第五章 使用者管理
5.1 賬號(hào)管理
5.1.1 新增使用者
新增使用者時(shí),我們會(huì)以 adduser 這個(gè)指令來(lái)進(jìn)行,adduser 指令其實(shí)是將新增使用者所必須做的事寫成一個(gè)執(zhí)行檔來(lái)自動(dòng)幫我們做����,在 FreeBSD
4.x 是以 perl 所寫成��,而 FreeBSD 5.x 改以 shell scripts 來(lái)實(shí)作。為了了解系統(tǒng)對(duì)于使用者管理細(xì)節(jié)�����,讓我們先回顧一下 3.6
節(jié)關(guān)于使用 adduser 新增使用者的過(guò)程�。在 4.x 和 5.x adduser 指令的細(xì)節(jié)有一點(diǎn)不同,但大同小異�����。
執(zhí)行了 adduser 之后����,首先要輸入使用者名稱,使用者名稱除了英文字���、數(shù)字及 -_ 外不可以包含其它特殊字符�����。
接著我們要輸入使用者全名���,這個(gè)字段可以是空的,如果您不輸入則直接按 Enter 即可。
Uid (Leave empty for default):
|
這個(gè)字段是使用者編號(hào)����,直接留白按 Enter 即可,系統(tǒng)會(huì)自動(dòng)指定��。
輸入使用者群組名稱�,群組名稱預(yù)設(shè)會(huì)自動(dòng)產(chǎn)生一個(gè)和新增的使用者同名的群組,如果要使用不同的群組�,必須先手動(dòng)新增群組。我們直接按 Enter 即可����。
Login group is jack. Invite jack into other groups? []:wheel
|
是否要將新的使用者加入其它群組,由于這是我們新增的第一個(gè)一般使用者��,所以我們將它加入系統(tǒng)管理者 wheel 這個(gè)群組�,讓他可以使用 su
這個(gè)指令來(lái)切換身份成 root。
登入的類別�����,這是用來(lái)分類控制使用者對(duì)于系統(tǒng)資源的使用����,請(qǐng)參考下一節(jié)系統(tǒng)資源限制的說(shuō)明。在這里我們直接按 Enter 使用默認(rèn)值即可�����。
Shell (sh csh tcsh nologin) [sh]: tcsh
|
輸入所要使用的 Shell�����,建議輸入 tcsh��,如果您不想讓該使用者登入系統(tǒng)�,可以輸入 nologin。
Home directory [/home/jack]:
|
輸入使用者的家目錄����,也就是使用者在系統(tǒng)中的數(shù)據(jù)夾,所有使用者的目錄我們都放在 /home 下�,所以我們直接按 Enter 即可。
Use password-based authentication? [yes]:
|
是否要使用密碼認(rèn)證的方式����,預(yù)設(shè)為是,我們直接按 Enter 即可����。
Use an empty password? (yes/no) [no]:
|
是否要使用空密碼,預(yù)設(shè)為否。
Use a random password? (yes/no) [no]:
|
是否使用隨機(jī)產(chǎn)生的密碼�����,如果使用隨機(jī)產(chǎn)生的密碼����,在新增完畢后,系統(tǒng)會(huì)告知我們產(chǎn)生的密碼�,預(yù)設(shè)為否。
輸入該使用者的密碼����。
再輸入一次密碼,以確認(rèn)輸入無(wú)誤���。
Lock out the account after creation? [no]:
|
在新增完使用者后����,是否要先將該賬戶關(guān)閉�。
看了 adduser 指令的過(guò)程,您對(duì)于新增使用者應(yīng)有的步驟應(yīng)該已經(jīng)有初步的了解了���,接下來(lái)我們要介紹 adduser 這個(gè)指令到底做了哪些事。
- 在 /etc/group 中加入使用者的群組
- 在 /etc/master.passwd 中加入使用者
- 在 /home 中建立使用者目錄,并建立 dotfile
- 在 /var/mail 中建立使用者郵件目錄
知道了以上的流程�,我們也可以手動(dòng)自己做上述的步驟,但我們必須先知道 group 及 master.passwd
等檔案的格式�。所以我們接下來(lái)要介紹這些檔案。
5.1.2 /etc/group介紹
在使用者的管理方面����,F(xiàn)reeBSD
大致上可以分為群組管理及賬號(hào)管理。每一個(gè)賬號(hào)至少屬于一個(gè)群組���,這樣子有利于權(quán)限控制����。例如學(xué)生的賬號(hào)就有一個(gè)學(xué)生群組�,而老師的賬號(hào)就屬于教師群組,某幾位老師屬于管理者的群組����。這樣一來(lái),我們除了可以針對(duì)個(gè)人設(shè)定權(quán)限外����,也可以針對(duì)不同群組給予不同的權(quán)限。
/etc/group 這個(gè)檔案就是記錄群組的檔案����,這是一個(gè)文字文件�,我們可以使用 ee 等文字編輯軟件打開(kāi)它���。在 group 檔案中��,其格式如下:
wheel:*:0:root,alex
students:*:1000:
teachers:*:1001:
webadmin:*:1002:alex,john,tom
|
每一個(gè)字段以冒號(hào)分開(kāi)����,以最后一行為例����,第一個(gè)字段代表群組名稱為 teachers,而群組代號(hào)(gid) 是
1001��。我們可以自行使用文字編輯器加入想要的群組名稱及 gid�,但要注意的是群組名稱和 gid 不能重復(fù)。
