Linux用户管理
2012-09-04 02:07
232 查看
在安全中有一种技术人们称它为“后门”技术,其实就是说一些“小黑”,***到服务器后得到root权限,最常见的就是添加一个用户方便日后来访。虽然这是一个初级的技术,但是这个能够看出你对/etc/passwd和/etc/shadow文件的熟悉程度。
如果你是***的话,***到一个系统后,你为了防止管理员修改密码导致你不能登录,而你去修改密码,这不是明摆着要通知管理员他的系统已近被***了,所以这个时候可以通过编辑passwd和shadow文件来实现如下内容:[root@qiuri ~]#echo "admin:x:0:0::/usr/src:/bin/bash" >> /etc/passwd[root@qiuri ~]#echo "admin:!!:14143:0:99999:7::: " >> /etc/shadow通过以上两条命令可以添加一个UID为0的具有管理员权限的账户,也可以编辑配置文件手工输入,当然,这里小黑们会尽量的掩盖自己创建的这个账户,首先用户名称一般会选择一个类似系统应用程序的账户,用户的主目录也不会和其它账户一样放在/home下。总之尽量的逃过哪些粗心的管理员。当然,还没有设置密码是不能够通过远程可以连接上服务器的,这个时候用passwd来设置一下:输入要设置的密码,之后查看/etc/shadow配置文件后密码位已近成为md5加密的乱码。[root@qiuri ~]# passwd admin[root@qiuri ~]# grep admin /etc/shadowadmin:$1$1IoPDSJW$3NxLHwcXeutWT1lIMb4Zy1:14163:0:99999:7:::这个时候我们可以测试一下登录,这个时候我们没有必要退出后再登录,我们可以使用su命令切换用户,大家在使用这条命令的时候最常见的问题如下:[root@qiuri ~]# su adminbash-3.1#[root@qiuri ~]# su – adminbash-3.1#咋看起来这两条命令没有什么区别,当我们使用su admin命令的时候,我们输入一个认为可用的命令的时候会得到“command not found”的错误信息。是由于su命令不能在根用户环境中的读操作。为了解决这个问题,只能在给su命令添加一个”–”的选项,也就是su – admin这样的格式。我们使用pwd查看一下这两个命令的区别:[root@qiuri ~]# su adminbash-3.1# pwd/rootbash-3.1# su - admin-bash-3.1# pwd/usr/src看到了吧,其实这两个命令的区别就是:使用su命令切换用户后,不会修改当前登录会话的目录或者环境;而su – 后,通常会修改用户的登录目录为用户自己的根目录,并且用户自己的变量也可以使用了。或许有人还有疑问为何提示符为”-bash-3.1#”了,其实这个”-bash-3.1”不是关键,主要是看”#”和”$”来区别用户的类型。这里变为”-bash-3.1”的原因是我们创建的admin用户没有自己的初始配置文件,我们使用命令创建用户的时候都会从/etc/skel这个目录中复制到用户的宿主目录。这里查看一下这个配置文件:[root@qiuri ~]# ls -al /etc/skel/total 48drwxr-xr-x 2 root root 4096 09-18 21:26 .drwxr-xr-x 94 root root 12288 10-11 20:27 ..-rw-r--r-- 1 root root 24 2006-07-12 .bash_logout-rw-r--r-- 1 root root 176 2006-07-12 .bash_profile-rw-r--r-- 1 root root 124 2006-07-12 .bashrc[root@qiuri ~]#我们看到这些都是一下隐藏文件,这些文件是用于用户的环境变量的shell脚本,用户登录后可以修改这些文件。我在以后的文章中详细介绍这些文件的用途。那我们就将这些文件复制过去看看:[root@qiuri ~]# cp -r /etc/skel/.* /usr/src[root@qiuri ~]# su - admin[root@qiuri ~]# pwd/usr/admin当然,通过这种方法创建的后门用户很容易被细心的管理员发现,但是如果你对这些配置文件不是很熟悉的话也是很难发现问题。这就是火能助人,也能杀人的道理。当发现这样的用户,我们需要做的是将其删除,删除用户的命令是userdel。1)userdel命令用于删除linux系统中的用户账号,命令格式如下:userdel [-r] user_name一般,在使用这条命令的时候,如果不添加”-r”的话,不会删除用户的宿主目录,这样就可以保存该用户在系统中的文件,要是想删除的话我们可以手工的去删除该目录。但是你已经确认该宿主目录中的文件可以删除,直接使用”-r”这样就可以一次性的删除用户操作。[root@qiuri ~]#userdel –r admin2)手工删除用户手工删除一个用户需要执行如下步骤:从/etc/passwd、/etc/shadow、/etc/group配置文件中删除该用户的相关条目,之后删除该用户的宿主目录。但是,在我们工作的过程中,为了提高系统的安全性最常用的就是禁用和启用账户。可以使用usermod命令来禁用账号:[root@qiuri ~]# grep u1 /etc/shadow #禁用前查看一下u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]# usermod -L u1 #禁用账号[root@qiuri ~]# grep u1 /etc/shadow #再次查看一下,发现多出一个"!",表明用户已禁用u1:!