システムコマンド#
スーパーユーザー
UID=0、ユーザー名 = root;システム内のすべてのリソースを管理可能
システムユーザー
ログインには使用できない、UID=1~999;例えば、システム内の http プロセスはユーザー apache で実行される
一般ユーザー
UID=1000~65535、ほとんどのリソースを使用できるが、一部の特別な権限は制御され、ユーザーは自分のディレクトリにのみ書き込み権限を持つ。
sudo コマンド:一般ユーザーが一時的に root 権限を借用してコマンドを実行、パスワードの入力が必要で、すべての操作が記録される
/etc/password—— ユーザーアカウントファイル
ユーザー名:パスワード:ユーザー ID:主グループ ID:ユーザーのフルネーム:ホームディレクトリ:ログインシェル
/etc/shadow—— ユーザーパスワードファイル
パスワード:最後のパスワード変更時間:2 回のパスワード変更間隔の最短日数:最長日数:パスワードの期限切れの警告を何日前に行うか:期限切れ何日後にユーザーを無効にするか:期限切れ時間:保持フィールド
/etc/group—— ユーザーグループファイル
グループ名:パスワード:グループ ID とユーザーリスト
/etc/gshadow システム内のすべてのグループのパスワードを保存
/etc/skel 新しいアカウントを作成するたびに、システムは /etc/skel ディレクトリ内のすべての内容(ディレクトリ、ファイルを含む)を新しいユーザーのホームディレクトリ「/home/<ユーザー名>」にコピーする
ユーザー管理#
useradd test ユーザー test を作成
passwd test ユーザー test のパスワードを変更
ユーザーグループ管理#
ユーザーアカウント管理#
1. 確認
#cat /etc/passwd #cat /etc/shadow
#awk -F: '$3==0 {print $1}' /etc/passwd UID=0 のユーザーを検索
2. 余分なアカウントを削除
#userdel -r ユーザー名
3. アカウントをロック
#passwd -l ユーザー名 #passwd -u ユーザー名(アカウントのロック解除)
ユーザーパスワード管理#
/etc/shadow でユーザーが空のパスワードかどうかを確認:パスワードフィールドが感嘆符
#awk -F:'length($2)==0 {print $1}' /etc/shadow
#awk -F ":"'($2==""){print $1}' /etc/shadow
弱いパスワードを防ぐ#
ファイルを変更:
vi /etc/pam.d/system-auth
パスワードの有効期限:
vi /etc/login.defs
root のリモートログインを禁止#
su で root に切り替えを禁止#
ユーザー管理のまとめ#
Linux ファイルシステムの概要#
ファイルシステム属性#
ファイルとディレクトリの所有者を変更
chown
#chown -R root: users /test
ファイルアクセス権を変更
chmod
2 つの方法:1. 文字方式:u、g、o 2. 数字方式:4/2/1
権限管理#
ログの安全性#
ログの分類#
/var/log/messages サーバーのシステムログ
/var/log/secure システムのログイン行動を記録
var/log/wtmp、 /var/log/lastlog システムのログインとログアウト情報を記録