第5章用戶與用戶組管理ppt課件

1、What are words 第第5章章 用戶與用戶組管理用戶與用戶組管理 在在Linux操作系統(tǒng)中，任何文件都?xì)w屬操作系統(tǒng)中，任何文件都?xì)w屬于某一特定的用戶，而任何用戶都隸屬于于某一特定的用戶，而任何用戶都隸屬于至少一個用戶組。用戶是否有權(quán)限對某文至少一個用戶組。用戶是否有權(quán)限對某文件進(jìn)行訪問、讀寫以及執(zhí)行，受到系統(tǒng)嚴(yán)件進(jìn)行訪問、讀寫以及執(zhí)行，受到系統(tǒng)嚴(yán)格約束的正是這種清晰、嚴(yán)謹(jǐn)?shù)挠脩襞c用格約束的正是這種清晰、嚴(yán)謹(jǐn)?shù)挠脩襞c用戶組管理系統(tǒng)。戶組管理系統(tǒng)。 在很大程度上它保證了在很大程度上它保證了Linux系統(tǒng)的安系統(tǒng)的安全性。本章將對全性。本章將對Linux系統(tǒng)中重要的用戶和系統(tǒng)中重要的用戶和

2、組管理文件進(jìn)行介紹，并且介紹如何使用組管理文件進(jìn)行介紹，并且介紹如何使用命令行以及圖形用戶界面對用戶和組進(jìn)行命令行以及圖形用戶界面對用戶和組進(jìn)行管理。管理。5.1 用戶和組文件用戶和組文件5.1.1 用戶賬號文件用戶賬號文件passwd /etc/passwd文件是文件是UNIX安全安全的關(guān)鍵文件之一。該文件用于用戶的關(guān)鍵文件之一。該文件用于用戶登錄時校驗用戶的登錄名、加密的登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù)項、用戶口令數(shù)據(jù)項、用戶IDUID）、默）、默認(rèn)的用戶組認(rèn)的用戶組IDGID）、用戶信息、）、用戶信息、用戶主目錄以及登錄后使用的用戶主目錄以及登錄后使用的shell。 /etc/pa

3、sswd文件的每一行保存一個用文件的每一行保存一個用戶的資料，而用戶數(shù)據(jù)按域以冒號戶的資料，而用戶數(shù)據(jù)按域以冒號“:”分隔。分隔。格式如下所示：格式如下所示：username:password:uid:gid:userinfo:home:shell 其中，各個域的含義如表其中，各個域的含義如表5-1所示。所示。域域含含 義義usernameusername登錄名登錄名passwordpassword加密的用戶口令加密的用戶口令uiduid用戶用戶IDIDgidgid用戶組用戶組IDIDuserinfouserinfo用戶信息用戶信息homehome分配給用戶的主目錄分配給用戶的主目錄shell

4、shell用戶登錄后將執(zhí)行的用戶登錄后將執(zhí)行的shellshell（若為空格則默認(rèn)為（若為空格則默認(rèn)為/bin/sh/bin/sh）表表5-15-1/etc/passwd/etc/passwd文件中域的含義文件中域的含義 用戶的登錄名是用戶用來登錄的識別，用戶的登錄名是用戶用來登錄的識別，由用戶自行選定，主要由方便用戶記憶或由用戶自行選定，主要由方便用戶記憶或者具有一定含義的字符串組成。者具有一定含義的字符串組成。 所有用戶口令的存放都是加密的，通所有用戶口令的存放都是加密的，通常采用的是不可逆的加密算法。常采用的是不可逆的加密算法。 一般來說，用戶的一般來說，用戶的UID應(yīng)當(dāng)是獨一無二應(yīng)當(dāng)是