$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]#当因工作需要的时候,可以将已禁用的账号u1重新启用,命令如下:[root@qiuri ~]# usermod -U u1 #重新启用账号[root@qiuri ~]# grep u1 /etc/shadow #发现"!"已经移除,表明用户已启用u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]#从上边的操作可以看出usermod命令禁用和启用账号功能是通过在/etc/shadow 配置文件中,在用户密码位之前添加和删除"!"实现的。当然也可以使用手工添加或删除"!"来实现效果。不知道大家还记不记得我在上一篇文章中提到可以通过设置shadow文件中的“账号失效期”来设置账号的有效期限。这里也可以使用usermod命令实现,命令格式如下:usermod –e YYYY-MM-DD name通过这个命令可以设置用户账号的过期时间,就是说在此日期之前用户账户生效,过了这个日期后用户将禁止登录。设置后如下所示:[root@qiuri ~]# usermod -e 2008-10-18 u1 #设置账号过期时间[root@qiuri ~]# grep u1 /etc/shadow #验证结果u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7::14170:[root@qiuri ~]#在实际的管理工作中,如果我们一个一个的去管理账号的话,无形中会增加我们大量的管理负担和造成不必要的错误。可以使用“用户组”来解决这些问题。那么什么是“用户组”呢?用户组就是一个具有相同特性的用户集合,在同一个组中的所有用户具有相同的组权限。一般情况下我们使用useradd创建用户的时候会创建和用户同名的用户组,但是有些时候我们需要单独的创建用户组,可以使用groupadd命令实现?命令格式如下:groupadd [-g gid [-o]] [-r] [-f] group
我们创建一个qiuri组为例:[root@qiuri ~]# groupadd qiuri #添加用户组[root@qiuri~]# grep qiuri /etc/group #验证是否创建成功qiuri:x:501:
如果我们要创建一个xifeng组同时组ID为1000[root@qiuri ~]# groupadd -g 1000 xifeng #添加组ID为1000的用户组[root@qiuri ~]# grep xifeng /etc/group #验证结果xifeng:x:1000:
我们会创建组了,但是如何将用户添加到相应的组呢?一般有以下几种情况?1) 创建用户的时候指定用户属于那个用户组例如:我们创建一个test用户,同时这个用户属于qiuri组,这个时候系统就不会再建立与用户名同名的用户组账号了。命令格式:uersadd -g group_name user_name创建过程:[root@qiuri ~]# grep qiuri /etc/group #确认用户组qiuri是否存在qiuri:x:1001:[root@qiuri ~]# useradd -g qiuri test #将创建用户指定到qiuri组[root@qiuri ~]# grep test /etc/passwd #查看用户是否创建成功,是否属于组qiuri。test:x:510:1001::/home/test:/bin/bash[root@qiuri ~]# grep qiuri /etc/groupqiuri:x:1001:说明:验证用户属于那个组的时候也可以使用命令groups user_name来查询。2)更改用户的用户组一般什么时候需要更改用户组呢?例如:我们在创建用户的时候忘记指定用户属于那个用户组,这个时候我们执行此命令。可以使用usermod –g来更新组的名称,这里我们将test用户从qiuri组更改到xifeng组。命令格式:uermod –g group_name user_name更改过程:[root@qiuri ~]# usermod -g xifeng test #更改用户所属于的组[root@qiuri ~]# grep test /etc/passwd #确认用户组ID是否发生变化test:x:510:1000::/home/test:/bin/bash[root@qiuri ~]# grep xifeng /etc/group #确认组ID为1000的组是否是xifeng。xifeng:x:1000:[root@qiuri ~]#3) 将用户添加到其它组一个用户可以同时属于多个组,例如:test用户同时属于qiuri和xifeng组,可以通过usermod –G命令来实现。注意:这条命令执行的前提条件是确认该用户是否存在,也就是说是将已有用户添加到相应的组。命令格式:usermod –G group_name user_name方法一、添加过程:[root@qiuri ~]# usermod -G qiuri test #让用户test同时属于qiuri组[root@qiuri ~]# grep test /etc/passwd #查看一下用户配置文件,无变化test:x:510:1000::/home/test:/bin/bash[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #查看一下用户组配置文件中关于xifeng和qiuri组。个人认为使用groups test命令查看更方便些。