Linux操作系統(微課版)ppt第5章 用戶和組管理

能力CAPACITY要求了解用戶和組配置文件。熟練掌握Linux下用戶的創(chuàng)建與維護管理的方法。熟練掌握Linux下組的創(chuàng)建與維護管理的方法。熟悉用戶賬戶管理器的使用方法。理解用戶賬戶和組管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例4.1理解用戶賬戶和組理解用戶賬戶和組用戶賬戶是用戶的身份標識。用戶通過用戶賬戶可以登錄到系統，并且訪問已經被授權的資源。Linux系統下的用戶賬戶分為兩種：普通用戶賬戶和超級用戶賬戶（root）。在Linux系統中，為了方便管理員的管理和用戶工作的方便，產生了組的概念。組是具有相同特性的用戶的邏輯集合，在做資源授權時可以把權限賦予某個組，組中的成員即可自動獲得這種權限。一個用戶賬戶可以同時是多個組的成員，其中某個組是該用戶的主組（私有組），其他組為該用戶的附屬組（標準組）。4.1理解用戶賬戶和組理解用戶賬戶和組用戶和組相關的一些基本概念如下表：root用戶的UID為：系統用戶的UID從1到999；普通用戶的UID可以在創(chuàng)建時由管理員指定，如果不指定，用戶的UID默認從1000開始順序編號。在Linux系統中，創(chuàng)建用戶賬戶的同時也會創(chuàng)建一個與用戶同名的組，該組是用戶的主組。普通組的GID默認也是從1000開始編號。概

念描

述用戶名用來標識用戶的名稱，可以是字母、數字組成的字符串，區(qū)分大小寫密碼用于驗證用戶身份的特殊驗證碼用戶標識（UserID，UID）用來表示用戶的數字標識符用戶主目錄用戶的私人目錄，也是用戶登錄系統后默認所在的目錄登錄shell用戶登錄后默認使用的shell程序，默認為/bin/bash組具有相同屬性的用戶屬于同一個組組標識（GroupID，GID）用來表示組的數字標識符用戶賬戶信息和組信息分別存儲在用戶賬戶文件和組文件中。1．/etc/passwd文件準備工作：新建用戶bobby、user1、user2，將user1和user2加入bobby組。

[root@Server01~]#useraddbobby[root@Server01~]#useradduser1[root@Server01~]#useradduser2[root@Server01~]#usermod-Gbobbyuser1[root@Server01~]#usermod-Gbobbyuser24.1理解用戶賬戶和組理解用戶賬戶文件用戶賬戶信息和組信息分別存儲在用戶賬戶文件和組文件中。用vim編輯器（或者使用cat/etc/passwd）打開passwd文件，內容格式如下：root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinuser1:x:1002:1002::/home/user1:/bin/bash4.1理解用戶賬戶和組理解用戶賬戶文件用戶賬戶信息和組信息分別存儲在用戶賬戶文件和組文件中。2．/etc/shadow文件由于所有用戶對/etc/passwd文件均有讀取權限，為了增強系統的安全性，用戶經過加密之后的口令都存放在/etc/shadow文件中。/etc/shadow文件只對root用戶可讀，shadow文件的內容形式如下root:$6$.ogTGgxg60WtMR/w$xNVm8hVU1YVSjkKhtqGAkWgsDIvCuDOFgNl.0jec.myzm9tlZ3igOXgyX5UvGDvL8sptG8VNrKDsv8t0Qb0Pi/:18495:0:99999:7:::bin:*:18199:0:99999:7:::daemon:*:18199:0:99999:7:::bobby:!!:18495:0:99999:7:::user1:!!:18495:0:99999:7:::4.1理解用戶賬戶和組理解用戶賬戶文件用戶賬戶信息和組信息分別存儲在用戶賬戶文件和組文件中。3．/etc/login.defs文件建立用戶賬戶時會根據/etc/login.defs文件的配置設置用戶賬戶的某些選項。該配置文件的有效設置內容及中文注釋如下所示。