1、第7章 Linux用戶賬號(hào)與組群賬號(hào)管理用戶賬戶和組群的管理是Linux系統(tǒng)工作中重要的一部分，而所謂的賬號(hào)管理是指賬號(hào)的添加、刪除和修改、賬號(hào)設(shè)置以及權(quán)限（Permissions）授予等問題。其中最困難的部分并不在于操作與設(shè)置的層次，而是如何建立一套合理又有靈活性的法則來滿足企業(yè)的需求，這也是本章將要介紹的重點(diǎn)。7.1 Linux系統(tǒng)用戶賬號(hào)的管理 7.1.1 /etc/passwd文件7.1.2 /etc/shadow文件7.1.3 用戶賬號(hào)的創(chuàng)建和維護(hù)1、用戶帳號(hào)：所謂的“用戶”可以是實(shí)際的人員。每個(gè)用戶帳號(hào)都包含一個(gè)惟一的識(shí)別碼（User ID,UID）以及組群識(shí)別碼（Group ID

2、,GID）。2、組群帳號(hào)：所謂的“組群”是一種邏輯性的單位，主要集合特定的用戶，并授予所有組群成員文件相同的權(quán)限，如讀取、寫入、或運(yùn)行。 7.1.1 /etc/passwd文件passwd文件中的記錄是按如下方式組群織的：登錄名：口令：用戶標(biāo)識(shí)號(hào)：組群標(biāo)識(shí)號(hào)：用戶名：用戶主目錄：命令解釋程序1、登錄名：即用戶帳號(hào)，由root或具有相等權(quán)限的管理員所指定。2、密碼：系統(tǒng)用口令來驗(yàn)證用戶的合法性。 3、用戶標(biāo)識(shí)號(hào)：Linux中的每個(gè)用戶帳號(hào)都由一個(gè)惟一的識(shí)別號(hào)碼，該號(hào)碼就稱為UID，它是一個(gè)數(shù)值，最大可達(dá)65535。 4、組群標(biāo)識(shí)號(hào)：這是當(dāng)前用戶的默認(rèn)工作組群標(biāo)識(shí)。 5、用戶名：User_name

3、包含有關(guān)用戶的一些信息，如用戶的真實(shí)姓名、聯(lián)系電話和辦公室住址等。 6、用戶主目錄：該字段定義了個(gè)人用戶的主目錄，當(dāng)用戶登錄后，他的shell將把目錄作為用戶的工作目錄。 7、 命令解釋程序：Shell是當(dāng)用戶登錄系統(tǒng)時(shí)運(yùn)行的程序名稱，通常Shell程序的全路徑名為/bin/bash，但是用戶可以使用chsh命令來改變自己的登錄Shell。7.1.1 /etc/passwd文件列：passwd文件中的兩條記錄：root:x:0:0:root:/root:/bin/bashgo:x:500:500:/home/go:/bin/bash第一條記錄描述了root賬號(hào)。可以看到，登錄名為root；口令

4、字段為“x”，表示真實(shí)口令被存放在/etc/shadows文件中；UID為0，因?yàn)橄到y(tǒng)認(rèn)為UID為0的用戶可以不受通常的安全限制；GID也為0，這是慣例，表示這是root組群。系統(tǒng)中很多文件都屬于root賬號(hào)和root組群；用戶名為root；主目錄為/root；默認(rèn)的shell程序?yàn)閎ash.第二條記錄描述了系統(tǒng)中一個(gè)普通的個(gè)人用戶。其中，登錄名為go；口令字段為“x”；UID為500；GID為500，表明go所在組群在/etc/group文件中編號(hào)為500；用戶名字段為空，表示沒有為該用戶指定附加的描述信息；用戶主目錄為/home/go；默認(rèn)的shell程序?yàn)閎ash。7.1.2 /etc/

5、shadow文件使用Shadow Passwd的功能又下面優(yōu)點(diǎn)： 將原本/etc/passwd文件中的加密密碼移到/etc/shadow文件中，但該文件僅允許root讀取，所以可提高安全性。 可記錄密碼改變的時(shí)間。 可以設(shè)置密碼使用的時(shí)間，以避免用戶的密碼改變過于頻繁。 可以使用/etc/login.defs文件來設(shè)置安全性策略，如密碼最小長(zhǎng)度或密碼最短使用時(shí)間。7.1.3 用戶賬號(hào)的創(chuàng)建和維護(hù)1. 以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù) 2. 以圖形界面對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù) 以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)1、添加用戶賬號(hào)對(duì)系統(tǒng)而言，創(chuàng)建一個(gè)用戶賬號(hào)需要完成以下步驟： 添加一個(gè)記錄到/et

