本章是红帽子Linux系统的概览。这里将阐述有关该系统的一些大家或许并不十分熟悉的内容以及与其它UNIX类系统的差异。
11.1 用户,组及私有用户组
管理用户和组历来是枯燥和乏味的。红帽子LINUX拥有若干系统工具和约定措施,相当有用,使用户和组的管理简单了许多。
管理用户和组最为简单的方法是使用控制面板上的“UsersandGroups”模块(有关控制面板的详细信息请看第9节,9.1节上用户和组模块的详细描述)。您还可以以命令行的方式用adduser命令创建新用户。
11.1.1 Standard Users
表81 列出了系统在安装过程中创建的标准用户(其中所列内容与/etc/passwd文件的描述是一致的)。表中的组ID号是用户所在的首要组的代号。请到11.1.3节查看有关组的知识。
User
11.1.2 标准用户组
表82列出了系统安装过程中创建的标准用户组(其中就是/etc/group文件所描述的内容)。
Group
11.1.3.1 用户私有组
由于用户私有组模式(UPG)是新东西,许多人对它提出质疑。人们怀疑它的存在的必要性。以下将对其作出解释。
打个比方,您想使一些人编辑/usr/lib/emacs/site-lisp下的文件。您信任这些人,让他们任意操纵这个目录下的文件,可当然不是信任所有的人。
于是,您键入:
chown -R root.emacs /usr/lib/emacs/site-lisp
然后把合适的用户增加到该组中。
为使用户能真正在目录下创建文件,执行:
chmod 775 /usr/lib/emacs/site-lisp
但是当用户在该目录下创建新文件时,它的属主被设置为该用户的默认组(通常为users)。为防止这种默认设置,您应键入:
chmod 2775 /usr/lib/emacs/site-lisp
但是文件的权限必须被设置为664才可以使emacs组的其他用户来编辑它。这只要将umask值设置为002就可以了。
好了,一切都很正常,但是有一点例外,那就是如果您的默认组是“users”的话,您在您的HOME下创建的每一个文件都可被同属于“users”的用户改写。
为了防止这种操作,您应使每一个用户将其默认组设置为一个该用户所私有的用户组。
至此,通过设置umask值为002和分配每个用户一个私有的用户组为默认组,您就可以轻而一举的建立用户无须任何其他操作就可以方便使用的组了。您所要做的仅仅是创建组,增加用户到组,然后象以上所述的那样用chown和chmod设置组目录。
11.2 基于PAM的用户认证
任何要授予用户特权的程序都要能够进行用户认证。当您登入系统时,您需要提供用户名和口令,而后登入进程据此以检验登入的合法性---确认您就是该用户。还有除口令认证之外的其他认证形式,而且口令的存储方式也是各不相同的。
PAM(可插拔认证模块)方式允许系统管理员设置多种认证措施而无须重新编译要进行认证的程序。使用PAM,您通过编辑一个配置文件来决定认证模块如何插入到程序之中。大多数红帽子LINUX用户无须改动这个配置文件。因为如果使用RPM来安装程序的话,系统会自动做有关改动。但是,如果您想定制认证模块的话,就需要理解配置文件内容。 11.2.1 PAM 模块
PAM定义了四种类型的模块。auth模块提供实际的认证过程,可能是提示口令输入并检查输入的口令,设置保密字如用户组或KERBEROS通行证。account模块负责检查并确认是否可以进行认证(比如,帐户是否到期,用户此时此刻是否可以登入,等等)。 password模块被用来设置口令。一旦用户认证通过,session模块将被用来做使用户使用其帐户前的初始化工作,如安装用户的HOME目录啦,使能用户的电子邮箱啦,等等。
这些模块可以堆叠,多次使用。比如:rlogin通常使用至少两种认证方法,如果“rhosts” 认证成功了,就允许建立连接,否则还要进行标准的口令认证。
随时可以加入新的模块,而PAM感知的程序可以被配置来使用它。举个例子,如果您有一个一次性口令计算系统,可以写出一个模块来(系统中包含有如何书写模块的文档资料),PAM感知的程序无须重新编译就可以使用这个新的一次性口令计算器。