第一行的最后面是 root,alex�����,表示該群組成員�����。由于記錄使用者數(shù)據(jù)的檔案中只能記錄使用者的預(yù)設(shè)群組,如果使用者還屬于其它群組���,則必須記錄在
/etc/group 中。例如使用者 alex 的預(yù)設(shè)群組是 alex��,我們希望他同時(shí)是 webadmin 群組����,則我們必須在 webadmin
群組后加上該使用者。
在 FreeBSD 中�,如果其它使用者要能使用 su 變成超級(jí)使用者的話,必須將其賬號(hào)加入 wheel 群組中��。
新增群組時(shí)�,除了可以使用文字編輯外,也可以使用指令 pw 來(lái)新增群組:
# pw groupadd newgroup
# pw groupshow newgroup
newgroup:*:1002:
第一個(gè)指令是以參數(shù) groupadd 來(lái)新增群組 newgroup�,再以參數(shù) groupshow 來(lái)顯示 newgoup 的信息。
5.1.3 /etc/master.passwd介紹
FreeBSD 使用 shadow password 的方式來(lái)保護(hù)密碼文件�,只有 root 才可以讀取編碼后的密碼文件 /etc/master.passwd。但是這并不是系統(tǒng)用來(lái)驗(yàn)證的檔案�����,為了加快速度�,F(xiàn)reeBSD
將該文件做成數(shù)據(jù)庫(kù) /etc/spwd.db 及 /etc/pwd.db�, 因此在修改完 master.passwd 后��,必須使用指令 pwd_mkdb 來(lái)將
master.passwd 做成數(shù)據(jù)庫(kù)檔案�����。不過(guò)一般而言���,我會(huì)使用 vipw 這個(gè)指令來(lái)修改 master.passwd����,vipw 會(huì)先將
master.passwd 以預(yù)設(shè)的文書編輯軟件打開(kāi)�����,修改完存盤后��,它會(huì)視需要自動(dòng)更新數(shù)據(jù)庫(kù)�����。如果您沒(méi)有修改過(guò) ~/.cshrc����,則預(yù)設(shè)的文書編輯軟件是
vi����。vi 在使用上比較復(fù)雜�����,如果您要離開(kāi)編輯器�,請(qǐng)依序按 Esc : q ! 再按 Enter 即可不存檔離開(kāi)���。關(guān)于 vi 的用法�,您可以參考第三章相關(guān)章節(jié)�。
在執(zhí)行 vipw 之后,會(huì)出現(xiàn):
# $FreeBSD: src/etc/master.passwd,v 1.25.2.6 2002/06/30 17:57:17 des Exp $
#
root:$1$94sxalyM$w1lBLBGAsRPfdVciGqNfL/:0:0::0:0:Charlie &:/root:/bin/tcsh
toor:*:0:0::0:0:Bourne-again Superuser:/root:
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
sshd:*:22:22::0:0:Secure Shell Daemon:/var/empty:/sbin/nologin
smmsp:*:25:25::0:0:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
mailnull:*:26:26::0:0:Sendmail Default User:/var/spool/mqueue:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
www:*:80:80::0:0:World Wide Web Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
tom:Bk5AI4MiRKCJ2:1000:1000::0:0:Tom Chang:/home/tom:/bin/tcsh
|
master.passwd 這個(gè)檔案內(nèi)容中�����,每個(gè)使用者都是獨(dú)立的一行�����,每個(gè)字段使用冒號(hào)分開(kāi)�,它的格式是:
name:password:UID:GID:class:change:expire:fullname:home:shell
每個(gè)字段的說(shuō)明如下:
- name:使用者賬號(hào)名稱,也就是您 login 時(shí)所需輸入的名字����。使用者名稱長(zhǎng)度最長(zhǎng)可以是 16 個(gè)字符���,但如果您要使用 NIS,則最多只可以使用8個(gè)字符���。每個(gè)使用者名稱不可重復(fù)��。而且使用者名稱中只能包英文字�����、減號(hào)
"-"���、底線 "_"、及數(shù)字��,而且最好不要使用大寫的英文字���,而開(kāi)頭的第一個(gè)字也不可以是減號(hào) "-"�����。在 master.passwd
這個(gè)檔案中��,每個(gè)字段都不可以使用冒號(hào) ":"��,因?yàn)槊疤?hào)是用來(lái)分割字段的特殊符號(hào)����。
- password:可以是空的,代表不用密碼就可以登入��,這樣很危險(xiǎn)�����;也可以是 *���,表示不可以登入;上面 vipw 顯示出來(lái)的項(xiàng)目中�,以使用者 root
而言,他的密碼是使用 MD5 編碼過(guò)的�����,特征是開(kāi)頭為 $1 且看起來(lái)比較長(zhǎng)�����;而使用者 tom 的密碼是使用 DES 編碼過(guò)的,DES
