Linux系統(tǒng)管理與應用 課件 第六章 用戶管理

第六章用戶管理本章學習目標⊙ 對于Linux下用戶的管理⊙ 對于Linux下用戶組的管理⊙ 磁盤配額的設置6.1用戶的管理Linux是一個多用戶、多任務的操作系統(tǒng)。多用戶可能通過遠程登錄來進行用戶在系統(tǒng)中是分角色的，通過UID識別：root用戶虛擬用戶普通用戶6.1.1Linux下的用戶6.1.2帳號系統(tǒng)文件Linux系統(tǒng)：純文本文件保存帳號信息最重要的文件：用戶帳號文件/etc/passwd用戶口令文件/etc/shadow使用vi或其他編輯器來更改它們 也可使用專用的命令來更改它們缺省情況：只有超級用戶才有管理的權限/etc/passwd一個文本文件定義系統(tǒng)的用戶帳戶位于“/etc”目錄下包含一個系統(tǒng)帳戶列表，給出每個帳戶的信息文件中只定義了用戶帳號，沒有保存口令passwd文件中每行定義一個用戶帳戶，一行中又劃分為多個字段定義用戶帳號的不同屬性，各字段用“：”隔開root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin..gdm:x:42:42::/var/gdm:/sbin/nologinpostgres:x:26:26:PostgreSQLServer:/var/lib/pgsql:/bin/bashdesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinnick:x:500:500:Nick:/home/nick:/bin/bashjuju:x:501:501:Juju:/home/juju:/bin/bash圖6-1

passwd文件內容表6-1 passwd文件各字段的說明字段說明帳號名使用者在系統(tǒng)中的名字，不能包含大寫字母口令用戶口令，現在出于安全考慮，不使用該字段保存口令，用“x”來填充該字段，真正的密碼保存在shadow文件中UID用戶ID，唯一表示某用戶的數字GID用戶所屬的組ID，該數字對應于group文件中的GID個人資料這個字段是可選的，通常保存用戶的個人資料，可記錄完整姓名、地址、電話、用戶的職能等信息主目錄用戶的主目錄，用戶成功登錄后的默認目錄Shell用戶所使用的Shell，如果該字段為空，則使用“/bin/sh”/etc/shadow保存已加密的口令,包括了所有用戶和口令的信息只有超級用戶才能讀取每一行定義了一個用戶信息，行中各字段用“：”隔開圖6-2

shadow文件內容root:$1$U6RPxrgy$Ozt1y3lbeUD7K4KCPU9T6.:13618:0:99999:7:::bin:*:13618:0:99999:7:::daemon:*:13618:0:99999:7:::adm:*:13618:0:99999:7:::..gdm:!!:13618:0:99999:7:::postgres:!!:13618:0:99999:7:::desktop:!!:13618:0:99999:7:::nick:$1$QgN4bMk8$C9aYUGHcBBtMA87n9Z0uw/:13618:0:99999:7:::juju:$1$gwcVNQsj$pp77oiJQShiRv/067fAdn1:13626:0:99999:7:::

shadow文件中的每個記錄用“：”隔開了9個域，每個域的含義分別為：

· 登錄名

· 加密口令

· 口令上次更改距1970年1月1日的天數

· 口令更改后不可以更改的天數

· 口令更改后必須再次更改的天數（有效期）

· 口令失效前警告用戶的天數

· 口令失效后距帳號被查封的天數

· 帳號被封時距1970年1月1日的天數

· 保留未用第一個字符是“*”：口令域，表示帳號不能登錄root帳號：沒有口令的有效期，所以不會因一段時間沒有登錄而被查封假設bin帳號口令域可登錄：后面參數表示bin口令的有效期是99999天警告期是7天表示99992天過后，系統(tǒng)將提示用戶修改口令如果7天不修改，系統(tǒng)在有效期過后將立即查封bin帳號6.1.3創(chuàng)建、修改和刪除用戶root帳號打開終端，命令提示符下調用useradd命令，傳遞新帳號的參數即可。Useradd命令：必要參數是用戶的登錄名，也可包括附加信息。如書上表6-2所示，列出了useradd命令可用的選項。創(chuàng)建新的用戶〖示例6.1〗[root@localhost

root]#useradd–c“Nick”nick[root@localhost

root]#passwdnickChangepasswordforusernick:Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.注意：RedhatLinux9的終端里輸入口令時，并不會回顯任何的類似“*”的字符。