6、c/passwd文件。 創(chuàng)建用戶的主目錄。 在用戶的主目錄中設(shè)置用戶的默認(rèn)配置文件為了提高系統(tǒng)的利用率，并且避免因多個(gè)用戶共用一個(gè)root賬號(hào)而造成不必要的系統(tǒng)安全隱患，通常必須為新用戶添加賬戶。在Linux系統(tǒng)中，添加用戶只能由超級(jí)用戶來完成，也就是說，只能由root使用useradd/adduser命令來完成該項(xiàng)工作。 以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)在使用useradd或adduser命令添加用戶賬號(hào)前，建議先使用“finger”命令來檢查將要添加的用戶帳號(hào)是否存在，以避免賬號(hào)名重復(fù)而失敗。 例：使用“finger”命令來查詢現(xiàn)存賬號(hào)及目前不存在賬號(hào)的結(jié)果：rootns root# f

7、inger user01Login: user01 Name:(null)Directory: /home/user01 Shell: /bin/bashNever logged in.No mail.No Plan.rootns root# finger user02Finger:user02: no such user.由以上結(jié)果可知，當(dāng)前系統(tǒng)中已存在名為user01的賬號(hào)，所以不要再添加該名稱的賬號(hào)，但是user02的名稱尚未被使用，因此可以添加用戶user02。以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)命令useradd的格式如下所示：Useradd 選項(xiàng) 用戶登錄名便如，需要?jiǎng)?chuàng)建一個(gè)用戶賬號(hào)

8、user02，主目錄為/home/user02，登錄時(shí)使用bash作為其shell程序。可以使用以下命令：rootns root# useradd -d /home/user02 -s /bin/bash user02以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)2、修改用戶賬號(hào)添加用戶帳號(hào)后，管理員有時(shí)需要改變賬號(hào)的內(nèi)容，此時(shí)可以使用“usermod”命令來進(jìn)行賬號(hào)內(nèi)容的修改，其實(shí)用方法及參數(shù)與useradd命令很相似。 假設(shè)要修改先前建立的User02賬號(hào)信息，同時(shí)將用戶的備注文字改為“Vice President”，而且主目錄改為/root,則可以使用下面的命令：rootna1 root# user

9、mod -c “Vice President”-d /root User02以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)3、刪除和停用用戶賬號(hào) 要?jiǎng)h除已經(jīng)存在的用戶賬號(hào)，必須從/etc/passwd文件中刪除此用戶的記錄項(xiàng)，從/etc/group文件中刪除提及的此用戶，并且刪除用戶的主目錄及其他由該用戶創(chuàng)建或?qū)儆诖擞脩舻奈募＿@些工作可以使用userdel命令來完成。例如，可以使用以下命令刪除用戶賬號(hào)user01：rootna1 root#userdel user01以文本模式對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)4、用戶密碼管理 若要改變自己的使用密碼，只要直接使用passwd命令即可。下面是使用“passwd”命

10、令來改變自己密碼的方法：alicens1 alice$ passwd 不加任何參數(shù)Changing password for user aliceChanging password for alice(current) UNIX password： 輸入目前密碼（顯示器不顯示密碼）New passsrd： 輸入新的密碼（顯示器不顯示密碼）Retype new password： 再次輸入新的密碼（顯示器不顯示密碼）Passwrd：all authentication tokens updated successfully. 密碼修改成功以圖形界面對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)1、添加用戶賬號(hào)要添加新

11、用戶，點(diǎn)擊添加用戶按鈕。一個(gè)如右圖所示的窗口就會(huì)出現(xiàn)。在適當(dāng)?shù)淖侄蝺?nèi)鍵入新用戶的用戶名和全稱。在口令和確認(rèn)口令字段內(nèi)鍵入口令。口令必須至少有六個(gè)字符。 以圖形界面對(duì)用戶賬號(hào)進(jìn)行創(chuàng)建和維護(hù)2、修改用戶賬號(hào)要查看某個(gè)現(xiàn)存用戶的屬性，點(diǎn)擊用戶標(biāo)簽，從用戶列表中選擇該用戶，然后在按鈕菜單中點(diǎn)擊屬性（或者從下拉菜單中選擇行動(dòng) = 屬性）。一個(gè)類似右圖的窗口就會(huì)出現(xiàn)。 7.2 Linux系統(tǒng)用戶組群的管理7.2.1 組群帳號(hào)/etc/group文件7.2.2 工作組群的管理在進(jìn)行賬號(hào)管理時(shí)，使用“組群”為管理的基本單位。先將需要存入該項(xiàng)資料源的用戶加入到同一個(gè)組群，然后在授予組群該資料的訪問權(quán)限。這樣，每

