yuǎn)程連接Linux服務(wù)器時(shí)，就會(huì)拒絕連接。

　　(2)PAM認(rèn)證

　　我們還可以使用PAM認(rèn)證模塊來拒絕Root用戶直接登錄系統(tǒng)，可通過下面的操作來實(shí)現(xiàn)。打開/etc/pam.d/sshd文件，在第一行加入auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshduser onerr=succeed這條語句。其含義是，在登錄時(shí)認(rèn)證帳戶和密碼是否有效，只有認(rèn)證通過才能登錄系統(tǒng)，否則結(jié)束認(rèn)證拒絕登錄。它的認(rèn)證模塊是/lib/security/pam_listfile.so，認(rèn)證的用戶是用戶(user)，當(dāng)然也可以是組(group)，認(rèn)證的方式是拒絕(deny)，認(rèn)證文件是/etc/sshduser，文件名及目錄隨意，如果認(rèn)證成功就返回(succeed)。

　　然后我們創(chuàng)建一個(gè)認(rèn)證文件，可以在終端中運(yùn)行命令echo "root" > /etc/sshduser來創(chuàng)建，當(dāng)然我們也可以使用vi打開sshduser文件來加入用戶。需要說明的是，當(dāng)有多個(gè)用戶時(shí)，每個(gè)用戶占用一行。添加完成后，再使用Root直接登錄服務(wù)器就可以看到登錄被拒絕了。

2、su限制

　　我們知道在Linux系統(tǒng)中有個(gè)su命令，利用該命令只要知道Root用戶的密碼，默認(rèn)情況下任何人都可以切換到Root用戶中進(jìn)行操作。例如，一個(gè)屬于users組的普通用戶gslw可以通過su命令切換到Root用戶中.

　　因此，我們需要對SU進(jìn)行限制，只允許特定組的用戶才能SU到Root用戶。使用的方法還是通過PAM認(rèn)證模塊來實(shí)現(xiàn)。我們先前控制ssh服務(wù)，是使用/etc/pam.d/sshd文件，當(dāng)然控制用戶使用su命令就需要對

　　/etc/pam.d/su文件進(jìn)行修改。直接打開該文件進(jìn)行修改，或者在終端命令窗口輸入命令vi /etc/pam.d/su，然后去掉其中#auth required pam_wheel.so use_uid的注釋即可。

　　其含義是，使用pam_wheel.so文件來檢查當(dāng)前用戶的UID，如果不是whell組的用戶就直接拒絕?，F(xiàn)在我們通過gslw用戶登錄系統(tǒng)，然后su到Root可以看到被拒絕。當(dāng)然，要使其可以su到Root需要將其加入了wheel組才可以。

　3、Root分權(quán)

　　大家知道，由于Root具有最高的權(quán)限，經(jīng)常用root用戶來管理系統(tǒng)，會(huì)給系統(tǒng)帶來一定的安全隱患。比如，一條無意識輸入的破壞性的命令有可能會(huì)給系統(tǒng)帶來毀滅性的打擊。另外，如果系統(tǒng)被植入了嗅探工具，如果用root登錄會(huì)造成root口令被竊取。因此我們要消減Root的權(quán)限，可以讓其它用戶來完成Root的一些工作，避免過多地使用Root用戶。

　　如何為Root分權(quán)，要根據(jù)服務(wù)器的性質(zhì)來確定。比如一個(gè)Linux平臺的apache服務(wù)器，作為管理員經(jīng)常使用的命令應(yīng)該是諸如/usr/local/apache2/bin/apachect1 start/stop/restart這樣的是啟動(dòng)/重啟/停止服務(wù)器的命令。我們可以為此創(chuàng)建一個(gè)用戶gslw來管理apache服務(wù)器，我們知道普通用戶是沒有權(quán)限來啟動(dòng)apache服務(wù)器的。這里要用到sudo命令，通過它為gslw用戶加入擴(kuò)展權(quán)限使其可以管理apache服務(wù)器。

　　利用Vi或者直接進(jìn)入/etc/pam.d打開sudo文件，然后在其中添加一行g(shù)slw ALL=(ALL) /usr/local/apache2/bin/apachectl命令就可以了。該命令分成四個(gè)字段，依次為用戶名、作用對象、以誰的身份運(yùn)行以及運(yùn)行的命令。當(dāng)然，我們也可以加入gslw localhost=(root) /usr/local/apache2/bin/apachectl start，這樣過濾更嚴(yán)格一些。最后保存退出后，使用gslw用戶登錄系統(tǒng)就可以運(yùn)行/usr/local/apache2/bin/apachectl start命令了。上面只是舉例，大家可以根據(jù)自己的需要在sudo文件中添加相應(yīng)的命令行。不過，需要說明的是命令一定要嚴(yán)格過濾，不要賦權(quán)過大。

總結(jié)：Linux下的權(quán)限控制是非常嚴(yán)格的，但也非常靈活，我們可以根據(jù)自己的安全需求進(jìn)行布防。當(dāng)然，關(guān)于Root權(quán)限的控制策略和方法還有很多，希望本文提供的思路對大家有所幫助