你好,游客 登录 注册 搜索
背景:
阅读新闻

浅谈Linux ACL权限设定的问题

[日期:2014-08-22] 来源:http://www.520sys.cn 作者:admin [字体: ]
  

    关于在Linux系统中的ACL权限设定的问题,这是一种让系统更加安全有效的操作,所以这是很有必要的;那么要怎么的进行设定呢!一起来看看吧!

 

当用户输入用户名和密码时,系统帮你处理了:

 

1,先找到/etc/passwd里面是否有你输入的帐号,没有的话则跳出,有的话就将该帐号对应的UID,GID

 

读出来,另外还有该帐号的家目录与shell设定也一并读出;

 

2,核对密码表,这时Linux会进入/etc/shadow里面找出对应的帐号与UID,然后核对一下你刚刚输入的密码

 

与里面的密码是否相符

 

3,如果一切OK的话,就进入Shell控管的阶段

 

/etc/passwd的档案结构

 

1 帐号名称  用来对应UID的

 

2 密码 会看到一个X 密码数据改放到/etc/shadow

 

3 UID 0表示root  1~ 499表示系统帐号 1~99 由distributions自行建立的系统帐号,100~499用户有系统帐号需求时,可以使用的帐号UID

 

4 GID 这个/etc/group的观念和/etc/passwd差不多,用来规范组名与GID对应而已

 

5用户信息栏说明,只是用来解释这个帐号的意义而已,不过,如果你提供使用finger的功能时,这个字段可以提供很多的讯息,chfn指令用于解释

 

6 家目录 root就是/root 

7 Shell 当用户登录系统后会取得一个Shell来与系统的核心沟通,以进行用户的操作任务,一般取值为/sbin/bash, 如果用来替代成让帐号无法取得

 

shell环境的登录动作,那就是/sbin/nologin这个东西

 

 

/etc/shadow的档案结构

 

1 帐号名称 用来必须要与/etc/passwd 相同才行

 

2 密码 经过编码的密码(加密)啦!这个档案只有root才可以读写就是了,不要不小心更动这个档案的权限,由于固定的编码系统产生的密码长度

 

必须一致,因此在此字段上加上!或*改变了密码字段的长度,就会让密码【暂时失效】了

 

3最近更动密码癿日期: 这个字段的值是以1970年1月1日而累加的日期,14126表示的就是2008-09-04那一天,想要了解该日期,可以使用chage

 

这个指令的帮忙

4 密码不可被改动的天数: 这个帐号最近一次被更改后需要多少时间才能再次被变更,如果是0的话,表示密码随时可以更动的意思

 

5 密码需要重新变更的天数:强制性的规定该密码在多少时间后需要重新的设定一下密码

 

6 密码需要变更期限前的警告天数:表示提示用户这个密码就要到期了,请尽快重新设定你的密码

 

7 密码过期后的帐号宽限时间,过了期限后依旧没有更新密码,那么密码就算过期了,虽然密码过期了,但是该帐号还是可以用来进行其他工作的

 

包括登录系统取得bash,不过如果密码过期了,登录系统时,系统会强制你必须要重新设定密码才能登录继续使用,如果密码过期几天后,还是没有

 

登录更改密码,那么这个帐号密码就会【失效】,这个帐号再也无法使用该密码登录了,密码过期和密码失效并不相同

 

8 帐号失效日期: 表示此帐号在此日期之后,就无法再使用了,无论密码是否过期

 

9 保留字段,看以后是否有新功能加入

 

 

/etc/group的档案结构

 

1 组名

 

2 群组密码 密码已经移动到/etc/gshadow 中去了,这个字段只会存在一个【x】而已

 

3 GID群组ID,

 

4 此群组支持的帐号名称: 如果想让dmtsai加入root群组的话,那么在这行的最后面加上【,dmtsai】,注意不要空格【root:x:0:root,dmtsai】

 

执行groups得到这个用户所有支持的群组,第一个输出的群组即为有效群组,touch一个新档案,那么该档案的群组即为dmtsai了

 

newgrp:有效群组的切换,不过使用newgrp是有限制的,那就是你想要切换的群组必须是你已经有支持的群组,例如:dmtsai可以在

 

dmtsai/users这两个你支持的群组之间进行切换的,执行newgrp users 可以变更有效群组为users这个群组,这个指令执行后,是以另一个

 

shell来提供接下来的操作的,这个时候dmtsai这个使用者目前是以另一个shell登录的,而且新的shell给予dmtsai有效的GID为users

 

有效群组被重新计算,由于是新取得的一个shell,想要返回到原本的环境中,需要输入exit回到原本的shell中

 

 

你要加入一个群组有两个方式,一个是透过系统管理员root利用usermod帮你加入,还可以透过群组管理员以gpasswd帮你

 

加入到他管理的群组中

 

新增与移除使用者:useradd 相关配置文件,passwd, usermod userdel

 

useradd [-u UID] [-g 刜始群组] [-G 次要群组] [-mM]\  这句就是增加初始群组和次要群组的方法

 

创建用户时,默认会建立用户家目录,且目录的权限为700,同时还会帮我们处理几个项目

 

/etc/passwd 里面建立一行与数据有关的数据,包含UID和GID

 

/etc/shadow 里面将此账号的密码相关参数填入,但尚未有密码

 

/etc/group 里面加入一个账号名称一模一样的组名

 

/home 底下建立一个与账号同名的目录作为用户家目录,且权限为700

 

用户建立系统账号一般由100号以后算起,所以这里我们加上 -r 这个选项后,系统将账号与账号同名群组的UID/ GID都指定小于500以下,由于这些账号只是用来运作

 

系统所需服务的权限设定所以不会主动建立家目录

 

useradd 会更改以下的文件

 

