一、预备知识

概述

    Linux操作系统是多用户操作系统，帐户实质上就是一个用户在系统上的标识，广义上讲，Linux的帐户包括用户帐户和组帐户两种。用户帐户分为普通用户帐户和超级用户帐户两种。管理员帐户对系统具有绝对控制权；组帐户分为私有组和标准组，当创建一个新用户时，若没有指定他所属于的组，Linux就建立一个和该用户同名的私有组，此私有组中只包含该用户自己，标准组可以容纳多个用户。若使用标准组，在创建一个新用户时就应该指定他所属于的组。同一个用户可以同属于多个组，其登录后所属的组称为主组，其它的组称为附加组。

Linux下的账户系统文件

Linux下的帐户系统文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow 4个。

（1）/etc/passwd文件中每行定义一个用户帐号，一行中又划分为多个不同的字段定义用户帐号的不同属性，各字段用“：”隔开。

    各字段定义如下：

    用户名：用户登录系统时使用的用户名，它在系统中是唯一的。

    口令：此字段存放加密的口令。在此文件中的口令是x，这表示用户的口令是被/etc/shadow文件保护的，所有加密口令以及和口令有关的设置都保存在/etc/shadow中。

    用户标识号：是一个整数，系统内部用它来标识用户。每个用户的UID都是唯一的。root用户的UID是0，1~499是系统的标准帐户，普通用户从500开始。

    组标识号：是一个整数，系统内部用它来标识用户所属的组。

    注释性描述：例如存放用户全名等信息。

    自家目录：用户登录系统后进入的目录。

    命令解释器：批示该用户使用的shell，Linux默认为bash。

（2）/etc/passwd文件对任何用户均可读，为了增加系统安全性，用户的口令通常用shadow passwords保护。/etc/shadow只对root用户可读。在安装系统时，会询问用户是否启用shadow passwords功能。在安装好系统后也可以用pwconv命令和pwunconv来启动或取消shadow passwords保护。经过shadow passwords保护的帐户口令和相关设置信息保存在/etc/shadow文件里。

    各字段意义如下：

    用户名：用户的帐户名

    口令：用户的口令，是加密过的

    最后一次修改时间：从1970年1月1日起，到用户最后一次更改口令的天数

    最小时间间隔：从1970年1月1日起，到用户可以更改口令的天数

    最大时间间隔：从1970年1月1日起，到用户必须更改口令的天数

    警告时间：在用户口令过期之前多少天提醒用户更新

    不活动时间：在用户口令过期之后到禁用帐户的天数

    失效时间：从1970年1月1日起，到帐户被禁用的天数

    标志：保留位

（3）/etc/group文件。将用户分组是Linux中对用户进行管理及控制访问权限的一种手段。当一个用户同时是多个组的成员时，在/etc/passwd中记录的是用户所属的主组，也就是登录时所属的默认组，而其他的组称为附加组。用户要访问附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组的成员。组的所有属性都存放在/etc/group中，此文件对任何用户均可读。

     各字段意义如下：

     组名：该组的名称

     组口令：用户组口令，由于安全性原因，已不使用该字段保存口令，用“x”占位

    GID：组的识别号，和UID类似，每个组都有自己独有的ID号，不同组的GID不会相同

    组成员：属于这个组的成员

（4）/etc/gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取。

    各字段意义如下：

    组名：用户组名称，该字段与group文件中的组名称对应

    组口令：用户组口令，该字段用于保存已加密的口令

    组的管理员帐号：组的管理员帐号，管理员有权对该组添加、删除帐号

    组成员：属于该组的用户成员列表，用“，”分隔

二、实验环境

                       centos6.5试验台

三、实验步骤

四、实验收获

            1.命令总结

                                                                                                       2.

                                                                                      3.

                                4. 修改/etc/pam.d/system-auth配置：(注意：在root用户下进行，其余用户对这个文件只有读的权限) vi /etc/pam.d/system-auth

五、分析与思考

         1）思考还有哪些加强linux账户安全的管理方法？

                    1.开启防火墙，仅开启必要端口
                    2.关闭不必要的服务
                    3.清除不必要的系统账户
                    4.使用特定账户开启特定服务，尽量不使用root
                    5.禁止root远程登陆
                    6.修改ssh协议端口号
                    7.更改系统信息，不要显示系统版本、内核版本等
                    8.设定连续失败次数锁定账户      

         2）比较一下linux账户跟unix账户管理的异同。

                         前者是开发源代码的自由软件，而后者是对源代码实行知识产权保护的传统商业软件。这应该是他们最大的不同，这种 不同体现在用户对前者有很高的自主权，而对后者却只能去被动的适应；这种不同还表现在前者的开发是处在一个完全开放的环境之中,而后者的开发完全是处在一 个黑箱之中,只有相关的开发人员才能够接触的产品的原型。