Linux的用戶和組群管理.docx

/os/linuxLinux的用戶和組群管理 Linux是一個多用戶的操作系統(tǒng)用戶和用戶組的管理是系統(tǒng)管理員的重要工作之一。本文的內容包括如何利用圖形化工具rfuser和在命令行界面下完成用戶賬號工作組的建立和維護并正確設置用戶權限和安全性問題。 利用圖形配置工具rfuser與使用命令進行用戶/用戶組管理完成的是同樣的，工作不同之處在于圖形工具的操作界面友好直觀用戶也不必去記憶大量的命令和參數(shù)。 概述 在Linux系統(tǒng)中每個用戶對應一個帳號RedFlagServer安裝完成后系統(tǒng)本身已創(chuàng)建了一些特殊用戶它們具有特殊的意義其中最重要的是超級用戶即root。 超級用戶承擔了系統(tǒng)管理的一切任務可以不受限制地進行任何操作因此建議只有在完全必要的情況下才以root身份進行操作。 由超級用戶創(chuàng)建允許登錄系統(tǒng)的普通用戶一般超級用戶也需要為自己建立一個用來處理一般事務的普通帳戶。 下面是用戶和組群管理的一些基本概念 用戶名系統(tǒng)中用來標識用戶的名稱可以是字母數(shù)字組成的字符串區(qū)分大小寫。 用戶標識UID系統(tǒng)中用來標識用戶的數(shù)字。 用戶主目錄系統(tǒng)為每個用戶配置的單獨使用環(huán)境即用戶登錄系統(tǒng)后最初所在的目錄用戶的文件都放置在此目錄下。 登錄shell用戶登錄后啟動以接收用戶的輸入并執(zhí)行輸入相應命令的程序如/bin/bash/bin/csh 用戶組/組群具有相似屬性的多個用戶被分配到一個組中， 組標識GID用來表示用戶組的數(shù)字標識。 超級用戶在系統(tǒng)中的用戶ID和組ID都是普通用戶的用戶ID（UID）從開始編號并且默認屬于與用戶名同名的組組ID（GID）也從開始編號 用su命令改變身份 用戶在系統(tǒng)使用過程中可以隨時使用su命令來改變身份，例如系統(tǒng)管理員在平時工作時可以用普通帳號登錄在需要進行系統(tǒng)維護時用su命令獲得root權限之后再用su回到原帳號。 su的語法為su username是要切換到的用戶名如果不指定用戶名則默認將用戶身份切換為root系統(tǒng)會要求給出正確的口令。 默認情況下只要知道root口令任何用戶都可以通過su命令切換到root身份這是一個安全漏洞所以我們強烈建議只有wheel組成員才可以通過su命令轉換為root實現(xiàn)的辦法是修改/etc/pamd/su文件取消對如下一句 authrequiredlib/security/$ISA/pam_wheelsouse_uid的注釋 系統(tǒng)中的用戶管理配置文件 /etc/passwd文件 RedFlagServer系統(tǒng)中用于管理用戶帳號的基本文件是/etc/passwd，該文件中包含了系統(tǒng)中所有用戶的用戶名和它們的相關信息每個用戶帳號在文件中對應一行并且用冒號（）分為七個域。 每一行的形式如下： 用戶名:加密的口令:用戶ID:組ID:用戶的全名或描述:登錄目錄:登錄shell 下面是root用戶在此文件中對應的行 root:X:root:/root:/bin/bash Linux系統(tǒng)將每一個用戶僅僅看成是一個數(shù)字即用每個用戶惟一的用戶ID來識別配置文件。 /etc/passwd給出了系統(tǒng)用戶ID與用戶名之間及其他信息的對應關系， /etc/passwd文件對系統(tǒng)的所有用戶都是可讀的這樣的好處是每個用戶都可以知道系統(tǒng)上有哪些用戶但缺點是其他用戶的口令容易受到攻擊（尤其當口令較簡單時），所以在紅旗Linux中使用影子口令格式將用戶的口令存儲在另一個文件/etc/shadow中該文件只有根用戶root可讀因而大大提高了安全性， /etc/shadow文件 為了保證系統(tǒng)的安全性系統(tǒng)通常對用戶的口令進行shadow處理并把用戶口令保存到只有超級用戶可讀的/etc/shadow文件中該文件包含了系統(tǒng)中所有用戶和用戶口令等相關信息。每個用戶在該文件中對應一行并且用冒號分成九個域每一行包括以下內容： 用戶登錄名 用戶加密后的口令（若為空表示該用戶不需口令即可登錄若為*號表示該帳號被禁止）。 從年月日至口令最近一次被修改的天數(shù) 口令在多少天內不能被用戶修改 口令在多少天后必須被修改 口令過期多少天后用戶帳號被禁止 口令在到期多少天內給用戶發(fā)出警告 口令自年月日被禁止的天數(shù) 保留域 /etc/group文件 在Linux中使用組來賦予用戶訪問文件的不同權限組的劃分可以采用多種標準一個用戶，可同時包含在多個組內管理用戶組的基本文件是/etc/group。其中包含了系統(tǒng)中所有用戶組的相關信息每個用戶組對應文件中的一行并用冒號分成四個域其中每一行的形式如下： 用戶組名加密后的組口令組ID組成員列表 下面是用戶組sys在/etc/group中對應的一行 sys:x:rootbinadm 代表的信息包括系統(tǒng)中有一個稱為sys的用戶組設有口令組ID為組中的成員有rootbinadm三個用戶 RedFlagServer在安裝中同樣創(chuàng)建了一些標準的用戶組在一般情況下建議您不要對這些用戶組進行刪除和修改除非您完全明白它們的用途和意義。 /etc/skel目錄 一般來說每個用戶都有自己的主目錄用戶成功登錄后就處于自己的主目錄下，主目錄中存放有與用戶相關的文件命令和配置當為新用戶創(chuàng)建主目錄時系統(tǒng)會在新用戶的主目錄下建立一份。 /etc/skel目錄下所有文件的拷貝用來初始化用戶的主目錄 使用rfuser管理用戶與組群 利用rfuser用戶和組群管理工具可以輕松的管理系統(tǒng)中的用戶和用戶組，包括完成新建查看管理帳號密碼權限等所有操作。 在控制面板的系統(tǒng)配置項中選擇本地用戶和組或在KDE桌面環(huán)境下使用命令rfuser即可打開本地用戶和組管理。器rfuser工具需要以超級用戶身份運行，系統(tǒng)缺省創(chuàng)建的用戶和組群對于系統(tǒng)管理和應用程序的使用有重要的意義不要隨意修改或刪除它們，尤其是root用戶否則有可能導致系統(tǒng)異常甚至崩潰。 添加新用戶 點擊工具欄中的添加新用戶按鈕出現(xiàn)增加新用戶向導在用戶信息窗口中輸入用戶名和描述信息用戶名的首位必須是英文字母，并且不能與已有的用戶名重復用戶ID是該用戶在系統(tǒng)中唯一的標識范圍是默認情況下系統(tǒng)會為用戶指定一個以上的標識號也可以手工指定用戶的UID號但推薦由系統(tǒng)自動分配登錄，shell一般只需采用默認的/bin/bash添加用戶時默認會在系統(tǒng)中創(chuàng)建一個用戶，主目錄/home/username也可以指定其他的目錄。 點擊繼續(xù)按鈕進入下一步在右側的密碼和確認文本框中輸入至少位的用戶密碼，密碼最好是數(shù)字字母及特殊字符的組合圖方便使用簡單的數(shù)字英語單詞生日電話等都可能成為個人信息安全的隱患。 可以設置用戶密碼的使用期限選中永不過期則用戶密碼永遠有效選擇無密碼表示該用戶不需要密碼就可以登錄系統(tǒng)。 