用户账号与密码参数方面的档案:/etc/passwd, /etc/shadow,使用者群组相关方面癿档案:/etc/group, /etc/gshadow 用户的家目录:/home/账号名称

 

而家目录中的内容来自于/etc/default/useradd 中的内容 可以用useradd -D查看到,

 

GROUP=100 的含义分为两种

1,私有群组机制,系统建立一个与账号一样的群组给使用者作为初始群组,RHEL FEDORA CENTOS 都是这样设定的

 

2,公有群组机制,就是以100这个群组作为新建账号的初始群组,SUSE就是这样设定的

 

HOME=/home:用户家目录的基准目录(basedir)

INACTIVE=-1:密码过期后是否会失效的设定值 0代表过期后失效,1代表永远不失效,30代表30天后失效

EXPIRE=:账号失效的日期

 

SHELL=/bin/bash:默认使用的 shell 程序文件名

如果是mail server ,那么不许用户登陆系统得到shell,那么可以将这里设定为/sbin/nologin,如此以来,新建的用户都无法登陆,免去了后续使用usermod的修改手续了

 

SKEL=/etc/skel:用户家目录参考基准目录

vbird1 家目录 /home/vbird1 内的各项数据,都是由 /etc/skel 所复制过去的,你可以在/etc/skel目录内容修改.bashrc文件或者建立www这个目录,那么未来新增的使用者

的家目录下就会有www这个目录了

 

CREATE_MAIL_SPOOL=yes:建立使用者的 mailbox,这个值设置为yes,那么ll /var/spool/mail/这个目录下就会存在使用者的邮箱了

除了以上的账号设定值之外,UID和GID还有密码参数是参考/etc/login.defs文件的

 

文件内容包括

 

MAIL_DIR /var/spool/mail <==用户默认邮件信箱放置目录

现在用户登陆系统时的密码校验是通过PAM模块来验证的,所以PASS_MIN_LEN是失效的

 

UID_MIN UID_MAX UID的最小和最大值,一般创建用户时,会先查询/etc/passwd中的最大UID数值,再加上一就是新账号的UID了,如果加上-r 那么就会找出比500小的

最大的那个UID + 1

 

CREATE_HOME yes <==在不加 -M 及 -m 时,是否主动建立用户家目录

UMASK 077 <==用户家目录建立的 umask ,因此权限会是 700

USERGROUPS_ENAB yes <==使用 userdel 删除时,是否会删除初始群组

MD5_CRYPT_ENAB yes <==密码是否经过 MD5 的加密机制处理

通过以上说明,useradd这个命令会参考 /etc/default/useradd /etc/login.defs /etc/skel/* 等文件的内容

 

 

passwd

 

当使用useradd建立账号之后,预设情况下账号暂时是封锁的,无法登陆的,只有passwd设定密码后才能登陆

 

选项与参数

 

--stdin :可以透过来自前一个管线的数据,作为密码输入,对 shell script 有帮助

-l :是 Lock 的意思,会将 /etc/shadow 第二栏最前面加上 ! 使密码失效;

-u :与-l 相对,是 Unlock的意思

-S :列出密码相关参数,亦即 shadow 档案内的大部分信息。

-n :后面接天数,shadow 的第 4 字段,多久不可修改密码天数 

 

-x :后面接天数,shadow 的第 5 字段,多久内必须要更动密码 

 

-w :后面接天数,shadow 的第 6 字段,密码过期前的警告天数 

 

-i :后面接『日期』,shadow 癿第 7 字段,密码失效日期

一般用户设置密码的格式非常严格,大多使用PAM模块来进行密码的检验,这个管理的机制写在 /etc/pam.d/passwd 当中,而该档案与密码有关的测试模块

 

就是使用pam_cracklib.so 这个模块会检验密码的相关信息,取代/etc/login.defs内的PASS_MIN_LEN

 

设定密码还可以使用管道的方式 echo "abc543CC" | passwd --stdin vbird2

 

chage 这个命令也可以查看密码的相关参数信息的

-l :列出该账号详细密码参数; 

 

-d :后面接日期,修改 shadow 第三字段(最近一次更改密码癿日期),格式 YYYY-MM-DD 

 

-E :后面接日期,修改 shadow 第八字段(账号失效日),格式 YYYY-MM-DD 

 

-I :后面接天数,修改 shadow 第七字段(密码失效日期) 

 

-m :后面接天数,修改 shadow 第四字段(密码最短保留天数) 

 

-M :后面接天数,修改 shadow 第五字段(密码多丽需要迚行变更) 

 

-W :后面接天数,修改 shadow 第六字段(密码过期前警告日期)

chage -l vbird2 列出vbird的详细密码信息

chage还有一个功能,当用户第一个登入时,强制她们一定要修改密码才能使用系统资源,

 

例如:

 

useradd agetest

echo "agetest" | passwd --stdin agetest

chage -d 0 agetest 此时此账号的密码建立时间会被改为1970.1.1,所以有问题

再次登录的时候,就会强制你修改密码了

 

usermod 进行相关数据的微调

 

userdel 删除用户的相关数据,包括 :/etc/passwd, /etc/shadow /etc/group, /etc/gshadow  /home/username, /var/spool/mail/username..

