Linux操作系統(tǒng)案例教程電子教案 第5章 用戶與組群管理課件

第五章用戶與組群管理5-1用戶管理概述

1、用戶管理的范圍用戶帳號(hào)管理組帳號(hào)管理用戶/組帳號(hào)的權(quán)限管理5.1用戶和組文件Linux系統(tǒng)中文件從何而來(lái)？文件和程序用戶組創(chuàng)建安裝歸屬于執(zhí)行繼承、調(diào)用UIDGID5.1用戶和組文件Linux繼承了Unix傳統(tǒng)的方法，把全部用戶信息保存為普通的文本文件。用戶可以通過(guò)對(duì)這些文件的修改來(lái)管理用戶和組。文件保護(hù)策略有：1.登錄名和登錄密碼2.加密3.設(shè)置訪問(wèn)特權(quán)5.1.1用戶賬號(hào)文件――passwd

口令文件(/etc/passwd)

該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID(UID)、默認(rèn)的用戶分組ID(GID)、GECOS字段、用戶登錄子目錄以及登錄后使用的shell。該文件的每一行保存一個(gè)用戶的資料，而用戶資料的每一個(gè)數(shù)據(jù)項(xiàng)之間采用冒號(hào)“：”分隔。jl:x:100:0:Jim

Lane,ECT8-3,,:/staff/ji:/bin/sh5.1.1用戶賬號(hào)文件――passwd登錄名注意它的唯一性，它的長(zhǎng)度一般不超過(guò)32個(gè)字符，它們可以包括冒號(hào)和換行之外的任何字符。登錄名要區(qū)分大小寫。放在/etc/passwd文件的開頭部分的用戶是系統(tǒng)定義的虛擬用戶bin、daemon。(2)加密的口令當(dāng)編輯/etc/passwd文件來(lái)創(chuàng)建一個(gè)新賬號(hào)時(shí)，在加密口令字段的位置要放一個(gè)星號(hào)(*)。這個(gè)星號(hào)防止未經(jīng)授權(quán)就使用該賬號(hào)，直到設(shè)置了真實(shí)的口令為止。5.1.1用戶賬號(hào)文件――passwd(4)GID

組的ID是一個(gè)32位整數(shù)。GID0是給root的組保留的。GID1通常指的是名為“bin”的組，GID2指的是“daemon”組。(5)GECOS字段通常用來(lái)定義每個(gè)用戶的個(gè)人信息。(3)UID

是32位無(wú)符號(hào)整數(shù)，它能表示從0到4294967296的值。建議在可能的情況下將站點(diǎn)上的最大UID號(hào)限制在32767。root的UID為0。UID在整個(gè)機(jī)構(gòu)中應(yīng)該是唯一的5.1.1用戶賬號(hào)文件――passwd(6)用戶的登錄子目錄每個(gè)用戶都需要有地方保存自己的配置文件。這個(gè)地方就叫做用戶登錄子目錄。要禁止沒(méi)有主目錄的用戶登錄，可以把/etc/login.defs中的CREATE_HOME設(shè)置為no。(7)登錄shell

用戶上機(jī)后運(yùn)行的shell，此處出現(xiàn)的是默認(rèn)的shell，大多數(shù)情況下是/bin/bash。查

看

/etc/

passwd

的

內(nèi)

容/etc/passwd是一個(gè)簡(jiǎn)單的文本文件，以純文本顯示加密口令的做法存在安全隱患。同時(shí)，由于/etc/passwd文件是全局可讀的，加密算法公開，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。Linux/Unix廣泛采用了“shadow文件”機(jī)制，將加密的口令轉(zhuǎn)移到/etc/shadow文件里，該文件只為root超級(jí)用戶可讀，而同時(shí)/etc/passwd文件的密文域顯示一個(gè)*，從而最大限度地減少了密文泄漏的機(jī)會(huì)。5.1.2用戶影子文件――shadowshadow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域，格式如下：

登錄名；加密后的口令；上次修改口令的時(shí)間；兩次修改口令之間的最少天數(shù)；兩次修改口令之間的最大天數(shù)；若最大天數(shù)是99999，則永遠(yuǎn)不過(guò)期在口令作廢之前多少天，login程序應(yīng)該開始警告用戶口令即將過(guò)期；在達(dá)到了最大口令作廢天數(shù)之后，登錄賬號(hào)作廢之前必須等待的天數(shù)賬號(hào)過(guò)期的天數(shù)。若該字段的值為空，則該賬號(hào)永遠(yuǎn)不過(guò)期；保留字段，目前為空。username：passwd：lastchg:min:max:warn:inactive:expire:flag5.1.2用戶影子文件――shadow用戶影子文件――shadow各項(xiàng)詳解?

