linux里面etcpasswd这个文件夹里面包含了哪些信息？

默认储存root和其他工具的密钥，passwd是password的缩写形式，另外passwd有可能是一个文件夹也有可能只有单一doc文档(etc、lib和usr根目录都可能有)。

安全计算环境linux- 身份鉴别 技术 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换要求解读 Linux系或统的用户鉴别过程与其他UNIX系统相同：系统管理员为用户建立一个账户并为其指定一个口令,用户使用指定的口今登录后重新配置自己的自已的口令，这样用户就具备一个私有口令。etc/password文件中记录用户的属性信息，包括用户名、密码、用户标识、组标识等信息。现在Linux系统中不再直接保存在/etc/password文件中,通常将password文件中的口令字段使用一个“x”来代替，将/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然，shadow文件是不能被普通用户读取的，只有超级用户才有权读取。 Linux中的/etc/login.defs是登录程序的配置文件，在这里我们可配置密码的最大过期天数，密码的最大长度约束等内容。如果/etc/pam.d/system-auth文件里有相同的选项，则以/etc/pam.d/system-auth里的设置为准，也就是说/etc/pam.d/system-aut的配置优先级高于/etc/login.defs。 Linux系统具有调用PAM的应用程度认证用户。登示服务、屏保等功能，其中一个重要的文件使是etc/pam.d/system-auth(在Kedhat Cent0s 和Fedora系上）。/etc/pam.d/system-auth或/etc/login.defs中的配置优先级高于其他地方的配置。 另外，root用户不受pam认证规则的限制，相关配置不会影响root用户的密码，root用户可以随意设置密码的。login.defs文件也是对root用户无效的。测评方法1)访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。 2)以有权限的账户身份登录 *** 作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户 3)使用命令more查看/etc/login. defs文件，查看是否设置密码长度和定期更换要求 #more /etc/login. defs 使用命令more查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求 4)检查是否存在旁路或身份鉴别措施可绕过的安全风险预期结果和主要证据1)登录需要密码 2)不存在空口令账户 3)得出类似反馈信息，如下: PASS MAX_DAYS 90 #登录密码有效期90天 PASS MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次 PASS MIN_LEN 7 #登录密码最小长度7位 PASS WARN_AGE 7 #登录密码过期提前7天提示修改 4）不存在绕过的安全风险b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施要求解读 Linux系统具有调用PAM的应用程度认证用户、登录服务、屏保等功能，其中一个重要的文件便/etc/pam.d/system-auth ，Redhat5以后版本使用pam_tally2.so模块控制用户密码认证失败的次数上限，可以实现登录次数、超时时间，解锁时间等。 着只是针对某个程序的认证规则，在PAM目录(/etc/pam d)下形如sshd、login 等等的对应各程序的认证规则文件中进行修改。若所有密码认证均应用规则， 可直接修改system_auth文件 测评方法 1)系统配置并启用了登录失败处理功能 2)以root身份登录进入Linux， 查看文件内容: # cat /ete/pam.d/system -auth或根据linux版本不同在common文件中 3)查看/etc/profile中的TIMEOUT环境变量，是否配置超时锁定参数 预期结果和主要证据 得出类似反馈信息，如下: 1)和2)查看登录失败处理功能相关参数，/etc/pam.d/system—auth文件中存在"account required /lib/security/pam_tally.so deny=3 no_ magic root reset" 3)记录在文件/etc/profile中设置了超时锁定参数，在profile下设置TMOUT= 300sc) 当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听 要求解读   Linux提供了远程访问与管理的接口，以方便管理员进行管理 *** 作，网络登录的方式也是多样的，例如可以使用Telnet登录，也可以使用SSH登录。但是，Telnet不安全。I因为其在教据传输过程中，账户与密码均明文传输，这是非常危险的。黑客通过一些网络对嗅探工是能够轻易地的窃取网络中明文传输的账户与密码，因此不建议通过Telnet协议对服务器进行远程管理。针对Telnet协议不安全这种情况，可以在远程登录时使用SSH协议。其原理跟Telnet类似，只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序，与Telnet相比，它提供了强大的认证与加密功能，可以保证在远程连接过程中，其传输的数据是加密处理过的。因此保障了账户与口令的安全测评方法   访谈系统管理员，进行远程管理的方式。 1)以root身份登录进入Linux查看是否运行了sshd服务，service - status-all | grep sshd 查看相关的端口是否打开，netstat -an|grep 22 若未使用SSH方式进行远程管理，则查看是否使用了Telnet 方式进行远程管理 service - -status-all|grep running,查看是否存在Telnet服务 2)可使用wireshark等抓包工具，查看协议是否为加密 3)本地化管理，N/A预期结果和主要证据1)使用SSH方式进行远程管理，防止鉴别信息在传输过程中被窃听,Telnet默认不符合 2)通过抓包工具，截获信息为密文，无法读取，协议为加密 3) N/A本地管理d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现 解读对于第三级及以上的 *** 作系统要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现测评方法访谈和核查系统管理员在登录 *** 作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术 预期结果和主要证据 除口令之外，采用了另外一种鉴别机制，此机制采用了密码技术，如调用了密码机或采取SM1-SM4等算法