點擊繼續(xù)按鈕進入用戶組關系設置界面 從系統(tǒng)已有的用戶組列表中選擇新添加用戶將從屬的組按增加按鈕加入隸屬于列表， 一個用戶可以同時從屬于幾個不同的組在主組群中選擇用戶所屬的主組名稱 RedFlagServer使用UPG（userprivategroup）機制如果在此步驟中沒有選擇新用戶所屬的用戶組系統(tǒng)會在創(chuàng)建新用戶的同時會默認創(chuàng)建一個和用戶名同名的組。 點擊繼續(xù)按鈕進入下一步彈出窗口中顯示了將添加用戶的信息按下完成按鈕新建的用戶將加入用戶列表， rfuser會將新創(chuàng)建的用戶同時加入系統(tǒng)的samba用戶列表即該用戶也同時成為能夠使用SMB遠程訪問本機文件或打印機的授權用戶。 編輯用戶屬性 要查看或修改一個已存在用戶的屬性在主界面的用戶列表中選中該用戶雙擊鼠標或按下工具， 欄中的設置屬性按鈕也可以在菜單中選擇工具設置屬性出現(xiàn)圖的的窗口 用戶屬性窗口分為三個標簽頁 用戶信息查看或修改用戶的基本信息 密碼設置或修改用戶口令用戶帳號的時限設置當前用戶是否可以登錄系統(tǒng)等。 用戶組關系查看或修改用戶所屬的組群設置所屬的主組群等。 編輯完成后按修改按鈕使所做的配置生效 還有一種編輯用戶屬性的方法是在用戶列表中選擇某一用戶單擊鼠標右鍵在快捷菜單中選擇相應的菜單項進行修改。 添加新組 系統(tǒng)管理過程經常要建立新的組群點擊工具欄中的添加新組群按鈕，出現(xiàn)增加新組群對話框輸入新組群的名稱，組群名稱的首位必須是英文字母，并且不能與已有的組群名重復組ID是該組群在系統(tǒng)中唯一的標識范圍，是默認情況下系統(tǒng)會為新添的用戶組，指定一個以上的標識號也可以手工指定一個標識號，但推薦由系統(tǒng)自動分配點擊繼續(xù)按鈕在右側的視圖中設置組成員信息從系統(tǒng)的用戶列表中選擇將隸屬于新組的成員按增加按鈕加入組成員列表一個組中可以包含多個用戶。 點擊繼續(xù)按鈕進入下一步彈出窗口中顯示了將添加用戶組的信息按下完成按鈕新添的用戶組將出現(xiàn)在組列表中， 編輯組群屬性 在主界面的組列表中選中一個已存在的組，雙擊鼠標右鍵按工具欄中的設置屬性按鈕或在菜單中選擇工具設置屬性，顯示組屬性設置窗口可以對組群名稱組ID組用戶成員等屬性進行修改。 還有一種編輯組屬性的方法是在組列表中選擇某組單擊鼠標右鍵在快捷菜單中選擇相應的菜單項進行修改。 刪除本地用戶和組 在列表中選擇要刪除的用戶或用戶組按下工具欄中的刪除按鈕或者在菜單中選擇工具刪除確認是否刪除系統(tǒng)用戶或用戶組，刪除用戶后該用戶主目錄及其所有文件也將被刪除 命令行界面下的用戶和組管理 用戶管理 添加新用戶在命令行下超級用戶root可以按照以下的步驟來創(chuàng)建新的用戶帳號，在shell提示符下運行命令useradd或adduser來增加一個用戶，如要在系統(tǒng)中加入一個名為newuser的新用戶可以使用以下的命#useraddnewuseruseradd命令，還有很多可選參數(shù)用來設置新建用戶的一些屬性詳細的參數(shù)使用方法請參考其manpage為用戶設置口令，通過passwd命令可以完成為新建用戶設立口令例如超級用戶要設置或改變用戶newuser的口令時可使用命令 #passwdnewuser系統(tǒng)會提示輸入新的口令，新口令需要輸入兩次出于安全的原因鍵入口令時不會在屏幕上，回顯出來當用戶使用不帶參數(shù)的passwd命令時可以修改自己的口令。 useradd命令的常用參數(shù)和選項如下表 選項和參數(shù)描述 ccomment/etc/passwd文件中用戶全名或注釋域的內容 dhomedir指定用于取代默認的/home/username的用戶主目錄 edate禁用賬號的日期格式為YYYYMMDD fdays口令過期后賬號禁用前的天數(shù) ggroupname用戶所屬主組群的組群名或