Unix/Linux账号安全管理

1. 账号安全管理

a) 对于账号安全管理首先要说的就是passwd文件，因为在Linux系统中，/etc/passwd文件中记录了每一个用户账号的属性，在这个文件中每一行的用户记录的各个数据通过:来进行分割，这个表中每一行所记录的信息如下：
注册名（用户名）：口令：用户标志号：组标识号：用户名：用户主目录：命令解释程序Shell
在这其中，命令解释程序通常是一个Shell程序的全路径名，为了阻止一个特定的用户登录系统可以将其设置为/dev/null或者/sbin/nologin
超级用户或管理员可以通过passwd命令来修改所有用户的密码，普通的用户只能通过passwd命令来修改自己的密码，在现代的Linux系统中，一般不将用户口令放在passwd文件中，在passwd文件中一般使用一个x来代替，然后将/etc/shadow作为真正的口令文件，这个文件是普通用户所无法读取的，只有超级管理员才能读取
如果在passwd中的第一个字段为*，那么这个用户是被封锁的，系统不允许使用这个账户登录，当通过编辑/etc/passwd文件来创建一个新账号的时候，可以在其密码字段放入一个*，来避免用户未经授权使用该用户，直到为这个新建的账号设置一个密码为止，对于伪用户也是如此。
禁用一个账号可以在这个用户名之前加入一个#来将其注释掉即可

b) 伪用户账号，伪用户是不能登录的，因为Shell为空。，伪用户的存在主要是为了方便系统的管理。常见的伪用户有如下几个

             i.     bin 拥有可执行的用户的命令文件

            ii.     sys 拥有系统文件

          iii.     adm 拥有账号文件

            iv.     uucp 控制UUCP的使用

c) root账号，root账号是一个超级管理员的账号，这个账号可以对系统执行任意的操作，在Unix/Linux系统中，超级管理员的账号可不止一个，只要将用户的UID或者GID设置为0，那么这个用户就会变为一个超级管理员账户。但是并不是所有的超级管理员账号都可以很容易的登陆系统，因为系统使用了可插入认证模块PAM进行认证登陆，PAM要求超级用户只能在指定的终端上访问
为了系统安全起见，在使用root账号时应注意一下事项：

             i.     除非必要，否则要避免使用超级管理员账号登陆

            ii.     严格限制root账号只能在一个终端上登陆，因为远程用户可以通过/bin/su -l来成为root用户

          iii.     不要随意吧root shell放在某一个终端上

            iv.     如果某人确定要使用root来执行命令,那么可以考虑安装sudo这样的工具,可以使普通用户以root来运行个人命令

             v.     不要把当前目录和普通用户的bin目录放在一个环境变量PATH中

            vi.     不要用root来运行其他用户或不熟悉的程序

首发于我的个人网站: 点击打开链接