登錄名?

加密口令?

口令上次更改時(shí)距1970年1月1日的天數(shù)?

口令更改后不可以更改的天數(shù)?

口令更改后必須再更改的天數(shù)(有效期)?

口令失效前警告用戶的天數(shù)?

口令失效后距賬號(hào)被查封的天數(shù)?

賬號(hào)被封時(shí)距1970年1月1日的天數(shù)?

保留未用username：passwd：lastchg:min:max:warn:inactive:expire:flagshadow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域，格式如下：5.1.3用戶組賬號(hào)文件――group/etc/group文件包含了Linux組的名稱和每個(gè)組中的成員列表。例如：wheel：x：10：evi,garth,trent每一行代表了一個(gè)組其中包含有四個(gè)字段：組名；被加密的口令(已被廢棄，很少使用)；GID；成員列表，彼此用逗號(hào)隔開(注意不要加空格)。為了避免與廠商提供的GID發(fā)生沖突，一般從GID100開始分配本地組。/etc/group的內(nèi)容5.1.4組賬號(hào)號(hào)文件――gshadow組口令與組的其他信息相分離的安全機(jī)制，其格式如下：用戶組名:加密的組口令:組成員列表supersun:8kuwngCidEio::liyangsuper,snoppy,desiny5.1.5使用pwck和grpck命令驗(yàn)證用戶和組文件pwck用來(lái)驗(yàn)證用戶賬號(hào)文件和影子文件的一致性，驗(yàn)證文件中的每個(gè)數(shù)據(jù)項(xiàng)中每個(gè)域的格式以及數(shù)據(jù)的正確性。如果發(fā)現(xiàn)錯(cuò)誤，該命令將會(huì)提示用戶對(duì)出現(xiàn)錯(cuò)誤的數(shù)據(jù)項(xiàng)進(jìn)行刪除。該命令主要驗(yàn)證每個(gè)數(shù)據(jù)項(xiàng)是否具有：正確的域數(shù)目唯一的用戶名合法的用戶和組標(biāo)識(shí)合法的主要組群合法的主目錄合法的登錄shell。pwck的使用vi/etc/passwd輸入其中沒(méi)有的用戶信息pwck/etc/passwd如果數(shù)據(jù)域的項(xiàng)數(shù)正確，只會(huì)反映出不存在相關(guān)的用戶信息，不會(huì)提示用戶刪除該信息如果數(shù)據(jù)域項(xiàng)數(shù)不正確，系統(tǒng)提示用戶進(jìn)行刪除，用戶確定刪除后該文件驗(yàn)證才通過(guò)。案例一新建一個(gè)user1用戶，UID、GID、主目錄均按默認(rèn)；新建一個(gè)user2用戶，UID=800、其余按默認(rèn)；新建一個(gè)user3用戶，默認(rèn)主目錄為/abc、其余默認(rèn)；并觀察這三個(gè)用戶的信息有什么不同；分別為以上三個(gè)用戶設(shè)置密碼為123456；把user1用戶改名為u1,UID改為700，主目錄為/test;把u1用戶鎖定，在不同的終端分別登錄user2與u1,并觀察有什么現(xiàn)象；5-2

用戶帳號(hào)的管理1、用戶帳號(hào)的分類超級(jí)用戶（UID=0）普通用戶（500<=UID<max=60000）操作權(quán)限受到限制偽用戶（系統(tǒng)用戶）（UID=1—499）：限制本機(jī)登錄

2、用戶帳號(hào)包含的信息用戶名：口令：UID：用戶唯一標(biāo)識(shí)符GID：用戶組的唯一標(biāo)識(shí)符用戶描述信息：用戶主目錄：用戶登錄的初始目錄SHELL類型：設(shè)置SHELL程序的種類3、用戶管理

