第五章ubuntu Linux 用戶賬號(hào)和組管理

·?本章學(xué)習(xí)目標(biāo)了解對(duì)系統(tǒng)管理的具體工作。理解對(duì)用戶和工作組管理的基本概念及相關(guān)的管理方法。第五章用戶賬號(hào)與組管理系統(tǒng)管理概述用戶和工作組管理1.用戶賬號(hào)文件——passwdPasswd是一個(gè)文本文件，用于定義系統(tǒng)的用戶賬號(hào)，該文件位于“/etc”目錄下。它包含了一個(gè)系統(tǒng)賬戶列表，給出每個(gè)賬戶一些有用的信息，例如，用戶ID、組ID、主目錄、shell等等。由于所有用戶都對(duì)passwd有讀權(quán)限，所以該文件中只定義用戶賬號(hào)，而不保存口令。passwd文件中每行定義一個(gè)用戶賬號(hào)，一行中又劃分為多個(gè)字段定義用戶的賬號(hào)的不同屬性，各字段用“：”隔開。圖5-1中顯示了passwd文件的前10行內(nèi)容。在圖中顯示出了文件顯示各用戶的每一個(gè)字段，各字段的說(shuō)明如表5-1所示。圖5-1passwd文件的屬性及部分內(nèi)容passwd文件各字段說(shuō)明字

段

說(shuō)明使用者在系統(tǒng)中的名字，它不能包含大寫字母AccountPassword用戶口令，出于安全考慮，現(xiàn)在不使用該字段保存口令而用字母“x”來(lái)填充該字段，真正的密碼保存在shadow文件.用戶ID號(hào)，惟一表示某用戶的數(shù)字。用戶所屬的私有組號(hào)，該數(shù)字對(duì)應(yīng)group文件中的GID這字段是可選的，通常用于保存用戶命名的信息用戶的主目錄，用戶成功登錄后的默認(rèn)目錄。UIDGIDGECOSDirectoryshell用戶所使用的shell，如該字段為空則使“/bin/sh”.2.

用戶口令文件——shadow在shadow文件中，每行定義了一個(gè)用戶信息，行中各字段各字段用“：”隔開。為進(jìn)一步提高安全性，shadow文件中保存的是已加密的口令。圖3-2中顯示了shadow文件的前10行內(nèi)容。從圖5-2中可以看出，“/etc/shadow”文件中的每個(gè)記錄用“：”隔開為9個(gè)域，每個(gè)域的含義分別為：?????????登錄名加密口令口令上次更改時(shí)距1970年1月1日的天數(shù)口令更改后不可以更改的天數(shù)口令更改后必須再更改的天數(shù)(有效期)口令失效前警告用戶的天數(shù)口令失效后距賬號(hào)被查封的天數(shù)賬號(hào)被封時(shí)距1970年1月1日的天數(shù)保留未用3.用戶組賬號(hào)文件——group用戶組是邏輯地組織用戶賬號(hào)集合的方便途徑，它允許用戶在組內(nèi)共享文件。系統(tǒng)上的每一個(gè)文件都有一個(gè)用戶和一個(gè)組的屬主。使用“l(fā)s–l”命令可以看到每一個(gè)文件的屬主和組。于系統(tǒng)上的每個(gè)組，在/etc/group文件中有一行記錄，記錄的格式:groupname:passwd:GID:userlist表5-2

group文件字段說(shuō)明字

段說(shuō)

明是組的名字GroupnamePasswdGIDUserlist是組的加密口令是系統(tǒng)區(qū)分不同組的ID，在/etc/passwd域中的GID域是用這個(gè)數(shù)來(lái)指定用戶的缺省組。是用“，”分開的用戶名，列出的是這個(gè)組的成員。圖5-3中顯示了group文件的前10行內(nèi)容。4.用戶組口令文件——gshadowgshadow文件用于定義用戶組口令、組管理員等信息，該文

件只有root用戶可以讀取。Gshadow文件中每行定義一個(gè)用

戶組信息，行中各字段間用“:”分隔，每行記錄的格式為：groupname:Encrypted

password:Group

administrators:Gromembers各字段的的含義如表3-3所示。在圖3-4中給出了該文件的屬性及文件的部分內(nèi)容。表3-3

gshadow文件字段說(shuō)明字

段

說(shuō)