創(chuàng)建帳號時，useradd命令執(zhí)行以下操作：讀取/etc/login.defs文件，來獲得創(chuàng)建帳號時所使用的默認值對命令行參數進行解析，來確定哪些默認值可以覆蓋基于默認值和命令行參數，在/etc/passwd以及/etc/shadow文件下創(chuàng)建新用戶項創(chuàng)建新組項，在/etc/group文件中創(chuàng)建主目錄，根據用戶名，并定位在/home父目錄中目錄復制，在/etc/skel中目錄復制到新主目錄修改用戶帳號usermod命令來修改用戶帳號的信息

傳遞該命令的參數列表如書上表6-3所示

〖示例6.2〗假設有一員工Juju將接手Nick的工作，想要nick帳號轉換成新名（juju）、新注釋（“Juju”）和主目錄（/home/juju）。[…root]#usermod–ljuju–c“Juju”–m–d/home/jujunick刪除用戶帳號userdel命令：只需一個參數，即要刪除的用戶登錄名可選的-r選項：刪除用戶的主目錄以及主目錄下的所有文件

〖示例6.3〗需要刪除Nick的用戶帳號：

[root@localhost

root]#userdelnick要刪除Nick的帳號和主目錄：

[root@localhost

root]#userdel–rnick6.1.4默認的新用戶useradd命令：通過讀取/etc/login.defs文件，可為新帳號確定默認值?？尚薷哪J值：通過用標準的文本編輯器〖示例6.4〗[root@localhost

root]#useradd–DGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skel表6-4用于修改用戶默認值的useradd選項選項說明-bdefault_home設置創(chuàng)建用戶主目錄的默認目錄-edefault_expire_date設置用戶帳號失效的默認終止日期-fdefault_inactive設置帳號失效前口令終止的天數-gdefault_group設置將把用戶放入的默認組-sdefault_shell設置新用戶使用的默認Shell〖示例6.5〗

設置到/home/juju的默認主目錄位置以及到/bin/tcsh的默認shell。[root@localhost

root]#useradd–D–b/home/juju–s/bin/tcsh6.1.5用戶環(huán)境的設定

/$HOME/.bashrc.bashrc腳本：在每次用戶啟動新的bashshell時運行作用：提供命令別名以及添加到命令搜索路徑的好方法.bashrc文件內容如書本圖6-3所示。/etc/profile系統(tǒng)啟動后首先執(zhí)行的文件可以用來修改：PATH：為根用戶和其他用戶指定默認的PATH。ulimit：將允許的最大的文件尺寸設置為不受限。環(huán)境變量：包括USER、LOGNAME、MAIL等。INPUTRC：設置特殊情況下的鍵盤映射。查看：/etc/profile.d目錄及文件源代碼/etc/profile的文件內容：如書上圖6-4所示6.1.6用戶權限管理文件的權限：在Linux系統(tǒng)中，由權限標志來決定權限標志：決定了文件的所有者、文件的所屬組、其他用戶對文件的訪問能力等。顯示權限標志：使用“l(fā)s–l”命令來。〖示例6.6〗

[root@localhost

root]#ls-l-rw-r—r--1jujujuju18144月1605:4621.cfgdrwxr-xr-x4rootroot40964月1922:13downloads顯示/root目錄下文件的權限標志：設定權限：在模式中常用以下的字母表示用戶或用戶組：

· 文件的所有者——u · 文件的所屬組——g · 其他用戶 ——o · 所有用戶——a改變文件或目錄權限chmod重新設置文件權限：chmod（changemode）修改權限：文件和目錄的所有者 超級用戶可對所有文件或目錄進行權限設置。chmod命令的語法格式如下：

chmod[選項]文件和目錄列表參數說明如下：· 選項的常用取值如表6-5所示· 文件和目錄列表：準備修改權限的文件和目錄表6-5 chmod、chown、chgrp的常用選項選項說明-c只有在文件的權限確實改變時，才進行詳細說明-f不打印權限不能改變的文件的錯誤信息-v詳細說明權限的變化-R遞歸改變目錄及其內容的權限

chmod命令支持兩種文件權限設定的方式：使用字符串設置權限?！际纠?.7〗將文件juju_inf文件設為所有人都有權限來讀取：[…root]#chmod

ugo+r

juju_inf[…root]#chmod

a+r

juju_inf〖示例6.8〗將文件nick_inf1和nick_inf2設為該文件所有者與其所屬組可寫入，但其他人不能寫入：[…root]#chmod

ug+w,o-wnick_inf1nick_inf22.使用八進制設置權限。若要rwx屬性則4+2+1=7若要rw-屬性則4+2=6若要r-x屬性則4+1=5〖示例6.9〗將juju_inf設為所有人都可以讀?。篬…root]#chmod444juju_inf〖示例6.10〗將nick_inf1設為該文件所有者與其所屬組可寫入，但其他人不能寫入：[…root]#chmod775nick_inf1改變文件和目錄的所有權chownchown命令：改變文件和目錄的所有者權限格式：

chown[參數]用戶文件和目錄列表參數說明：·命令中的選擇說明如表6-5所示·用戶：用戶號或是用戶登錄名·文件和目錄列表：重新指定所有權的文件和目錄列表〖示例6.11〗

