Linux系统管理简介(1)

发表于:2007-07-04来源:作者:点击数: 标签:
每个Linux系统都至少有一个人负责系统的维护和操作,这就是系统管理员。对于PC机用户来说,可以身兼数职,既是用户,又是系统管理员。系统管理员的职责就是保证系统平稳的操作和执行各种需要特权的任务。具体说来,系统管理员要做以下几方面的工作: 设置整

每个Linux系统都至少有一个人负责系统的维护和操作,这就是系统管理员。对于PC机用户来说,可以身兼数职,既是用户,又是系统管理员。系统管理员的职责就是保证系统平稳的操作和执行各种需要特权的任务。具体说来,系统管理员要做以下几方面的工作:

 

设置整个计算机系统,包括硬件和软件,如安装硬件设备、安装>操作系统和软件包、为用户建立账户等。

 

做适当的备份(系统中常规文件拷贝)和需要时的恢复。

 

处理由于计算机有限资源的使用(如磁盘空间、进程数目等)而遇到的问题。

 

排除由于连接问题而造成的系统通信(网络)阻塞。

 

进行>操作系统的升级和维护。

 

为用户提供常规支持。

 

依据系统的规模和用户数目的多少,系统管理的工作可多可少,可以是日常随时要做的工作,也可能是每天一次甚至每月一次的维护工作。如果系统较小,则维护工作就可以不断地进行。系统管理员必须认真负责地工作,他手中握有控制系统运行的特权,若粗心应付,必然影响系统的性能,甚至使系统崩溃。

 

用户和工作组管理

 

所有新用户要想进入Linux系统,必须由系统管理员预先在该系统中建立一个账户。用户账户可帮助系统管理员记载使用系统的人们,并控制他们对系统资源的存取。账户管理也有助于组织用户文件和控制其它用户对它们的访问。这样,管理和维护用户的账号、口令及权限也就成为系统管理员日常工作的一个重要组成部分。

 

用户账号

 

用户在使用Linux时,必须确保自己是系统授权的合法用户。对于用户的账号、口令、访问权限的管理是Linux系统管理员日常工作中的一个重要组成部分。

 

在Unix/Linux系统中,用户账号的概念具有多种意义,其中最主要的是基于身份鉴别和安全的原因。系统必须对使用机器的人加以区别,账号概念给系统提供了一种区别用户的方法。系统中每个用户有一个个人账号,每个账号有着不同的用户名和口令。用户可以为自己的文件设置保护,允许或限制别人访问它们。

 

除了一般个人账号之外,系统上还必须存在能够管理系统的高级用户,如root账号就是系统管理员用于维护系统的缺省账号。另外,系统中还存在一些不能与人交互的特殊账号,如bin、sync等。

 

1.passwd文件)

 

通常在Linux系统中,用户的关键信息被存放在系统的/etc/passwd文件中,系统的每一个合法用户账号对应于该文件中的一行记录。这行记录定义了每个用户账号的属性。下面是一个passwd文件的示例(部分摘录):

 

 

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

......

desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin

mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash

 

 

在该文件中,每一行用户记录的各个数据段用“:”分隔,分别定义了用户的各方面属性。各个字段的顺序和含义如下:

 

注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序

 

(1)注册名(login_name):用于区分不同的用户。在同一系统中注册名是惟一的。在很多系统上,该字段被限制在8个字符(字母或数字)的长度之内;并且要注意,通常在Linux系统中对字母大小写是敏感的。这与MS DOS/Windows是不一样的。

 

(2)口令(passwd):系统用口令来验证用户的合法性。超级用户root或某些高级用户可以使用系统命令passwd来更改系统中所有用户的口令,普通用户也可以在登录系统后使用passwd命令来更改自己的口令。

 

现在的Unix/Linux系统中,口令不再直接保存在passwd文件中,通常将passwd文件中的口令字段使用一个“x”来代替,将 /etc/shadow作为真正的口令文件,用于保存包括个人口令在内的数据。当然shadow文件是不能被普通用户读取的,只有超级用户才有权读取。

 

此外,需要注意的是,如果passwd字段中的第一个字符是“*”的话,那么,就表示该账号被查封了,系统不允许持有该账号的用户登录。

 