會(huì)將密碼編成一串13個(gè)字符的符號(hào)���。
- UID:使用者代號(hào)�,每個(gè)使用者都不一樣���,不可重復(fù)��,如果有多個(gè)賬號(hào)使用同樣的 UID��,F(xiàn)reeBSD 會(huì)將它當(dāng)成同一個(gè)賬號(hào)�。編號(hào)從 0 到
65535��。UID 0 為系統(tǒng)中超級(jí)使用者的代號(hào)��,內(nèi)定只有 root 和 toor 的 UID 為 0�。toor 賬號(hào)是 bash
所建立的使用者����,內(nèi)定不能使用該使用者登入。
- GID:群組代號(hào)�����,編號(hào)從 0 到 65535。
- class:除了群組外����,class是更有彈性的控制方法,可以針對(duì) /etc/login.conf
中不同的使用者設(shè)定來(lái)調(diào)整每個(gè)使用者的可使用的資源設(shè)定���。
- change:強(qiáng)迫使用者變更密碼的時(shí)間�,以從1970年到所要變更日期所經(jīng)過(guò)的秒數(shù)來(lái)表示�����。你可以使用 date +%s
來(lái)求出從1970年到現(xiàn)在時(shí)間所經(jīng)過(guò)的秒數(shù)��,每天為86400秒���,以現(xiàn)在時(shí)間的秒數(shù)加上86400*天數(shù)即為你要設(shè)定的時(shí)間。你可以使用指令下列指令來(lái)取得30天后的秒數(shù)�����,再將其填入即可����。若設(shè)為0則表示不使用此功能:
# expr `date +%s` + 86400 \* 30
- expire:賬號(hào)的有效日期����,一樣是以從1970年到到期日所經(jīng)過(guò)的秒數(shù)來(lái)代表��。若設(shè)為0則表示不使用此功能��。
- fullname:使用者全名��,你可以在此鍵入真實(shí)姓名��。請(qǐng)注意這個(gè)字段也不可以使用冒號(hào)哦�。
- home:使用者的家目錄,即使用者登入后的所在目錄��。
- shell:使用者的 shell����。如果使用 /sbin/nologin 表示該名使用者不可以登入。
我們可以看到在 master.passwd 中已經(jīng)有許多使用者��,這些使用者是系統(tǒng)服務(wù)的使用者�。例如 smmsp 是郵件服務(wù)器的 daemon
所使用的使用者名稱。nobody 這個(gè)使用者是預(yù)設(shè)無(wú)任何權(quán)限的使用者�����,但有很多系統(tǒng)服務(wù)軟件的預(yù)設(shè)使用者都是 nobody,我們應(yīng)該要注意不要以 nobody
負(fù)責(zé)為太多服務(wù)�,否則它不就變成了擁有許多權(quán)限的使用者了嗎!
5.1.4 刪除使用者
知道了新增使用者的步驟后���,您大概已經(jīng)知道要怎么刪除使用者了吧�����。只要把新增使用者的步驟反過(guò)來(lái)即可��。
- 如果該使用者有設(shè)定使用定時(shí)排程的工作�����,如 crontab 或 at����,則先將它移除���。crontab 的工作排程會(huì)被放在 /var/cron/tabs/username,而
at 的工作排程則放在 /var/jobs/username 中�����。
- 如果該使用者有正在執(zhí)行的程序,則送出 SIGKILL 給該行程以將它停止��。
- 以 vipw 移除讓使用者在 /etc/master.passwd 中的賬號(hào)�����。
- 使用者的家目錄 /home/username���,使用指令 rm -rf /home/username���。
- 再移除使用者郵件目錄 /var/mail/username。
- 如果暫存的目錄中 (/tmp 及 /var/tmp) 有該使用的暫存盤���,則將它移除�����。
- 若該使用者所屬群組已無(wú)人使用��,則編輯 /etc/group 來(lái)移除群組�。
以上這些步驟其實(shí)就是指令 rmuser 所做的事��。我們可以使用這個(gè)指令來(lái)快速的移除使用者賬號(hào)。以下即為 rmuser test 的執(zhí)行結(jié)果:
Matching password entry:
test:J7kPK0pKTn2oQ:1001:1001::0:0:Tom:/home/test:/bin/tcsh
Is this the entry you wish to remove? y →真的要移除這一個(gè)使用者嗎��?
Remove user's home directory (/home/test)? y →是否要移除使用者家目錄�?
# 移除使用者正在執(zhí)行的程序及更新系統(tǒng)數(shù)據(jù)
Removing user's at jobs:Updating password file, updating databases, done.
# 移除使用者群組
Updating group file: (removing group test -- personal group is empty) done.
# 移除使用者家目錄
Removing user's home directory (/home/test): done.
# 移除使用者信件
Removing user's incoming mail file /var/mail/test: done.
# 移除使用者暫存目錄
Removing files belonging to test from /tmp: done.
Removing files belonging to test from /var/tmp: done.
