1 / 49

Linux 基礎學習

Linux 基礎學習. Chapter 14 Account Manager VBird 2005/09/08. 內容. 關於使用者帳號 關於使用者的群組 使用者帳號管理 使用者群組管理 使用者身份切換 PAM 與特殊 Shell 使用者溝通之方式 手動增加使用者 簡單的使用者安全說明. 關於使用者帳號. UID/GID 系統僅認識 User ID 與 Group ID 而已; 帳號名與群組名是幫助人類記憶的; UID 與帳號的對應記錄於: /etc/passwd GID 與群組的對應記錄於: /etc/group

Download Presentation

Linux 基礎學習

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Linux 基礎學習 Chapter 14 Account Manager VBird 2005/09/08 Linux基礎--Account Manager

  2. 內容 • 關於使用者帳號 • 關於使用者的群組 • 使用者帳號管理 • 使用者群組管理 • 使用者身份切換 • PAM 與特殊 Shell • 使用者溝通之方式 • 手動增加使用者 • 簡單的使用者安全說明 Linux基礎--Account Manager

  3. 關於使用者帳號 • UID/GID • 系統僅認識 User ID 與 Group ID 而已; • 帳號名與群組名是幫助人類記憶的; • UID 與帳號的對應記錄於:/etc/passwd • GID 與群組的對應記錄於:/etc/group • 如何取得登入的權限資料: • 使用者輸入帳號,系統與 /etc/passwd 比對; • 使用者輸入密碼,系統與 /etc/shadow 比對; • 藉由 /etc/passwd 記錄的資訊、讀取 /etc/group 與 /etc/profile 等相關設定資料後,取得 shell 與屬性。 Linux基礎--Account Manager

  4. 關於使用者帳號(續) • 使用者帳號記錄檔: /etc/passwd • root:x:0:0:root:/root:/bin/bash • 帳號名稱; • 密碼(已經被移動到 /etc/shadow 當中) • UID 號碼(詳情請看下頁) • GID 號碼,此為 initial group ,名稱需與 /etc/group 對應 • 解釋欄、可設定成類似 BBS 的資訊欄位 • 家目錄所在 • 使用者使用的 Shell 程式 Linux基礎--Account Manager

  5. 關於使用者帳號(續) • UID 的分類: • 系統管理員: • 0:可以有多個帳號的 UID 為 0 喔; • 一般身份使用者 • System Users:系統保留,用於安裝、啟動服務等權限 • 1-99:系統保留帳號; • 100-499:保留給一些服務(network)使用; • Regular Users:一般可登入系統的使用者帳號: • 500-65535:其他可登入系統的使用者 Linux基礎--Account Manager

  6. 關於使用者帳號(續) • 使用者密碼記錄檔: /etc/shadow • root:$1$i9Ejldjfjio389u9:12959:0:99999:7::: • 帳號名稱; • 密碼(經過加密的,有多種編碼方式!開頭為『 ! 或 * 』表示為不可登入的帳號) • 密碼最近一次更動的日期 (1970/1/1 開始計數) • 密碼不可被更動的日數(與第三欄位搭配) • 密碼必須要更動的日數(與第三欄位搭配) • 密碼必須要更動前的警告日數(與第 3,5 欄搭配) • 密碼過期的寬恕日數 • 帳號失效的日期(1970/1/1 開始計數) • 未使用,保留! Linux基礎--Account Manager

  7. 關於使用者帳號(續) • 一個例子的說明: • dmtsai:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125: • 使用者為 dmtsai; • 使用 MD5 編碼格式,為可登入帳號 (密碼欄位是固定的) • 最近密碼更動日期: 13025 為 2005/08/30 • 建立後的五天內不能更動密碼 (使用 passwd 顯示錯誤) • 建立後的 60 天內『必須』變更密碼; • 密碼到期前(60天)的七天,登使用者登入時,會有提示字元告知使用者必須要變更密碼了; • 在 5-60 天之內若變更密碼,則 13025 會跟著改變; • 密碼失效日期為 13125,大約在 2005/12/8 左右。 Linux基礎--Account Manager

  8. 關於使用者帳號(續) • root 密碼忘記怎麼辦? • 想盡各種方法,只要能夠讀取 /etc/shadow 就對了! • 可利用 Live CD; • 可利用 run level 1 (開機時,在 kernel 處加入 -single ) • 將 /etc/shadow 的密碼欄整個清空; • 重新開機進入 Linux,此時 root 不需要密碼即可登入。 • 立即以 passwd 變更密碼! Linux基礎--Account Manager

