RHCSA入门精讲之目录结构与身份- 用户密码策略与管理完全解析

# 1. Linux系统目录结构概述

## 1.1 系统根目录介绍

系统根目录是Linux系统中最顶层的目录，即根目录“/”。在根目录下存放了系统中的所有文件和目录，包括系统运行所需的程序、配置文件、用户数据等。在Linux文件系统中，根目录是所有目录的起点，所有目录都是根目录的子目录。

在终端中可以通过以下命令查看根目录下的文件和目录：

ls /

通过以上命令输出可以看到，根目录下包含了诸如`bin`、`boot`、`etc`、`home`、`lib`等目录和文件。

## 1.2 /bin、/sbin、/usr目录功能及区别

- **/bin**：该目录包含了系统启动和运行所需的基本命令，例如`ls`、`cp`、`mv`等常用命令。这些命令通常被所有用户和系统使用。
- **/sbin**：与`/bin`类似，不过`/sbin`目录下的命令通常是供系统管理员(root用户)使用的系统管理命令，如`ifconfig`、`fdisk`等。
- **/usr**：通常包含用户安装的软件、程序和文件。这些文件是用户自定义和安装的，不是系统自带的。`/usr`下包含了`/usr/bin`、`/usr/sbin`等目录，用于存储用户安装的软件和系统管理员命令。

## 1.3 /etc目录详解与配置文件管理

`/etc`目录存储了系统配置文件，包括网络配置、软件配置、服务配置等。在该目录下可以找到`/etc/resolv.conf`、`/etc/hosts`、`/etc/fstab`等重要配置文件。这些文件可以通过编辑来配置系统的各种功能。

## 1.4 /home和/root目录的作用和管理

- **/home**：`/home`目录是用于存放用户个人数据的目录。在Linux系统中，每个用户都有一个对应的家目录在`/home`下，方便用户存储个人文件和数据。

- **/root**：`/root`目录是系统管理员root用户的家目录。root用户是系统最高权限的用户，因此其家目录在根目录下，并且仅供root用户使用，一般不建议在该目录下存放其他用户数据。

以上是第一章内容的简要概述，接下来将深入探讨用户和组身份管理。

# 2. 用户和组身份管理

在Linux系统中，用户和组是非常重要的身份管理概念。通过对用户和组的创建、配置和管理，可以实现对系统资源的精细权限控制和管理。本章将深入介绍用户和组的概念、创建、删除、权限分配以及用户组间的关系和管理技巧。让我们一起来深入了解！

### 2.1 用户和组的概念与作用

用户（User）是系统中一个具体的使用者，每个用户拥有自己的用户标识（User ID，UID），通过UID来识别用户身份。组（Group）是将用户进行逻辑上的划分，每个用户必属于一个或多个组，组也有自己的组标识（Group ID，GID）。用户和组的管理可以帮助对系统资源进行分类、分组和授权。

### 2.2 用户和组的创建与删除

#### 情景描述：
假设我们需要创建一个新用户并添加到一个新组中。

#### 代码示例：

# 创建新组
sudo groupadd engineers

# 创建新用户，并添加到新组中
sudo useradd -m -g engineers john_doe

#### 代码说明：
- `groupadd`：用于创建新组。
- `useradd`：用于创建新用户。参数`-m`表示同时创建用户主目录，参数`-g`表示指定用户的初始组。

### 2.3 用户权限和身份切换

在Linux系统中，可以通过`su`命令来切换用户身份，例如：

su - username

### 2.4 用户组间的关系与管理技巧

用户组之间存在着层级关系，一个用户可以同时属于多个组，可以通过`usermod`命令来修改用户的组信息，例如：

sudo usermod -aG groupname username

通过以上方式，可以灵活管理用户和组的关系，实现对系统资源的精细控制。

本章介绍了用户和组的概念、创建、删除和管理技巧，希望能帮助您更好地理解和使用用户和组身份管理功能。接下来我们将继续深入探讨密码策略与账户管理的相关内容。

# 3. 密码策略与账户管理

在Linux系统中，密码策略和账户管理是非常重要的，可以有效提高系统的安全性。本章将详细介绍密码策略的配置和账户管理的技巧。

#### 3.1 密码策略的概念与重要性

密码策略是指对用户密码进行管理和配置的一系列规则和要求，它可以确保密码的复杂性和安全性，防止密码被猜解或破解。合理的密码策略能有效保护系统的安全，防止未经授权的访问。在Linux系统中，可以通过PAM模块和密码策略工具进行配置。

#### 3.2 密码安全策略的配置及实践

在Linux系统中，可以通过修改"/etc/login.defs"文件中的参数来配置密码策略，例如设置密码长度、密码复杂度、密码过期时间等。下面演示一个简单的修改密码长度的实例：