MAIL_DIR/var/spool/mail //用戶郵箱目錄MAIL_FILE.mailPASS_MAX_DAYS99999 //賬戶密碼最長有效天數PASS_MIN_DAYS0 //賬戶密碼最短有效天數PASS_MIN_LEN5 //賬戶密碼的最小長度PASS_WARN_AGE7 //賬戶密碼過期前提前警告的天數UID_MIN1000 //用useradd命令創(chuàng)建賬戶時自動產生的最小UID值UID_MAX60000 //用useradd命令創(chuàng)建賬戶時自動產生的最大UID值GID_MIN1000 //用groupadd命令創(chuàng)建組時自動產生的最小GID值GID_MAX60000 //用groupadd命令創(chuàng)建組時自動產生的最大GID值USERDEL_CMD/usr/sbin/userdel_local //如果定義的話，將在刪除用戶時執(zhí)行，以刪除相應用戶的計劃作業(yè)和打印作業(yè)等CREATE_HOMEyes //創(chuàng)建用戶賬戶時是否為用戶創(chuàng)建主目錄4.1理解用戶賬戶和組理解用戶賬戶文件組賬戶的信息存放在/etc/group文件中，而關于組管理的信息（組口令、組管理員等）則存放在/etc/gshadow文件中。1．/etc/group文件使用cat/etc/group命令可以查看整個文件內容組名稱:組口令（一般為空，用x占位）:GID:組成員列表root:x:0:bin:x:1:daemon:x:2:bobby:x:1001:user1,user2user1:x:1002:4.1理解用戶賬戶和組理解組文件組賬戶的信息存放在/etc/group文件中，而關于組管理的信息（組口令、組管理員等）則存放在/etc/gshadow文件中。2．/etc/gshadow文件使用cat/etc/gshadow命令可以查看整個文件內容（組名稱:加密后的組口令（沒有就用！）:組的管理員:組成員列表）root:::bin:::daemon:::bobby:!::user1,user2user1:!::user2:!::4.1理解用戶賬戶和組理解組文件管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.2理解用戶賬戶文件和組文件理解用戶賬戶文件1./etc/passwd文件在Linux系統中，所創(chuàng)建的用戶賬戶及其相關信息（密碼除外）均放在/etc/passwd配置文件中。用vim編輯器（或者使用cat/etc/passwd）打開passwd文件。2./etc/shadow文件由于所有用戶對/etc/passwd文件均有讀取權限，為了增強系統的安全性，用戶經過加密之后的口令都存放在/etc/shadow文件中。/etc/shadow文件只對root用戶可讀，因而大大提高了系統的安全性。3./etc/login.defs文件建立用戶賬戶時會根據/etc/login.defs文件的配置設置用戶賬戶的某些選項。4.2理解用戶賬戶文件和組文件理解組文件組賬戶的信息存放在/etc/group文件中，而關于組管理的信息（組口令、組管理員等）則存放在/etc/gshadow文件中。1./etc/group文件group文件位于“/etc”目錄，用于存放用戶的組賬戶信息，對于該文件的內容任何用戶都可以讀取。每個組賬戶在group文件中占用一行，并且用“:”分隔為4個域。每一行各域的內容如下（使用cat/etc/group）：組名稱:組口令（一般為空，用x占位）:GID:組成員列表4.2理解用戶賬戶文件和組文件理解組文件2./etc/gshadow文件/etc/gshadow文件用于存放組的加密口令、組管理員等信息，該文件只有root用戶可以讀取。每個組賬戶在gshadow文件中占用一行，并以“:”分隔為4個域。每一行中各域的內容如下：組名稱:加密后的組口令（沒有就！）:組的管理員:組成員列表管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.3管理用戶賬戶新建用戶在系統新建用戶可以使用useradd或者adduser命令。useradd命令的格式是：useradd[選項]<username>【例3-1】新建用戶user3，UID為1010，指定其所屬的私有組為group1（group1組的標識符為1010），用戶的主目錄為/home/user3，用戶的shell為/bin/bash，用戶的密碼為12345678，賬戶永不過期。[root@Server01~]#groupadd-g1010group1//新建組group1，其GID為1010[root@Server01~]#useradd-u1010-g1010-d/home/user3-s/bin/bash-p12345678-f-1user3[root@Server01~]#tail-1/etc/passwduser3:x:1010:1010::/home/user3:/bin/bash[root@Server01~]#grepuser3/etc/shadow //grep用于查找文件里符合條件的字符串user3:12345678:18495:0:99999:7::: //這種方式下生成的密碼是明文，即123456784.3管理用戶賬戶設置用戶賬戶口令1．