Removing files belonging to test from /var/tmp/vi.recover: done.
|
5.2 系統(tǒng)資源限制
如果您的 FreeBSD 系統(tǒng)允許多位使用者同時(shí)使用,每個(gè)使用者可能同時(shí)執(zhí)行許多工作����,例如 Alex 可能會(huì)執(zhí)行龐大的數(shù)學(xué)運(yùn)作程序,而 Tom
在系統(tǒng)中執(zhí)行占用海量存儲(chǔ)器的數(shù)據(jù)庫(kù)程序�����。如此一來(lái)��,我們的系統(tǒng)資源將全部被幾個(gè)使用者耗盡����,其它正常的系統(tǒng)服務(wù)便無(wú)法擁有較高的效能。我們不能單純的假設(shè)系統(tǒng)中所有使用者都會(huì)乖乖的使用單純的服務(wù)���,因此�,在一個(gè)多重使用者的環(huán)境中��,系統(tǒng)管理者有必要針對(duì)每個(gè)使用者限于他們所可以使用的系統(tǒng)資源�����,例如
CPU�����、內(nèi)存�、磁盤空間的使用量等。
5.2.1 登入類別
我們?cè)谛略鍪褂谜邥r(shí)會(huì)設(shè)定使用者的 login class���,所謂的 login class 就是將使用者分類管理�,以限制不同類別的使用者對(duì)于系統(tǒng)資源的使用��。
/etc/login.conf 定義了不同的 login class��。這個(gè)檔案中所有對(duì)于使用者限制的設(shè)定都是以 key=value
的方式來(lái)表示�����。這些限制大部份是針對(duì)某個(gè)使用者所執(zhí)行的某一個(gè)行程 (process)
所能占用的資源���,而非該使用者全部執(zhí)行的行程所占用的資源總合����。因此,除了每個(gè)行程所能占用的資源外�����,我們還會(huì)設(shè)定使用者最多可以執(zhí)行多少個(gè)行程���。
以下為 /etc/login.conf 中關(guān)于 default class 的設(shè)定:
# defaults
# These settings are used by login(1) by default for classless users
# Note that entries like "cputime" set both "cputime-cur" and "cputime-max"
default:\
:passwd_format=md5:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K,FTP_PASSIVE_MODE=YES:\
:path=/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin
:nologin=/var/run/nologin:\
:cputime=unlimited:\
:datasize=unlimited:\
:stacksize=unlimited:\
:memorylocked=unlimited:\
:memoryuse=unlimited:\
:filesize=unlimited:\
:coredumpsize=unlimited:\
:openfiles=unlimited:\
:maxproc=unlimited:\
:sbsize=unlimited:\
:vmemoryuse=unlimited:\
:priority=0:\
:ignoretime@:\
|
以下為關(guān)于系統(tǒng)資源限制的字段說(shuō)明��,每一個(gè)字段都有可使用的數(shù)值類型�,例如 size��、time 等�,讓我們來(lái)看看每個(gè)字段的說(shuō)明:
| 字段名稱 |
數(shù)值類型 |
說(shuō)明 |
| coredumpsize |
Size |
當(dāng)使用者所執(zhí)行的程序出了問(wèn)題 (coredump),系統(tǒng)會(huì)將該程序的執(zhí)行狀況從內(nèi)存中寫到硬盤上���,這個(gè)值就是在限制
core file 的檔案大小�����。如果使用者所執(zhí)行的程序是需要消耗許多內(nèi)存的程序����,則所產(chǎn)生的 core file
也會(huì)很大。這個(gè)值不應(yīng)該比使用者的磁盤配額限制大�����。 |
| cputime |
Time |
這是一個(gè)行程所能使用的最長(zhǎng) CPU 時(shí)間��,這個(gè)時(shí)間指的不是我們?cè)?top 或 ps 中看到的 CPU usage
百分比��,而是一個(gè)行程所使用的 CPU 時(shí)間����。當(dāng)超過(guò)時(shí)間�,系統(tǒng)核心會(huì)自動(dòng)停止該行程。 |
| filesize |
Size |
使用者單一檔案的最大容量�。我們對(duì)于使用者磁盤配額只能限制使用者對(duì)于硬盤的使用總額,而這個(gè)設(shè)定可以限制單一檔案的大小�。 |
| maxproc |
Number |
限制使用者最多可以執(zhí)行的行程總量。這個(gè)限制包含所有以該使用者名稱所執(zhí)行的程序����,有的程序在執(zhí)行時(shí),會(huì)自動(dòng)產(chǎn)生許多子行程����,如果這個(gè)值設(shè)定的太小,可能會(huì)造成使用者的困擾。 |
| memorylocked |
Size |
FreeBSD
系統(tǒng)中有所謂的虛擬內(nèi)存空間��,當(dāng)物理內(nèi)存不足時(shí)�����,系統(tǒng)會(huì)將某部份的內(nèi)存數(shù)據(jù)放到虛擬內(nèi)存中�。而有的程序會(huì)使用 mlock()
