帳戶管理與權限管理

1、 HYPERLINK / 更多企業(yè)學院： 中小企業(yè)治理全能版183套講座+89700份資料總經理、高層治理49套講座+16388份資料中層治理學院46套講座+6020份資料國學智慧、易經46套講座人力資源學院56套講座+27123份資料各時期職員培訓學院77套講座+ 324份資料職員治理企業(yè)學院67套講座+ 8720份資料工廠生產治理學院52套講座+ 13920份資料財務治理學院53套講座+ 17945份資料銷售經理學院56套講座+ 14350份資料銷售人員培訓學院72套講座+ 4879份資料更多企業(yè)學院： 中小企業(yè)治理全能版183套講座+89700份資料總經理、高層治理49套講座+16388

2、份資料中層治理學院46套講座+6020份資料國學智慧、易經46套講座人力資源學院56套講座+27123份資料各時期職員培訓學院77套講座+ 324份資料職員治理企業(yè)學院67套講座+ 8720份資料工廠生產治理學院52套講座+ 13920份資料財務治理學院53套講座+ 17945份資料銷售經理學院56套講座+ 14350份資料銷售人員培訓學院72套講座+ 4879份資料linux帳戶治理一、帳戶治理1、概述Linux操作系統(tǒng)是多用戶操作系統(tǒng)，帳戶實質上確實是一個用戶在系統(tǒng)上的標識，廣義上講，Linux的帳戶包括用戶 帳戶和組帳戶兩種。用戶帳戶分為一般用戶帳戶和超級用戶帳戶兩種。治理員帳戶對系統(tǒng)具

3、有絕對操縱權；組帳戶分為私有組和標準組，當創(chuàng)建一個新用戶時，若沒 有指定他所屬于的組，Linux就建立一個和該用戶同名的私有組，此私有組中只包含該用戶自己，標準組能夠容納多個用戶。若使用標準組，在創(chuàng)建一個新用戶 時就應該指定他所屬于的組。同一個用戶能夠同屬于多個組，其登錄后所屬的組稱為主組，其它的組稱為附加組。 2、Linux下的帳戶系統(tǒng)文件Linux下的帳戶系統(tǒng)文件要緊有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow 4個。（1）/etc/passwd文件中每行定義一個用戶帳號，一行中又劃分為多個不同的字段定義用戶帳號的不同屬性，各字段用“：”

4、隔開。各字段定義如下：用戶名：用戶登錄系統(tǒng)時使用的用戶名，它在系統(tǒng)中是唯一的?？诹睿捍俗侄未娣偶用艿目诹睢Ｔ诖宋募械目诹钍莤，這表示用戶的口令是被/etc/shadow文件愛護的，所有加密口令以及和口令有關的設置都保存在/etc/shadow中。用戶標識號：是一個整數(shù)，系統(tǒng)內部用它來標識用戶。每個用戶的UID差不多上唯一的。root用戶的UID是0，1499是系統(tǒng)的標準帳戶，一般用戶從500開始。組標識號：是一個整數(shù)，系統(tǒng)內部用它來標識用戶所屬的組。注釋性描述：例如存放用戶全名等信息。自家目錄：用戶登錄系統(tǒng)后進入的目錄。命令解釋器：批示該用戶使用的shell，Linux默認為bash。 （2

5、）/etc/passwd文件對任何用戶均可讀，為了增加系統(tǒng)安全性，用戶的口令通常用shadow passwords愛護。/etc/shadow只對root用戶可讀。在安裝系統(tǒng)時，會詢問用戶是否啟用shadow passwords功能。在安裝好系統(tǒng)后也能夠用pwconv命令和pwunconv來啟動或取消shadow passwords愛護。通過shadow passwords愛護的帳戶口令和相關設置信息保存在/etc/shadow文件里。各字段意義如下：用戶名：用戶的帳戶名口令：用戶的口令，是加密過的最后一次修改時刻：從1970年1月1日起，到用戶最后一次更改口令的天數(shù)最小時刻間隔：從1970年

6、1月1日起，到用戶能夠更改口令的天數(shù)最大時刻間隔：從1970年1月1日起，到用戶必須更改口令的天數(shù)警告時刻：在用戶口令過期之前多少天提醒用戶更新不活動時刻：在用戶口令過期之后到禁用帳戶的天數(shù)失效時刻：從1970年1月1日起，到帳戶被禁用的天數(shù)標志：保留位 （3）/etc/group文件。將用戶分組是Linux中對用戶進行治理及操縱訪問權限的一種手段。當一個用戶同時是多個組的成員時，在 /etc/passwd中記錄的是用戶所屬的主組，也確實是登錄時所屬的默認組，而其他的組稱為附加組。用戶要訪問附加組的文件時，必須首先使用 newgrp命令使自己成為所要訪問的組的成員。組的所有屬性都存放在/etc