  9. 關於使用者的群組 • 群組設定檔: /etc/group, /etc/gshadow • 群組名稱與 GID 對應在 /etc/group 內; • /etc/gshadow 僅有在具有群組管理員(類似版主)時,才會有比較顯著的意義存在。 • /etc/group 的內容: • root:x:0:root • 群組名稱 • 群組密碼(已移動到 /etc/gshadow 內) • GID • 支援的帳號 Linux基礎--Account Manager

  10. 關於使用者的群組(續) • 有效群組(effective group)與初始群組(initial group) • 每個使用者都可以具有多個群組的支援; • 初始群組: • 使用者登入時預設取得的群組權限; • 記錄檔 /etc/passwd 內的第四個欄位 • 有效群組: • 在當時環境下,實際作用的群組權限。 • 能否進行某些檔案的讀取與有效群組有關! • 可使用 groups 來觀察目前的群組與有效群組 • 有效群組的切換: newgrp [new group name] • 該 user 必須在 group_name 的支援內 (/etc/group 第四欄位) • 該 group_name 必須要有密碼 (/etc/gshadow) Linux基礎--Account Manager

  11. 關於使用者的群組(續) • 群組密碼設定檔: /etc/gshadow • root:::root • 群組名稱 • 密碼欄,同樣的,若 ! 表示無法提供切換的群組 • 該群組的管理員(類似版主) • 該群組擁有的支援帳號 Linux基礎--Account Manager

  12. 使用者帳號管理 • 使用 useradd [options] username 新增帳號 • -u:後面接的是 UID ,是一組數字。直接指定 UID • -g:後面接的是群組名稱,即 initial group • -G:後面接的是群組名稱,寫入 /etc/group 的第四欄 • -M:強制!不要建立使用者家目錄 • -m:強制!要建立使用者家目錄! • -c:這個就是 /etc/passwd 的第五欄的說明內容 • -d:指定某個目錄成為家目錄,而不要使用預設值; • -r:建立一個系統帳號, UID 會有限制 (/etc/login.defs) • -s:後面接一個 shell ,預設是 /bin/bash Linux基礎--Account Manager

  13. 使用者帳號管理(續) • 使用 useradd [options] username 新增帳號 • 範例: • 使用預設值建立 vbird1 帳號; • useradd vbird1 • 觀察 vbird1 的相關屬性(UID/GID/有否家目錄/shadow 的密碼欄) • UID > 500 以上, GID 可能與 UID 相同,或指向 users , • 不一定具有家目錄;但家目錄預設在 /home/vbird1 • /etc/shadow 密碼欄預設為『不可登入』的狀態。 • 可能會建立 /etc/group 內的同名群組。 • 需再以 passwd vbird1 給予帳號一個有效的密碼。 Linux基礎--Account Manager

  14. 使用者帳號管理(續) • useradd • 使用 useradd 會修改: • /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow • 若不指定任何參數,則以預設值進行帳號設定 • /etc/default/useradd (與帳號之參數較有關) • /etc/login.defs (與密碼與 UID/GID 較有關) • Group Schemes • Public: • 系統以一個通用群組(一般為 users)作為使用者的預設群組 • Private: • 使用者擁有自己的群組。 Linux基礎--Account Manager

  15. 使用者帳號管理(續) • useradd 的設定檔 • /etc/default/useradd • GROUP=100 <==預設的群組 • HOME=/home <==預設的家目錄所在目錄 • INACTIVE=-1 <==在 /etc/shadow 內的第 7 欄 • EXPIRE= <==在 /etc/shadow 內的第 8 欄 • SHELL=/bin/bash <==預設的 shell • SKEL=/etc/skel <==使用者家目錄的內容資料參考目錄 • /etc/skel/ • 此目錄下的所有檔案都會被複製到使用者的預設家目錄當中,並且會修改權限成為使用者所有。 • 可以加入、修改檔案 (ex>.bashrc),以方便未來新增使用者的預設參數! Linux基礎--Account Manager