12、個(gè)組群成員都可以擁有該項(xiàng)資源的權(quán)限，管理員也可以節(jié)省日常維護(hù)的時(shí)間。 7.2.1 組群帳號(hào)/etc/group文件類似于/etc/passwd文件，系統(tǒng)中的每個(gè)組群都對(duì)應(yīng)/etc/group文件中一行記錄。記錄的各字段屬性依次定義如下：組群名：口令：組群標(biāo)識(shí)號(hào)：用戶列表。 7.2.1 組群帳號(hào)/etc/group文件下面介紹各個(gè)字段的含義。 1、組群名（group_name）：顧名思義，組群名就是工作組群的名字2、口令（passwd）：組群的口令，通常都不使用或用“x”表示。允許不在這個(gè)組群中的其他用戶用newgrp命令來訪問屬于這個(gè)組群的資源。3、 組群標(biāo)識(shí)號(hào)（GID）：GID是系統(tǒng)用來區(qū)分

13、不同組群的標(biāo)識(shí)號(hào)，它在系統(tǒng)中是惟一的。在/etc/passwd文件中，用戶的組群標(biāo)識(shí)號(hào)字段就是用這個(gè)數(shù)字來指定用戶的默認(rèn)組群。4、用戶列表（user_list）:用戶列表是用“，”分隔的用戶登錄名集合，列出了這個(gè)組群的所有成員。 7.2.1 組群帳號(hào)/etc/group文件在Linux系統(tǒng)中，root和bin都是管理組群。系統(tǒng)中很多文件都屬于這兩個(gè)組群。 實(shí)際的應(yīng)用中，口令字段是完全沒有必要的。事實(shí)上，很多系統(tǒng)沒有提供設(shè)置組群口令的工具。這是因?yàn)橐挂粋€(gè)用戶成為多個(gè)組群的成員，只需要把用戶登錄名加入到這些組群的用戶列表字段中。 用戶可以使用group命令列出當(dāng)前用戶所屬的所有組群的名稱。 7.

14、2.2 工作組群的管理1、工作組群概述設(shè)置了組群后，通過將用戶劃分到各個(gè)特定的組群中，就自動(dòng)地使用戶擁 該工作組群的權(quán)限。 7.2.2 工作組群的管理2、添加組群賬號(hào)（1）命令行操作 添加組群賬戶命令：groupadd 加組群賬號(hào)的groupadd命令使用很容易。只要直接輸入命令和組群名稱即可。若要指定組群群識(shí)別碼（GID），可以使用“-g”參數(shù)。 例：rootns1 root# groupadd -g 600 test 7.2.2 工作組群的管理2、添加組群賬號(hào)（2）用戶管理器要添加新用戶組群，點(diǎn)擊添加組群 按鈕。一個(gè)類似下圖的窗口就會(huì)出現(xiàn)。 7.2.2 工作組群的管理3、修改組群群賬號(hào)（1

15、）命令行操作 修改組群賬戶命令：groupmod groupmod命令的格式如下：# groupmod -g 新GID-o -n 7.2.2 工作組群的管理3、修改組群群賬號(hào)（2）用戶管理器要查看某一現(xiàn)存組群的屬性，從組群列表中選擇該組群， 然后在按鈕菜單中點(diǎn)擊屬性 （或選擇下拉菜單文件 = 屬性）。一個(gè)類似右的窗口就會(huì)出現(xiàn)。 7.2.2 工作組群的管理4、刪除組群群賬號(hào)刪除組群命令為groupdel。使用此命令可以刪除不需要的組群。groupdel命令的格式如下：# groupdel 同樣，也可以在/etc/group文件中將對(duì)應(yīng)組群的記錄項(xiàng)刪除，從而達(dá)到同樣的目的。 7.3 添加大量用戶

