Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7（第2版） 課件 第3章用戶與用戶組

第3章用戶與用戶組Linux系統(tǒng)管理與服務(wù)器配置——基于CentOS7目錄3.1項目一：Linux用戶管理 3.1.1Linux系統(tǒng)的用戶 3.1.2與用戶管理相關(guān)的系統(tǒng)文件 3.1.3用戶管理命令 3.2項目二：用戶組的管理 3.2.1Linux系統(tǒng)的用戶組 3.2.2與用戶組管理相關(guān)的系統(tǒng)文件 3.2.3用戶組管理命令 3.3知識擴展 3.3.1查看用戶信息的id命令 3.3.2輸出指定用戶所在組的groups命令 3.3.3查看當前登錄用戶whoami命令 3.3.4查看當前用戶的w命令 3.3.5查看登錄用戶who命令 3.3.6查看登錄用戶歷史last命令 3.3.7用于修改用戶密碼有效期限的chage命令 3.3.8修改用戶注釋信息的chfn命令 3.3.9修改用戶Shell類型的chsh命令本章小結(jié)

3.1項目一：Linux用戶管理隨著W公司規(guī)模的不斷擴大，W公司重新調(diào)整了公司的組織架構(gòu)，因此需要針對新的組織架構(gòu)調(diào)整Linux系統(tǒng)的賬號。經(jīng)過調(diào)研，目前設(shè)計部、研發(fā)部及市場部需要Linux賬號，具體需求如下：設(shè)計部是新成立的部門，需要新建兩個賬號。研發(fā)部原有兩個賬號rdd001和rdd002，但是為了賬號命名的統(tǒng)一性以便于公司管理，需要對原賬號重命名。市場部原有一個賬號mar001，做刪除處理，同時創(chuàng)建一個新賬號。3.1項目一：用戶賬號與用戶組的創(chuàng)建序號知識點詳見章節(jié)1對用戶概念的理解3.1.1節(jié)2創(chuàng)建用戶的命令3.1.3節(jié)3為用戶設(shè)置密碼3.1.3節(jié)4修改用戶屬性的命令3.1.3節(jié)5刪除用戶的命令3.1.3節(jié)6對用戶配置文件的理解3.1.2節(jié)3.1.1