# 修改密码最小长度为8位
sudo sed -i 's/PASS_MIN_LEN 5/PASS_MIN_LEN 8/' /etc/login.defs

**注释：** 以上代码将密码最小长度从默认的5位修改为8位。

**代码总结：** 通过修改"/etc/login.defs"文件中的参数，可以配置密码策略，增强系统的密码安全性。

**结果说明：** 修改密码最小长度为8位后，系统要求新用户设置的密码长度不能少于8位，提高了密码的安全性。

#### 3.3 用户账户的锁定与解锁

有时候需要对用户账户进行临时性的锁定或解锁，以控制用户的访问权限。在Linux系统中，可以使用"passwd"命令对用户账户进行锁定或解锁。下面是一个用户账户锁定的例子：

# 锁定用户账户
sudo passwd -l username

**注释：** 以上命令将用户"username"的账户锁定，使其无法登录系统。

**代码总结：** 使用"passwd -l"命令可以快速锁定用户账户，加强系统的安全性。

**结果说明：** 锁定用户账户后，用户无法登录系统，确保了系统的安全性。

#### 3.4 用户密码的管理与重置

在Linux系统中，管理员可以通过"passwd"命令来管理用户的密码，包括修改密码、重置密码等操作。下面是一个重置用户密码的示例：

# 重置用户密码为指定密码
sudo passwd username

**注释：** 通过以上命令可以重置用户"username"的密码，管理员需输入新密码进行确认。

**代码总结：** 使用"passwd"命令能够方便地管理用户密码，保障系统的安全性。

**结果说明：** 用户密码成功重置，用户可以使用新密码登录系统，确保了账户的安全。

通过以上代码示例，我们深入了解了密码策略的配置和用户账户管理的实践，这对于系统安全性的提升至关重要。

# 4. PAM身份验证系统

PAM（Pluggable Authentication Modules，可插拔身份验证模块）是一种灵活的身份验证机制，它允许系统管理员配置各种身份验证方法，如密码、指纹、令牌等。在Linux系统中，PAM被广泛应用于用户身份验证、访问控制和账户管理等方面。

### 4.1 PAM概述与作用

PAM提供了一种模块化的身份验证机制，可以在不影响现有应用程序的情况下，灵活地实现各种身份验证方式。其主要作用包括：
- 支持多种身份验证方式，如密码、令牌、生物识别等
- 通过PAM，系统管理员可以对不同的应用程序使用各自不同的身份验证方式
- 可定制的身份验证流程，可以实现多因素认证和访问控制

### 4.2 PAM认证配置与管理技巧

#### 示例代码
下面是一个典型的PAM配置文件`/etc/pam.d/sshd`的示例：

#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so is now used by default
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so is now used by default
session    optional     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth

#### 代码解释
- `auth`: 负责用户身份验证
- `account`: 负责用户账户的检查和管理
- `password`: 负责用户密码的修改和管理
- `session`: 负责用户会话的管理

### 4.3 PAM模块的使用与定制

#### 示例代码
以下是一个自定义PAM模块的示例代码，使用C语言编写：

#include <security/pam_appl.h>

PAM_EXTERN int
pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    // 自定义的身份验证逻辑
    // ...
    return PAM_SUCCESS;
}

PAM_EXTERN int
pam_sm_setcred(pam_handle_t *pamh, int flags, int argc, const char **argv) {
    // 设置用户凭据的逻辑
    // ...
    return PAM_SUCCESS;
}

#### 代码解释
- `pam_sm_authenticate`: 负责用户身份验证的函数
- `pam_sm_setcred`: 负责设置用户凭据的函数

### 4.4 PAM配置文件的解析与调优
在实际应用中，可以根据具体需求对PAM配置文件进行调优，以满足系统安全性和用户体验的要求。常见的调优手段包括：
- 启用多因素认证
- 自定义PAM模块
- 配置账户锁定策略
- 定制登录失败处理机制

以上是关于PAM身份验证系统的详细内容，下一章我们将讨论SSH用户访问控制。

# 5. SSH用户访问控制

SSH（Secure Shell）是一种加密的网络通信协议，用于在不安全的网络中安全地管理远程计算机。在Linux系统中，SSH是非常常用的远程登录工具，因此对于SSH用户访问控制的设置和管理至关重要。

### 5.1 SSH服务配置与安全设置

在Linux系统中，SSH服务的配置文件是`/etc/ssh/sshd_config`，我们可以通过修改这个文件来进行SSH服务的相关设置和安全性设置。比如，我们可以修改SSH端口，禁用root用户直接登录，限制用户登录的IP地址等。

