快速安全的建立Linux操作系统的用户账户

新客网 XKER.COM 2007-08-08 来源： freedom 收藏本文

【原创翻译，版权所有，合作网站如欲转载，请注明原创翻译作者，及文章出处（赛迪网）。谢绝非合作网站转载，违者，赛迪网将保留追究其法律责任的权利！】

如果你需要建立一个用户账户，使其可对系统外壳进行访问，那么对登录工具的唯一逻辑选择就是OpenSSH。你所需要的只是用户的公钥（public key），用户只需要你的IP地址或者是主机名（用户需要靠此登录）。通常情况下，这就足够了。

有时，用户可能需要知道其口令是什么。如果用户需要使用Sudo程序，就需要通过口令进行身份验证。理想情况下，这种信息是通过电话或者加密的电子邮件提供的，不过这个口令自身有时会通过明文或者纯文本的电子邮件提供。

理想的情况是创建用户账户，获得用户的SSH公钥，并为用户创建一个随机口令，用户登录之后立即修改这个口令。这些都很容易完成。

对于用户，这是相当简单的。要创建一对公/私钥，只需执行：

$ ssh-keygen -t dsa

你还应该让用户发送~/.ssh/id_dsa.pub文件。在服务器端，事情也并不太困难。首先，你要创建用户账户：

# useradd -c "Joe User" -s /bin/bash -m joe

# openssl rand -base64 6 | tee -a ~joe/.password | passwd -stdin joe

这就创建了一个用户joe，并且为它分配了一个随机口令，并将同样的口令存储在~joe/.password中，在这里joe可以看到其口令。

如果你通过/etc/ssh/sshd_config锁定了账户，一定要记住增加下面的命令，来允许joe访问系统：

AllowUsers joe

此外，还要将PasswordAuthentication设为no，强制所有的登录都要使用公钥。

最后，一定要将id_dsa.pub密钥复制到用户的主目录中，并且分配适当的所有权和权限：

# mkdir ~joe/.ssh

# chmod 700 ~joe/.ssh

# cp id_dsa.pub ~joe/.ssh/authorized_keys

# chmod 600 ~joe/.ssh/authorized_keys

# chown -R joe:joe ~joe/.ssh

好了，全部搞定。现在用户可以使用其SSH私钥来登录，而且能够访问Sudo或者需要一个实际的口令来进行身份验证。

参考文章《Set up user accounts quickly and securely》

• ·三十种Linux操作系统发行版名称含义详解
• ·Linux操作系统下DHCP服务器配置方法介绍
• ·Linux系统原理知识 进程切换的概念介绍
• ·Linux操作系统下即插即用功能的实现方法
• ·基础知识：什么是Fedora Linux
• ·Ubuntu Linux系统启动速度慢的问题解决
• ·在Linux操作系统下手动分析病毒样本技巧
• ·实用技巧：SUSE Linux系统下VNC远程控制
• ·维护必读 SUSE Linux登录黑屏解决方法
• ·Linux操作系统下生成引导盘与驱动程序盘
• ·给初学者 编译Linux系统内核的方法步骤
• ·菜鸟入门 Linux操作系统下安全配置六招
• ·Linux系统下通过GPRS模块拨号上网的方法
• ·高手进阶 Linux系统下驱动程序框架概述
• ·Linux操作系统下安装声卡驱动的方法总结
• ·Linux下Openoffice的安装方法