把/home/juju目錄下的21.txt文件的所有權賦予nick：

[…root]#chownnick/home/juju/21.txt改變文件和目錄的所屬組chgrpchgrp指令：變更文件與目錄的所屬群組設置方式：群組名稱或群組識別碼格式：

chgrp[參數]所屬組文件和目錄列表參數說明：

· 命令中的選擇說明如表6-5所示

· 所屬組：所屬群組名

· 文件和目錄列表：用于重新指定所有權的文件和目錄列表6.1.7超級用戶超級用戶:是Unix的所有者，擁有所有的權利改變當前用戶:su命令 格式：su[用戶名]， 如不使用“用戶名”參數，則默認為超級用戶

示例如下: [nick@localhost

nick]$su Password: [root@localhostnick]#root用戶的UID和GID都為0。

6.2組的管理Linux下所屬組分:私有組、系統(tǒng)組、標準組。私有組：建立帳戶時，沒有指定帳戶所屬的組，系統(tǒng)會建立一個組名和用戶名相同的組，只容納一個用戶。一個用戶可以屬于多個組，用戶所屬組分：基本組：在用戶所屬組中的第一個組，在/etc/passwd文件中指定附加組：附加組在/etc/group文件中指定。屬于多個組的用戶權限：所在組的權限之和。6.2.1Linux下的組和組文件/etc/group文件：每一行記錄了一個組的信息每行包括4個字段：組名、組的密碼、GID、組成員，字段之間用“：”分隔。

字段說明：

· 組名：組的名稱

·

組的密碼：設置加入組的密碼，該字段通常沒用

· GID：組的標識符，類似UID · 組成員：組所包含的用戶，用戶間用“，”分隔，大部分系統(tǒng)組無成員6.2.2組的添加和刪除添加新組：手工編輯/etc/group來完成，命令groupadd來添加用戶所屬組。groupadd的命令格式：

groupadd[參數]組名參數說明：

· 命令中的選擇說明如表6-6所示

· 組名：新建的組名稱表6-6 groupadd的常用選項選項說明-gGID指定新組的GID，默認值是已有的最大值加1-r建立一個系統(tǒng)組，與-g不同時使用則分配一個1-499的GID-f當系統(tǒng)中已存在與新組名稱一樣的組時，會拋出添加新組失效的錯誤〖示例6.12〗添加一個組名為juju的新組，組ID為521：[…root]#groupadd–g521jujugroupdel指令：從系統(tǒng)上刪除群組若該群組中仍包括某些用戶，則必須先刪除這些用戶后，方能刪除群組。groupdel的命令格式：

groupdel

組名組名：需刪除組的名稱〖示例6.13〗

刪除一個組名為nick的新組：

[…root]#groupdelnick6.2.3組屬性的修改groupmod指令：更改群組的識別碼或名稱groupmod的命令格式：

groupmod[參數]組名命令的參數：

· 命令中的選擇說明如表6-7所示

· 組名：需刪除組的名稱表6-7 groupmod常用選項選項參數-gGID設置欲使用的群組識別碼-o重復使用群組識別碼-n設置欲使用的群組名稱〖示例6.14〗將群組juju的GID修改為555：[…root]#groupmod–g555juju6.3磁盤配額磁盤限額:

利用軟件對特殊用戶賬號所使用的磁盤空間進行限制?；久钚衠uota工具集:常用的磁盤限額系統(tǒng)，操作系統(tǒng)自身可對不同用戶賬號進行存儲空間限制。磁盤限額:可為每個用戶賬號單獨配置。當有成批的用戶需要在同樣的限制下進行操作時，還可方便地進行復制。系統(tǒng)自動運行，并可進行設置

最大優(yōu)點:不必直接面對用戶,系統(tǒng)自行進行管理。6.3.1磁盤配額介紹6.3.2磁盤配額設置根用戶身份編輯/etc/fstab文件，給需要配額的文件系統(tǒng)添加usrquota和grpquota