1）添加新用戶格式：

useradd/adduser[參數(shù)]用戶名參數(shù)：-uUID //指定用戶的UID值-g組名 //指定用戶所屬的默認(rèn)組-G組名 //指定用戶附加組-d路徑 //指定用戶主目錄-e時(shí)間 //指定用戶帳號(hào)有效日期(YYYY-MM-DD)-sshell類型 //指定默認(rèn)的shell類型-m //建立用戶主目錄-M //不建立用戶主目錄實(shí)例：#useraddu2//新建用戶#useradd-gg2u3//新建用戶u3，主要群組為g2#useradd-e2009-08-12u4// 2）設(shè)置用戶口令格式：passwd[選項(xiàng)][用戶名]d（delete）//刪除用戶口令-l（lock） //暫時(shí)鎖定指定的用戶賬號(hào)-u（unlock）//解除指定用戶賬號(hào)的鎖定-S（status）//顯示指定用戶賬號(hào)的狀態(tài)實(shí)例：#passwdu2useradd–rtom–c“Tom”–gjerry–s/bin/sh–d/home/JonepasswdtomEnterpassword:passwdtom//設(shè)置口令passwd-dtom//刪除用戶口令passwd-ltom//鎖定賬號(hào)passwd-utom//解鎖賬號(hào)passwd-Stom//顯示賬號(hào) 3）刪除用戶格式：

userdel[參數(shù)]用戶名參數(shù)：

-r //同時(shí)刪除用戶主目錄實(shí)例：#userdelu2#userdel-ru34）修改用戶信息格式：

usermod[參數(shù)]用戶名參數(shù)：-l新用戶名當(dāng)前用戶名 //更改用戶名-d路徑 //更改用戶主目錄-G組名 //修改附加組-L用戶帳號(hào)名 //鎖定用戶帳號(hào)(不能登錄)-U用戶帳號(hào)名 //解鎖用戶帳號(hào)實(shí)例：#usermod-d/abcu3#usermod-Ggroup2u3#usermod-luser3u3#usermod-Luser1#usermod-Uuser1usermod命令用來(lái)修改使用者賬號(hào)，具體修改信息和useradd命令所添加的信息一樣。例子usermod–gsuper–u5600jeffery//將用戶jeffery組改為super,用戶id改為5600usermod–lhoney-jone–s/bin/ash–c“honey-jone”jone//將用戶jone改名為honey-jone,登錄的shell改為/bin/ash//用戶描述改為“honey-jone”5）切換用戶身份格式：

su[-][用戶名]實(shí)例：#su–//切換到超級(jí)用戶#sutom

6）查看用戶的UIDGID和用戶所屬組群的信息格式：

id[用戶名]實(shí)例：#idtom案例二建立一個(gè)標(biāo)準(zhǔn)的組group1，GID=900；建立一個(gè)標(biāo)準(zhǔn)組group2，選項(xiàng)為默認(rèn)，觀察該組的信息有什么變化；新建用戶ah、xh，再新建一個(gè)組group3，把root、u1、user2用戶添加到group1組中，把a(bǔ)h、xh添加到group2組，把group3組改名為g3，GID=1000；查看user2所屬于的組，并記錄；刪除user1組與g3組，觀察有什么情況發(fā)生；5-3

組帳號(hào)管理1、組的分類私用組：創(chuàng)建用戶時(shí)自動(dòng)創(chuàng)建的組標(biāo)準(zhǔn)組：可以包含多個(gè)用戶的組2、組的信息組名：組的標(biāo)識(shí)符號(hào)口令GID：組的唯一標(biāo)識(shí)符組的成員3．組帳號(hào)的管理

1）建立組格式：

groupadd[參數(shù)]組名參數(shù)：-gGID //指定新建組的GID值-r //建立偽用戶組（1--499）實(shí)例：#groupaddg2#groupadd–rg3例子：

groupadd–g5400testbed//創(chuàng)建一個(gè)gid為5400組名為testbed的用戶組2）刪除組格式：

groupdel組名實(shí)例：groupdelg33）修改組的信息格式：

groupmod[參數(shù)]組名參數(shù)：

-n新組名原組名 //修改組的名稱

-gGID //修改組的GID實(shí)例：#groupmod-ngroup1g1#groupmod-g860g2groupmod-ntestbed-newtestbed