16、在平時(shí)可能管理員需要添加大量用戶帳號(hào)的機(jī)會(huì)并不多，但是在一些比較特殊的情況下，例如新成立的部門或新學(xué)期的新生帳號(hào)，就必須同時(shí)建立許多用戶帳號(hào)。 在處理添加大量用戶帳號(hào)時(shí)，一般使用下面的步驟： 建立用戶信息文件。其中必須包含所需的數(shù)據(jù)域位，同時(shí)這些字段必須符合/etc/passwd文件中字段的排列次序。 運(yùn)行shell script 逐欄讀取信息。 將讀取的信息依次在/etc/passwd和/etc/shadow兩個(gè)文件中建立記錄。1、創(chuàng)建批量用戶的命令 newusers命令格式：newusers 文件名功能：成批添加用戶。把文件內(nèi)容重新定向添加到/etc/passwd文件中。 chpasswd

17、命令格式：chpasswd 文件名 功能：批量更新用戶口令。把文件內(nèi)容重新定向添加到/etc/shadow文件中。 1、創(chuàng)建批量用戶的命令 pwconv命令格式：pwconv功能：用于超級(jí)用戶啟用shadow加密。 pwunconv命令格式：pwunconv功能：用于超級(jí)用戶取消shadow加密2、創(chuàng)建批量用戶的步驟步驟1：編輯用戶信息文件步驟2：運(yùn)行/usr/sbin/newusers步驟3：運(yùn)行/usr/sbin/pwunconv步驟4：建立密碼文件步驟5：運(yùn)行/usr/sbin/chpasswd步驟6：運(yùn)行/usr/sbin/;wconv1、編輯用戶信息文件建立大量用戶帳號(hào)，首先使用任何

18、文件編輯器輸入用戶信息，這些用戶信息字段必須符合/etc/passwd文件中字段的排列次序。例： rootnsl root#vi/root/account.txtstudent1：x：601：601：/home/student1：/bin/bashstudent2：x：602：602：/home/student2：/bin/bashstudent3：x：603：603：/home/student3：/bin/bashstudent4：x：604：604：/home/student4：/bin/bash2、運(yùn)行/usr/sbin/newusers在/usr/sbin目錄中，newusers的主要

19、功能是以批處理文件來更新或建立用戶帳號(hào)，其使用方法很簡(jiǎn)單。 例：rootnsl root#newusers/root/account.txt3、運(yùn)行/usr/sbin/pwunconv/usr/sbin/pwunconv程序表示“password unconvert shadow password”的意思，也就是說它可以將/etc/shadow產(chǎn)生的shadow密碼譯碼，然后回寫到/etc/passwd中，同時(shí)也將/etc/shadow文件中的密碼字段刪除，來取消shadow password的功能。4、建立密碼文件按照每個(gè)用戶名來建立對(duì)應(yīng)的密碼表，只是一個(gè)很簡(jiǎn)單的文本文件，主要支持稍后的/u

20、sr/sbin/chpasswd命令運(yùn)行。例：rootnsl root#vi/root/password.txtstudent1：lxniegh3student2：73h8sjk3student3：pqj37sestudent4：ka6h9dj75、運(yùn)行/usr/sbin/chpasswd建立對(duì)應(yīng)的密碼表，還需要使用shell script將密碼表中的密碼導(dǎo)入到/etc/passwd文件中，在此使用 /usr/sbin/chpasswd程序。例： rootns1 root#chpasswd/root/passwd.txt6、運(yùn)行/usr/sbin/;wconv在成功地將密碼寫入/etc/pas

21、swd文件后，由于所有的密碼都是以明文的方式來顯示，所以很容易對(duì)安全性產(chǎn)生顧慮。因此，必須接著運(yùn)行/usr/sbin/paconv程序，將密碼編碼為shadow password,并且寫入/etc/shadow文件 例：rootns1 root#pwconvrootns1 root#cat/etc/passwdStudent1: x: 601:601: :/home/student1:/bin/bashStudent2: x: 602:602: :/home/student2:/bin/bashStudent3: x: 603:603: :/home/student3:/bin/bashStu

22、dent4: x: 604:604: :/home/student4:/bin/bash 7.4 賦予普通用戶特殊權(quán)限 在Linux系統(tǒng)中，管理員往往不止一人，若每位管理員都用root身份進(jìn)行管理工作，根本無法弄清楚誰該做什么。所以最好的方式是：管理員（leader）當(dāng)系統(tǒng)的root，然后創(chuàng)建一些普通用戶，分配一部分系統(tǒng)管理工作給他們。現(xiàn)在已經(jīng)有了可以實(shí)現(xiàn)這樣的功能命令：sudo命令。 Sudo命令通過維護(hù)一個(gè)特權(quán)到用戶名映射的數(shù)據(jù)庫(kù)將特權(quán)分配給不同的用戶，這些特權(quán)可由數(shù)據(jù)庫(kù)中所列的一些不同的命令來識(shí)別。為了獲得某一特權(quán)項(xiàng)，有資格的用戶只需簡(jiǎn)單地在命令行輸入sudo與命令名之后，按照提示再次輸