passwd命令指定和修改用戶賬戶口令的命令是passwd。超級用戶可以為自己和其他用戶設置口令，而普通用戶只能為自己設置口令。passwd命令的格式為：passwd[選項][username]【例4-2】假設當前用戶為root，則下面的兩個命令分別為root用戶修改自己的口令和root用戶修改user1用戶的口令。//root用戶修改自己的口令，直接用passwd命令回車即可[root@Server01~]#passwd//root用戶修改user1用戶的口令[root@Server01~]#passwduser14.3管理用戶賬戶設置用戶賬戶口令2．chage命令要修改用戶賬戶口令，也可以用chage命令實現?！纠?-3】設置user1用戶的最短口令存活期為6天，最長口令存活期為60天，口令到期前5天提醒用戶修改口令。設置完成后查看各屬性值。[root@Server01~]#chage-m6-M60-W5user1[root@Server01~]#chage-luser14.3管理用戶賬戶維護用戶賬戶1．修改用戶賬戶usermod命令用于修改用戶的屬性，格式為“usermod[選項]用戶名”。usermod命令的參數以及作用如表所示:4.3管理用戶賬戶維護用戶賬戶2．禁用和恢復用戶賬戶有時需要臨時禁用一個賬戶而不刪除它。禁用用戶賬戶可以用passwd或usermod命令實現，也可以直接修改/etc/passwd或/etc/shadow文件。例如，暫時禁用和恢復user3賬戶，可以使用以下3種方法實現。（1）使用passwd命令（被鎖定用戶的密碼必須是使用passwd命令生成的）[root@Server01~]#passwduser1 //修改user1密碼更改用戶user1的密碼。重新輸入新的密碼：passwd：所有的身份驗證令牌已經成功更新。4.3管理用戶賬戶維護用戶賬戶2．禁用和恢復用戶賬戶（2）使用usermod命令[root@Server01~]#grepuser1/etc/shadow //user1賬戶鎖定前的口令顯示[root@Server01~]#usermod-Luser1 //禁用user1賬戶[root@Server01~]#grepuser1/etc/shadow //user1賬戶鎖定后的口令顯示[root@Server01~]#usermod-Uuser1 //解除user1賬戶的鎖定4.3管理用戶賬戶維護用戶賬戶2．禁用和恢復用戶賬戶（3）直接修改用戶賬戶配置文件可將/etc/passwd文件或/etc/shadow文件中關于user1賬戶的passwd域的第一個字符前面加上一個“*”，達到禁用賬戶的目的，在需要恢復的時候只要刪除字符“*”即可。4.3管理用戶賬戶維護用戶賬戶3．刪除用戶賬戶要刪除一個賬戶，可以直接刪除/etc/passwd和/etc/shadow文件中要刪除的用戶所對應的行，或者用userdel命令刪除。userdel命令的格式為：userdel[-r]用戶名管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.4管理組維護組賬戶組管理包括新建組、維護組賬戶和為組添加用戶等內容。1.維護組賬戶創(chuàng)建組和刪除組的命令與創(chuàng)建、維護賬戶的命令相似。創(chuàng)建組可以使用命令groupadd或者addgroup。例如，創(chuàng)建一個新的組，組的名稱為testgroup，可用以下命令：[root@Server01~]#groupaddtestgroup要刪除一個組可以用groupdel命令，例如刪除剛創(chuàng)建的testgroup組時可用以下命令：[root@Server01~]#groupdeltestgroup修改組的命令是groupmod，其命令格式為groupmod[選項]組名4.4管理組為組添加用戶組管理包括新建組、維護組賬戶和為組添加用戶等內容。2.為組添加用戶在RedHatLinux中使用不帶任何參數的useradd命令創(chuàng)建用戶時，會同時創(chuàng)建一個和用戶賬戶同名的組，稱為主組。當一個組中必須包含多個用戶時，則需要使用附屬組。在附屬組中增加、刪除用戶都用gpasswd命令。