5、獨一無二的，其他用戶不應(yīng)當(dāng)有相同的的，其他用戶不應(yīng)當(dāng)有相同的UID數(shù)值，只數(shù)值，只有有UID等于等于0時可以例外。時可以例外。 每個用戶都需要保存專屬于自己的配每個用戶都需要保存專屬于自己的配置文件及其他文檔，以免用戶間相互干擾。置文件及其他文檔，以免用戶間相互干擾。 當(dāng)用戶登錄進(jìn)入系統(tǒng)時，會啟動一個當(dāng)用戶登錄進(jìn)入系統(tǒng)時，會啟動一個Shell程序，默認(rèn)是程序，默認(rèn)是bash。5.1.2 用戶影子文件用戶影子文件shadow Linux使用不可逆的加密算法如使用不可逆的加密算法如MD5，SHA1等來加密口令。等來加密口令。 和和/etc/passwd類似，類似，/etc/shadow文文件中每條

6、記錄用冒號件中每條記錄用冒號“:”分隔，形成分隔，形成9個域，個域，格式如下所示：格式如下所示：username:password:lastchg:min:max:warn:inactive:expire:flag 其中，各個域的含義如表其中，各個域的含義如表5-2所示。所示。域域含含 義義usernameusername用戶登錄名用戶登錄名passwordpassword加密的用戶口令加密的用戶口令lastchglastchg表示從表示從19701970年年1 1月月1 1日起到上次修改口令所經(jīng)過的天數(shù)日起到上次修改口令所經(jīng)過的天數(shù)minmin表示兩次修改口令之間至少經(jīng)過的天數(shù)表示兩次修改口

7、令之間至少經(jīng)過的天數(shù)maxmax表示口令還會有效的最大天數(shù)，如果是表示口令還會有效的最大天數(shù)，如果是9999999999則表示永則表示永不過期不過期warnwarn表示口令失效前多少天內(nèi)系統(tǒng)向用戶發(fā)出警告表示口令失效前多少天內(nèi)系統(tǒng)向用戶發(fā)出警告inactiveinactive表示禁止登錄前用戶名還有效的天數(shù)表示禁止登錄前用戶名還有效的天數(shù)expireexpire表示用戶被禁止登錄的時間表示用戶被禁止登錄的時間flagflag保留域，暫未使用保留域，暫未使用表表5-25-2/etc/shadow/etc/shadow文件中域的含義文件中域的含義5.1.3 用戶組賬號文件用戶組賬號文件group和

8、和gshadow /etc/passwd文件中包含著每個用戶的文件中包含著每個用戶的用戶組用戶組IDGID）。）。 /etc/group文件對用戶組的許可權(quán)限的文件對用戶組的許可權(quán)限的控制并不是必要的，這是因為控制并不是必要的，這是因為Linux系統(tǒng)用系統(tǒng)用來自于來自于/etc/passwd文件的文件的UID、GID來決來決定文件存取權(quán)限。定文件存取權(quán)限。 用戶組可以像用戶一樣擁有口令。用戶組可以像用戶一樣擁有口令。 /etc/group文件記錄格式如下所示：文件記錄格式如下所示：group_name:group_password:group_id:group_members 其中，各個域的含

9、義如表其中，各個域的含義如表5-3所示。所示。域域含含 義義group_namegroup_name用戶組名用戶組名group_passwordgroup_password加密后的用戶組口令加密后的用戶組口令group_idgroup_id用戶組用戶組IDID（GIDGID）group_membersgroup_members以逗號分隔的成員用戶清單以逗號分隔的成員用戶清單表表5-35-3/etc/group/etc/group的域及其含義的域及其含義域域含含 義義group_namegroup_name用戶組名用戶組名group_passwordgroup_password加密后的用戶組口令

10、加密后的用戶組口令group_membersgroup_members以逗號分隔的成員用戶清單以逗號分隔的成員用戶清單表表5-45-4/etc/gshadow/etc/gshadow的域及其含義的域及其含義5.1.4 使用使用pwck和和grpck命令驗證用戶和組文件命令驗證用戶和組文件 Red Hat Linux提供了提供了pwck和和grpck兩兩個命令分別驗證用戶以及組文件，以保證個命令分別驗證用戶以及組文件，以保證這兩個文件的一致性和正確性。這兩個文件的一致性和正確性。 與與pwck命令相類似，命令相類似，grpck命令的作命令的作用是檢驗用是檢驗/etc/group和和/etc/gs

