第二次作业--Linux账户安全管理与技巧

基础知识

/etc/passwd : 文件中的每一行都定义一个用户账号以及用户账号的不同属性, 对任何用户都可读

/etc/shadow : 只对root用户可读, 启动shadow passwords 保护的账户口令和相关配置信息保存在/etc/shadow里, 可以通过pwconv和pwunconv启动和取消保护

/etc/group : Linux对用户分组, 一个用户可以是多个组的成员, 用户所属的主组记录在etc/passwd中. 所有组的信息放在etc/group中, 此文件对任何用户可读

/etc/gshadow : 用于定义用户组口令, 组管理员等信息，该文件只有root用户可以读取

实验步骤

任务一

useradd : 创建用户

groupadd : 创建用户组

 useradd -G group1 用户名 : 创建并将用户加到group1中

 用户cao1, cao2都在cj1用户组中, 查看/etc/group

 userdel cao3, cao3从用户组中消失

 userdel -r cao2 删除cao2并删除自家目录

 groupdel cj1 : 删除cj1用户组

任务二

passwd命令

passwd -S cao1 : 查看cao1账户口令状态

 

 passwd cao1 : 给用户创建口令

 passwd -l cao1 禁用账户cao1

 

 passwd -u cao1 恢复账户的账户口令

 

 passwd -d cao1 删除账户cao1

 

 chage命令

     -m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

    -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

    -d days： 指定从1970年1月1日起，口令被改变的天数。

    -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

    -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

    -W days： 指定口令过期前要警告用户的天数。

    -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

 

例如 : 用户cao1 两天内不能更改命令, 最多存活30天, 过期前5天发出警告

任务三 PAM可插拔验证模块