Linux操作系統(tǒng)用戶管理ppt課件

1、Linux操作系統(tǒng)操作系統(tǒng)用戶管理用戶管理本章內(nèi)容本章內(nèi)容 1 根底知識(shí) 2 用戶數(shù)據(jù)庫 3 用戶管理工具 4 文件訪問控制位SetUID和SetGID 5 更該文件的一切權(quán)1 根底知識(shí)根底知識(shí) 在Linux操作系統(tǒng)中，每一個(gè)文件和程序必需屬于某一個(gè)“用戶。 每一個(gè)用戶都有一個(gè)獨(dú)一的身份標(biāo)識(shí)叫做用戶IDUser ID，UID。 每一個(gè)用戶也至少需求屬于一個(gè)“用戶分組，也就是由系統(tǒng)管理員建立的用戶小團(tuán)體。用戶分組也有一個(gè)獨(dú)一的身份標(biāo)識(shí)叫做用戶分組IDGroup ID，GID 用戶可以歸屬于多個(gè)用戶分組。1 根底知識(shí)根底知識(shí) 對某個(gè)文件或程序的訪問是以它的UID和GID為根底的。一個(gè)執(zhí)行中的程序承

2、繼了調(diào)用它的用戶的權(quán)益和訪問權(quán)限。 每位用戶的權(quán)限可以被定義為下面兩種中的任何一種： 普通用戶: 只能訪問他們擁有的或者有權(quán)限執(zhí)行的文件；分配給他們這樣的權(quán)限是由于這個(gè)用戶或者屬于這個(gè)文件的用戶分組，或者由于這個(gè)文件可以被一切的用戶訪問。 根用戶: 可以訪問系統(tǒng)全部的文件和程序，而不論根用戶能否擁有它們。根用戶通常也被稱為“超級(jí)用戶。1 根底知識(shí)根底知識(shí) 在Linux操作系統(tǒng)中，任何東西都有一個(gè)一切者。用戶都按照這樣一個(gè)方式配置：它們的訪問權(quán)限只分配給經(jīng)過挑選的一個(gè)很小的用戶范圍。 1.1 用戶登錄子目錄 1.2 口令 1.3 shell 1.4 啟動(dòng)上機(jī)腳本程序 1.5 電子郵件1.1 用戶

3、登錄子目錄用戶登錄子目錄 用戶登錄子目錄: 每一個(gè)實(shí)踐登錄進(jìn)入系統(tǒng)上機(jī)的用戶都需求有地方保管那些專屬于他的配置文件。這個(gè)地方就叫做用戶登錄子目錄 home directory 大多數(shù)站點(diǎn)都從/home開場安排用戶登錄子目錄,把用戶登錄子目錄安排在/home下的決議完全是人為的 根用戶的登錄子目錄對大多數(shù)UNIX操作系統(tǒng)的變體來說都是傳統(tǒng)的“/，許多Linux操作系統(tǒng)的安裝把它設(shè)置為/root1.2 口令口令 每個(gè)賬戶都必需有一個(gè)口令，否那么就根本不能夠登錄進(jìn)入它。 當(dāng)用戶在登錄提示符處輸入它們的口令時(shí)，輸入的口令將由系統(tǒng)進(jìn)展加密。再把加密后的數(shù)據(jù)與機(jī)器中用戶的口令數(shù)據(jù)項(xiàng)進(jìn)展比較。假設(shè)這兩個(gè)加密

4、數(shù)據(jù)匹配，就可以讓這個(gè)用戶進(jìn)入系統(tǒng)。 口令建議的規(guī)那么：非言語單詞(不是人類運(yùn)用言語的單詞)，最好大小寫、數(shù)字和標(biāo)點(diǎn)符號(hào)混用1.3 shell 根用戶運(yùn)用的缺省shell，叫做Bourne Again Shell，簡稱bash。 Linux操作系統(tǒng)帶有好幾種shell供用戶選用可以在/etc/shells文件中看到它們中的大多數(shù)。1.4 啟動(dòng)腳本程序啟動(dòng)腳本程序 當(dāng)建立了一個(gè)用戶賬號(hào)的時(shí)候，必需提供一套缺省的啟動(dòng)腳本讓這個(gè)用戶可以開場任務(wù)。 相當(dāng)于dos下面的autoexec.bat或者config.sys的程序 bash的啟動(dòng)腳本文件是: .bashrc (.bash_bashrc) .ba