23、入口令（用戶自己的口令，不是root用戶口令）。下面以實(shí)例來介紹sudo的使用。 例：管理員需要允許gem用戶在主機(jī)sun上執(zhí)行reboot和shutdown命令，在/etc/sudoers中加入：gem sun=/usr/sbin/reboot，/usr/sbin/shutdown 注意：命令一定要使用絕對(duì)路徑，以避免其他目錄的同名命令被執(zhí)行，從而造成安全隱患。然后保存退出，gem用戶想執(zhí)行reboot命令時(shí)，只要在提示符下運(yùn)行下列命令：$ sudo /usr/sbin/reboot輸入正確的密碼，就可以重啟服務(wù)器了。 7.5 Linux系統(tǒng)安全管理 7.5.1 安全管理7.5.2 安全管理

24、組群成7.5.3 用戶口令的管理7.5.4 用戶賬號(hào)的管理7.5.5 管理帳號(hào)常用的命令 7.5.1 安全管理1、安全管理Linux系統(tǒng)安全管理包括多個(gè)要素，例如，普通用戶的系統(tǒng)安全、超級(jí)用戶的系統(tǒng)安全、文件系統(tǒng)的安全、進(jìn)程安全以及網(wǎng)絡(luò)安全等。只有以上各個(gè)要素協(xié)調(diào)配合才能真正地保證系統(tǒng)不易受到致命的打擊。 7.5.1 安全管理2、安全管理的目標(biāo) 防止非法操作 數(shù)據(jù)保護(hù) 正確管理用戶 保證系統(tǒng)的完整性 記賬 系統(tǒng)保護(hù) 7.5.2 安全管理組群成1、物理安全物理安全對(duì)于任何計(jì)算機(jī)都是非常重要的。一般來說，物理安全應(yīng)該包括以下方面： 保證放置計(jì)算機(jī)機(jī)房的安全，必要時(shí)應(yīng)添加報(bào)警系統(tǒng)。同時(shí)系統(tǒng)提供備份方

25、案，把備份好的軟件放置在另一個(gè)安全地點(diǎn)。 保證所有的通信設(shè)施都不會(huì)被非法人員臨聽。 鑰匙或信用卡識(shí)別設(shè)備、用戶口令鑰匙分配、文件保護(hù)，備分域恢復(fù)方案等關(guān)鍵文件檔資料要保存在安全的位置。 7.5.2 安全管理組群成2、普通用戶安全管理Linux系統(tǒng)管理員的職責(zé)之一是保證用戶資料安全。其中一部分工作是由用戶的管理部門來完成的。但作為系統(tǒng)管理員，有責(zé)任發(fā)現(xiàn)和報(bào)告系統(tǒng)的安全問題。系統(tǒng)管理員可以定期隨機(jī)抽選一用戶，將該用戶的安全檢查結(jié)果發(fā)送給他及其管理部門。此外，用戶的管理部門應(yīng)該強(qiáng)化安全意識(shí)，制定完善的安全管理規(guī)劃。 7.5.2 安全管理組群成3、超級(jí)用戶安全管理超級(jí)用戶在安全管理方面需要注意的事項(xiàng)如

26、下： 在一般情況下最好不使用root賬號(hào)，應(yīng)使用su命令進(jìn)入普通用戶賬號(hào)。 超級(jí)用戶不要運(yùn)行其他用戶的程序。 經(jīng)常改變r(jià)oot口令 精心地設(shè)置口令時(shí)效 不要把當(dāng)前工作目錄排在PATH路徑表的前面，以避免“特洛伊木馬”的入侵。 7.5.2 安全管理組群成 不要未退出系統(tǒng)就離開終端。 建義將登錄名root改成其他名稱。 注意檢查不尋常的系統(tǒng)使用情況。 保持系統(tǒng)文件安全的完整性。 將磁盤的備份存放在安全的地方。 確保所有登錄賬號(hào)都有用戶口令 啟動(dòng)記賬系統(tǒng)。 7.5.3 用戶口令的管理1、設(shè)置好的用戶口令一個(gè)好的用戶口令至少有6個(gè)字符。口令中不要包含個(gè)人信息，如生日、名字、門牌號(hào)碼等。用戶口令中最好有