  16. 使用者帳號管理(續) • useradd 的設定檔(續) • /etc/login.defs • MAIL_DIR /var/spool/mail • PASS_MAX_DAYS 99999 <==/etc/shadow 內的第 5 欄 • PASS_MIN_DAYS 0 <==/etc/shadow 內的第 4 欄 • PASS_MIN_LEN 5 <==密碼最短的字元長度 • PASS_WARN_AGE 7 <==/etc/shadow 內的第 6 欄 • UID_MIN 500<==使用者最小的 UID • UID_MAX 60000 <==使用者能夠用的最大 UID • GID_MIN 500<==使用者自訂群組的最小 GID • GID_MAX 60000 <==使用者自訂群組的最大 GID • CREATE_HOME yes <==在不加 -M 及 -m 時,是否主動建立 • 關於 UID 的取用 (Regular users) • 若 /etc/passwd 內有大於 UID_MIN,取 /etc/passwd 內最大的那個 +1 • 若 /etc/passwd內沒有大於 UID_MIN,則取 UID_MIN。 Linux基礎--Account Manager

  17. 使用者帳號管理(續) • passwd 給予使用者密碼: • 由 root 直接給予: • passwd username • 使用者自行登入後修改: • passwd • 一般身份使用者設定密碼的一般規範: • 密碼不能與帳號相同; • 密碼盡量不要選用字典裡面會出現的字串; • 密碼需要超過 8 個字元;(與 /etc/login.defs 有關) Linux基礎--Account Manager

  18. 使用者帳號管理(續) • 練習: • 新增一個使用者,帳號為 vbird2,且該帳號需求: • UID 為 2000 • Group 為 users • 此使用者還可加入 root, daemon 群組內; • 使用者需要建立家目錄; • 使用者的密碼為 vbird2 • useradd -m -u 2000 -g users -G root,daemon vbird2 • passwd vbird2 • 建立一個系統帳號,名稱為 vbird3 • useradd -r vbird3 Linux基礎--Account Manager

  19. 使用者帳號管理(續) • 更改使用者的相關參數: • 使用者的相關參數都在 /etc/passwd, /etc/group 內; • 雖可使用 vi 直接修改,但不建議! • 系統運作一段時日後,原有的帳號屬性,如 UID/GID 盡可能不要更動,容易造成使用者權限的錯誤! • 可使用的修改指令: • usermod Linux基礎--Account Manager

  20. 使用者帳號管理(續) • 更改使用者的相關參數: • usermod [-cdegGlsuLU] username • -c:後面接帳號的說明,即 /etc/passwd 第五欄的說明欄 • -d:後面接帳號的家目錄,即修改 /etc/passwd 的第六欄; • -e:後面接日期,格式是 YYYY-MM-DD 在 /etc/shadow 內的第八個欄位 • -g:後面接 group name,修改 /etc/passwd 的第四個欄位, • -G:後面接 group name,修改的是 /etc/group 囉~ • -l:後面接帳號名稱。/etc/passwd 的第一欄! • -s:後面接 Shell 的實際檔案,例如 /bin/bash 或 /bin/csh 等等 • -u:後面接 UID 數字啦!即 /etc/passwd 第三欄的資料; • -L:暫時將使用者的密碼凍結,讓他無法登入。其實僅改 /etc/shadow 的密碼欄。 • -U 將 /etc/shadow 密碼欄的 ! 拿掉,解凍啦! Linux基礎--Account Manager

  21. 使用者帳號管理(續) • 更改使用者的相關參數:(練習) • 修改 vbird2 的說明為『 In class account 』 • usermod -c ‘In class account’ vbird2 • 設定帳號失效日期為『2008/1/1』 • usermod -e ‘2008-01-01’ vbird2 • 凍結該使用者,讓他無法登入,但不改變他的原有資料。 • usermod -L vbird2 • 解凍 • usermod -U vbird2 Linux基礎--Account Manager

  22. 使用者帳號管理(續) • 密碼設定相關 passwd • 可讓使用者修改密碼, root 可設定使用者密碼 • 封鎖/解開 使用者登入權限 • passwd -l account • passwd -u account • 僅在 /etc/shadow 的 user 密碼欄更動! Linux基礎--Account Manager

  23. 使用者帳號管理(續) • 以 userdel 刪除使用者 • userdel account • 僅刪除使用者資訊 • userdel -r account • 連帶刪除家目錄 • (SuSE 尚可刪除使用者的工作排程) • 其他使用者檔案的刪除 • find / -uid user_id -exec rm {} \; • 建議的程序: • 先以 find 找出該使用者的檔案,並刪除; • 使用 userdel -r username 整個刪除即可。 Linux基礎--Account Manager