這個(gè)系統(tǒng)呼叫要求系統(tǒng)將它所占用的內(nèi)存空間全部放在物理內(nèi)存中,memorylocked 就是限制使用 mlock() 的內(nèi)存大小���。 |
| memoryuse |
Size |
限制行程最大的內(nèi)存使用量�����,包含物理內(nèi)存及虛擬內(nèi)存�����。 |
| openfiles |
Number |
限制使用者同一時(shí)間最多可以開(kāi)啟的檔案數(shù)量�����。所謂的檔案數(shù)量包含了一般的檔案及 socket���。 |
| sbsize |
Size |
用以限制最大的網(wǎng)絡(luò)緩沖區(qū)的使用量���。 |
| stacksize |
Size |
行程可使用的最大堆棧 (stack) 空間。 |
以下為上表中數(shù)值類型的說(shuō)明:
| 類型 |
說(shuō)明 |
| Size |
我們可以單純的以數(shù)字來(lái)表示 Size����,預(yù)設(shè)的單位是 byte。例如 1234 表示 1234
bytes�����。除此之外��,我們也可以在數(shù)字之后加上單位�。例如:
b: 表示 512-byte block (1b = 512bytes)�。
k: 表示 kilobytes,即 KB (1k=1024 bytes)����。
m: 表示 megabytes,即 MB (1m=1048576 bytes)���。
g: 表示 gigabytes����,即 GB。
t: 表示 terabytes�,即 TB。 |
| Time |
當(dāng)我們只寫數(shù)字時(shí)����,預(yù)設(shè)的單位是秒?�;蛘呶覀円部梢栽跀?shù)字后加上單位 y (年)��、w (周)��、d (天)�����、h (時(shí))�����、m
(分)����、s (秒)。 例如���,三小時(shí)四十分可以表示為:13200s�����、220m���、或是 3h40m����。 |
| Number |
您可以使用 0 到 9 的數(shù)字���,預(yù)設(shè)為十進(jìn)制。您也可以使用開(kāi)頭為 0x 的數(shù)字來(lái)表示十六進(jìn)制���。 |
當(dāng)要修改類別時(shí)�����,我們以將 default class 復(fù)制一份����,并更名為其它類別���,最后再進(jìn)行編輯����。類別新增完畢后,我們必須執(zhí)行下列指令以重建系統(tǒng)數(shù)據(jù)庫(kù)����。
# cap_mkdb /etc/login.conf
接下來(lái)我們就可以執(zhí)行 vipw 在想要限制的使用者的 class 的字段填入我們新增的類別了。
除了限制系統(tǒng)資源的使用外�����,我們也可以使用 login.conf 來(lái)客制化每個(gè)使用者的登入環(huán)境��、所使用的語(yǔ)言等�,請(qǐng) man login.conf
以得到更多的說(shuō)明。
5.2.2 磁盤配額
當(dāng)系統(tǒng)中有多位使用者時(shí)��,如果其中一個(gè)人擁有大量檔案�����,那么其它使用者便無(wú)法有足夠的空間來(lái)使用��。如果系統(tǒng)有許多使用者�,而又不限制他們對(duì)磁盤的使用量�,那么磁盤很容易就會(huì)爆掉��,因此我們必須對(duì)使用者加以限制�。您可以限制系統(tǒng)中每個(gè)使用者可使用的硬盤大小(quota)。步驟如下:
- 在核心設(shè)定中加入 options QUOTA 這一行�����,并重新編譯核心�。
- 在 /etc/rc.conf 中加入一行 enable_quotas="YES"。
- 在 /etc/fstab 中要啟加磁盤限制的分割區(qū)中加入?yún)?shù) userquota ��,您也可以加入 groupquota
來(lái)限制群組的配額�。
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b none swap sw 0 0
/dev/ad0s1a / ufs rw 1 1
/dev/ad1s1f /home ufs rw,userquota 2 2
/dev/ad0s1e /usr ufs rw 2 2
/dev/ad1s1e /var ufs rw 2 2
|
- 重開(kāi)機(jī)并設(shè)定使用者的 quota 限制。
完成了上述的步驟并重新開(kāi)機(jī)之后�,我們就可以使用指令 edquota 來(lái)編輯磁盤配額。首先����,以指令 edquota -u tom
進(jìn)入文書編輯����,我們通常會(huì)加入二行,一行限制檔案大小�����,一行限制檔案數(shù):
Quotas for user tom:
/home: blocks in use: 65, limits (soft = 50000, hard =55000)
inodes in use: 7, limits (soft = 5000, hard = 6000)
|
共中 blocks 代表使用者使用檔案大小總合,而 inodes 代表檔案數(shù)目�。soft limits 代表使用量達(dá)到多少時(shí)提出警告,而 hard
limits 代表使用量達(dá)多少時(shí)立刻禁止寫入����。
上面的范例中,使用者 tom 目前使用的檔案大小為 65K�����,在檔案大小總合為 50000K 時(shí)提出警告�����,55000K
時(shí)禁止寫入����。目前該使用者有7個(gè)檔案,在檔案數(shù)達(dá) 5000 個(gè)時(shí)提出警告���,達(dá) 6000 個(gè)時(shí)禁止寫入����。
