《单元-5-—-用户管理-红帽RHCE中文课件.ppt》由会员分享,可在线阅读,更多相关《单元-5-—-用户管理-红帽RHCE中文课件.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、单元单元 5 用户管理用户管理目标目标添加一个新用户账户添加一个新用户账户用户专用组用户专用组修改修改/删除用户帐户删除用户帐户组管理组管理密码时效策略密码时效策略更换账户更换账户 sudo网络用户网络用户验证配置验证配置示例示例:NIS 配置配置示例示例:LDAP 配置配置SUID 和和 SGID 可执行文件可执行文件SGID 目录目录粘贴位(粘贴位(Sticky Bit)默认文件权限默认文件权限访问控制列表(访问控制列表(ACL)SELinuxSELinux 续续SELinux:目标策略目标策略SELinux:管理管理结束结束 单元单元 5目标目标学习了本单元后,你应该能够:学习了本单元后
2、,你应该能够:配置用户和组账户配置用户和组账户 修改文件拥有者及权限修改文件拥有者及权限 使用使用“特殊特殊”权限权限 SUID/SGID/Sticky 用用 NIS 和和 LDAP 配置网络用户配置网络用户 设定设定 ACL添加一个新用户账户添加一个新用户账户最常用的方法是最常用的方法是 useradd:useradd options username 运行运行 useradd相当于相当于:编辑编辑/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 创建并丰富主目录创建并丰富主目录 设定权限和拥有者设定权限和拥有者 用用 passwd 设定账户密码
3、设定账户密码 用用 newusers 可添加一组账户可添加一组账户用户专用组用户专用组 当创建用户帐户时,同时也会创建一个同当创建用户帐户时,同时也会创建一个同名的专用组名的专用组 用户被分配到这个专用组用户被分配到这个专用组 和这个组一起为用户提供新文件和这个组一起为用户提供新文件 优点优点:防止新文件归防止新文件归“公共公共”组所有组所有 缺点缺点:可能会鼓励创建可能会鼓励创建“任何人都可以访任何人都可以访问问”的文件的文件组管理组管理 添加到添加到/etc/group 和和/etc/gshadow 的条目的条目 groupadd groupmod groupdel密码时效策略密码时效策略
4、 在默认状况下,密码不会过期在默认状况下,密码不会过期 强制密码失效是强大安全策略的一部分强制密码失效是强大安全策略的一部分 修改修改/etc/login.defs 文件中默认的有效期文件中默认的有效期设定设定 要修改已存在用户的密码时效,使用要修改已存在用户的密码时效,使用 chage 命令命令 chage options username更换账户更换账户 语法语法 su-user su-user c command 允许用户暂时成为其它用户允许用户暂时成为其它用户 默认用户是根用户默认用户是根用户“-”选项生成一个新的选项生成一个新的 shell,一个登录,一个登录 shell网络用户网络
5、用户 有关用户的信息可在一台远程服务器上集有关用户的信息可在一台远程服务器上集中保存和管理中保存和管理 每个用户账户都必须提供两种类型的信息每个用户账户都必须提供两种类型的信息 账户信息账户信息:UID 号码、默认号码、默认 shell、主目录、组成、主目录、组成员身份等等员身份等等 验证验证:验证登录中提供的密码是否正确的方法验证登录中提供的密码是否正确的方法验证配置验证配置 system-config-authentication 配置验证的配置验证的 GUI 工具工具 对于基于文本的工具,使用对于基于文本的工具,使用 authconfig-tui 装载装载 authconfig-gtk
6、RPM 支持的账户信息服务支持的账户信息服务:(本地文件)、(本地文件)、NIS、LDAP、Hesiod、Winbind 支持的验证机理支持的验证机理:(NSS)、)、kerberos、LDAP、SmartCard、SMB、Winbind示例示例:LDAP 配置配置 必须安装必须安装 nss-ldap 和和 openldap RPM 运行运行 system-config-authentication 启用启用 LDAP 来提供用户信息来提供用户信息 指定服务器、搜索几点指定服务器、搜索几点 DN 和和 TLS 启用启用 LDAP 来提供验证来提供验证 这到底是在做什么呢这到底是在做什么呢?更改
7、了五个文本配置文件更改了五个文本配置文件 SGID 目录目录 用来生成合作目录用来生成合作目录 一般来说,在一个目录中创建的文件属于用一般来说,在一个目录中创建的文件属于用户的默认组户的默认组 当在一个目录中创建一个带当在一个目录中创建一个带 SGID 位设定的位设定的文件时,它属于与该目录相同的组文件时,它属于与该目录相同的组粘贴位(粘贴位(Sticky Bit)通常对一个目录有写权限的用户可删除该目录中通常对一个目录有写权限的用户可删除该目录中的任意文件,而无须考虑该文件的权限或者拥的任意文件,而无须考虑该文件的权限或者拥有者有者 有粘贴位设定的目录,只有文件的拥有者才可以有粘贴位设定的目
8、录,只有文件的拥有者才可以删除该文件删除该文件 示例示例:ls ld/tmp drwxrwxrwt 12 root root 4096 Nov 2 15:44/tmp访问控制列表(访问控制列表(ACL)为多用户或者组的文件和目录赋予访问权为多用户或者组的文件和目录赋予访问权限限 rwx mount o acl/directory getfacl setfacl m u:gandolf:rwx setfacl m g:nazgul:rw setfacl m d:u:frodo:rw directory setfacl x u:samwise SELinux 对比强制访问控制(对比强制访问控制(MAC)和随机访问控制)和随机访问控制(DAC)一组叫做一组叫做“策略(策略(policy)”的规则会决定控制的规则会决定控制的严格程度的严格程度 进程要么是被限制的,要么是无束缚的进程要么是被限制的,要么是无束缚的 策略被用来定义被限制的进程能够使用哪些资源策略被用来定义被限制的进程能够使用哪些资源 默认情况下,没有别明确允许的行为将被拒绝执默认情况下,没有别明确允许的行为将被拒绝执行行