选项不参数: -r :连同用户的家目录也一起删除

如果想让某个账号暂时不启用的话,将/etc/shadow中的第八个字段设定为0就可以让该账号无法使用了,所有跟该账号相关的数据都会留下来

 

真正删除用户之前最好先执行 find / -user username 查询该用户创建了的所有文件

 

无论是 useradd/usermod/userdel ,那都是系统管理员所能够使用的指令,一般用户除了修改密码之外,还可以进行一些账号数据变更与查询指令的

finger 

 

一般用户可以使用这个命令来查阅用户相关的信息,大部分是/etc/passwd这个档案里面的信息,

 

finger [-s] username 列出的信息包括账号,全名,家目录,shell,查询用户登陆主机的情况,信箱资料,计划资料

 

利用 vbird1 建立自己的计划档

echo "I will study Linux during this year." > ~/.plan 接着使用finger vbird1就可以看到计划信息了

finger不加参数 , 找出目前在系统上面登入的用户与登入时间 除了显示这个信息之外,还会显示Office Phone等信息,这些信息是通过chfn来设定的

 

chfn 有点像 change finger的意思

-f :后面接完整的大名; -o :您办公室的房间号码; -p :办公室的电话号码; -h :家里的电话号码!

vbird1 自己更改一下自己的相关信息

chfn 接着等待用户输入

 

chsh 就是change shell 的简写

chsh [-ls]

选项与参数: -l :列出目前系统上面可用的shell ,其实就是 /etc/shells 的内容! -s :设定修改自己的 Shell 啰

无论是 chfn 不 chsh ,都是能够让一般用户修改 /etc/passwd 这个系统文件的,而这两个命令一定有SUID这个属性的,否则一般用户是不能修改passwd文件的

id

id 这个指令则可以查询某人或自己的相关 UID/GID 等等的值

 

新增与移除群组

 

groupadd

-g :后面接某个特定的GID ,用来直接给予某个 GID ~

 

 -r :建立系统群组啦!与 /etc/login.defs 内的 GID_MIN 有关。

单单家里群组时,最好使用 groupadd -r 群组名的方式来建立啦

 

groupmod 与 usermod类似 

选项与参数: -g :修改既有的 GID 数字; 

 

 -n :修改既有的组名

groupmod -g 201 -n mygroup group1

groupdel 删除群组

删除群组时必须要确认/etc/passwd内的账号没有与任何人使用该群组作为 初始化群组 

 

gpasswd:群组管理员功能

-A :将 groupname 的主控权交由后面的使用者管理(该群组的管理员) 例如 gpasswd [-A user1,...] [-M user3,...] groupname

 

-M :将某些账号加入这个群组当中! 

 

-r :将 groupname 的密码秱除  例如 gpasswd [-rR] groupname

 

-R :让 groupname 的密码栏失效

:若没有任何参数时,表示给予 groupname 一个密码(/etc/gshadow)   例如gpasswd groupname

-a :将某位使用者加入到 groupname 这个群组当中!

 

-d :将某位使用者移除出 groupname 这个群组当中。

gpasswd -A vbird1 testgroup 将vbird1设置为testgroup 的群组管理员

gpasswd -a vbird3 testgroup 让vbird3设置成为testgroup组的成员

 

群组管理员可以设定多个,上面的vbird1就可以设定testgroup的群组管理员了,所以 vbird1 就可以自行增加群组成员啰,该群组成员就能够使用 newgrp 啰

 

测试:建立三个用户的共同开发目录

 

需要将这三个用户都加上一个共有的公有群组,接着在这个目录上设置为该群组,再将这个目录的权限设置为2770 ,其中的2代表SGID,也就是这三个使用者能够修改

 

对方的档案,这个SGID必须要存在,

 

那如果需要增加一个myuser1作为这个项目的助理,他需要有查看这个项目的内容,但不能修改这个目录内的任何数据,这样既不能修改目录的权限为2775,因为这样的话

 

其他人也能进入这个目录了,同时也不能将这个用户加入到公有的群组上,因为一旦加上,这个用户就可以修改这个目录内的内容了。

 

所以这个时候就需要加上ACL的使用了

 

传统的权限仅有三种身份,也就是(owner, group, others) 搭配三种权限 (r,w,x) 而已,没有办法为某一个使用者或某一个群组来设定特定的权限需求,此时就一定要使用

 

ACL这个机制了

 

ACL的机制主要是提供传统的owner,group,others 的 read,write,execute 权限之外的细部权限设定,ACL 可以针对单一使用者,单一档案或者目录来进行 r,w,x 癿权限规范,对

 

于需要特殊权限的使用状况非常有帮助

 

ACL主要可以针对以下这些方面来控制权限

 

使用者 : 可以针对使用者来设定权限

 

群组:可以针对群组为对象来设定其权限

 

默认属性mask 还可以针对在该目录下在建立新档案/目录时,规范新数据的默认权限

 

使用ACL必须要有文件系统的支持才行,目前绝大多数的文件系统都有支持 ACL的功能,包括 Ext3 Ext4 JFS XFS等等

 

查看本文件系统是否支持ACL可以执行 mount命令

 

mount命令 可以看到文件系统的大致情况,接着也可以由superblock内容去查询 dumpe2fs -h /dev/hda1

 

由mount单独查询,未必可以看到实际的项目,由于目前的distributions 常常会主动加入某些默认功能,在rhel预设的情况下(Default  Default mount ) ,就会帮你加入acl的

 

如果没有默认加上acl,那么就要手动的加上acl的支持了,mount -o remount,acl / 这样就可以了,再执行mount就可以看到效果了,但是如果想要每次开机都生效,那么就

 

要写入到/etc/fstab中去

 

acl的命令有getfacl 和 setfacl

 

当设置好文件系统支持acl后,接下来可以利用 getfacl setfacl 来设定acl了

 

getfacl:取得某个档案/目录的 ACL 设定项目;  

 

setfacl:设定某个目录/档案的 ACL 规范。

 

setfacl 指令用法

选项不参数:

 

 -m :设定后续的 acl 参数给档案使用,不可与 -x 合用;

 

 -x :删除后续的 acl 参数,不可与 -m 合用; 

 

-b :移除所有的 ACL 设定参数; 

 

-k :移除预设的 ACL 参数,关于所谓的『预设』参数于后续范例中介绍; 

 

-R :递归设定 acl ,亦即包括次目录都会被设定起来; 

 

-d :设定『预设 acl 参数』的意思!叧对目录有效,在该目录新建癿数据会引用此默认值

1. 针对特定使用者的方式:,例如针对 vbird1 癿权限规范rx:

原先的 -rw-r--r-- 1 root root 0 Feb 27 13:28 acl_test1

 

执行 setfacl -m u:vbird1:rx acl_test1

 

执行后的 -rw-r-xr--+ 1 root root 0 Feb 27 13:28 acl_test1

 

结果 权限部分多了个 + ,且与原本的权限 (644) 看起来差异很大!