我們也可以使用 edquota -p tom 2000-3000 來(lái)以使用者 tom 的設(shè)定為范例,將 UID 為 2000 到 3000
的使用者設(shè)定為和 tom 一樣�。或者使用指令 edquota -p tom jack rose 來(lái)以使用者 tom 為范例���,將 jack 及 rose
的設(shè)定變成和 tom 一樣��。
您可以使用 quota -v tom 來(lái)看使用者 tom 目前的使用情形�,或使用 repquota 來(lái)查看所有使用者目前的使用情形�。
在 FreeBSD 3.2 以后的版本,系統(tǒng)開(kāi)機(jī)后預(yù)設(shè)會(huì)檢查所有使用者的 quota���,但這必須要花上一段時(shí)間����,如果您不想在開(kāi)機(jī)時(shí)自動(dòng)檢查 quota
的話�����,請(qǐng)?jiān)?/etc/rc.conf 中加入下列設(shè)定:
在 FreeBSD 3.2 版以前��,開(kāi)機(jī)內(nèi)定是不檢查 quota 的����,如果你想在開(kāi)機(jī)時(shí)即檢查的話,請(qǐng)?jiān)?/etc/rc.conf 中加入下列設(shè)定:
5.3 大量新增賬號(hào)
對(duì)于大型主機(jī)的管理者而言�,要大量新增賬號(hào)時(shí),若沒(méi)有一套"撇步"的話����,使用 adduser
指令來(lái)新增賬號(hào)將會(huì)非常累人,所以我們必須要想出一個(gè)大量新增賬號(hào)的方法�����。
大量新增賬號(hào)的方法有很多�����,最簡(jiǎn)單的就是寫一個(gè)程序來(lái)處理��,只要依照之前提及的新增賬號(hào)步驟使用程序來(lái)一步步建立或在程序中呼叫 FreeBSD
系統(tǒng)中新增賬號(hào)的指令并經(jīng)由循環(huán)來(lái)完成���。但是 adduser 指令會(huì)問(wèn)一堆問(wèn)題���,不適合拿來(lái)作程序中要呼叫的指令,所幸在 FreeBSD
中還有一個(gè)管理使用者賬號(hào)及群組的程序 pw ����,所以筆者就以指令
pw 加上一些控制來(lái)寫成 script����。
一般而言�,如果要新增的賬號(hào)是沒(méi)有規(guī)則性的,那么就必須先將賬號(hào)做成一個(gè)文字文件���,再以程序讀入��。若賬號(hào)是有規(guī)則性的��,則可以給定參數(shù)來(lái)完成���。您可以在本書所附的第二片光盤中的
examples 目錄中找到筆者所寫的「新增大量賬號(hào)」程序,文件名是 adduser.tar.gz�。
這個(gè)程序可以使用檔案匯入賬號(hào)及密碼,或只給賬號(hào)并自動(dòng)產(chǎn)生密碼�,最后將賬號(hào)及密碼存成一個(gè)檔案(預(yù)設(shè)是 adduser.log)。我們也可以使用連續(xù)產(chǎn)生賬號(hào)的方式�,產(chǎn)生一堆連續(xù)的賬號(hào),產(chǎn)生的結(jié)果同樣會(huì)放成
adduser.log 中��。
首先���,將第二片光盤放入光驅(qū)中���,并使用下列指令將檔案復(fù)制到 root 的目錄下:
# mount /cdrom
# cp /cdrom/examples/adduser.tar.gz /root/
將檔案放到硬盤中后,請(qǐng)切換目錄到 /root 并以下列指令解壓縮:
# cd /root
# tar zxvf adduser.tar.gz
解壓縮后��,進(jìn)入 adduser 目錄�����,你可以看到該目錄中有下列檔案:
| 檔名 |
用途 |
| adduser.pl |
主要執(zhí)行檔����。 |
| adduser.cfg |
這是 pw 這個(gè)指令所要使用的設(shè)定檔,我們可以在其中設(shè)定預(yù)設(shè)所要使用的群組名稱�、shell、最大及最小的 uid���、及家目錄等���。您也可以
man pw.conf 來(lái)取得這個(gè)檔案格式的用法。 建議您至少應(yīng)該要修改 defaultgroup
這個(gè)字段�,它是我們新增使用者預(yù)設(shè)所要使用的群組名稱,您必要先在 /etc/group 中加入所要使用的群組���。如果 defaultgroup
所指定的群組不在 /etc/group 中�����,則預(yù)設(shè)會(huì)以讓使用者的名稱作為群組名稱�����。 |
| readme.txt |
這是 adduser.pl 的說(shuō)明檔��。 |
| user.txt |
你可以使用檔案匯入使用者的方式來(lái)新增使用者����,這個(gè)檔案存放了我們所要新增的使用者及密碼。其格式是
username,password�����。如果只有使用者名稱而無(wú)密碼�,我們會(huì)隨機(jī)產(chǎn)生新的密碼,并將密碼及使用者名稱存放在
adduer.log 中�����。 |
adduser.pl 這個(gè)程序的使用方式如下:
| ./adduser.pl -f users.txt |
參數(shù) -f 或 -file 表示使用檔案匯入�����,文件名稱可以自由命名,檔案每一行內(nèi)容即一個(gè)賬號(hào)
的設(shè)定�����,每一行的格式可以是只有賬號(hào)或者是有賬號(hào)及密碼��,賬號(hào)和密碼間使用逗點(diǎn) "," 隔開(kāi)���。本范例中將以檔案 user.txt 來(lái)產(chǎn)生賬號(hào)。 |
| ./adduser.pl -u alex 001 003 |
參數(shù) -u 或 -user 表示使用連續(xù)賬號(hào)�,此范例將產(chǎn)生 alex001 alex002 alex003 三個(gè)賬號(hào)。 |