(3)用户标识号(UID):UID是一个数值,是Linux系统中惟一的用户标识,用于区别不同的用户。在系统内部管理进程和文件保护时使用UID字段。在Linux系统中,注册名和UID都可以用于标识用户,只不过对于系统来说UID更为重要;而对于用户来说注册名使用起来更方便。在某些特定目的下,系统中可以存在多个拥有不同注册名、但UID相同的用户,事实上,这些使用不同注册名的用户实际上是同一个用户。

 

(4)组标识号(GID):这是当前用户的缺省工作组标识。具有相似属性的多个用户可以被分配到同一个组内,每个组都有自己的组名,且以自己的组标识号相区分。像UID一样,用户的组标识号也存放在passwd文件中。在现代的Unix/Linux中,每个用户可以同时属于多个组。除了在passwd文件中指定其归属的基本组之外,还在/etc/group文件中指明一个组所包含用户。

 

(5)用户名(user_name):包含有关用户的一些信息,如用户的真实姓名、办公室地址、联系电话等。在Linux系统中,mail和finger等程序利用这些信息来标识系统的用户。

 

(6)用户主目录(home_directory):该字段定义了个人用户的主目录,当用户登录后,他的Shell将把该目录作为用户的工作目录。在 Unix/Linux系统中,超级用户root的工作目录为/root;而其它个人用户在/home目录下均有自己独立的工作环境,系统在该目录下为每个用户配置了自己的主目录。个人用户的文件都放置在各自的主目录下。

 

(7)命令解释程序(Shell):Shell是当用户登录系统时运行的程序名称,通常是一个Shell程序的全路径名,如/bin/bash。

 

当用户登录后,将启动这个程序来接收用户的输入,并执行相应的命令。从Linux核心的角度看来,Shell就是用户和核心交流的一种中间层面,用于将用户输入的命令串解释为核心所能理解的系统调用或中断子例程,同时又将核心的工作结果解释为用户能理解的可视化输出结果。所以,对用户而言,Shell被称为命令解释程序;而对于核心而言,Shell又被称为外壳程序。

 

需要注意的是,系统管理员通常没有必要直接修改passwd文件,Linux提供一些账号管理工具帮助系统管理员来创建和维护用户账号。

 

2.shadow文件

 

目前,在大多数Unix/Linux系统中,利用/etc/shadow文件存放用户账号的加密口令信息和口令的有效期信息。下面示例是shadow文件中的几条记录(与上面的passwd文件相对应):

 

 

root:$1$Vfcp2rdI$R0bDID/CvD3FfTeTtnk7u.:12489:0:99999:7:::

bin:*:12489:0:99999:7:::

daemon:*:12489:0:99999:7:::

......

desktop:!!:12489:0:99999:7:::

mengqc:$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

 

 

在Linux系统的shadow文件中,为每个用户提供一条记录,各个字段用“:”隔开,这9个字段按先后顺序分别是:

 

◆注册名;

 

◆密文口令;

 

◆上次更改口令时间距1970年1月1日的天数;

 

◆口令更改后,不可以更改的天数;

 

◆口令更改后,必须再次更改的天数(即口令的有效期);

 

◆口令失效前警告用户的天数;

 

◆口令失效后距账号被查封的天数;

 

◆账号被查封时间距1970年1月1日的天数;

 

◆保留字段。

 

Unix/Linux修改口令的机制很简单:用户修改口令时使用passwd命令,该命令通常位于/usr/bin。普通用户只能修改自己的口令,而且必须回答老的口令;root可以修改系统中任何用户的口令,并且此时系统不会询问老的用户口令。

 

建立和删除账号

 

对系统而言,创建一个用户账号需要完成以下几个步骤:

 

第一步,添加一个记录到/etc/passwd文件;第二步,创建用户的主目录;第三步,在用户的主目录中设置用户的默认配置文件(如.bashrc)。

 

在几乎所有的Linux系统中都提供了useradd或adduser命令,它们能完成以上这一系列工作。通常这两个命令没有区别。另外,root用户可以使用KDE桌面系统为新用户建立账号和口令。其过程是“控制面板”→“用户和组群”→“添加新用户”,按照屏幕上的提示要求输入相应的参数,包括用户名、描述信息(可选)、密码及确认,然后设置用户-组的关系。

 

要删除已经存在的用户账号,必须从/etc/passwd文件中删除此用户的记录项,从/etc/group文件中删除提及的此用户,并且删除用户的主目录及其它由该用户创建或属于此用户的文件。这些工作可以使用userdel命令来完成,也可以使用桌面系统“控制面板”→“用户和组群”,在“本地用户和组”的窗口中选定要删除的用户,然后单击“删除”小图标,并予以“确定”。