xifeng:x:1000:qiuri:x:1001:test[root@qiuri ~]#或者使用gpasswd命令,命令格式如下:gpasswd –a user_name group_name方法二、添加过程:[root@qiuri ~]# gpasswd -a test qiuri #让用户test同时属于qiuri组Adding user test to group qiuri[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #验证结果xifeng:x:1000:qiuri:x:1001:test[root@qiuri ~]# grep test /etc/passwdtest:x:510:1000::/home/test:/bin/bash[root@qiuri ~]#当我们需要修改组的名称的时候可以使用groupmod -n实现,命令格式:groupmod -n new_group_name old_ group_name例如:将组qiuri更改为qiurixifeng[root@qiuri ~]# groupmod -n qiurixifeng qiuri #修改组名称[root@qiuri ~]# grep qiuri /etc/group #确认结果qiurixifeng:x:1001:test[root@qiuri ~]#和组名称对应的就是用户名称,我们可以usermod –l修改用户名称,命令格式如下:usermod –l new_user_name old_ user_name [root@qiuri ~]# usermod -l qiuri test #修改用户名称[root@qiuri ~]# grep qiuri /etc/passwd #验证结果qiuri:x:501:501::/home/test:/bin/bash最后要介绍删除组的命令groupdel,命令格式如下:groupdel group_name
[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #查看一下qiuri和xifeng组是否存在qiuri:x:1001:xifeng:x:1000:[root@qiuri ~]# groupdel qiuri #删除qiuri组[root@qiuri ~]# groupdel xifeng #删除xifeng组[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #确认结果[root@qiuri ~]#---------------------------------
如果你是***的话,***到一个系统后,你为了防止管理员修改密码导致你不能登录,而你去修改密码,这不是明摆着要通知管理员他的系统已近被***了,所以这个时候可以通过编辑passwd和shadow文件来实现如下内容:[root@qiuri ~]#echo "admin:x:0:0::/usr/src:/bin/bash" >> /etc/passwd[root@qiuri ~]#echo "admin:!!:14143:0:99999:7::: " >> /etc/shadow通过以上两条命令可以添加一个UID为0的具有管理员权限的账户,也可以编辑配置文件手工输入,当然,这里小黑们会尽量的掩盖自己创建的这个账户,首先用户名称一般会选择一个类似系统应用程序的账户,用户的主目录也不会和其它账户一样放在/home下。总之尽量的逃过哪些粗心的管理员。当然,还没有设置密码是不能够通过远程可以连接上服务器的,这个时候用passwd来设置一下:输入要设置的密码,之后查看/etc/shadow配置文件后密码位已近成为md5加密的乱码。[root@qiuri ~]# passwd admin[root@qiuri ~]# grep admin /etc/shadowadmin:$1$1IoPDSJW$3NxLHwcXeutWT1lIMb4Zy1:14163:0:99999:7:::这个时候我们可以测试一下登录,这个时候我们没有必要退出后再登录,我们可以使用su命令切换用户,大家在使用这条命令的时候最常见的问题如下:[root@qiuri ~]# su adminbash-3.1#[root@qiuri ~]# su – adminbash-3.1#咋看起来这两条命令没有什么区别,当我们使用su admin命令的时候,我们输入一个认为可用的命令的时候会得到“command not found”的错误信息。是由于su命令不能在根用户环境中的读操作。为了解决这个问题,只能在给su命令添加一个”–”的选项,也就是su – admin这样的格式。我们使用pwd查看一下这两个命令的区别:[root@qiuri ~]# su adminbash-3.1# pwd/rootbash-3.1# su - admin-bash-3.1# pwd/usr/src看到了吧,其实这两个命令的区别就是:使用su命令切换用户后,不会修改当前登录会话的目录或者环境;而su – 后,通常会修改用户的登录目录为用户自己的根目录,并且用户自己的变量也可以使用了。或许有人还有疑问为何提示符为”-bash-3.1#”了,其实这个”-bash-3.1”不是关键,主要是看”#”和”$”来区别用户的类型。这里变为”-bash-3.1”的原因是我们创建的admin用户没有自己的初始配置文件,我们使用命令创建用户的时候都会从/etc/skel这个目录中复制到用户的宿主目录。这里查看一下这个配置文件:[root@qiuri ~]# ls -al /etc/skel/total 48drwxr-xr-x 2 root root 4096 09-18 21:26 .drwxr-xr-x 94 root root 12288 10-11 20:27 ..