明Groupname組名稱用戶組名稱，該字段與group文件中的對(duì)應(yīng)。Encrypted

password

用戶組口令，該字段用于保存已加密的口令Group

administrators組的管理員賬號(hào)，管理員有權(quán)對(duì)該組添加刪除

Group

members表中多個(gè)用戶間賬號(hào)。屬于該組的用戶成員列表，列用“，”分隔。圖5-4

gshadow文件的屬性及部分內(nèi)容5.2.2

用戶和組賬戶的維護(hù)命令1.增加用戶帳號(hào)在命令行下使用useradd命令：useradd

用戶名該命令做了下面幾件事：1）在/etc/passwd文件中增添了一行記錄；

2）在/home目錄下創(chuàng)建新用戶的主目錄，并將/etc/skel目錄中的文件拷貝到該目錄中去；但是使用了該命令后，新建的用戶暫時(shí)還無(wú)法登錄，因?yàn)檫€沒有為該用戶設(shè)置口令，需要再用passwd命令為其設(shè)置口令后，才能登錄。用戶的UID和GID是useradd自動(dòng)選取的，它是將/etc/passwd文件中的UID加

1，將etc/group文件中的GID加1。增加新用戶時(shí)，系統(tǒng)將為用戶創(chuàng)建一個(gè)與用戶名相同的組，稱為私有組。這一方法是為了能讓新用戶與其他用戶隔離，確保安全性的措施下面通過(guò)增加一個(gè)用戶“l(fā)iuyidan”，以及查看其相關(guān)信息，來(lái)幫助用戶理解該命令所執(zhí)行的操作。其在終端上的操作命令及響應(yīng)如圖3-5所示。#useradd

liuyidan#tail

-l

/etc/passwd//建立用戶賬號(hào)//查看password文件中添加的賬號(hào)信息#tail

-l

/etc/shadow#

ls

/home//查看所建立賬號(hào)的主目錄圖3-5增加用戶及相關(guān)操作選項(xiàng)功能描述-g-D用于添加用戶賬號(hào)時(shí)指定該用戶的私有組。如不指定“-g”參數(shù)，useradd令將自動(dòng)建立與用戶賬號(hào)同名的組作為該賬號(hào)的私有組。用于顯示或設(shè)置useradd命令所使用的默認(rèn)值?在“-g”選項(xiàng)時(shí)，其語(yǔ)法格式如下：useradd–g組名用戶名?在“-D”選項(xiàng)中，如果是用來(lái)修改useradd命令所使用的默認(rèn)值，那么該命令使用的語(yǔ)法格式如下：useradd

–D

[-g

group][-b

base][-s

shell][-f

inactive][-e

e2.

修改用戶賬號(hào)——usermodusermod命令可用來(lái)修改用戶帳號(hào)的各種屬性，包括用戶主目錄、私有組、登錄、shell等內(nèi)容。Usermod的命令格式如下：usermod[-LU][-c<備注>][-d<登入目錄>][-e<有效期限>][-f<緩沖天數(shù)>][-g<群組>][-G<群組>][-l<帳號(hào)名稱>][-s][-u][用戶帳號(hào)]該命令的各個(gè)參數(shù)說(shuō)明如下：-c<備注>：-d<登入目錄>：修改用戶帳號(hào)的備注文字。修改用戶登入時(shí)的目錄。-e<有效期限>:修改帳號(hào)的有效期限。-f<緩沖天數(shù)>：修改在密碼過(guò)期后多少天即關(guān)閉該帳號(hào)。-g<群組>：

修改用戶所屬的群組。-l<帳號(hào)名次>：修改用戶帳號(hào)的名稱下面舉例說(shuō)明該命令的使用方法：（1）修改用戶名，把用戶名“l(fā)iuyidan”改名為“l(fā)yd”，使用的命令是：#

usermod

–l

lyd

liuyidan(2）鎖定“l(fā)yd”用戶，使其不能登錄。命令如下：#usermod–L

lyd（3）解鎖“l(fā)yd”用戶賬號(hào)，使其可以登錄。命令如下：

#usermod–U

lyd3.

刪除用戶——userdeluserdel命令用于刪除指定的用戶賬號(hào)。其使用的語(yǔ)法格式為：userdel[-r][-f][用戶賬號(hào)]需要補(bǔ)充說(shuō)明的是userdel命令可刪除用戶賬號(hào)與相關(guān)的文件。若不加參數(shù)，則僅刪除用戶賬號(hào)，而不刪除相關(guān)文件。其中參數(shù)“-f”是用來(lái)刪除用戶登入目錄以及目錄中所有文件。下面舉例說(shuō)明該命令的使用方法：#grep

lyd

/etc/passwdlyd#userdel

lyd#grep

lyd

/etc/passwd#ll

–d

/home#userdel

–r

lyd//查詢用戶賬號(hào)是否存在//刪除lyd賬號(hào)//再次查詢用戶賬號(hào)lyd是否存在//查詢用戶lyd的主目錄是否還存在//刪除用戶的同時(shí)刪除其工作主目錄4.