  24. 使用者帳號管理(續) • 使用者自己可使用修改屬性的指令 • chsh:修改 shell,與 /etc/shells 有關; • chfn :修改 /etc/passwd 的第五欄說明內容: • 可修改的資料: • 全名; • 辦公室門號 • 辦公室電話 • 家裡電話 • chfn 可搭配 finger 進行查詢! • 可建立計畫檔: ~/.plan ,純文字檔。 Linux基礎--Account Manager

  25. 使用者群組管理 • 群組的新增與刪除: • groupadd [-g gid] [-r] groupname • -g :後面接某個特定的 GID ,用來直接給予某個 GID ~ • -r :建立系統群組啦!與 /etc/login.defs 內的 GID_MIN 有關。 • 嘗試建立 vbirdgroup 群組: • groupadd vbirdgroup • groupmod • -g :修改既有的 GID 數字; • -n :修改既有的群組名稱 • groupdel • 必須要沒有使用者的 initial group 為該群組才可刪除! Linux基礎--Account Manager

  26. 使用者群組管理(續) • 群組管理員之建立與使用: • gpasswd 建立 /etc/gshadow 的密碼資料 • -A : 該群組的管理員 • -M :將某些帳號加入這個群組當中! • -r :將 groupname 的密碼移除 • -R :讓 groupname 的密碼欄失效, newgrp 就不能使用 • 練習: • 設定 vbirdgroup 具有密碼,密碼為 vbirdgroup • gpasswd vbirdgroup • 將 vbird2 加入成為 vbirdgroup 的管理員。 • gpasswd -A vbird2 vbirdgroup Linux基礎--Account Manager

  27. 使用者群組管理(續) • 群組管理員之建立與使用: • gpasswd 建立 /etc/gshadow 的密碼資料(管理員的工作) • -a :將某位使用者加入到 groupname 這個群組當中! • -d :將某位使用者移除出 groupname 這個群組當中。 • 練習: • 觀察 vbird2 的有效群組為那個? • 變換 vbird2 的有效群組應該要使用什麼指令? • newgrp groupname • 以 vbird2 登入 tty3,並且將 vbird1 加入 vbirdgroup 當中; • gpasswd -a vbird1 vbirdgroup Linux基礎--Account Manager

  28. 綜合練習 • 練習: • 建立一個群組為 novell 其 GID 為 300 • 如何讓一個新建的使用者在建立後,家目錄就擁有一個子目錄為 novell ? • 如何讓終端機登入提示畫面中,多顯示3行: ========================= The LCC NET study system. ========================= • 如何讓使用者在登入後,可以看見: Welcome to the LCC Network Study System. Any questions mail to me please. root@localhost Linux基礎--Account Manager

  29. 綜合練習 • 練習: • 建立一個使用者,參數如下: • 全名為: The LCC account • initial 群組為: novell • 其他群組為: users • 登入帳號: novell • 密碼:lccnet • 需要建立家目錄 • 請嘗試以 novell 登入系統 (在 tty2) • 如何將 novell 暫時 lock 不予登入! Linux基礎--Account Manager

  30. 使用者身份切換 • 切換使用者的身份: su • - :完整切換成為 root 的工作環境; • -l :完整切換成為一般使用者的工作環境 • -m :-m 與 -p 是一樣的,表示『使用目前的環境設定,而不重新讀取新使用者的設定檔。』 • -c :僅進行一次指令,所以 -c 後面可以加上指令 • 練習: • 用 root 切換身份成為 vbird2 • 用 vbird2 切換身份成為 root • 用 vbird2 切換身份成為 novell ? • 用 vbird2 ,使用 root 的權限執行 passwd vbird3 ? Linux基礎--Account Manager

  31. 使用者身份切換(續) • 切換使用者的身份: sudo • 當使用者執行 sudo 時,系統會主動的去尋找 /etc/sudoers 檔案,判斷該使用者是否有執行 sudo 的權限; • 若使用者具有可執行 sudo 的權限後,便讓使用者『輸入使用者自己的密碼』來確認; • 若密碼輸入成功,便開始進行 sudo 後續接的指令; • 不過, root 執行 sudo 時,不需要輸入密碼; • 若欲切換的身份與執行者身份相同,那也不需要輸入密碼。 • 需求: • 使用者能進行的工作,必須在 /etc/sudoers 規範!! Linux基礎--Account Manager