 

再次执行 setfacl -m u::rwx acl_test1

 

结果 -rwxr-xr--+ 1 root root 0 Feb 27 13:28 acl_test1 使用者栏位为冒号代表设定该档案拥有者,所以root的权限变成了rwx了

 

设定的格式为 『 u:使用者:权限 』的方式来设定的啦,一个档案设定了ACL参数后,他的权限部分会多出一个 + 号,而且此时看到的权限与实际的权限很可能会有不一样

 

可以使用getfacl来进行查看

 

getfacl 指令用法

getfacl filename getfacl的选项几乎与 setfacl 相同

列出刚刚设定的acl_test1的权限内容

 

# file: acl_test1 <==说明档名而已! 

 

# owner: root <==说明此档案的拥有者, 

 

# group: root <==此档案的所属群组,

 

user::rwx <==使用者列表栏是空的,代表档案拥有者的权限 

 

user:vbird1:r-x <==针对 vbird1 的权限设定为 rx ,与拥有者不同! 

 

group::r-- <==针对档案群组的权限设定仅有 r

 

mask::r-x <==此档案预设的有效权限 (mask) 

 

other::r-- <==其他人拥有的权限啰!

显示的数据前面加上 # 的,so 判断 UID 是否小亍 500 ,若小亍 500 则不记录登陆信息。

底下出现的 user, group, mask, other 则是属于不同的使用者、群组与有效权限(mask)的设定值

2. 针对特定群组的方式:

setfacl -m g:mygroup1:rx acl_test1

getfacl acl_test1 查看

# file: acl_test1 

 

# owner: root 

 

# group: root 

 

user::rwx 

 

user:vbird1:r-x 

 

group::r-- 

 

group:mygroup1:r-x <==这里就是新增癿部分!多了这个群组癿权限训定! 

 

mask::r-x 

 

other::r--

mask 【有效权限】的意思是  使用者或群组所设定的权限必须要存在于mask 的权限设定范围内才会生效,

 

例如:

 

设定mask 的值 setfacl -m m:r acl_test1 仅有r权限

 

user:vbird1:r-x #effective:r-- <==vbird1+mask均存在者,仅有 r 而已!,所以会有错误提示,代表这个用户仅有r权限

group:mygroup1:r-x #effective:r-- 和上面的差不多,也仅有r权限,所以会提示mygroup组仅有r权限

我们可以透过使用 mask 来规范最大允许的权限,就能够避免不小心开放某些权限给其他使用者或群组了,不过一般都是设定为rwx,接着再分别依据不同的使用者/群组

去规范他们的权限

 

针对我们之前讨论的那个助理 myuser1 的设定可以为setfacl -m u:myuser1:rx /srv/projecta 那么他对该目录就有rx,但不具备w的权限了

 

对该目录设定完成后,如果想要再进入到下一个目录内,那么就需要acl让该目录下的数据都有继承的功能,默认是不会继承的

 

4. 针对预设权限的设定方式:

让 myuser1 在 /srv/projecta 底下一直具有 rx 的预设权限!

setfacl -m d:u:myuser1:rx /srv/projecta 设定好后,查看此目录下层的目录都会继承当前这个目录的acl属性了

透过这个『针对目录来设定的默认 ACL 权限设定值』的项目,我们可以让这些属性继承到次目录底下呢!

ACL 的属性全部消失又要如何处理 ,可以通过 setfacl -b 档案来实现

在Linux底下有关身份的变换:

 

1.使用一般账号,为了安全,尽量使用一般身份的使用者操作Linux的日常作业,等到需要设定系统环境时,再换成root来管理系统,相对安全,否则rm -rf 太恐怖了

 

2.使用较低权限的用户来启动服务,针对apache服务,我们可以建立一个apache的用户来启动apache软件,如果这个程序被破坏,也不会受太大影响

 

3 软件本身的限制,telnet程序默认不许root的身份登录,只可以一般用户使用telnet ,ssh指令也可以拒绝root用户登录系统,

 

让用户的身份进行切换的命令是, 主要有两种方式:

 

su 命令需要使用者输入root的密码

 

sudo 执行root的指令串,由于sudo是预先设定好的,不需要密码,因此多人管理一部主机,sudo 要比su 来的好。至少root密码不会流出

 

su的用法:

 

- :单纯使用 - 如『 su - 』代表使用 login-shell 的变量档案读取方式来登入系统;

-l :与 - 类似,但后面需要加欲切换的使用者账号!也是 login-shell 癿方式。

-m :-m 与-p 是一样的,表示『使用目前的环境设定,而不读取新使用者的配置文件』

-c :仅执行一次指令,所以 -c 后面可以加上指令喔! 