#### 场景：修改SSH端口

# 先备份原始配置文件
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

# 修改SSH服务端口为2222
sudo sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config

# 重新启动SSH服务
sudo systemctl restart sshd

#### 代码总结：
- 使用`cp`命令备份配置文件，以防止修改错误导致服务无法启动。
- 使用`sed`命令修改`sshd_config`文件中的端口配置。
- 使用`systemctl`命令重启SSH服务使配置生效。

#### 结果说明：
修改完成后，SSH服务会监听在新的端口2222上。

### 5.2 SSH密钥认证与管理

除了传统的密码认证方式，SSH还支持密钥认证。通过生成公钥和私钥，可以实现无需输入密码即可完成SSH登录。

#### 场景：生成SSH密钥对

# 生成SSH密钥对
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

#### 代码总结：
- 使用`ssh-keygen`命令生成RSA算法的密钥对。
- `-t`指定密钥类型为rsa，`-b`指定密钥长度为4096位，`-C`指定注释，一般填写邮箱地址。

#### 结果说明：
成功生成`id_rsa`（私钥）和`id_rsa.pub`（公钥）两个文件，分别存放在`.ssh`目录下。

### 5.3 SSH访问控制配置

SSH访问控制配置可以限制特定用户或IP地址的访问，增加系统的安全性。

#### 场景：限制特定用户登录SSH

# 编辑SSH配置文件
sudo vi /etc/ssh/sshd_config

# 在文件末尾添加如下内容，限制只允许user1用户登录
AllowUsers user1

#### 代码总结：
- 使用`vi`编辑器打开`sshd_config`文件，在文件末尾添加`AllowUsers`关键字并指定允许登录的用户名。
- 保存文件并退出编辑器。

#### 结果说明：
只有`user1`用户可以通过SSH登录系统。

### 5.4 SSH远程登录日志与审计

通过查看SSH的远程登录日志，可以了解到系统的登录情况，及时发现异常登录行为，增强系统的安全性。

#### 场景：查看SSH登录日志

# 查看SSH登录日志
sudo cat /var/log/auth.log

#### 代码总结：
- 使用`cat`命令查看`auth.log`文件，其中记录了SSH登录的相关信息。

#### 结果说明：
可以看到最近的SSH登录记录，包括登录的用户名、IP地址、登录结果等信息。

通过本章的学习，我们了解了SSH用户访问控制的基本配置和管理，以及提高系统安全性的一些方法和技巧。

# 6. 访问控制列表与sudo权限管理

在这一章中，我们将深入探讨Linux系统中的访问控制列表（ACL）和sudo权限管理。访问控制列表允许用户对文件和目录进行更精细的权限控制，而sudo权限管理则允许管理员授予特定用户对系统资源进行临时特权操作的权限。

#### 6.1 文件系统ACL详解与配置

首先，让我们深入了解文件系统ACL的概念和作用，并学习如何在Linux系统中配置ACL。我们将演示如何为特定文件或目录添加ACL条目，以实现更细粒度的权限控制。

# 为特定目录设置ACL权限
setfacl -m u:username:rw- /path/to/directory

# 为特定文件设置ACL权限
setfacl -m u:username:r-- /path/to/file

**代码总结：** 上述命令使用`setfacl`命令为特定用户添加ACL权限，其中`-m`参数表示修改ACL权限，`u:username`表示用户，`rw-`表示读、写权限。

**结果说明：** 通过上述命令设置ACL权限后，指定用户将具有对指定文件或目录的读写权限。

#### 6.2 用户级ACL权限控制

接下来，我们将学习如何使用getfacl和setfacl命令来查看和修改已有的ACL权限，并演示如何为用户组添加ACL权限，实现更复杂的权限控制。

# 查看文件的ACL权限
getfacl /path/to/file

# 修改已有 ACL 权限
setfacl -m g:groupname:r-- /path/to/file

**代码总结：** 上述命令中，`getfacl`用于查看文件的ACL权限，`setfacl -m g:groupname:r--`表示为指定用户组添加读取权限。

**结果说明：** 通过这些命令，我们可以查看和修改已有的ACL权限，实现更灵活的权限控制。

#### 6.3 Sudo权限管理的基本原理与应用

在这一部分，我们将介绍sudo权限管理的基本原理和应用场景，演示如何使用sudo命令来临时获取超级用户权限执行特定命令。

# 切换到超级用户
sudo su

# 使用sudo执行特定命令
sudo ls /root

**代码总结：** 通过以上命令，我们可以切换到超级用户或使用sudo命令执行特定需要超级权限的命令。

**结果说明：** 在一般用户的权限下，通过sudo命令可以临时获取超级用户权限执行指定命令，提高系统安全性和管理灵活性。

#### 6.4 Sudo配置与授权管理技巧

最后，我们将深入探讨sudo配置文件的结构和管理技巧，演示如何添加用户到sudoers文件，以及如何配置sudo的授权策略和日志记录。

# 编辑sudoers文件
sudo visudo

# 添加用户到sudoers文件
username   ALL=(ALL:ALL) ALL

**代码总结：** 以上命令中，`visudo`命令用于安全地编辑sudoers文件，而`username ALL=(ALL:ALL) ALL`表示为指定用户授予sudo权限。

**结果说明：** 通过这些操作，我们可以灵活配置sudo权限管理策略，并记录用户的sudo行为，提高系统安全性和管理效率。

以上就是本章内容的概要，通过学习ACL权限控制和sudo权限管理，您将更好地掌握Linux系统中的权限管理技巧。