分类: 电脑/网络 >> *** 作系统/系统故障

解析:

增加用户帐号后

新建用户的命令十分简单，在命令行下使用 useradd 命令：

useradd david

该命令做了下面几件事：1）在 /etc/passwd 文件中增添了一个入口；2）在 /home 目录下创建新用户的主目录，并将 /etc/skel 目录中的文件拷贝到该目录中去；3）。但是使用了该命令后，新建的用户依然不能登录，因为还没有设置口令，需要再用 passwd 命令为其设置口令后，才能登录。用户的 UID 和 GID 是 useradd 自动选取的，它是将 /etc/passwd 文件中的 UID 加 1，将 etc/group 文件中的 GID 加 1。

useradd 命令中还有许多选项，它们的功能如下表：

选项

说明

-u

手工设置

UID

-g

手工设置

GID

-d

设置新用户的主目录

-G

使用户成为其他组的成员

3.2 理解 /etc/passwd 文件

/etc/passwd 文件是系统的主要文件之一。该文件中包含了所有用户登录名清单；为所有用户指定了主目录；在登录时使用的 shell 程序名称等。该文件还保存了用户口令；给每个用户提供系统识别号。

/etc/passwd 文件是一个纯文本文件，每行采用了相同的格式：

name:password:uid:gid:ment:home:shell

它们的含义如下：

域

说明

name

用户登录名

password

用户口令。此域中的口令是加密的。当用户登录系统时，系统对输入的口令采取相同的算法，与此域中的内容进行比较。如果此域为空，表明该用户登录时不需要口令。

uid

指定用户的

UID。用户登录进系统后，系统通过该值，而不是用户名来识别用户。

gid

GID。如果系统要对相同的一群人赋予相同的权利，则使用该值。

ment

用来保存用户的真实姓名和个人细节。

home

指定用户的主目录的绝对路径。

shell

如果用户登录成功，则要执行的命令的绝对路径放在这一区域中。它可以是任何命令。

3.3 建立新组

与建立新用户帐号十分类似，建立新组的命令是 groupadd：

useradd group-name

可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统帐号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。

3.4 理解 /etc/group 文件

/etc/group 文件文件的格式和 /etc/passwd 文件格式类似，它也是一个纯文本文件，定义了每个组中的用户。每行的格式是：

group_name:passwd:GID:user_list

它们的含义如下：

域

说明

group_name

组名

password

组口令。此域中的口令是加密的。如果此域为空，表明该组不需要口令。

gid

指定

GID。

user_list

该组的所有用户，用户名之间用逗号隔开。

3.5 用户管理

添加新用户后，如果对新用户的种种设置不满意，则可以通过 usermod 命令进行修改。

usermod 命令的一般格式为：

usermod -选项 相关内容 用户名

请参看下表：

命令

说明

usermod –s newshell path username

改变用户登录时使用的

shell。该 shell 应该是列入 /etc/shells 中的 shell。如果指定的 shell 或者程序名没有列入 /etc/shells，该用户将不能登录。注意，普通用户也能使用该命令。

usermod –d new home dic username

改变用户的主目录

usermod –u UID username

修改用户的

UID

usermod –g GID username

修改用户的默认组

usermod –e MM/DD/YY

修改用户帐号的有效期

除了 usermod 命令以外，还有一些修改用户信息的命令，比如修改口令的 passwd，修改个人信息的 chfn 等。

对于组的修改要相对简单一些，类似的使用 groupmod 命令，比如：

groupmod -n new-group current-group：改变组名；

groupmod -g new-GID groupname：改变 GID。

删除一个用户，使用类似的命令：userdel，其格式是：

userdel username

---