 

在su这个用法中,没有加上 - 的话,差别很大,涉及 login-shell 与 non-login-shell 的变量读取方法,

 

例如:

 

执行 su 切换为root 用户 执行 env | grep 'vbird1' 可以看到所有的环境和环境变量都是原先那个用户的设置,所以很多数据无法直接利用

 

只输入su表示读取的变量设定方式为non-login shell 这种方式很多变量不会发生改变,尤其是PATH这个变量,所以root只能通过绝对路径来执行,输入MAIL,收到的是vbird1

 

这个用户的邮件,su - 则不会有之前的问题,如果想离开当前用户,执行exit,如若只想执行一次root的指令,执行完后恢复原本的身份,可以加上 -c 这个选项

 

例如执行

 

su - -c "head -n 3 /etc/shadow" 输入root密码,执行后就又回到vbird1身份了

由于主机是多人共同管理的,使用su切换,那么不就每个人都要知道root的密码,这个密码会流出去就会有麻烦了

 

sudo 的执行只需要自己的密码即可,设置可以设定不需要密码即可执行sudo ,由于sudo可以让其他用户拥有root的身份来执行命令,所以并非所有人都能够执行sudo

 

仅有规范到/etc/sudoers内的用户才能执行sudo这个指令的

 

sudo [-b] [-u 新使用者账号]

-b :将后续的指令放到背景中让系统自行执行,而不与目前的 shell 产生影响 

 

-u :后面可以接欲切换的使用者,若无此项则代 表切换身份为 root 。

sudo -u sshd touch /tmp/mysshd 切换为sshd用户执行创建文件

sudo还可以切换为系统用户来执行某些操作,而su则不行

 

sudo -u vbird1 sh -c "mkdir ~vbird1/www; cd ~vbird1/www; 使用多重指令串,分号分割,使用sh -c的方法来执行一连串的指令

但是sudo预设仅有root可以使用

 

1当用户执行sudo时,系统于 /etc/sudoers档案中搜寻该使用者是否有执行sudo的权限,

 

2使用者具有sudo的权限后,便让使用者输入自己的密码

 

3若密码输入成功,便开始进行sudo后续的指令

 

4若预切换的身份与执行着相同,不需要输入密码

 

 

想要执行属于root的权限指令,则先要使用visudo去修改/etc/sudoers,让该账号能够使用全部或部分的root指令功能,使用visudo,这是因为/etc/sudoers是有设定语法的

 

如果设定错误就会照成无法使用sudo指令的严重后果,因此使用visudo去修改,在结束离开修改画面时,系统会去检验 /etc/sudoers 的语法就是了。

 

root ALL=(ALL) ALL <==找刡这一行,大约在 76 行左右 

 

vbird1 ALL=(ALL) ALL <==这一行是你要新增的! 让vbird1拥有root的任何指令

其实visudo只是利用vi将/etc/sudoers档案呼叫出来进行修改,这个档案就是/etc/sudoerds,这个档案的设定很简单,

 

root ALL=(ALL) ALL <==这是默认值

4个栏位的含义

 

1 系统中那个账号可以使用sudo这个指令

 

2这个账号通过哪部主机联机到本Linux主机,这个设定值可以指定客户端计算机,默认可以来自任何一部网络主机

 

3 这个账号可以切换成什么身份来下达后续的指令,默认root可以切换成任何人

 

4 可用该身份下达什么指令,务必使用绝对路径,预设root可以切换任何身份且进行任何指令之意

 

vbird1 ALL=(ALL) ALL 保存设置后,执行 tail -n 1 /etc/shadow <==注意!身份是 vbird1 所以执行失败,提示没有权限

sudo tail -n 1 /etc/shadow <==透过 sudo 这样就可以了,接着输入密码,再给予别人执行的时候,需要了解该用户的操守

利用群组以及免密码的功能处理 visudo

建立pro1,pro2,pro3这三个用户通过群组的功能让这三个人可以管理系统

 

执行visudo

 

%wheel ALL=(ALL) ALL <==大约在 84 行左右,请将这行的# 拿掉!

# 在最左边加上 % ,代表后面接的是一个『群组』之意!改完请储存后离开

 

usermod -a -G wheel pro1 <==将 pro1 加入 wheel 癿支持、

 

任何人wheel这个群组的使用者,都能够使用sudo切换任何身份来操作任何指令,可以将wheel换成自己想要的群组名,就可以使用sudo来进行身份的切换,从而执行任何

 

指令,此时pro2这个用户没有在/etc/sudoers中设定过,所以执行操作会提示失败,而pro3可以直接利用usermod去修改pro3的群组支持,让wheel也支持pro3,那么pro3也可

 

以进行sudo了,提供不需要密码即可使用sudo:

 

设置方式如下

 

%wheel ALL=(ALL) NOPASSWD: ALL <==大约在 87 行左右,请将 # 拿掉! # 在最左边加上 % ,代表后面接的是一个『群组』之意!改完请储存后离开

 

由于有NOPASSWD这个值存在,所以不需要输入密码了

 

myuser1 ALL=(root) /usr/bin/passwd <==最后指令务必用绝对路径

 

以上限制了用户的指令参数,只允许某些指令可以让sudo后的用户使用

 

例如

 

myuser1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, \ !/usr/bin/passwd root

 

以上!表示不可执行的意思,上面的命令设定后,用户都无法访问passwd和passwd root 指令,如此就不能随意更改root的密码了,至此这位使用者就可以具有root的能力

 

但还是不能修改和改变root的密码了,

 

透过别名建置visudo

 

 假设pro1, pro2, pro3 与 myuser1, myuser2 要加入上述的密码管理员的sudo 列表中

 

User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2 声明一个变量 ADMPW

 

Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root   将指令也命名成一个别名

 

最后写入ADMPW ALL=(root) ADMPWCOM 这样就可以方便很多了啊

 