Linux系統(tǒng)的用戶Linux是一個多用戶、多任務(wù)的操作系統(tǒng)，多用戶多任務(wù)指可以在系統(tǒng)上建立多個用戶，而多個用戶可以在同一時間內(nèi)登錄同一個系統(tǒng)執(zhí)行各自不同的任務(wù)，而互不影響。Linux用戶是根據(jù)角色定義的，具體分為三種角色：超級用戶：擁有對系統(tǒng)的最高管理權(quán)限，默認是root用戶。普通用戶：只能對自己目錄下的文件進行訪問和修改，具有登錄系統(tǒng)的權(quán)限，例如上面提到的www用戶、ftp用戶等。虛擬用戶：也叫“偽”用戶，這類用戶最大的特點是不能登錄系統(tǒng)，它們的存在主要是方便系統(tǒng)管理，滿足相應(yīng)的系統(tǒng)進程對文件所有者的要求。3.1.2與用戶管理相關(guān)的系統(tǒng)文件1．用戶信息配置文件/etc/passwd在Linux系統(tǒng)中，用戶信息被存放在系統(tǒng)的/etc/passwd文件中，系統(tǒng)的每一個合法用戶對應(yīng)于該文件中的一行記錄。這行記錄定義了該用戶的屬性。由于所有的用戶對/etc/passwd文件均有讀取的權(quán)限，因此密碼信息并未保存在該文件中，而是保存在了/etc/shadow文件中。在/etc/passwd文件中，每行均由7個字段構(gòu)成，各個字段之間用“：”分隔，每個字段代表該用戶某方面的信息。3.1.2與用戶管理相關(guān)的系統(tǒng)文件3.1.2與用戶管理相關(guān)的系統(tǒng)文件在passwd文件中，從左到右各個字段的含義如下：用戶名：用戶登錄系統(tǒng)時使用的用戶名?？诹睿捍娣偶用艿目诹睿?etc/shadow文件保護。用戶標識號(UID)：系統(tǒng)內(nèi)部用它來標識用戶，每個用戶的UID都是唯一的。用戶組標識號(GID)：系統(tǒng)內(nèi)部用它來標識用戶所屬的組，這里的GID是主組GID。注釋性描述：為了方便管理和記憶該用戶而添加的信息。用戶主目錄：也稱家目錄，用戶登錄系統(tǒng)后所進入的目錄。命令解釋器：指示該用戶使用的Shell，CentOSLinux7默認的是bash。如果指定Shell為/sbin/nologin，則代表用戶無法登錄系統(tǒng)。3.1.2與用戶管理相關(guān)的系統(tǒng)文件2．用戶密碼配置文件/etc/shadow為了加強系統(tǒng)安全性，Linux系統(tǒng)提供了專門的密碼管理文件。該文件對一般用戶不可讀，只有root用戶才能夠讀取。在/etc/shadow文件中，一行對應(yīng)一個用戶的密碼信息，每行均由9個字段構(gòu)成，各個字段之間用“：”分隔。3.1.2與用戶管理相關(guān)的系統(tǒng)文件在/etc/shadow文件中，從左到右各個字段的含義如下：用戶名：用戶賬戶名。密碼：用戶的加密密碼。最后一次修改的時間：從1970年1月1日起，到用戶最后一次更改密碼的天數(shù)。最小時間間隔：從1970年1月1日起，到用戶可以更改密碼的天數(shù)，(0表示隨時可以變更)。最大時間間隔：從1970年1月1日起，到必須更改密碼的天數(shù)，否則密碼將過期，(99999表示永遠不過期)。警告時間：在密碼過期之前多少天提醒用戶更新，默認值是7天。不活動時間：在用戶密碼過期之后到禁用賬戶的天數(shù)。失效時間：從1970年1月1日起，到賬戶被禁用的天數(shù)。標志：保留位。3.1.3用戶管理1．用useradd命令創(chuàng)建用戶創(chuàng)建或添加新用戶要用useradd命令來實現(xiàn)。命令格式：useradd[選項] 用戶名選項功能說明-d指定用戶主目錄-g指定用戶組-m若主目錄不存在，則創(chuàng)建-M不創(chuàng)建主目錄-s指定登錄時使用的Shell類型，默認為/bin/bash-c設(shè)置對該賬號的注釋說明文字-r創(chuàng)建系統(tǒng)賬號(用戶ID小于1000，從999起按照遞減的順序創(chuàng)建)，默認不創(chuàng)建對應(yīng)的主目錄

-u手工指定新用戶的ID值，該值必須唯一，且大于999。3.1.3用戶管理〖例3.1〗創(chuàng)建用戶tom。#useraddtom在使用useradd命令創(chuàng)建用戶tom，由于沒有為tom指定用戶組和主目錄，所以系統(tǒng)會創(chuàng)建同名用戶組tom作為tom用戶的用戶組，同時在/home目錄下創(chuàng)建同名tom目錄作為tom的主目錄，并且在/var/spool/mail和/var/mail下創(chuàng)建與tom同名的文件，作為tom用戶的郵件日志文件和備份。3.1.3用戶管理〖例3.2〗創(chuàng)建一個名為zhangqi的用戶，設(shè)置主目錄為：/var/zhangqi，作為root組的成員，加注釋：101school，指定用戶Shell為：/bin/sh。#useradd–d/var/zhangqi–groot–c101school–s/bin/shzhangqi創(chuàng)建完成后，可以查看/etc/passwd的最后一行。3.1.3用戶管理2．用usermod命令修改用戶屬性對于已經(jīng)創(chuàng)建好的用戶，可以使用usermod命令來修改和設(shè)置賬戶的各項屬性，包括用戶名、用戶主目錄、用戶所屬組、使用Shell類型等。命令格式：usermod 選項