5、sh_profile(.profile)1.5 電子郵件電子郵件 建立一個(gè)新用戶意味著可以讓這個(gè)用戶收發(fā)電子郵件。 電子郵箱保管在/var/spool/mail子目錄中，以用戶名命名的文件指定。 一個(gè)空電子郵箱是一個(gè)零長度的文件。一切電子郵箱都應(yīng)該只屬于它們對應(yīng)的主人，其訪問權(quán)限被設(shè)置為不允許他人讀出其中的內(nèi)容。2 用戶數(shù)據(jù)庫用戶數(shù)據(jù)庫 用戶數(shù)據(jù)庫: 是普通的文本文件，可以直接編輯修正 /etc/passwd /etc/shadow 2.1 /etc/passwd文件文件 /etc/passwd文件保管著用戶的登錄名、加過密的口令數(shù)據(jù)項(xiàng)、用戶IDUID、缺省的用戶分組IDGID、姓名、用戶登錄

6、子目錄以及登錄后運(yùn)用的shell。 用戶的登錄名不應(yīng)該超越八個(gè)字符。 文件的每一行保管一個(gè)用戶的資料，而用戶資料的每一個(gè)數(shù)據(jù)項(xiàng)采用分號(hào)分隔。 young：boQavhhaCKaXg：100：102：Tang Xiaosheng：/home/young：/bin/bash2.1 /etc/passwd文件文件 很多站點(diǎn)是經(jīng)過修正這個(gè)加過密的口令數(shù)據(jù)項(xiàng)來禁用某個(gè)賬戶的。 例如：把一個(gè)干了壞事的用戶的加密口令數(shù)據(jù)項(xiàng)修正為boQavhhaCKaXg*used mail bomber 用戶IDUID對每一個(gè)用戶來說都必需是獨(dú)一的，只需UID等于0時(shí)可以例外。 有些Linux操作系統(tǒng)的發(fā)行版本保管數(shù)值-1

7、或者65535作為“nobody用戶的UID2.2 /etc/shadow文件文件 /etc/shadow文件中的口令那么只對那些具有根用戶優(yōu)先權(quán)的程序如登錄程序等可讀。 /etc/shadow文件包含加過密的口令，口令失效期和賬戶能否已被禁用等方面的信息。 /etc/shadow文件中每一行的格式包含著如下所示的幾個(gè)部分： 登錄名。 加過密的口令。 從1970年1月1日起計(jì)算，該口令修正后曾經(jīng)過去了多少天。 需求再過多少天才干修正這個(gè)口令。 需求再過多少天這個(gè)口令必需被修正。 需求在這個(gè)口令失效之前多少天對用戶發(fā)出提示警告。 口令失效多少天之后禁用這個(gè)賬戶。 從1970年1月1日起計(jì)算，該口

8、令曾經(jīng)被禁用了多少天。 保管域。 young：boQavhhaCKaXg：10750：0：99999：7：-1：-1：1345298682.3 /etc/group文件文件 /etc/group分組定義文件對整個(gè)系統(tǒng)來說也必需是可讀的。 每個(gè)用戶至少會(huì)屬于一個(gè)用戶分組，也就是缺省用戶分組 在需求的情況下，用戶還可以分配到其他的分組中去。 /etc/passwd文件中包含著每個(gè)用戶缺省的分組IDGID。 在/etc/group文件中，這個(gè)GID被映射到該用戶分組的稱號(hào)以及同一分組中的其他成員去。 /etc/group文件中每一行的格式如下所示： 用戶分組名。 加過密的用戶分組口令。 用戶分組ID

9、號(hào)GID。 以逗號(hào)分隔的成員用戶清單。 project：baHrE1KPNjrPE：102：young, txs3 用戶管理工具用戶管理工具 用戶管理有以下途徑： 編寫口令數(shù)據(jù)庫文件 命令行 LinuxConf3.1 運(yùn)用命令行進(jìn)展用戶管理運(yùn)用命令行進(jìn)展用戶管理 可以從以下的六種命令行工具程序中進(jìn)展選擇，用來執(zhí)行G U I工具程序完成同樣的動(dòng)作： useradd 添加用戶 userdel 刪除用戶 usermod 修正用戶 groupadd 添加組 groupdel 刪除組 groupmod 修正組 passwd 設(shè)置密碼 chpasswd 用文件配置修正密碼 chpasswd ora_pas