7、/group中，此文件對任何用戶均可讀。各字段意義如下：組名：該組的名稱組口令：用戶組口令，由于安全性緣故，已不使用該字段保存口令，用“x”占位GID：組的識不號，和UID類似，每個組都有自己獨有的ID號，不同組的GID可不能相同組成員：屬于那個組的成員（4）/etc/gshadow文件用于定義用戶組口令、組治理員等信息，該文件只有root用戶能夠讀取。各字段意義如下：組名：用戶組名稱，該字段與group文件中的組名稱對應組口令：用戶組口令，該字段用于保存已加密的口令組的治理員帳號：組的治理員帳號，治理員有權對該組添加、刪除帳號組成員：屬于該組的用戶成員列表，用“，”分隔提示：帳戶治理的實質確

8、實是治理上述的4個帳戶系統(tǒng)文件3、使用命令行工具治理帳戶治理帳戶的俱行工具及功能如下：useradd 添加新用戶usermod 修改已存在的指定用戶userdel -r 刪除已存在的指定帳戶，-r參數(shù)用于刪除用戶自家目錄groupadd 添加新組groupmod 修改已存在的指定組groupdel 刪除已存在的指定組使用舉例：useradd osmond/創(chuàng)建一個新用戶osmondgroupadd staff/創(chuàng)建一個新組staffuseradd -G staff tom/創(chuàng)建一個新用戶tom，同時加入staff附加組中useradd -d /www -M webmaster/創(chuàng)建一個新用戶w

9、ebmaster，指定登錄目錄為/www，不創(chuàng)建自家用戶目錄（-M）usermod -G staff osmond/將osmond添加到附加組staff中userdel webmaster/刪除用戶userdel -r osmond/刪除用戶，同時刪除自家目錄groupdel staff/刪除組staff4、口令治理與口令時效（1）passwd命令passwd命令用來設置用戶口令，格式為：passwd 用戶修改自己的用戶密碼可直接鍵入passwd，若修改其他用戶密碼需加用戶名。超級用戶還能夠使用如下命令進行用戶口令治理：passwd -l /禁用用戶帳戶口令passwd -S /查看用戶帳戶口

10、令狀態(tài)passwd -u /恢復用戶帳戶口令passwd -d /刪除用戶帳戶口令（2）chage命令口令時效是系統(tǒng)治理員用來防止機構內不良口令的一種技術。在Linux系統(tǒng)上，口令時效是通過chage命令來治理的，格式為：chage 下面列出了chage命令的選項講明：-m days： 指定用戶必須改變口令所間隔的最少天數(shù)。假如值為0，口令就可不能過期。-M days： 指定口令有效的最多天數(shù)。當該選項指定的天數(shù)加上-d選項指定的天數(shù)小于當前的日期時，用戶在使用該帳號前就必須改變口令。-d days： 指定從1970年1月1日起，口令被改變的天數(shù)。-I days： 指定口令過期后，帳號被鎖前不

11、活躍的天數(shù)。假如值為0，帳號在口令過期后就可不能被鎖。-E date： 指定帳號被鎖的日期。日期格式YYYY-MM-DD。若不用日期，也能夠使用自1970年1月1日后通過的天數(shù)。-W days： 指定口令過期前要警告用戶的天數(shù)。-l： 列出指定用戶當前的口令時效信息，以確定帳號何時過期。例如下面的命令要求用戶user1兩天內不能更改口令，同時口令最長的存活期為30天，同時口令過期前5天通知用戶chage -m 2 -M 30 -W 5 user1能夠使用如下命令查看用戶user1當前的口令時效信息：chage -l user1提示：1）能夠使用chage 進入交互模式修改用戶的口令時效。2）修

12、改口令實質上確實是修改影子口令文件/etc/shadow中與口令時效相關的字段值。5、用戶和組狀態(tài)命令whoami： 用于顯示當前用戶的名稱groups ： 用于顯示指定用戶所屬的組，若未指定用戶，則顯示當前用戶所屬的組id： 用于顯示用戶當前的UID、GID和用戶所屬的組列表su -： 用于轉換當前用戶到指定的用戶帳號，若不指定用戶名則轉換當前用戶到root；若使用參數(shù)“-”，則在轉換當前用戶的同時轉換用戶工作環(huán)境。newgrp ： 用于轉換用戶的當前組到指定的附加組，用戶必須屬于該組才能夠進行。二、權限治理1、3種差不多權限在Linux中，將使用系統(tǒng)資源的人員分為4類：超級用戶、文件或目錄

13、的屬主、屬主的同組人和其他人員。超級用戶擁有對Linux系統(tǒng)一切操作權限，關于其他3類用戶都要指定對文件和目錄的訪問權限。代表字符權限對文件的含義對目錄的含義r讀權限能夠讀文件的內容能夠列出目錄中的文件列表 w寫權限 能夠修改該文件能夠在目錄中創(chuàng)建刪除文件x執(zhí)行權限能夠執(zhí)行該文件能夠使用cd命令進入該目錄2、查看文件和目錄的權限能夠使用帶l參數(shù)的ls命令查看文件或目錄的權限每一行顯示一個文件或目錄的信息，這些信息包括文件的類型、文件的權限、文件的屬主和文件的所屬組，還有文件的大小以及創(chuàng)建時刻和文件名。輸出列表中每一行第一列的第一個字母指示了該文件的類型。各種文件類型及代表字符如下：-：一般文件