用戶名3.1.3用戶管理〖例3.3〗修改用戶zhangqi為zhangqiming。#usermod-lzhangqimingzhangqi注意原用戶名和新用戶名的順序。〖例3.4〗修改zhangqiming的主目錄為/var/zhangqiming。#usermod-d/var/zhangqimingzhangqiming注意如果新的主目錄不存在則需要先創(chuàng)建該主目錄。3.1.3用戶管理〖例3.5〗修改zhangqiming的注釋信息為neusoft。#usermod-cneusoftzhangqiming操作完成后，查看/etc/passwd文件zhangqiming用戶的信息，可以發(fā)現(xiàn)相關(guān)信息都已經(jīng)做出了修改，因此可以發(fā)現(xiàn)uesrmod命令是對/etc/passwd文件的修改。3.1.3用戶管理〖例3.6〗為zhangqiming設(shè)置附屬組。#groupaddgroup1//創(chuàng)建用戶組group1，groupadd命令在3.2.3節(jié)具體介紹#groupaddgroup2#usermod-Ggroup1zhangqiming//為zhangqiming設(shè)置附屬組

group1#grepgroup1/etc/group//驗證設(shè)置是否成功group1:x:1007:zhangqiming#usermod-Ggroup2zhangqiming//為zhangqiming設(shè)置附屬組

group2#grepgroup2/etc/group//驗證設(shè)置是否成功group2:x:1008:zhangqiming#grepgroup1/etc/groupgroup1:x:1007://group1組中的zhangqiming用戶被移除了3.1.3用戶管理3．用userdel命令刪除用戶在Linux系統(tǒng)當中，可以在userdel命令后直接加用戶名，刪除指定的用戶。若使用選項-r，則在刪除該用戶的同時，將該用戶對應(yīng)的主目錄一起刪除。命令格式：userdel[-r]用戶名〖例3.7〗刪除zhangqiming用戶及其主目錄以及該用戶的相關(guān)文檔。#userdel-rzhangqiming刪除zhangqiming用戶后，查看/etc/passwd文件，發(fā)現(xiàn)該文件中已經(jīng)不存在zhangqiming用戶的信息。3.1.3用戶管理4．用passwd命令管理用戶登錄密碼用戶必須設(shè)置密碼之后才能登錄系統(tǒng)。root用戶有權(quán)設(shè)置指定用戶的密碼普通用戶只能設(shè)置或修改自己的密碼。passwd不加用戶名，可以設(shè)置當前用戶的密碼。命令格式：

passwd[選項][用戶名稱]passwd還可以選項管理用戶的密碼。選項功能說明-l鎖定用戶密碼-u解鎖用戶密碼-S查詢用戶密碼狀態(tài)-d刪除用戶密碼3.1.3用戶管理〖例3.8〗root管理員創(chuàng)建bob用戶，并為其設(shè)置密碼為“123456”，然后查看/etc/shadow文件中bob用戶的密碼。然后將bob的密碼鎖定，使bob無法登錄系統(tǒng)，查看/etc/shadow文件的變化。再解鎖bob的密碼，恢復(fù)bob對系統(tǒng)的訪問權(quán)，再次查看/etc/shadow文件的變化。3.1.3用戶管理〖例3.9〗查詢bob用戶的密碼狀態(tài)，加鎖后再查詢bob用戶的密碼。若用戶密碼的當前狀態(tài)是解鎖狀態(tài)，則結(jié)果是“Passwordset，SHA512crypt”。其中“SHA512crypt”指的是密碼加密方式。若用戶密碼被鎖定，則查詢用戶密碼狀態(tài)的結(jié)果是“Passwordlocked.”。3.1項目一：用戶賬號與用戶組的創(chuàng)建#useraddwdes01 //為設(shè)計部創(chuàng)建用戶賬號#passwdwdes01 //設(shè)置密碼123456#useraddwdes02#passwdwdes02#usermod-lwres01rdd001//為研發(fā)部修改用戶名#usermod-lwres02rdd002#useraddwmar01//為市場部創(chuàng)建用戶賬號#passwdwmar01#userdel-rmar001//刪除市場部原用戶以及用戶主目錄