10、s 密碼文件格式： oracle:password3.2 運(yùn)用運(yùn)用LinuxConf進(jìn)展用戶管理進(jìn)展用戶管理 LinuxConf工具軟件包是一個(gè)功能非常強(qiáng)大的配置工具，可以用來執(zhí)行許多不同的義務(wù)。 它的特征之一就是建立、刪除和修正用戶信息的才干。 linuxconf 有文本方式下和圖形方式下的執(zhí)行程序。3.2 運(yùn)用運(yùn)用LinuxConf進(jìn)展用戶管理進(jìn)展用戶管理 LinuxConf工具軟件包是一個(gè)功能非常強(qiáng)大的配置工具，可以用來執(zhí)行許多不同的義務(wù)。 它的特征之一就是建立、刪除和修正用戶信息的才干。 linuxconf 有文本方式下和圖形方式下的執(zhí)行程序。4 更該文件的一切權(quán)更該文件的一切權(quán) 4.

11、1 改動(dòng)文件的一切權(quán)命令chown 4.2 改動(dòng)用戶分組命令chgrp 4.3 改動(dòng)文件屬性命令chmod4.1 改動(dòng)文件的一切權(quán)命令改動(dòng)文件的一切權(quán)命令chown chown命令可以把一個(gè)文件的一切權(quán)修正為他人的。只需根用戶可以進(jìn)展這樣的操作。 這個(gè)命令的格式如下所示： #chown -R username filename 沒有一切權(quán)的文件: 是指文件所屬的用戶不存在 當(dāng)用戶從/etc/passwd文件中被刪除后但是屬于他的文件還依然存在的時(shí)候。 在問題中的文件進(jìn)展子目錄列表操作的時(shí)候。列表中不會(huì)出現(xiàn)文件的一切者，它將顯示為一個(gè)號(hào)碼，這個(gè)號(hào)碼代表著擁有該文件的UID。 假設(shè)有一個(gè)新用戶在被

12、建立的時(shí)候運(yùn)用了與老用戶一樣的UID，這個(gè)一樣的UID將被顯示為一切者，使得新用戶看起來就像是擁有著那些文件一樣。4.2 改動(dòng)用戶分組命令改動(dòng)用戶分組命令chgrp chgrp命令可以改動(dòng)一個(gè)文件的用戶分組設(shè)置情況。它的格式： #chgrp -R groupname filename5.3 改動(dòng)文件屬性命令改動(dòng)文件屬性命令chmod訪問權(quán)限分為四個(gè)部分,10位：第一個(gè)部分就是訪問權(quán)限的頭一個(gè)字母。 “普通文件 - 不具有任何特殊的值，假設(shè)該文件具有特殊的屬性，它就用一個(gè)字母來表示。子目錄 d符號(hào)鏈接l第二個(gè)部分3位，表示的是文件一切者的訪問權(quán)限；第三個(gè)部分3位，表示的是文件所在分組的訪問權(quán)限；

13、第四個(gè)部分3為，表示的是全系統(tǒng)(系統(tǒng)中的全部用戶)的訪問權(quán)限。當(dāng)組合屬性的時(shí)候，把后三個(gè)部分的數(shù)值逐個(gè)相加。字母 訪問權(quán)限 數(shù)值r 讀 4w 寫 2x 執(zhí)行 1文件的設(shè)定：-rw- (600) - 只需屬主有讀寫權(quán)限。 -rw-r-r- (644) - 只需屬主有讀寫權(quán)限；而屬組用戶和其他用戶只需讀權(quán)限。 -rwx- (700) - 只需屬主有讀、寫、執(zhí)行權(quán)限。 -rwxr-xr-x (755) - 屬主有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只需讀、執(zhí)行權(quán)限。 -rwx-x-x (711) - 屬主有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只需執(zhí)行權(quán)限。 -rw-rw-rw- (666) -