-rw-r--r-- 1 root root 24 2006-07-12 .bash_logout-rw-r--r-- 1 root root 176 2006-07-12 .bash_profile-rw-r--r-- 1 root root 124 2006-07-12 .bashrc[root@qiuri ~]#我们看到这些都是一下隐藏文件,这些文件是用于用户的环境变量的shell脚本,用户登录后可以修改这些文件。我在以后的文章中详细介绍这些文件的用途。那我们就将这些文件复制过去看看:[root@qiuri ~]# cp -r /etc/skel/.* /usr/src[root@qiuri ~]# su - admin[root@qiuri ~]# pwd/usr/admin当然,通过这种方法创建的后门用户很容易被细心的管理员发现,但是如果你对这些配置文件不是很熟悉的话也是很难发现问题。这就是火能助人,也能杀人的道理。当发现这样的用户,我们需要做的是将其删除,删除用户的命令是userdel。1)userdel命令用于删除linux系统中的用户账号,命令格式如下:userdel [-r] user_name一般,在使用这条命令的时候,如果不添加”-r”的话,不会删除用户的宿主目录,这样就可以保存该用户在系统中的文件,要是想删除的话我们可以手工的去删除该目录。但是你已经确认该宿主目录中的文件可以删除,直接使用”-r”这样就可以一次性的删除用户操作。[root@qiuri ~]#userdel –r admin2)手工删除用户手工删除一个用户需要执行如下步骤:从/etc/passwd、/etc/shadow、/etc/group配置文件中删除该用户的相关条目,之后删除该用户的宿主目录。但是,在我们工作的过程中,为了提高系统的安全性最常用的就是禁用和启用账户。可以使用usermod命令来禁用账号:[root@qiuri ~]# grep u1 /etc/shadow #禁用前查看一下u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]# usermod -L u1 #禁用账号[root@qiuri ~]# grep u1 /etc/shadow #再次查看一下,发现多出一个"!",表明用户已禁用u1:!$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]#当因工作需要的时候,可以将已禁用的账号u1重新启用,命令如下:[root@qiuri ~]# usermod -U u1 #重新启用账号[root@qiuri ~]# grep u1 /etc/shadow #发现"!"已经移除,表明用户已启用u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:::[root@qiuri ~]#从上边的操作可以看出usermod命令禁用和启用账号功能是通过在/etc/shadow 配置文件中,在用户密码位之前添加和删除"!"实现的。当然也可以使用手工添加或删除"!"来实现效果。不知道大家还记不记得我在上一篇文章中提到可以通过设置shadow文件中的“账号失效期”来设置账号的有效期限。这里也可以使用usermod命令实现,命令格式如下:usermod –e YYYY-MM-DD name通过这个命令可以设置用户账号的过期时间,就是说在此日期之前用户账户生效,过了这个日期后用户将禁止登录。设置后如下所示:[root@qiuri ~]# usermod -e 2008-10-18 u1 #设置账号过期时间[root@qiuri ~]# grep u1 /etc/shadow #验证结果u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7::14170:[root@qiuri ~]#在实际的管理工作中,如果我们一个一个的去管理账号的话,无形中会增加我们大量的管理负担和造成不必要的错误。可以使用“用户组”来解决这些问题。那么什么是“用户组”呢?用户组就是一个具有相同特性的用户集合,在同一个组中的所有用户具有相同的组权限。一般情况下我们使用useradd创建用户的时候会创建和用户同名的用户组,但是有些时候我们需要单独的创建用户组,可以使用groupadd命令实现?命令格式如下:groupadd [-g gid [-o]] [-r] [-f] group
我们创建一个qiuri组为例:[root@qiuri ~]# groupadd qiuri #添加用户组[root@qiuri~]# grep qiuri /etc/group #验证是否创建成功qiuri:x:501:
如果我们要创建一个xifeng组同时组ID为1000[root@qiuri ~]# groupadd -g 1000 xifeng #添加组ID为1000的用户组[root@qiuri ~]# grep xifeng /etc/group #验证结果xifeng:x:1000:
我们会创建组了,但是如何将用户添加到相应的组呢?一般有以下几种情况?1) 创建用户的时候指定用户属于那个用户组例如:我们创建一个test用户,同时这个用户属于qiuri组,这个时候系统就不会再建立与用户名同名的用户组账号了。命令格式:uersadd -g group_name user_name创建过程:[root@qiuri ~]# grep qiuri /etc/group #确认用户组qiuri是否存在qiuri:x:1001:[root@qiuri ~]# useradd -g qiuri test #将创建用户指定到qiuri组[root@qiuri ~]# grep test /etc/passwd #查看用户是否创建成功,是否属于组qiuri。test:x:510:1001::/home/test:/bin/bash[root@qiuri ~]# grep qiuri /etc/groupqiuri:x:1001:说明:验证用户属于那个组的时候也可以使用命令groups user_name来查询。