  32. 使用者身份切換(續) • 切換使用者的身份: sudo,利用 visudo • /etc/sudoers 內容的語法: • username HOST = (newusername) commands • %groupname HOST = (newuser) commands • 讓 vbird2 可以進行所有身份使用者的工作? • vbird2 (ALL) = (ALL) ALL • 讓 vbird3 僅能負責 daemon 的工作? • vbird3 (ALL) = (daemon) ALL • 在 /etc/sudoers 尚可利用 Alias 來設定。(需大寫字元) • User_Alias ALIASNAME= user1,user2,user3… • Cmd_Alias CMDNAME = cmd1, cmd2… Linux基礎--Account Manager

  33. 使用者身份切換(續) • 切換使用者的身份: sudo,利用 visudo • 練習: • 設定一組帳號別名,名稱為 ADMUSER,內含 vbird1, vbird2 • 設定一組命令別名,名稱為 ADMCMD,內容至少含有 /bin/su • 設定 ADMUSER 能用的指令僅有 ADMCMD。 Linux基礎--Account Manager

  34. PAM與特殊 Shell • 系統帳號預設的不可登入 shell • /sbin/nologin • 即使不小心讓系統帳號有密碼,他還是不能登入; • 登入資訊可以另外以 /etc/nologin.txt 取代。 Linux基礎--Account Manager

  35. PAM與特殊 Shell(續) • PAM:Pluggable Authentication Modules • 使用者與應用程式之間的一個認證界面 • PAM 的相關檔案: • 應用程式使用 PAM 所需『同名』設定檔位於: • /etc/pam.d/* • PAM 本身提供的模組位於: • /lib/security/* • 預設的 PAM 環境檔案放置於 • /etc/security/* • 應用程式利用 function call 的方式啟用 PAM 相關的函式,利用函式 return 的資訊進行認證的判斷。 Linux基礎--Account Manager

  36. PAM與特殊 Shell(續) • PAM 設定檔格式: [Module type] [Control flag] [modules] [arguments] • Module type • auth: authentication request • account: controls various aspects of the account • session: provides functions during user session • password: checks password • control flag • required: must be successfully processed • requisite: as above, but ends immediately when error • optional: • sufficient: Linux基礎--Account Manager

  37. PAM與特殊 Shell(續) • Module type • auth: 確認使用者的認證情況 • 通常要求以密碼完成; • 也可能以智慧卡或其他指紋辨識系統; • account: 確認使用者的 permission 相關資訊 • 當使用者登入此服務時,能夠取得的權限與相關資訊 • session: 使用者進入該服務後的環境設定 • session 在認證成功後即開啟; • 可用以設定 user 的環境及 system log 的資訊 • password: 允許密碼的變更 • 通常為要求密碼的變更之認證需求。 Linux基礎--Account Manager

  38. PAM與特殊 Shell(續) • Control flag • required: • 該模組必須要能夠『成功』的完成認證; • 若認證失敗,仍可將資訊記錄下來才結束; • requisite: • 若認證失敗,則立即結束,不會有資訊紀錄下來 • optional: • 通常用在額外的訊息顯示 • sufficient: • 若之前的所有模組都沒有錯誤訊息,則立刻呼叫服務執行,後續的模組不會再被啟動; • 若有錯誤訊息,則繼續底下的模組流程 Linux基礎--Account Manager

  39. PAM與特殊 Shell(續) • 一個簡單的範例:/etc/pam.d/login #%PAM-1.0 auth required pam_securetty.so auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_selinux.so close session required pam_stack.so service=system-auth session optional pam_console.so session required pam_selinux.so multiple open Linux基礎--Account Manager

  40. PAM與特殊 Shell(續) • 簡單的範例: • 兩個常見的 PAM 模組 • /lib/security/pam_securetty.so • 允許 root 登入的安全環境(/etc/pam.d/login) • 可與 /etc/securetty 配合 • /lib/security/pam_nologin.so • 僅對一般身份有效,對 root 無效。 • 避免 user 登入的模組(/etc/pam.d/login) • 需與 /etc/nologin 配合(手動增加此一檔案),此檔案若存在,則 users 將無法登入,且 user 嘗試登入時,會顯示出 /etc/nologin 的內容 (ASCII 檔案格式) Linux基礎--Account Manager