 

某些时候,需要临时使某个账号失效,例如用户没有付费,或者是系统管理员怀疑黑客得到了某个账户的口令,解除限制后,该账号仍旧可以登录,这就是所谓的查封账号。当需要查封某个账号时,可以将用户记录从/etc/passwd文件中去掉,但是保留该用户的主目录和其它文件;或者在/etc/passwd (或/etc/shadow)文件中,在相关用户记录的passwd字段的首字符前加上符号“*”,例如,希望查封前面提到过的用户账号mengqc,则在/etc/shadow文件中将该用户记录修改如下:

 

mengqc:*$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

 

 

这样,就限制了该用户账号的登录。

 

但是要注意,这样做会使得用户弄不清发生了什么事情。为了避免引起不必要的误会,管理员还可以使用另一种方法来查封用户:将用户账号的Shell设置成一个特定的、只打印出一条信息的程序。用这种方法,任何想登录此账号的人将无法登录,并能得知具体原因。该信息还可以告诉用户应与系统管理员联系,以处理相关问题。

 

下面就是这样一个用于取代用户Shell程序的“tail scripts”示例程序:

 

 

#!/usr/bin/tail +2

This aclearcase/" target="_blank" >ccount has been closed due to a security breach.

Please call 36 and wait for the men in black to arrive.

 

 

上面代码中前2个字符(#!)告诉核心,本行的其它部分是解释本文件要运行的命令。这样,tail命令将在屏幕上显示除第一行外的所有东西。通常这种tail scripts被存放在独立于用户目录的路径中,以免和用户命令产生混淆。

 

工作组管理

 

利用工作组可以方便地把相关用户账号逻辑地组织在一起。在组的支持下,允许用户在组内共享文件。Linux系统中每一个文件都有一个用户和一个组的属主,也就是说系统中任何一个文件都归属于某个组中的一个用户。使用“ls -l”的命令可以看到文件所属的用户和组,例如/home/mengqc目录下存在文件ex1,运行“ls -l”将输出如下结果:

 

 

$ ls -l ex1

-rwxr-x--- 1 mengqc mengqc 31 3月27 09:18 ex1

 

 

每个用户至少属于一个组,这种从属关系对应于系统/etc/group文件中的GID字段,但是一个用户可以从属于多个组。类似于/etc/passwd文件,系统中的每个组都对应/etc/group文件中一行记录。记录的各字段属性依次定义如下:

 

组名:口令:组标识号:用户列表

 

其中,各个字段的含义如下:

 

◆组名(group_name):顾名思义,组名就是工作组的名字。

 

◆口令(passwd):组的口令,但口令字段不常用,允许不在这个组中的其它用户用newgrp命令来访问属于这个组的资源。

 

◆组标识号(GID):GID是系统用来区分不同组的标识号,它在系统中是惟一的。在/etc/passwd文件中,用户的组标识号字段就是用这个数字来指定用户的缺省组。

 

◆用户列表(user_list):用户列表是用“,”分隔的用户注册名集合,列出了这个组的所有成员。但是需要注意的是,这些被列出的用户在 /etc/passwd文件中对应的GID字段(即用户的缺省组)与当前/etc/group文件中相应的GID字段是不同的。也就是说,组的默认用户不必列在该字段中。

 

下面是从一个/etc/group文件中摘录的部分记录项:

 

 

root:x:0:root

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

......

desktop:x:80:

mengqc:x:500:

 

 

在Linux系统中,root和bin都是管理组。系统中很多文件都属于这两个组。mengqc是一个普通的用户组。

 

在实际的应用中,口令字段是完全没有必要的。事实上,很多系统没有提供设置组口令的工具。这是因为要使一个用户成为多个组的成员,只需要把用户注册名加入到这些组的用户列表字段中。

 

用户可以使用groups命令列出当前用户所属的所有组的名称。

 

当用户登录时,被自动赋予/etc/passwd文件中的GID属性,也自动成为/etc/group文件中列出该用户组的成员。

 

对于工作组的设置主要包括以下几项工作:

 

◆创建和删除工作组;

 

◆修改组的属性;

 

◆调整用户所属组;

 

◆组权限的设定。

 

添加组的命令是groupadd,删除组的命令是groupdel,修改组属性的命令是groupmod,也可以利用桌面系统实现上述功能。

原文转自:http://www.ltesting.net