組增加命令——groupaddgroupadd命令可指定群組名稱來(lái)建立新的群組賬號(hào)。該組賬號(hào)的ID值必須是惟一的，且數(shù)值不可為負(fù)。預(yù)設(shè)的最小值不得小于500，且每增加一個(gè)組賬號(hào)ID值逐次增加。ID值0~499是保留給系統(tǒng)賬號(hào)使用。該指令使用的語(yǔ)法格式為：groupadd

[-r]

group其中“-r”參數(shù)是用來(lái)建立系統(tǒng)賬號(hào)。系統(tǒng)賬號(hào)的ID值不能大于500。下面舉例說(shuō)明該命令的使用方法：#groupadd

lbgroup

//建立組賬號(hào)lbgroup#

grep

lbgroup

/etc/group#groupadd

–r

syslbgroup#

grep

lbgroup

/etc/group//查詢group文件中l(wèi)bgroup組是否建立//建立系統(tǒng)組賬號(hào)//查詢group文件中syslbgroup組是否建立5.

組賬號(hào)修改???groupmod命令用來(lái)更改群組識(shí)別碼或名稱。該命令的語(yǔ)法格式為：groupmod[-g<群組識(shí)別碼><-o>][-n<新群組名稱>][群組名稱]命令中所使用的參數(shù)說(shuō)明如下：-g

<群組識(shí)別碼>

設(shè)置欲使用的群組識(shí)別碼。-o

重復(fù)使用群組識(shí)別碼。-n

<新群組名稱>

設(shè)置欲使用的群組名稱。下面舉例說(shuō)明該命令的使用方法：#grep

lbgroup

/etc/group#groupmod

–g

503

lbgroup#

grep

lbgroup

/etc/group#groupmod

–n

ydgroup

lbgroup#

grep

503

/etc/group//查詢group文件中l(wèi)bgroup組屬性//改變lbgroup組的GID為503//查詢操作結(jié)果是否正確//改變lbgroup組名為ydgroup//查詢操作結(jié)果是否正確刪除組賬號(hào)groupdel命令用于刪除指定的組賬號(hào)，若該群組中仍包括某些用戶，則必須先刪除這些用戶后，方能刪除群組。該命令的語(yǔ)法格式為：groupdel[群組名稱]口令維護(hù)命令出于系統(tǒng)安全考慮，Linux系統(tǒng)中的每一個(gè)用戶除了有其用戶名外，還有其對(duì)應(yīng)的用戶口令。因此使用useradd命令增加時(shí)，還需使用passwd命令為每一位新增加的用戶設(shè)置口令；用戶以后還可以隨時(shí)用passwd命令改變自己的口令。該命令的一般格式為：passwd[用戶名]其中用戶名為需要修改口令的用戶名。只有超級(jí)用戶可以使用“passwd用戶名”修改其他用戶的口令，普通用戶只能用不帶參數(shù)的passwd命令修改自己的口令。另外，passwd命令還可以使用一些參數(shù)選項(xiàng)，這些參數(shù)選項(xiàng)可對(duì)賬號(hào)的口令進(jìn)行不同的操作，但這些帶參數(shù)的passwd命令只有root用戶可以使用。這些參數(shù)選擇包括：????-S：用于查詢指定用戶賬號(hào)的狀態(tài)。-l：用于鎖定賬號(hào)的口令。-u：解除鎖定賬號(hào)的口令。-d：刪除指定賬號(hào)的口令。8.組中用戶成員的維護(hù)gpasswd命令可用于把一個(gè)賬戶添加到組、把一個(gè)賬戶從組中刪除、把一個(gè)賬戶設(shè)為組管理員。添加用戶到使用的命令格式為：

gpasswd

–a

用戶賬號(hào)名

組賬號(hào)名從組中刪除用戶的命令格式為：

gpasswd–d用戶賬號(hào)名組賬號(hào)名設(shè)置用戶為組管理員的命令格式為：

gpasswd

-A

組管理員用戶列表

用戶組3.2.3

用戶和組的狀態(tài)命令·id命令id命令用于顯示用戶當(dāng)前的UID，gid以及所屬群組的組列表該指令的語(yǔ)法格式為：id

[選項(xiàng)]