  41. PAM與特殊 Shell(續) • 簡單的範例: • /etc/security/limit.conf • 可以限制使用者的相關資源! • 範例: • dmtsai hard fsize 10240 • @users hard fsize 10240 Linux基礎--Account Manager

  42. PAM與特殊 Shell(續) • 練習: • 以 root 登入,並建立 /etc/nologin ,內容: • Maintaining……..Please login latter • 嘗試以其他 regular user 登入 • 查閱 /var/log/messages 的內容 • 如何取消? • 拿掉 /etc/nologin • 拿掉 /etc/pam.d/login 內的 #auth required pam_nologin.so Linux基礎--Account Manager

  43. 使用者溝通之方式 • 查詢線上使用者: • w, who, finger, last, lastlog • 與線上使用者的互動: • write username • mesg [y|n] • wall “messages…” • Email 傳遞消息: • mail -s “title” username • mail (進入 mailbox) • mail -f mailboxfile Linux基礎--Account Manager

  44. 使用者溝通之方式(續) • 每個可正常登入主機的 user 均有 mailbox • 參考: MAIL 變數 • 一般 Linux 的 mailbox 放在 /var/spool/mail • 每個 mailbox 都是一個檔案 • 輸入 mail 即可讀取 mail box 的內容。 • mail 指令 – 直接輸入 mail 即可讀取 mailbox • > 所指為目前的處理中的信件 • enter 或 n  進入下一封信件 • ?  help • h  print header (亦可輸入 h number) • d number  delete • e number  edit • R number  replay to sender • s number file  將郵件儲存到 file 中 • x 或 exit  不進行任何動作離開 mail • q  進行完動作後離開(若有 d 則需此!) Linux基礎--Account Manager

  45. 使用者溝通之方式(續) • mail 指令 – mail [-acs] user@host • -a file  附加檔案(舊版本沒有此項) • -c 密件副本 • -s  subject • mail -f mailboxfile • 練習: • (1)請寄一封信給 root 本機, title 為”good point” • mail -s “good point” root • (2)將該封信件轉存到 /tmp/mymail • mail ,並以 s number /tmp/mymail 轉存 • (3)請將該封信讀出來 • mail -f /tmp/mymail • (4)請將 ~/.bashrc 內容寄給自己 • mail -s “bashrc content” < ~/.basrhc Linux基礎--Account Manager

  46. 手動增加使用者 • 一些慣用工具: • pwck:檢驗 /etc/passwd /etc/shadow 的問題 • pwconv:將 /etc/passwd 密碼轉換到 /etc/shadow • pwuconv:將 /etc/shadow 移至 /etc/passwd ,並刪除 /etc/shadow • chpasswd:將來自 STDIN 的格式『username|passwd』中,將 passwd 加密後, update 到 /etc/shadow 內。 • 將 vbird2 的密碼換成 vbird2 • echo “vbird2:vbird2” | chpasswd Linux基礎--Account Manager

  47. 手動增加使用者(續) • 建立一純數字 1234 這個帳號: • 使用 vi 編輯 /etc/passwd ; • 使用 pwconv 同步化密碼; • 給予 1234 這個帳號一個合法的密碼; • 建立 1234 這個帳號的家目錄(注意其權限!) • 嘗試以 1234 登入。 Linux基礎--Account Manager

  48. 簡單的使用者安全說明 • Security Policies 的一般策略 • Local security and user account • 每個使用者應有自己的權限而不互相干擾 • root 除外!他有最高級的權限 • Linux password Encryption • 不可將密碼以明碼存在 • 加密為 one way 過程,若密碼超過8位,不容易破解 • Boot Procedure Protection • 開機過程中的各項資訊應加密 BIOS/MBR…. • 可修訂 /boot/grub/menu.lst • File Permissions Configuration • Network Security and local security Linux基礎--Account Manager

  49. 簡單的使用者安全說明(續) • Security tips • 避免以 root 進行各項日常工作; • 若可能,盡量以加密的連線進行連線處理 • 不要僅以 IP 位址作為確認的動作 • 務必保持網路服務套件(www/mail…)的更新 • 非必要的網路服務務必關閉;(netstat -anp) • 務必瞭解 RPM 檔案的來源正確性 • 瞭解備份的重要性 • 檢驗 log file • 使用防火牆 tcp_wrapper Linux基礎--Account Manager

More Related