我透过 User_Alias 建立出一个新账号,这个账号名称一定要使用大写字符来处理

 

sudo时间间隔问题

 

一个账号短时间内重复操作sudo 第二次不需要输入自己的密码,间隔超过5分钟,那么就要重新输入一次密码了

 

另外注意,当使用一般账号时,理论上用不到/sbin和 /usr/bin等目录的指令,因为$PATH变量不会含有这些目录,所以需要使用绝对路径来下达命令比较妥当

 

sudo搭配su的使用方式

 

当需要大量执行root工作时,会觉得sudo很烦,此时使用sudo搭配su,一口气将身份转为root,而且还用用户自己的密码来变成root,

 

执行 sudo -su 这个命令 输入自己的密码后,立刻变成root的身份的,但root密码不会外流,

 

用户癿特殊 shell 与 PAM 模块

 

如果某天我建立了一个仅能使用mail server 相关邮件服务的账号,而该账号不能登录linux主机,如果不给于一个密码,那么该账号就无法使用系统的各项资源,当然

 

包括mail的资源,而如果给予一个密码,那么该账号就可能可以登入Linux主机啊,

 

shell, /sbin/nologin 后者是无法登入的shell,如果想要让某个具有/sbin/login的使用者知道,他们不能登陆如主机,其实可以建立/etc/nologin.txt,并且在里面写上不能登录

 

的原因,那么下次用户想要登录时,就会将/etc/nologin.txt中的信息显示在屏幕上

 

PAM 模块简介

 

PAM可以说是一套应用程序编程接口,他提供一连串的验证机制,只要使用者将验证阶段的要求告知PAM 后,PAM就能够回报使用者验证的结果(成功或失败)

 

由亍 PAM 仅是一套验证的机制,又可以提供给其他程序所呼叫引用,因此无论你使用什么程序,都可以使用PAM来进行验证,就能够让账号密码或者是其他方式的验证具有一

 

致的结果!也让程序设计师方便处理验证癿问题喔!

Linux System,httpd , postfix 都是使用PAM模块的验证

 

PAM是一个独立的API存在,只要任何程序有需求,都可以向PAM发出验证要求通知的,接着将结果返回,也就是说可以在写程序的时候将PAM模块的功能加入,就能够利用

 

PAM进行验证功能.

 

PAM 是进行验证的数据称为模块(Modules),每个PAM模块的功能都不太相同的,例如passwd指令时,如果随便输入字典上面找到的字符串,passwd就会回报错误信息了,

 

这就是PAM的pam_cracklib.so 模块的功能,他能够判断该密码是否存在字段里面,最后进行回报

 

PAM 模块设定语法

 

PAM是有一个与程序相同文件名的配置文件来进行一连串的认证分析需求,同样passwd这个指令的呼叫PAM来说明好了,当执行passwd时的流程是

 

1. 用户开始执行 /usr/bin/passwd 这支程序,幵输入密码; 

2. passwd 呼叫 PAM 模块进行验证; 

3. PAM 模块会到 /etc/pam.d/ 找寻不程序 (passwd) 同名癿配置文件;

 

4. 依据 /etc/pam.d/passwd 内的设定,引用相关的 PAM 模块逐步来行验证分析; 

5. 将验证结果 (成功、失败以及其他讨息) 回传给 passwd 这支程序; 

6. passwd 这支程序会根据 PAM 回传癿结果决定下一个劢作 (重新输入新密码戒者通过验证!)

 

从上头说的重点其实是/etc/pam.d/里面的配置文件,以及配置文件所呼叫的PAM模块进行的验证工作,我们一直提到passwd这个命令,那么就来看看/etc/pam.d/passwd这个

 

配置文件的内容,文件中的内容每一行分为三段,分别是验证类别(type) 控制标准(flag) PAM的模块与该模块的参数,

 

password include system-auth 

第一个字段 验证类别 (Type) 主要分为四种,1,auth 这种类别主要用来检验使用者的身份验证,这种类别通常是需要密码来检验的,后续的模块/etc/pam.d/system-auth

 

是用来检验用户的身份 2.account 这种类别则主要在检验使用者是否具有正确的权限 3 session 这个类别通常用在记录用户登入与注销时的信息!例如,如果你常常使用 su 或

者是 sudo 指令的话, 那么应该可以在 /var/log/secure 里面发现很多关亍 pam 癿说明,而且记载的数据是『session open, session close』的信息! 4 password 就是密码

 

嘛!所以这种类别主要在提供验证的修订工作,举例来说,就是修改/变更密码啦! 这四个验证的类型通常是有顺序的,1先验证身份 2 再藉由用户的身份给予适当的权限

 

与权限设定,3 登陆于注销期间的环境才需要设定,才记录登陆与注销的信息,4 运行期间需要密码修订才给予passwd 的类别

 

第二个字段 :验证的控制旗标 也是四种控制方式:

 

1 required 验证成功 带有succes 标志,若失败则带有failure的标志 ,但都会进行后续的验证流程,由于可以进行后续的操作,因此有利于资料的登陆

 

2 requisite 若验证失败则立刻回报原程序 failure 癿标志,并终止后续的验证流程 ,若成功则带有success的标志进行后续的验证流程,与required的最大区别就是失败就立刻

 

终止了

3 sufficient 若验证成功则立刻回传 success 给原程序,并终止后续的验证流程,若失败则带有failure标志进行后续的验证流程

4 optional 这个模块控件目大多是在显示讯息而已,并不是用在验证方面的。

 

接下来查看登录所需要的PAM的流程

 

cat /etc/pam.d/login 包含很多模块,include表示交由后一位的模块来处理 system-auth 也包含很多模块 cat /etc/pam.d/system-auth

 