11、hadow數(shù)據(jù)數(shù)據(jù)項中每個域的格式以及數(shù)據(jù)的正確性，并項中每個域的格式以及數(shù)據(jù)的正確性，并對組賬號文件（對組賬號文件（/etc/group及其影子文件及其影子文件（/etc/gshadow的一致性進(jìn)行校驗。如的一致性進(jìn)行校驗。如果發(fā)現(xiàn)錯誤，該命令將會提示用戶對出現(xiàn)果發(fā)現(xiàn)錯誤，該命令將會提示用戶對出現(xiàn)錯誤的數(shù)據(jù)項進(jìn)行修改或刪除。錯誤的數(shù)據(jù)項進(jìn)行修改或刪除。5.2 使用命令行方式管理用戶和組使用命令行方式管理用戶和組5.2.1 使用使用useradd命令添加用戶命令添加用戶 Linux使用使用useradd命令添加用命令添加用戶或更新新創(chuàng)建用戶的默認(rèn)信息。戶或更新新創(chuàng)建用戶的默認(rèn)信息。默認(rèn)信息包括

12、前文所述的用戶賬號默認(rèn)信息包括前文所述的用戶賬號文件所存儲的用戶相關(guān)信息。文件所存儲的用戶相關(guān)信息。useradd命令的格式如下：命令的格式如下：useradd option usernameW命令當(dāng)前活動的用戶列表查看使用bash的用戶 出于系統(tǒng)安全考慮，出于系統(tǒng)安全考慮，Linux系統(tǒng)中的每系統(tǒng)中的每一個用戶除了有其用戶名外，還有其對應(yīng)一個用戶除了有其用戶名外，還有其對應(yīng)的用戶口令。因此使用的用戶口令。因此使用useradd命令增加命令增加時，還須用時，還須用passwd命令為每一位新增加的命令為每一位新增加的用戶設(shè)置口令。之后還可以隨時用用戶設(shè)置口令。之后還可以隨時用passwd命令改變

13、自己的口令。命令改變自己的口令。passwd命令的格式命令的格式如下：如下：passwd username5.2.2 使用使用usermod命令修改用戶信息命令修改用戶信息 usermod命令用來修改使用者賬號，命令用來修改使用者賬號，具體的修改信息和具體的修改信息和useradd命令所添加的命令所添加的信息一致，這里不再一一列出。信息一致，這里不再一一列出。usermod命令的格式如下：命令的格式如下：usermod option username5.2.3 使用使用userdel命令刪除用戶命令刪除用戶 userdel命令用來刪除系統(tǒng)中的用戶信命令用來刪除系統(tǒng)中的用戶信息。息。usermo

14、d命令的格式如下：命令的格式如下：userdel option username5.2.4 使用使用groupadd命令創(chuàng)建用戶組命令創(chuàng)建用戶組 groupadd命令可以以指定名稱來建立命令可以以指定名稱來建立新的用戶組。新的用戶組。groupadd命令的格式如下：命令的格式如下：groupadd option groupname5.2.5 使用使用groupmod命令修改用戶組屬性命令修改用戶組屬性 groupmod命令用來修改用戶組信息。命令用來修改用戶組信息。groupadd命令的格式如下：命令的格式如下：groupmod option groupname5.2.6 使用使用groupd

15、el命令刪除用戶組命令刪除用戶組 groupdel命令比較簡單，用來刪除系命令比較簡單，用來刪除系統(tǒng)中存在的用戶組。使用該命令時必須確統(tǒng)中存在的用戶組。使用該命令時必須確認(rèn)待刪除的用戶組存在。認(rèn)待刪除的用戶組存在。groupdel命令的命令的格式如下。格式如下。groupdel groupname再將hahauser1.2.3密碼修改為123456此時系統(tǒng)中有此時系統(tǒng)中有8個在線用戶。個在線用戶。CTRL+ALT+F1 =root圖形界面圖形界面CTRL+ALT+F26 =字符界面以前就打字符界面以前就打開過）開過）CTRL+ALT+F7 =hahauser1圖形界面圖形界面CTRL+ALT+