在執(zhí)行完 adduser.pl 之后�����,在該目錄下會(huì)產(chǎn)生一個(gè) adduser.log�����,這個(gè)檔案將記錄我們新增的使用者及其密碼��。
5.4 備份與移轉(zhuǎn)
在了解了新增使用者的步驟后�,您對(duì)于備份使用者的作法在心中應(yīng)該也有個(gè)譜了吧�。在更新系統(tǒng)時(shí)���,使用者的數(shù)據(jù)需要備份的有:
- /etc/master.passwd
- /etc/group
- 使用者目錄 /home
- 使用者郵件目錄 /var/mail
- 使用者定時(shí)執(zhí)行的檔案 /var/cron/tabs 及 /var/at/jobs
5.4.1備份
除非我們和使用者間已有共識(shí)�����,不幫使用者備份其郵件及檔案��,否則平常想要備份使用者數(shù)據(jù)的話�����,這是一件麻煩且費(fèi)時(shí)的工作����。不管是外在因素或是硬件固障��,系統(tǒng)都有可能數(shù)據(jù)流失��。對(duì)于一個(gè)公眾服務(wù)器的管理者而言���,事前明白告知使用者系統(tǒng)管理的原則是一件十分重要的事��。如果未事前請(qǐng)使用者自行備份個(gè)人的檔案及郵件的話���,首先�����,備份的工作將非常耗時(shí)�,尤其是使用者擁有大量檔案時(shí)��。再者�,若未備份文件��,當(dāng)系統(tǒng)數(shù)據(jù)流失時(shí)��,容易和使用者產(chǎn)生爭(zhēng)議��,就算平常每天都有備份���,也只能保住備份當(dāng)時(shí)的檔案�����,從備份到系統(tǒng)出問(wèn)題的時(shí)候所產(chǎn)生的檔案就無(wú)法回復(fù)了��。
如果不必備份使用者個(gè)人數(shù)據(jù)的話�����,就只需把 /etc/master.passwd 及 /etc/group
存在別的儲(chǔ)存設(shè)備或計(jì)算機(jī)中�����,要回復(fù)時(shí)只要依下列移轉(zhuǎn)的步驟做即可�����。
5.4.2 移轉(zhuǎn)
如果系統(tǒng)中已有其它使用者��,要先編輯 /etc/group���,加入和備份的 group 檔案有差異的地方�����,再使用 vipw 來(lái)將加入和備份的
master.passwd 有差異的地方��。如果新系統(tǒng)中無(wú)其它使用者���,則將所備份的 master.passwd 及 group 放到新計(jì)算機(jī)的 /etc
下,再執(zhí)行下列指令以將密碼文件轉(zhuǎn)成數(shù)據(jù)庫(kù)格式即可:
# pwd_mkdb -p -d /etc /etc/master.passwd
如果沒(méi)有要移轉(zhuǎn)使用者個(gè)人數(shù)據(jù)的話,也必須建立使用者家目錄及郵件目錄�����。如果要移轉(zhuǎn)使用者目錄的話����,記得移轉(zhuǎn)后要檢查一下該目錄的所有人是不是該使用者。如果不是�����,就必須使用下列指令來(lái)將使用者目錄擁有者更改為所屬的使用者:
# chown -R user:group /home/user
上面這個(gè)指令是將 /home/user 這個(gè)目錄及其下所有目錄的所有人變成使用者名稱為 user����,群組為 group�����。
我們也可以在密碼文件及群組數(shù)據(jù)移轉(zhuǎn)后��,將舊的硬盤存放使用者數(shù)據(jù)的扇區(qū)(假設(shè)是 /home) mount 到 /mnt 下�����,再到 /mnt
下存放使用者數(shù)據(jù)的目錄中使用指令
# tar clf - . | tar xvpf - -C /home
來(lái)將使用者數(shù)據(jù)復(fù)制到 /home 中。并依此方法 mount 使用者郵件目錄扇區(qū)并復(fù)制到 /var/mail 下即可�。
5.5 使用歷程記錄
5.5.1 記錄使用者指令
為什么要記錄使用者下過(guò)的指令?并不是為了要監(jiān)視使用者�,而是在系統(tǒng)有問(wèn)題時(shí),可以找出原因�����。找出使用者曾經(jīng)使用過(guò)哪些指令�,以了解問(wèn)題的所在。FreeBSD
提供指令 lastcomm 讓你查看系統(tǒng)中使用者執(zhí)行的指令����,但是你必須先修改 /etc/rc.conf,加上下列一行設(shè)定:
系統(tǒng)會(huì)將使用者的歷程記錄在 /var/account/acct* 中���,最新的記錄是 acct�����,隨著數(shù)據(jù)越來(lái)越多����,系統(tǒng)每天會(huì)將該檔案移成 acct1����,而
acc1 將變成 acct2�,依此類推��。如果站上使用者很多的話��,acct
的檔案將變得非常大���,所以你必須確保該目錄有足夠的空間存放數(shù)據(jù)���,為了避免檔案過(guò)多,系統(tǒng)內(nèi)定只會(huì)保留最近四天的數(shù)據(jù)��。
當(dāng)下達(dá)指令
lastcomm 時(shí)��,如果我們未使用任何參數(shù)���,則系統(tǒng)會(huì)以 /var/account/acct 為參考,印出所記錄的數(shù)據(jù)��。你也可以使用
lastcomm -f acct1 來(lái)查看前一天的資料���。
5.5.2 監(jiān)看使用者
當(dāng)使用者登入系統(tǒng)后�,root 可以使用
watch 指令來(lái)取得在線使用者的窗口畫面。也就是說(shuō)當(dāng)下達(dá)指令后��,root
所看到的畫面就會(huì)和該在線使用者一樣�。我們可以觀察該使用者在做些什么事,輸出的結(jié)果又是什么���。