每个模块的功能都不太相同,详细的模块情报可以在你的系统中找到:

 

 /etc/pam.d/*:每个程序个别的 PAM 配置文件; 

 /lib/security/*:PAM 模块档案的实际放置目录; 

 /etc/security/*:其他 PAM 环境的配置文件; 

 /usr/share/doc/pam-*/:详细的PAM 说明文件。

例如 pam_nologin模块的说明文档就在 /usr/share/doc/pam-0.99.6.2/txts/README.pam_nologin 可自行查阅

 

以下是较常用的模块

 

pam_securetty.so:限制系统管理员 (root) 只能够从安全的 (secure) 终端机登入;例 tty1 tty2 安全的含义是一定要写在/etc/securetty这个档案中,就知道root可以从tty1-tty7

 

登陆,但无法通过telnet登陆linux主机

 

pam_nologin.so:这个模块可以限制一般用户是否能够登入主机之用。当 /etc/nologin 这个档案不存在时,则所有一般使用者均无法再登入系统了!若 /etc/nologin 存在,则一

 

般使用者在登入时, 在他们的终端机上会将该档案的内容显示出来!

 

pam_selinux.so: SELinux 是个针对程序来进行细部管理权限癿功能

 

pam_console.so: 这个模块可以帮助处理一些档案权限癿问题,让使用者可以透过特殊终端接口 (console) 顺利的登入系统。

 

pam_loginuid.so:一般账号 UID 均大亍 500 才合理。 因此,为了验证使用者癿 UID 真癿是我们所需要癿数值,可以使用这个模块来进行规范

 

pam_env.so: 用来设定环境变量癿一个模块,如果你有需要额外癿环境变量设定,可以参考/etc/security/pam_env.conf 这个档案的详细说明

 

pam_unix.so:这个模块可以用在验证阶段的认证功能,可以用在授权阶段的账号许可证证管理, 可以用在会议阶段癿登陆文件记录等,甚至也可以用在密码更新阶段的检

 

验!非常丰富癿功能! 这个模块在早期使用得相当频繁

 

pam_cracklib.so:可以用来检验密码的强度!包括密码是否在字典中

 

pam_limits.so: ulimit就是这个模块提供的能力,!还有更多细部的设定可以参考: /etc/security/limits.conf 内的说明。

 

PAM验证的流程:

 

1. 验证阶段 (auth):首先,(a)会先经过 pam_securetty.so 刞断,如果使用者是 root 时,则会参考 /etc/securetty 的设定; 接下来(b)经过 pam_env.so 设定额外的环境变量;再(c)透过 pam_unix.so 检验密码,若通过则回报 login 程序;若不通过则(d)继续往下以 pam_succeed_if.so 判断 UID 是否大亍 500 ,若小亍 500则回报失败,否则再往下 (e)以 pam_deny.so 拒绝联机。

2. 授权阶段 (account):(a)先以 pam_nologin.so 判断 /etc/nologin 是否存在,若存在则不许一般使用者登入; (b)接下来以 pam_unix 进行账号管理,再以 (c) pam_succeed_if.代表这个档案的默认属性,包括文件名、档案拥有者与档案所属群组。(d)最后以 pam_permit.so 允许该账号登入。

3. 密码阶段 (password):(a)先以 pam_cracklib.so 设定密码仅能尝试错误 3 次;(b)接下来以 pam_unix.so 透过 md5, shadow 等功能进行密码检验,若通过则回报 login 程序,若不通过则 (c)以 pam_deny.so 拒绝登入。

4.会议阶段 (session):(a)先以 pam_selinux.so 暂时关闭 SELinux;(b)使用 pam_limits.so 设定好用户能够操作的系统资源; (c)登入成功后开始记录相关信息在登陆文件中; (d)以 pam_loginuid.so 规范不同的 UID 权限;(e)开启 pam_selinux.so 癿功能

 

root 无法以 telnet 直接登入系统,但是即能够使用 ssh 直接登入 

因为telnet会引用login的PAM模块,login在验证阶段会有/etc/securetty的限制,由于pts/n动态终端机没有写入到/etc/securetty,因此root无法以telnet登陆主机

 

而ssh使用的是sshd这个模块 这个模块中没有加入pam_securetty,因此没有/etc/securetty的限制,故而可以远程连接到服务器

 

 

其他相关档案

 

除了/etc/securetty会影响到root的安全终端机,/etc/nologin 会影响到一般使用者是否能够登入 我们也知道 PAM 相关癿配置文件在 /etc/pam.d

 

说明文件在 /usr/share/doc/pam-(版本),模块实际在 /lib/security/ 。还有其他的一些配置文件,主要在/etc/security这个目录内

 

limits.conf

 

ulimit 功能中, 除了修改使用者的 ~/.bashrc 配置文件之外,其实系统管理员可以统一藉由 PAM 来管理的

 

那就是 /etc/security/limits.conf 这个档案的设定了。可以限制一个账号同时登陆的人数,限制某个目录的使用大小,训定完成就生效

 

/var/log/secure, /var/log/messages

 

如果发生无法登陆或者一些无法预期的错误时,PAM模块就会记录到/var/log/secure当中,所以务必要关注这个文件,例如在limits.conf的介绍内的范例二中,就会

 

谈到多重登入的错误可以到/var/log/secure内进行查询的,这样你就知道为何第二个该账号用户无法登陆

 

Linux主机上的用户讯息传递

 

除了之前提过的id,finger等指令了解用户的相关信息,最简单可以使用last检查,若要查询目录已经登陆在系统上面的用户,可以透过w或who来查询

 

如果要知道每个账号的最近登入时间,可以使用lastlog这个指令,lastlog会去读取/var/log/lastlog档案

 