14、一切用戶都有文件讀、寫權(quán)限。這種做法不可取。 -rwxrwxrwx (777) - 一切用戶都有讀、寫、執(zhí)行權(quán)限。更不可取的做法。 目錄本卷須知：由于不能夠去“執(zhí)行一個(gè)目錄。 當(dāng)添加或去除某個(gè)目錄的執(zhí)行權(quán)限時(shí)，其實(shí)上是允許完全查找這個(gè)目錄。 5.3 改動(dòng)文件屬性命令改動(dòng)文件屬性命令chmodchmod命令：根據(jù)文件訪問權(quán)限的字母以及對應(yīng)的數(shù)值用來設(shè)置訪問權(quán)限的數(shù)值。chmod OPTION. MODE,MODE. FILE.運(yùn)用數(shù)值改動(dòng)文件權(quán)限：#chmod 777 file1運(yùn)用字母來改動(dòng)文件的權(quán)限：參數(shù)設(shè)置a 一切用戶u 創(chuàng)建者g 同組用戶o 除去創(chuàng)建者和同組用戶之外的用戶+ 添加權(quán)限 -

15、 去除權(quán)限 = 設(shè)置獨(dú)一權(quán)限 常用設(shè)置g+w - 添加組用戶的寫權(quán)限 o-rwx - 去除其他用戶的全部訪問權(quán)限 u+x - 允許文件屬主執(zhí)行文件 a+rw - 允許一切用戶讀和寫文件 ug+r - 允許文件屬主和屬組用戶讀文件 g=rx - 設(shè)置屬組用戶只能讀和執(zhí)行文件不可寫經(jīng)過添加 -R 參數(shù)，可以改動(dòng)整個(gè)目錄樹的權(quán)限。#chmod o+w sneakers.txt #chmod go-rw sneakers.txt #chmod a-rw sneakers.txt 5 文件的權(quán)限和文件的權(quán)限和SetUID，SetGID 文件是經(jīng)過SetUID位和SetGID位來控制訪問權(quán)限的。 SetU

16、ID位的作用是經(jīng)過二進(jìn)制位進(jìn)展設(shè)置的方法使程序按照其一切者的訪問權(quán)限運(yùn)轉(zhuǎn)，不再受運(yùn)轉(zhuǎn)它的用戶的訪問權(quán)限的限制。 當(dāng)用戶運(yùn)轉(zhuǎn)一個(gè)運(yùn)用程序的時(shí)候，這個(gè)程序?qū)⒊欣^該用戶所具有的全部權(quán)益或者限制。用戶不可以讀取這個(gè)文件，那么他運(yùn)轉(zhuǎn)的程序也不能讀取該文件。這個(gè)權(quán)限能夠會(huì)與該程序文件通常叫做二進(jìn)制文件一切者所具有的權(quán)限有所不同。 例如：ls程序是歸根用戶一切的，它的訪問權(quán)限被設(shè)置為每一個(gè)用戶都可以執(zhí)行，某用戶young運(yùn)轉(zhuǎn)了ls命令，限制這份ls命令的是分配給用戶young的訪問權(quán)限而不是根用戶。 假設(shè)把一個(gè)執(zhí)行程序的SetUID位設(shè)置為on，并且讓這個(gè)命令的二進(jìn)制文件歸屬于根用戶，那么就意味著假設(shè)用戶y

17、oung運(yùn)轉(zhuǎn)這個(gè)命令，這命令就是以根用戶的訪問權(quán)限運(yùn)轉(zhuǎn)的，不再遭到用戶young訪問權(quán)限的限制。 SetGID位的是作用于文件用戶分組的設(shè)置情況 假設(shè)想激活SetUID或者SetGID位，需求運(yùn)用chmod命令 假設(shè)想把某個(gè)程序設(shè)置為SetUID形狀，在計(jì)劃分配給它的訪問權(quán)限數(shù)值前面加上一個(gè)數(shù)字4。 假設(shè)想把某個(gè)程序設(shè)置為SetGID形狀，在計(jì)劃分配給它的訪問權(quán)限數(shù)值前面加上一個(gè)數(shù)字2。 # chmod 4755 /bin/lsAQ&練習(xí)練習(xí)創(chuàng)建目錄以root用戶建目錄 /home/oracle以root用戶建目錄 /u01創(chuàng)建dba, oinstall用戶組groupadd -g 701 dbagroupadd -g 702 oinstall創(chuàng)建oracle用戶useradd -g dba -G oinstall -u 701 -m -d /home/ora