27、一些非字母（即數(shù)字、標(biāo)點(diǎn)等）字符，最好便于記憶。 7.5.3 用戶口令的管理2、用戶口令管理策略設(shè)置好的用戶口令并不意味著用戶口令系統(tǒng)的安全，它只能使入侵者不能直截了當(dāng)?shù)仃J入系統(tǒng)內(nèi)。只有采用正確的用戶口令管理策略，才能保證用戶口令不會(huì)困為人為因素泄密。 7.5.3 用戶口令的管理3、用戶口令時(shí)效由于用戶口令的安全性隨著時(shí)間的推而變?nèi)酰裕?jīng)常改變用戶口令有利于系統(tǒng)安全。Liunx提供了設(shè)置用戶口令的時(shí)效機(jī)制，系統(tǒng)管理員可以通過修改/etc/shadow文件實(shí)現(xiàn)。 如下例： 7.5.3 用戶口令的管理root：dJUQfur62wzeA：11289：0：99999：7：從上面的示例可以看到，對(duì)

28、于root用戶，加密口令為dJUQfur62wzeA，最后一次修改口令的時(shí)間距1970年1月1日有11289天，即2000年11月7日。第四個(gè)字段為0，表示用戶可以隨時(shí)修改口令。第五個(gè)字段表示用戶需在99999天后修改口令，也就是說無需修改口令。當(dāng)我們將這行記錄改為：root：dJUQfur62wzeA：11289：0：91：7：10：這表示用戶可以隨時(shí)修改口令，但必須至少在91天內(nèi)修改一次；如果在84（91-7）天內(nèi)不修改口令，系統(tǒng)將通知用戶修改。如果不修改，則在101（91+10）天后，停用該用戶賬號(hào)。 7.5.3 用戶口令的管理4、安全的用戶口令操作多數(shù)情況下，用戶口令丟失都與用戶誤操作

29、有關(guān)。為保證用戶口令安全必須注意以下問題： 不要將用戶口令寫下來。 用戶在輸入口令時(shí)，應(yīng)避免多人使用同一個(gè)賬號(hào)。 保證用戶一人一個(gè)口令，以避免多個(gè)使用同一個(gè)賬號(hào)。 不要重復(fù)使用同一口令。 不要在不同系統(tǒng)上使用同一口令。 不要通過網(wǎng)絡(luò)或MODEM來傳送口令。 7.5.4 用戶賬號(hào)的管理Linux的每個(gè)用戶對(duì)系統(tǒng)的安全都負(fù)有責(zé)任。 保證系統(tǒng)有一個(gè)安全的/etc/passwd文件是十分必要的，維護(hù)該文件時(shí)應(yīng)注意以下問題： 盡量避免直接修改/etc/passwd文件。 在用戶可以容忍的情況下，盡量使用比較復(fù)雜的用戶賬號(hào)名。 盡量將passwd文件中UID號(hào)為0的人數(shù)限制在一到兩個(gè)人內(nèi)。 保證passw

30、d文件中沒有口令相同的用戶賬號(hào)。 7.5.4 用戶賬號(hào)的管理 保證passwd文件中每個(gè)用戶的口令字段不為空。注意系統(tǒng)特殊用戶使用的shell字段，保證他們使用專用程序，而非一般用戶的shell。除非在必要的情況下，最好不要使用組群口令。最好先為新用戶提供rsh（restricted shell），讓他們?cè)谑芟薜沫h(huán)境中使用系統(tǒng)。當(dāng)一個(gè)賬號(hào)長(zhǎng)時(shí)間不用時(shí)，可通過記賬機(jī)制發(fā)現(xiàn)該賬號(hào)，并將該賬號(hào)停用。 7.5.5 管理帳號(hào)常用的命令1、顯示自身的用戶名whoami因?yàn)橛袝r(shí)可以在Linux系統(tǒng)中更換身份，通常是以一般的用戶身份登錄，如果需要設(shè)置系統(tǒng)的某些內(nèi)容，再以su命令切換到管理員的身份。直接輸入”whosmi”命令可以顯示當(dāng)前登錄的用戶名，其作用與“id-un”命令相同。rootns1 root#whoamirootrootnsl root# id unroot 7.5.5 管理帳號(hào)常用的命令2、顯示當(dāng)前所有登錄用戶信息w運(yùn)行“w”命令可以顯示當(dāng)前所有登錄用戶的信息，如用戶名、登錄時(shí)間、登錄位置、系統(tǒng)啟動(dòng)