16、F8 =hahauser2圖形界面圖形界面5.3 使用使用Red Hat用戶管理器管理用戶和組用戶管理器管理用戶和組5.3.1 啟動啟動Red Hat用戶管理器用戶管理器 在在Linux系統(tǒng)中，有兩種方法系統(tǒng)中，有兩種方法可以啟動可以啟動Red Hat的用戶管理器的用戶管理器Red Hat User Manager）。）。 （1第一種方法是通過在第一種方法是通過在shell下使用下使用redhat-config-users命令來啟動，命令所命令來啟動，命令所示如下：示如下：rootlocalhost root# redhat-config-users （2第二種方法是通過使用圖形界面來啟第二種

17、方法是通過使用圖形界面來啟動用戶管理器，操作方法為以動用戶管理器，操作方法為以GNOME界界面為例單擊【開場】面為例單擊【開場】|【系統(tǒng)設(shè)置】【系統(tǒng)設(shè)置】|【用【用戶和組群】菜單項，戶和組群】菜單項，Linux顯示顯示Red Hat用用戶管理器界面，如圖戶管理器界面，如圖5-1所示。所示。圖圖5-1 5-1 啟動啟動Red HatRed Hat用戶管理器用戶管理器5.3.2 創(chuàng)建用戶創(chuàng)建用戶 啟動啟動Red Hat用戶管理器后，就可以方用戶管理器后，就可以方便地進(jìn)行添加用戶的操作。將用戶管理器便地進(jìn)行添加用戶的操作。將用戶管理器切換到【用戶】標(biāo)簽頁，可以查看系統(tǒng)已切換到【用戶】標(biāo)簽頁，可以查看

18、系統(tǒng)已經(jīng)創(chuàng)建的用戶的基本信息，包括用戶名、經(jīng)創(chuàng)建的用戶的基本信息，包括用戶名、用戶用戶ID、主要組群即用戶組）、全稱、主要組群即用戶組）、全稱、登錄登錄shell和主目錄，如圖和主目錄，如圖5-2所示。所示。 圖5-2 Red Hat用戶管理器界面 圖5-3 創(chuàng)建用戶對話框圖圖5-4 5-4 用戶創(chuàng)建成功用戶創(chuàng)建成功5.3.3 修改用戶屬性修改用戶屬性 通過使用通過使用Red Hat用戶管理器，不但可用戶管理器，不但可以創(chuàng)建用戶，而且可以方便地修改系統(tǒng)已以創(chuàng)建用戶，而且可以方便地修改系統(tǒng)已有用戶的各個相關(guān)屬性。有用戶的各個相關(guān)屬性。 圖5-5 修改用戶數(shù)據(jù) 圖圖5-6 5-6 修改賬號信息修改賬號信息 圖5-7 修改用戶口令信息示意圖 圖5-8 修改用戶組群設(shè)置示意圖5.3.4 創(chuàng)建用戶組創(chuàng)建用戶組 和創(chuàng)建用戶一樣，使用和創(chuàng)建用戶一樣，使用Red Hat用戶管用戶管理器也可以方便地進(jìn)行添加用戶組的操作。理器也可以方便地進(jìn)行添加用戶組的操作。將用戶管理器切換到【組群】標(biāo)簽頁，可將用戶管理器切換到【組群】標(biāo)簽頁，可以查看系統(tǒng)已經(jīng)創(chuàng)建的用戶組基本信息以查看系統(tǒng)已經(jīng)創(chuàng)建的用戶組基本信息包括組群名、組群包括組群名、組群ID、組群成員），如、組群成員），如圖圖5-9所示。所示。圖圖5-9 5-9 查看已創(chuàng)建用戶組群查看已