這個(gè)指令并不是要給人拿來(lái)做壞事用的����。如果有不友善的使用者登入系統(tǒng)時(shí)���,可以使用它來(lái)觀察該使用者的動(dòng)作�,并適時(shí)阻止�����。
只有超級(jí)使用者 root 可以執(zhí)行
watch�����,而且如果您使用的是 FreeBSD 4.6-RELEASE 以前的版本����,在執(zhí)行前必須先在 kernel
中加入下列的設(shè)定并重新編譯核心:
最后使用下列指令新增 snoop device:
# cd /dev
# ./MAKEDEV snp0 snp1 snp2 snp3
接下來(lái)就可
watch 指令了����。首先��,先下指令 w 來(lái)看一下站上有哪些使用者���。指令結(jié)果的第二個(gè)字段部份�����,有使用者的 tty����,例如 p0���、v0
等��,選定要監(jiān)看的使用者后���,使用
watch ttyp0 來(lái)監(jiān)看該使用者,其中 ttyp0 即該使用者的 tty����。你可以使用
CTRL+X 來(lái)切換不同的 tty,也可以使用
CTRL+G 離開(kāi)回到自己的畫面�����。
5.5.3 控制 root 的使用
如果我們有在 wheel 群組中加入一般的使用者�,則該使用者可以使用指令 su 并輸入 root 的密碼后變成超級(jí)使用者。但如果系統(tǒng)中有多位使用者具有
root 的權(quán)限����,我們根本不知道是誰(shuí)使用了 root
的權(quán)限、執(zhí)行了哪些指令���;如果我們想針對(duì)不同人給予不同的權(quán)限���,例如一個(gè)人只有備份的權(quán)限、另一個(gè)人只能觀看系統(tǒng)設(shè)定����,su 也無(wú)法達(dá)成我們的要求。因此有人發(fā)展出
sudo 這個(gè)軟件來(lái)支持系統(tǒng)的管理�。
不過(guò) sudo 并不是 FreeBSD 系統(tǒng)內(nèi)定的指令,我們必須自己安裝���。所幸 FreeBSD 己將該軟件移植到 "port"
中�,我們只要執(zhí)行下列指令即可輕松的安裝了。不過(guò)您必需先將所附光盤二 /ports/distfiles 目錄中的檔案復(fù)制到 /usr/ports/distfiles 中�,或者先將光盤
mount 進(jìn)來(lái),否則計(jì)算機(jī)必須先連上網(wǎng)絡(luò)喔����!由于在 port 中 sudo 的安裝設(shè)定并未打開(kāi) sudo 執(zhí)行指令記錄,如果你希望它能將執(zhí)行 sudo 的
log 記下來(lái)的話�,必須先編輯 /usr/ports/security/sudo/Makefile,將 CONFIGURE_ARGS 中的參數(shù)
--disable-log-wrap 拿掉����。
# cd /usr/ports/security/sudo
# make install clean
安裝完后,我們要先執(zhí)行 /usr/local/sbin/visudo 以設(shè)定 sudo 的設(shè)定檔 (/usr/loca/etc/sudoers)����。以下簡(jiǎn)單說(shuō)明該設(shè)定檔如何設(shè)定,詳細(xì)說(shuō)明及范例請(qǐng)參考
/usr/local/etc/sudoers.sample:
# Host alias specification(如果你只有一臺(tái)機(jī)器�����,可以不必設(shè))
Host_Alias CUNETS = 128.138.0.0/255.255.0.0
Host_Alias SERVERS = master, mail, www, ns
# User alias specification(把使用者分成群組���,也可以不用分)
User_Alias PARTTIMERS = millert, mikef, dowdy
User_Alias WEBMASTERS = will, wendy, wim
User_alias BACKUP = tom, jack
# Cmnd alias specification(把可以執(zhí)行的指令分成一個(gè)個(gè)群組)
Cmnd_Alias READ=/bin/ls,/bin/cat,/usr/bin/tail,/usr/bin/head
Cmnd_Alias BACKUP=/sbin/dump,/usr/bin/tar,/usr/bin/find, \
/usr/bin/cpio,/bin/cp,/sbin/mount,/bin/dd
# User privilege specification(設(shè)定使用者的權(quán)限)
root ALL=(ALL) ALL
%wheel ALL = (ALL) ALL
# 表示 jack 在 CUNET 中所有機(jī)器都可執(zhí)行指令群組中 BACKUP 指令
jack CUNETS = BACKUP
# 表示使用者群組中 PARTTIMERS 群組的人���,只能在 SERVERS
#群組中的機(jī)器里執(zhí)行 READ 群組的指令
PARTTIMERS SERVERS = READ
|
設(shè)定完后��,使用者即可執(zhí)行 sudo <允許的指令> ,使用者只要輸入自己的密碼即可��,不必知道 root 的密碼�����,而且 5 分鐘內(nèi)再次執(zhí)行 sudo
時(shí)不需再輸入密碼�����。如果你有打開(kāi) log 記錄功能�����,sudo 執(zhí)行成功或失敗的 log 都將被記錄到 /var/log/sudo.log 中���。詳細(xì)說(shuō)明請(qǐng)閱讀說(shuō)明
man sudo���。