gpasswd命令的格式為gpasswd[選項][用戶][組]例如，要把user1用戶加入testgroup組，并指派user1為管理員，可以執(zhí)行下列命令：[root@Server01~]#groupaddtestgroup[root@Server01~]#gpasswd-auser1testgroup[root@Server01~]#gpasswd-Auser1testgroup管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.5使用su命令使用su命令su命令su命令可以解決切換用戶身份的需求，使得當前用戶在不退出登錄的情況下，順暢地切換到其他用戶，比如從root管理員切換至普通用戶[root@Server01~]#su-test[test@Server01~]$管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。1．vipw命令vipw命令在功能上等同于“vi/etc/passwd”命令，但是比直接使用vi命令更安全。該命令的語法為：[root@Server01~]#vipw4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。2．vigr命令vigr命令在功能上等同于“vi/etc/group”命令，但是比直接使用vi命令更安全。vigr命令的語法為：[root@Server01~]#vigr4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。3．pwck命令pwck命令用于驗證用戶賬戶文件認證信息的完整性。該命令檢測/etc/passwd文件和/etc/shadow文件每行中字段的格式和值是否正確。pwck命令的語法為：[root@Server01~]#pwck4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。4．grpck命令grpck命令用于驗證組文件認證信息的完整性。該命令還可檢測/etc/group文件和/etc/gshadow文件每行中字段的格式和值是否正確。grpck命令的語法為：[root@Server01~]#grpck4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。5．id命令id命令用于顯示一個用戶的UID和GID以及用戶所屬的組列表。在命令行輸入id直接回車將顯示當前用戶的ID信息。id命令的語法為id[選項]用戶名例如，顯示user1用戶的UID、GID信息的實例如下所示：[root@Server01~]#iduser1uid=8888(user1)gid=1002(user1)組=1002(user1),1011(testgroup),0(root)4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。6．whoami命令whoami命令用于顯示當前用戶的名稱。whoami命令與id-un命令的作用相同。[root@Server01~]#su-user1[user1@Server01~]$whoamiUser1[root@Server01~]#exit4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。7．newgrp命令newgrp命令用于轉換用戶的當前組到指定的主組，對于沒有設置組口令的組賬戶，只有組的成員才可以使用newgrp命令改變主組身份到該組。如果組設置了口令，其他組的用戶只要擁有組口令也可以將主組身份改變到該組。4.6使用常用的賬戶管理命令使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對賬戶進行有效管理。7．newgrp命令應用案例如下：[root@Server01~]#id //顯示當前用戶的giduid=0(root)gid=0(root)組=0(root)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#newgrpgroup1 //改變用戶的主組[root@Server01~]#iduid=0(root)gid=1010(group1)組=1010(group1)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#newgrp //newgrp命令不指定組時轉換為用戶的私有組[root@Server01~]#iduid=0(root)gid=0(root)組=0(root),1010(group1)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023管理組管理用戶賬戶使用su命令使用常用的賬戶管理命令理解用戶賬戶文件和組文件企業(yè)實戰(zhàn)與應用-賬戶管理實例理解用戶賬戶和組4.7企業(yè)實戰(zhàn)與應用-賬戶管理實例企業(yè)實戰(zhàn)與應用——賬號管理實例1．情境假設需