//將組testbed的名稱改為testbed-new

groupmod-g5404testbed-new

//將組testbed-new的gid改為5404groupmod–g5405–ntestbed-oldtestbed-new//將組testbed-new的gid改為5405,名稱改為testbed-old4）添加/刪除組成員格式：

gpasswd[參數(shù)]用戶名組名參數(shù)：-a用戶名 //向指定組添加用戶-d用戶名 //從指定組中刪除用戶實(shí)例：#gpasswd-au1root#gpasswd-du1root5）顯示用戶所屬組格式：

groups[用戶名]實(shí)例：#groups（顯示當(dāng)前用戶所屬組)#groupsroot（顯示root用戶的所屬組）使用RedHat用戶管理器管理用戶和組啟動(dòng)RedHat用戶管理器兩種方法：一種通過(guò)shell，使用如下命令：

redhat-config-users第二種方法是通過(guò)圖形界面來(lái)啟動(dòng)用戶管理器。

【開始】|【系統(tǒng)設(shè)置】|【用戶和組群】菜單項(xiàng)。

圖形界面用戶管理器修改用戶屬性修改帳號(hào)信息修改口令信息修改組群添加組群案例三用root用戶登錄，在根目錄下新建一目錄test，設(shè)置文件的權(quán)限，當(dāng)用戶u1登錄時(shí)，能進(jìn)入到/test目錄之中，并能建立屬于u1用戶的文件；當(dāng)用戶xh登錄時(shí)，只能進(jìn)入到/test目錄中，但不能建立屬于xh用戶的文件；以root身份登錄，在test目錄下新建一個(gè)文件ff與目錄dd，觀察新建文件及目錄的權(quán)限，進(jìn)行一定的設(shè)置，讓新建的目錄具有寫與執(zhí)行的權(quán)限；進(jìn)行設(shè)置，把文件ff和目錄dd的所屬用戶變?yōu)閍h用戶；同時(shí)把目錄dd的權(quán)限設(shè)具有讀、寫、執(zhí)行的權(quán)限；利用ah用戶登錄，來(lái)觀察對(duì)dd的操作情況；5-4

權(quán)限管理

1、文件權(quán)限定義：是一種限制用戶對(duì)文件操作的規(guī)則RedHatLinux9.0系統(tǒng)中文件訪問(wèn)權(quán)限通常分為三類：讀：r或4寫：w或2執(zhí)行：x或1權(quán)限名稱對(duì)文件的含義對(duì)目錄的含義讀讀取文件內(nèi)容檢查目錄內(nèi)容寫修改文件內(nèi)容改變目錄內(nèi)容,在目錄中建立子目錄和新文件執(zhí)行執(zhí)行文件可以使用cd命令進(jìn)入目錄2、權(quán)限值的表示方法

(1)

8進(jìn)制數(shù)字表示

r：4 w：2 x：1rw：6rx：5wx：3rwx：7

0：代表沒(méi)有權(quán)限(2)字符表示方法

r--：只讀 -w-：寫

--x：執(zhí)行rw-：讀寫

-wx：寫和執(zhí)行 r-x：讀和執(zhí)行

rwx：讀寫執(zhí)行---：無(wú)權(quán)限3、權(quán)限設(shè)置的方法

（1）chmod功能：設(shè)置用戶的文件操作權(quán)限格式：格式一：chmod[操作對(duì)象][操作符][權(quán)限]文件名（稱為字符設(shè)定法）命令中各選項(xiàng)的含義為：(1)操作對(duì)象

u表示“用戶（user）”，即文件或目錄的所有者。

g表示“同組（group）用戶”，即與文件屬主有相同組ID的所有用戶。

o表示“其他（others）用戶”。

a表示“所有（all）用戶”。它是系統(tǒng)默認(rèn)值。(2)操作符號(hào)+添加某個(gè)權(quán)限。-取消某個(gè)權(quán)限。=設(shè)置唯一權(quán)限。(3)所表示的權(quán)限可用下述字母的任意組合r可讀。w可寫。x可執(zhí)行。實(shí)例：

#chmodo+w/home/abc.txt#chmodu-w/home/abc.txt#chmodg-rx/home/abc.txt#chmodo=rx/home/abc.txt格式二：chmod[權(quán)限值]文件名（稱為數(shù)字設(shè)定法）權(quán)限值：上述八進(jìn)制表示法數(shù)字屬性的格式應(yīng)為3個(gè)從0到7的八進(jìn)制數(shù)，其順序是（u）（g）（o）②三位8進(jìn)制數(shù)字

實(shí)例：