使用者对谈 write, mesg, wall

 

可以跟系统上面的用户谈天说地,利用write指令,write可以直接将讯息传给接受者 例如write 使用者账号 [用户所在终端接口] 【write vbird1 pts/2】接着输入 ,结束时

 

[crtl]-d 来结束输入,此时就会在vbird的画面中出现,而vbird使用mesg n可以进行阻挡,但是无法阻挡root传过来的讯息,阻挡后,在写给vbird1就会出现write: root has

messages disabled,解开阻挡使用mesg y

 

wall "I will shutdown my linux server..." 对系统上的所有用户进行广播

 

使用者邮件信箱: mail

 

/var/spool/mail 里面存放一个账号一个mailbox档案,发送邮件可以直接下达『 mail username@localhost -s "邮件标题" 』,如果寄送给本机用户,连localhost都不用写

 

如果怕写错,可以使用mail vbird1 -s "nice to meet you" < filename 来将档案内容传输即可

 

查看信的话输入mail,出现左边那个 N 代表该封信件尚未读过,可以通过& ?来查询mail的用法

 

<message list>指的是每封邮件的左边那个数字啦!而几个比较常见的指令是:

 

手动新增使用者

 

既然要手动修改账号癿相关配置文件,那举一些检查群组、账号相关的指令就不可不知道啊 尤其是那个密码转换的 pwconv 及 pwuconv 这两个玩意~

 

pwck 这个指令在检查 /etc/passwd 这个账号配置文件内的信息,与实际的家目录是否存在等信息,还可以比对 /etc/passwd /etc/shadow 的信息是否一致

 

这个指令用来检查我的输入是否正确

 

pwconv 这个指令主要癿目癿是在『将 /etc/passwd 内癿账号与密码,移动到 /etc/shadow 当中!则 pwconv 会去 /etc/login.defs 取用相关的密码数据,幵建立该账号的

 

/etc/shadow 数据;

 

相对亍 pwconv , pwunconv 则是『将 /etc/shadow 内癿密码栏数据写回 /etc/passwd 当中,并且删除 /etc/shadow 档案。』

 

chpasswd 他可以『读入未加密前癿密码,并且经过加密后, 将加密后癿密码写入 /etc/shadow 当中。』 』这个指令很常被使用在大量建置账号的情况中喔

 

他可以由 Standard input 读入数据,每笔数据癿格式是『 username:password 』。例如 [root@www ~]# echo "dmtsai:abcdefg" | chpasswd -m

 

预设的情况下 chpasswd 使用的是 DES 加密方法来加密,而chpasswd -m 来使用 CentOS 5.x 预训癿 MD5 加密方法,现在的passwd --stdin的命令更好用

 

一般情况下不建议使用纯数字的账号,主要是分不清『账号』还是『 UID 』

 

手动建立的整个动作是这样的:

 

1 先建立所需要癿群组 ( vi /etc/group );  pwconv建立群组 normalgroup 

2. 将 /etc/group 不 /etc/gshadow 同步化 ( grpconv ); 对gshadow进行同步,使gshadow生成这条信息

3. 建立账号癿各个属性 ( vi /etc/passwd ); 建立 normaluser:x:700:520::/home/normaluser:/bin/bash

4. 将 /etc/passwd 不 /etc/shadow 同步化 ( pwconv ); 同步化密码,使shadow生成这条信息

5. 建立该账号癿密码 ( passwd accountname ); 并且建立该用户癿密码

6. 建立用户家目录 ( cp -a /etc/skel /home/accountname );建立家目录

7. 更改用户家目录的属性 ( chown -R accountname.group /home/accountname )。

 

目前大量建置账号模板(适用passwd --stdin选项)

 

编写脚本vi account1.sh

 

# 1. 检查 account1.txt 是否存在,并且将该档案内癿账号取出; if [ ! -f account1.txt ]; then   echo "所需要癿账号档案不存在“  exit 1  fi

# 2. 建立上述档案的账号; usernames=$(cat account1.txt)

# 3. 将上述账号癿密码修订成为『强制第一次进入需要修改密码』的格式。

 

for username in $usernames

 

do 

   useradd $username <==新增账号 

   echo $username | passwd --stdin $username <==与账号相同的密码 

   chage -d 0 $username <==强制登入修改密码 

done

vi account1.txt 建立账号 std01 std02 std03 std04 std05 std06 std07 std08 std09 std10

 

有时觉得建立account1.txt太死板,麻烦

 

还可以有另外的方法:

 

用户输入帐号的格式,例如 开头代码,帐号的位数,帐号额数量,从而自动生成帐号

 

先要判断你输入的内容是否符合要求

 

再根据规则将各个部分拼接起来成为帐号,将密码也根据规则生成出来,循环将需要并且符合规则的帐号一一写入到一个文件中

 

最后再从此档案中读出帐号名称并且创建帐号,

 

cat "$accountfile" | cut -d':' -f1 | xargs -n 1 useradd -m 

chpasswd < "$accountfile"  是把一个文件内容中的密码重新定向添加到/etc/passwd中,此文件的格式必须是用户名:口令,此时可以在/etc/passwd文件中看到明文密码

pwconv 将/etc/shadow中内容补充完整,将/etc/login.defs的设定填充到shadow中去

并将档案中的密码也读出来加密后写入到/etc/passwd中,同步到shadow的密码中.

 

小结:以上就是关于Linux系统中ACL权限设定的具体解决和内容;虽然是很长的一段文字,但是这是对于Linux系统的安全是很有帮助的,希望可以给网友们提供有效的信息哦!

(责任编辑:admin)
收藏 推荐 打印 | 录入:admin | 阅读:
相关新闻      
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
热门评论