選項如書本圖6-6所示：啟動磁盤配額重新掛載文件系統(tǒng)重新掛載該文件系統(tǒng)某文件系統(tǒng)沒有被任何進程使用：使用umount

命令后再緊跟著mount命令某文件系統(tǒng)正在被使用：重新引導系統(tǒng)〖示例6.15〗重新掛載sda2文件系統(tǒng)：[root@localhost

root]#umount/dev/sda2[root@localhost

root]#mount/dev/sda2

創(chuàng)建配額文件quotacheck命令：檢查啟用了配額的文件系統(tǒng)為每個文件系統(tǒng)建立一個當前磁盤用來的表

表會被用來更新操作系統(tǒng)的磁盤用量文件〖示例6.16〗如果用戶和組群配額都為/home分區(qū)啟用了，在/home目錄下創(chuàng)建這些文件：

[root@localhost

root]#quotacheck-cug/home修改系統(tǒng)啟動腳本修改系統(tǒng)的啟動腳本:/etc/rc.d/rc.local

在rc.local文件末尾加入如下語句：

/sbin/quotacheck–vug-a/sbin/quotaon–vug–a可使用如下命令：[…root]#echo“/sbin/quotacheck–vug–a”>>/etc/rc.d/rc.local[…root]#echo“/sbin/quotaon–vug–a”>>/etc/rc.d/rc.local設置配額Edquota：設置配額的命令命令格式：

edquota[參數]用戶名或組名參數說明：

·命令中的選擇說明如表6-8所示

·用戶名或組名：設置用戶配額或群組配額表6-8edquota命令的常用選項選項說明-u設置用戶的磁盤配額-g設置群組的磁盤配額-p將用戶的配額設置套用至其他用戶或群組-t設置寬限的時間〖示例6.17〗

為用戶juju進行配額：[root@localhost

root]#edquota–ujujuDiskquotasforuserjuju(uid501):Filesystem blockssofthardinodessofthard/dev/sda2500500“blocks”：顯示了用戶當前使用的塊數隨后的兩列用： 設置用戶在該文件系統(tǒng)上的軟硬塊限度“inodes”：顯示用戶當前使用的內節(jié)點數量最后兩列： 用來設置用戶在該文件系統(tǒng)上的軟硬內節(jié)點限度硬限： 用戶或組群可以使用的磁盤空間的絕對最大值。 達到該限度后，磁盤空間就不能再被用戶或組群使用了。軟限： 定義可被使用的最大磁盤空間量。 軟限可以在一段時期內被超過。這段時期被稱為過渡期（graceperiod）。過渡期可以用秒鐘、分鐘、小時、天數、周數、或月數表示?！际纠?.18〗設置磁盤配額的寬限時間：[root@localhost

root]#edquota–tGraceperiodbeforeenforcingsoftlimitsforusers:Timeunitsmaybe:days,hours,minutes,orsecondsFilesystem BlockgraceperiodInodegraceperiod/dev/sda2 7days 7days打開和關閉磁盤配額功能

要關閉用戶和組群配額:使用以下命令：

[…root]#quotaoff–ugv–a-u或-g選項沒被指定，只有用戶配額被禁用。只指定了-g選項，只有組群配額會被禁用要重新啟用配額，使用帶有同樣選項的quotaon命令。6.3.3磁盤配額管理repquota工具:創(chuàng)建磁盤用量報告需要運行命令格式如下：

repquota[參數]文件系統(tǒng)

命令的參數說明：

· 命令中的選擇說明如表6-9所示

· 文件系統(tǒng)：需要檢查的文件系統(tǒng)報告磁盤配額表6-9 repquota命令的常用選項選項說明-a列出在/etc/fstab文件里加入quota設置的分區(qū)的狀況，包括用戶和群組-g列出所有群組的磁盤空間限制-u列出所有用戶的磁盤空間限制-v顯示該用戶或群組的所有空間限制[root@localhost

root]#repquota/home***Reportforuserquotasondevice/dev/sda2Blockgracetime:7days;Inodegracetime:7daysBlocklimitsFilelimitsUserusedsofthardgraceusedsofthardgrace-------------------------------------------------------------------------------------------------root--2500400〖示例6.19〗

創(chuàng)建/home下的磁盤用量報告：

保持配額的正確性quotacheck定期運行以下命令來保持配額的正確性：

[…root]#quotacheck–ugv–a6.4課后習題與實驗唯一標識每一個用戶的是

和

。某文件的權限為：drw-r--r--，用數值形式表示該權限，則該八進制數為

，該文件類型是

。root的UID是

，GID是

。為了開啟磁盤配額功能，使用的兩個文件系統(tǒng)屬性關鍵字分別是_____和

。使用

命令可以監(jiān)控系統(tǒng)所有用戶使用的磁盤空間，并在接近極限時提示用戶。Bash的環(huán)境配置文件為

。6.4.1課后習題7.關于建立系統(tǒng)用戶的錯誤描述是 （）A．在Linux系統(tǒng)下建立用戶使用useradd命令B．每個系統(tǒng)用戶分別