Linux用户管理安全宝典：密码防破解与帐号文件保护 (2)

数站点都从/home开始安排用户登录子目录，并把每个用户的子目录命名为其上机使用的登录名。
　　当用户登录进入系统时，都有一个属于自己的操作环境。用户遇到的第一个程序叫做shell。在Linux系统里，大多数shell都是基于文本的。Linux操作系统带有好几种shell供用户选用。用户可以在/etc/shells文件中看到它们中的绝大多数。用户可以根据自己的喜好来选用不同的shell进行操作。按照最严格的定义，在上面所介绍的/etc/passwd文件中，每个用户的口令数据项中并没有定义需要运行某个特定的shell，其中列出的是这个用户上机后第一个运行的程序是哪个。综上所述，通过使用cat命令查看/etc/passwd文件（#cat /etc/passwd）。
　　(2) 用户影子文件——shadow
　　Linux使用不可逆的加密算法如DES来加密口令，由于加密算法是不可逆的，所以黑客从密文是得不到明文的。但/etc/passwd文件是全局可读的，加密的算法是公开的，恶意用户取得了/etc/passwd文件，便极有可能破解口令。而且，在计算机性能日益提高的今天，对账号文件进行字典攻击的成功率会越来越高，速度越来越快。因此，针对这种安全问题，Linux/UNIX广泛采用了“shadow（影子）文件”机制，将加密的口令转移到/etc/shadow文件里，该文件只为root超级用户可读，而同时/etc/passwd文件的密文域显示为一个x，从而最大限度地减少了密文泄露的机会。
　　/etc/shadow文件的每行是8个冒号分割的9个域，格式如下：
　　username: passwd: lastchg: min: max: warn: inactive: expire: flag
　　如下所示的是一个系统中实际影子文件的例子：
　　liyang:$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.:14633:0:99999:7:::
　　我们对最后一个用户的信息进行解释，该信息表明了如下含义：
　　用户登录名：liyang
　　用户加密的口令：liyang后紧跟的一段乱码信息$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.
　　从1970年1月1日起到上次修改口令所经过的天数天数为：14633天
　　需要多少天才能修改这个命令：0天
　　该口令永不过期：采用99999表示
　　要在口令失效前7天通知用户，发出警告
　　禁止登录前用户名还有效的天数未定义，以“:”表示
　　用户被禁止登录的时间未定义，以“:”表示
　　保留域，未使用，以“:”表示
　　(3) 组账号文件——group
　　/etc/passwd文件中包含着每个用户默认的分组ID（GID）。在/etc/group文件中，这个GID被映射到该用户分组的名称以及同一分组中的其他成员去。
　　/etc/group文件含有关于小组的信息，/etc/passwd中的每个GID在文件中应当有相应的入口项，入口项中列出了小组名和小组中的用户，这样可方便地了解每个小组的用户，否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组用户，这提供了一个比较快捷的寻找途径。/etc/group文件对小组的许可权限的控制并不是必要的，因为系统用来自于/etc/passwd文件的UID、GID来决定文件存取权限，即使/etc/group文件不存在于系统中，具有相同的GID用户也可以小组的存取许可权限共享文件。小组就像登录用户一样可以有口令。如果/etc/group文件入口项的第二个域为非空（通常用x表示），则将被认为是加密口令。/etc/group文件中每一行的内容如下所示：
　　用户分组名
　　加过密的用户分组口令
　　用户分组ID号（GID）
　　以逗号分隔的成员用户清单
　　如下是系统中一个具体的/etc/group文件中记录的例子：
　　adm:x:4:root,adm,daemon
　　以上面文件第四行为例子，它说明在系统存在一个adm的用户组，它的信息如下：
　　用户分组名为adm
　　用户组口令已经加密，用“x”表示
　　GID为4
　　同组的成员用户有：root，adm，daemon
　　(4) 组账号文件——gshadow
　　如同用户账号文件的作用一样，组账号文件也是为了加强组口令的安全性，防止黑客对其实行的暴力攻击，而采用的一种将组口令与组的其他信息相分离的安全机制。其格式如下所示内容：
　　用户组名
　　加密的组口令
　　组成员列表
　　下面是系统中一个具体的/etc/gshadow文件的例子：
　　mail:::mail,postfix,exim
　　以组mail为例，其加密后的组口令被隐藏，其组成员包括mail、postfix和exim。其他的以“::”结尾的组表明没有组成员，但是用户可以自行添加。
　　总结
　　对于Linux系统的全方位保护，我们已经介绍了文件系统保护、进程管理、以及本文的用户管理。除了已经介绍过的这三项，Linux日志管理也是必不可缺的一环，这将在下篇文章中进行介绍。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]