[用戶名稱]該命令所使用的選項(xiàng)參數(shù)說(shuō)明如下：?????-g：顯示用戶所屬群組的ID。-G：顯示用戶所屬附加群組的ID。-n：顯示用戶，所屬群組或附加群組的名稱。-r：顯示實(shí)際ID。-u：顯示用戶ID。whoami命令whoami命令用于顯示登錄者自身的用戶名稱，本指令相當(dāng)于執(zhí)行“id–un”指令。su命令su命令是用來(lái)將當(dāng)前用戶轉(zhuǎn)換為其他用戶身份。其命令的語(yǔ)法格式為：su[-flmp][-][-c<指令>][-s][用戶帳號(hào)]需要指出的是su命令可讓用戶暫時(shí)變更登入的身份。變更時(shí)須輸入所要變更的用戶賬號(hào)與密碼。該命令中的選項(xiàng)參數(shù)說(shuō)明如下：???-c<指令>：執(zhí)行完指定的指令后，即恢復(fù)原來(lái)的身份。-f：適用于csh與tsch，使shell不用去讀取啟動(dòng)文件。-：改變身份時(shí)，也同時(shí)變更工作目錄，以及HOME，SHELL，USER，LOGNAME。此外，也會(huì)變更PATH變量。??-m，-p：變更身份時(shí)，不要變更環(huán)境變量。-s：指定要執(zhí)行的shell。[用戶帳號(hào)]：指定要變更的用戶。若不指定此參數(shù)，則預(yù)設(shè)變更為root。4.groups命令groups用戶名groups命令用于顯示指定用戶所屬的組，如未指定用戶則顯示當(dāng)前用戶所屬的組。該命令的語(yǔ)法格式為：groups用戶名5.3.1

識(shí)別Linux中的用戶1.查看用戶的操作系統(tǒng)管理員在任一時(shí)刻都可查看用戶的行為，在終端的提示符下輸入w命令即可.命令響應(yīng)中所示的信息分別說(shuō)明如下：第一行顯示系統(tǒng)的匯總信息，字段分別表示系統(tǒng)當(dāng)前時(shí)間、系統(tǒng)運(yùn)行時(shí)間、登錄用戶總數(shù)及系統(tǒng)平均負(fù)載信息。對(duì)于該行顯示的幾個(gè)數(shù)據(jù)意義是：?

4:50pm?

0days,11:18?

4users?load

average表示執(zhí)行w的時(shí)間是在下午4:50。表示系統(tǒng)運(yùn)行0天11小時(shí)18分。

表示當(dāng)前系統(tǒng)登錄用戶總數(shù)為4與后面的數(shù)字一起表示系統(tǒng)在過(guò)去1、5、10分鐘內(nèi)的負(fù)載程度，數(shù)值越小系統(tǒng)負(fù)載越輕。5.3查看登錄用戶及日志文件信息從第2行開始構(gòu)成一個(gè)表格，共有8個(gè)欄目，分別顯示各個(gè)用戶正在做的事情及該用戶所占用的系統(tǒng)資源：?USER：顯示登錄用戶名。用戶重復(fù)登錄，該賬號(hào)也會(huì)重復(fù)出現(xiàn)。?

TTY：用戶登錄所使用的終端。?FORM:顯示用戶從什么地方登錄到系統(tǒng)。如果是從本地登錄,此字段為“-”；如果從遠(yuǎn)程登錄便會(huì)顯示主機(jī)的IP地址或主機(jī)名。?LOGIN＠：是LOGIN

AT的意思，表示登錄進(jìn)入系統(tǒng)的時(shí)間。?IDLE：用戶空閑時(shí)間，從用戶上一次任務(wù)結(jié)束后開始計(jì)時(shí)。

?JCPU：以終端代號(hào)來(lái)區(qū)分，表示在某段時(shí)間內(nèi)，所有與該終

端相關(guān)的進(jìn)程任務(wù)所耗費(fèi)的CPU時(shí)間。?PCPU：指WHAT域的任務(wù)執(zhí)行后所耗費(fèi)的CPU時(shí)間。?

WHAT：表示當(dāng)前執(zhí)行的任務(wù)。另外，使用W命令還可在有很多用戶登錄時(shí)，查看某一個(gè)具體的用戶名，使用的命令形式如下：#

w

root查看登錄用戶系統(tǒng)管理員若想知道某一時(shí)刻有哪些用戶登錄到系統(tǒng)，可以使用系統(tǒng)提供的who命令，該命令可以查看當(dāng)前登錄系統(tǒng)的用戶及其他相關(guān)系統(tǒng)信息。查看登錄用戶歷史系統(tǒng)管理員可以隨時(shí)查看用戶登錄的歷史行為，還可查看某一用戶曾經(jīng)登錄到的系統(tǒng)，這些功能使用last命令即可實(shí)現(xiàn)。3.3.2

查看日志文件系統(tǒng)日志文件（Log

files）是包含關(guān)于系統(tǒng)消息的文件，包括內(nèi)核、服務(wù)、在系統(tǒng)上運(yùn)行的應(yīng)用程序等。不同的日志文件記載不同的信息。定位日志文件多數(shù)日志文件位于/var/log目錄中。某些程序如httpd和samba在/var/log中有單獨(dú)的存放日志文件的