2)更改用户的用户组一般什么时候需要更改用户组呢?例如:我们在创建用户的时候忘记指定用户属于那个用户组,这个时候我们执行此命令。可以使用usermod –g来更新组的名称,这里我们将test用户从qiuri组更改到xifeng组。命令格式:uermod –g group_name user_name更改过程:[root@qiuri ~]# usermod -g xifeng test #更改用户所属于的组[root@qiuri ~]# grep test /etc/passwd #确认用户组ID是否发生变化test:x:510:1000::/home/test:/bin/bash[root@qiuri ~]# grep xifeng /etc/group #确认组ID为1000的组是否是xifeng。xifeng:x:1000:[root@qiuri ~]#3) 将用户添加到其它组一个用户可以同时属于多个组,例如:test用户同时属于qiuri和xifeng组,可以通过usermod –G命令来实现。注意:这条命令执行的前提条件是确认该用户是否存在,也就是说是将已有用户添加到相应的组。命令格式:usermod –G group_name user_name方法一、添加过程:[root@qiuri ~]# usermod -G qiuri test #让用户test同时属于qiuri组[root@qiuri ~]# grep test /etc/passwd #查看一下用户配置文件,无变化test:x:510:1000::/home/test:/bin/bash[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #查看一下用户组配置文件中关于xifeng和qiuri组。个人认为使用groups test命令查看更方便些。xifeng:x:1000:qiuri:x:1001:test[root@qiuri ~]#或者使用gpasswd命令,命令格式如下:gpasswd –a user_name group_name方法二、添加过程:[root@qiuri ~]# gpasswd -a test qiuri #让用户test同时属于qiuri组Adding user test to group qiuri[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #验证结果xifeng:x:1000:qiuri:x:1001:test[root@qiuri ~]# grep test /etc/passwdtest:x:510:1000::/home/test:/bin/bash[root@qiuri ~]#当我们需要修改组的名称的时候可以使用groupmod -n实现,命令格式:groupmod -n new_group_name old_ group_name例如:将组qiuri更改为qiurixifeng[root@qiuri ~]# groupmod -n qiurixifeng qiuri #修改组名称[root@qiuri ~]# grep qiuri /etc/group #确认结果qiurixifeng:x:1001:test[root@qiuri ~]#和组名称对应的就是用户名称,我们可以usermod –l修改用户名称,命令格式如下:usermod –l new_user_name old_ user_name [root@qiuri ~]# usermod -l qiuri test #修改用户名称[root@qiuri ~]# grep qiuri /etc/passwd #验证结果qiuri:x:501:501::/home/test:/bin/bash最后要介绍删除组的命令groupdel,命令格式如下:groupdel group_name
[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #查看一下qiuri和xifeng组是否存在qiuri:x:1001:xifeng:x:1000:[root@qiuri ~]# groupdel qiuri #删除qiuri组[root@qiuri ~]# groupdel xifeng #删除xifeng组[root@qiuri ~]# egrep 'qiuri|xifeng' /etc/group #确认结果[root@qiuri ~]#---------------------------------
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- java程序员菜鸟进阶(十五)linux基础入门(三)linux用户和组管理
- Linux-Fedora 9系统管理之SMB (主要用于window与linux之间的文件共享)(一定要添加samba 用户,否则进不去共享文件)
- Linux文件管理和用户管理
- Linux 下用户管理简介
- linux中用户和权限管理
- Linux用户管理命令
- Linux用户及文件管理
- Linux用户管理与权限
- LInux 用户管理
- Linux之用户/用户组及权限管理
- Linux用户管理命令
- Linux用户管理(2)
- linux用户、组管理
- 根Linux用户管理有关的命令
- Linux中用户管理详解(上)
- Linux用户管理
- Linux权限管理及用户与用户组
- linux用户管理(1)----创建用户(adduser和useradd)和删除用户(userdel)
- Linux用户权限管理
- Windows 到 Linux 之旅: 第 4 部分. 用户管理