14、b：塊文件設備d：目錄文件c：字符文件設備l：符號鏈接文件p：管道文件第一列的其余9個字母可分為三組，3個字母一組，這3組分不代表：文件屬主的權限、文件所屬組的權限和其他用戶的權限。每組中的3個欄位分不表示讀、寫、執(zhí)行權限。3、更改操作權限（chmod）系統(tǒng)治理員和文件屬主能夠依照需要來設置文件的權限，有兩種設置方法：文字設定法和數(shù)值設定法。（1）文字設定法chomd的文字設定法的格式為：chmod ugoa+-=rwxugo 其中第1個選項表示要給予權限的用戶，具體講明如下：u：屬主g：所屬組用戶o：其他用戶a：所有用戶第2個選項表示要進行的操作，具體講明如下：+：增加權限-：刪除權限=：分

15、配權限，同時將原有權限刪除第3個選項是要分配的權限，具體講明如下：r/x/w：同意讀取/寫入/執(zhí)行u/g/o：和屬主/所屬組用戶/其他用戶的權限相同例如： chmod go -r users/取消組用戶和其他用戶對文件users的讀取權限 chmod u+x users/對文件users的屬主增加招待權限 chmod u+x,go-r users/對文件users的屬主添加執(zhí)行權限，同時取消組用戶和其他用戶對文件的讀取權限（2）數(shù)值設定法chmod的數(shù)值設定法的格式為：chmod n1n2n3 其中n1、n2、n3分不代表屬主的權限、組用戶的權限和其他用戶的權限，這三個選項差不多上八進制數(shù)字。

16、例如：chmod 755 adduser/對文件adduser的屬設置可讀、寫和執(zhí)行的權限，所屬組和其他用戶只設置讀和執(zhí)行權限，沒有寫權限chmod 600 user1/取消組用戶和其他用戶對文件user1的一切權限（原權限為-rw-rr）4、更改屬組或同組人改變文件的屬主和組能夠用chown命令，命令格式為：chown -R 。例如：chmod osmond user1/將文件user1的屬主改為osmondchmod osmond.osmond user1/將文件user1的屬主和組都改成osmondchmod -R osmond.osmond mydir/將mydir目錄及其子目錄下的所

17、有文件或目錄的屬主和組都改成osmond5、設置文件和目錄的生成掩碼 用戶能夠使用umask命令設置文件夾的默認生成掩碼。默認的生成掩碼告訴系統(tǒng)當創(chuàng)建一個文件或目錄時不應該給予哪些權限。假如用戶將umask命令放在 環(huán)境文件（.bash_profile）中，就能夠操縱所有的新建文件或目錄的訪問權限。其命令格式為：umask u1u2u3其中，u1、u2、u3分不表示的是不同意屬主有的權限、不同意同組人有的權限和不同意其他人有的權限。例如：umask 022/設置不同意同組用戶和其他用戶有寫權限umask/顯示當前的默認生成掩碼6、專門權限設置（1）SUID、SGID和sticky-bit 除了

18、上述的差不多權限之外，還有所謂的專門權限存在。由于專門權限會擁有一些“特權”，因而用戶若無專門需要，不應該去打開這些權限，幸免安全方面出現(xiàn)嚴峻漏洞，甚至摧毀系統(tǒng)。下面列出了3個專門權限的講明：SUID： 當一個設置了SUID位的可執(zhí)行文件被執(zhí)行時，該文件以所有者的身份運行，也確實是講不管誰來執(zhí)行那個文件，他都擁有文件所有者的特權，能夠任意存取該文件 擁有者能使用的全部系統(tǒng)資源。假如所有者是root，那么執(zhí)行人就有超級用戶的特權了。SGID：當一個設 置了SGID位的可執(zhí)行文件被執(zhí)行時，該文件將具有所屬組的特權，任意存取整個組所能使用的系統(tǒng)資源；若一個目錄設置了SGID，則所有被復制到那個目錄

19、下的文件，其所屬的組都會被重設為和那個目錄一樣，除非在復制文件時加上-p（preserve，保留文件屬性）參數(shù)，才能保留原來所屬的群組設置。sticky-bit：對一個文件設置了sticky-bit之后，盡管其他用戶有寫權限，也必須由屬主執(zhí)行刪除、移動等操作，對一個目錄設置了sticky-bit之后，存放在該目錄下的文件僅同意其屬主執(zhí)行刪除、移動等操作。 一個設置了SUID的典型例子是passwd程序，它同意一般用戶改變自己的口令，這是通過改變/etc/shadow文件的口令字段來實現(xiàn)的。然而系統(tǒng) 治理員決不同意一般用戶擁有直接改變/etc/shadow文件的權限。解決方法是將passwd程序設置SUID，當passwd被執(zhí)行時將擁有超級用 戶的權限，而passwd程序運行結束又回到一般用戶的權限，下面是顯示passwd程序的權