#less/etc/passwd//查看并核對/etc/passwd文件內(nèi)容3.2項目二：用戶組的管理W公司調(diào)整Linux系統(tǒng)的賬號后，為了方便同部門用戶賬號的權(quán)限管理，需要為同一部門的用戶設(shè)置相同的用戶組。序號知識點詳見章節(jié)1對用戶組概念的理解3.2.1節(jié)2創(chuàng)建用戶組的命令3.2.3節(jié)3用戶組的修改3.1.3節(jié)4對用戶組配置文件的理解3.2.2節(jié)3.2.1Linux系統(tǒng)的用戶組用戶組的作用在系統(tǒng)管理時，有時需要讓多個用戶具有相同的權(quán)限，比如查看、修改某個文件的權(quán)限。一種方法是分別對多個用戶進行文件訪問授權(quán)，如果有10個用戶，就需要授權(quán)10次，顯然這種方法不太合理；另一種方法是建立一個組，讓這個組具有查看、修改此文件的權(quán)限，然后將所有需要訪問此文件的用戶放入這個組中，那么所有用戶就具有了和組一樣的權(quán)限，這就是用戶組。將用戶分組是Linux系統(tǒng)中對用戶進行管理及控制訪問權(quán)限的一種手段，在一定程度上保證了對系統(tǒng)訪問的安全性。通過定義用戶組，在很大程度上簡化了管理工作。3.2.1Linux系統(tǒng)的用戶組Linux系統(tǒng)的用戶組分類在使用useradd命令創(chuàng)建用戶時，系統(tǒng)除創(chuàng)建該用戶外，默認情況下還會創(chuàng)建一個同名的用戶組，作為該用戶的用戶組（所屬組），同時還會在/home目錄下創(chuàng)建同名的目錄作為該用戶的主目錄。如果一個用戶屬于多個組，那么記錄在/etc/passwd文件中的組稱為該用戶的主組，其他的組稱為附屬組。主組（主要組）：每個用戶有且只有一個主組。附屬組（補充組）：用戶可以是零個或多個附屬組成員。一般用于幫助用戶對系統(tǒng)中文件及其它資源具有訪問權(quán)限。3.2.1Linux系統(tǒng)的用戶組Linux系統(tǒng)的用戶與用戶組關(guān)系Linux系統(tǒng)的用戶和用戶組之間關(guān)系可以分為一對一、多對一、一對多、多對多。一對一：一個用戶只歸屬于一個用戶組。這個用戶是用戶組中的唯一成員。多對一：多個用戶歸屬于同一個用戶組。一對多：一個用戶歸屬于多個不同的用戶組。多對多：多個用戶歸屬多個不同的用戶組。3.2.2與用戶組管理相關(guān)的系統(tǒng)文件用戶組配置文件/etc/group將用戶進行分組是Linux系統(tǒng)對用戶進行管理及控制訪問權(quán)限的一種手段。一個組中可以有多個用戶，一個用戶也可以屬于多個組。系統(tǒng)中所有的組信息存放于/etc/group文件，其中一行對應(yīng)一個用戶組的信息，每行均由4個字段構(gòu)成，各個字段之間用“：”分隔。3.2.2與用戶組管理相關(guān)的系統(tǒng)文件在/etc/group文件中，從左到右各個字段的含義如下用戶組名：組的名稱。用戶組口令：用戶組的口令，用x表示口令是被/etc/gshadow文件保護的。用戶組標識號(GID)：系統(tǒng)內(nèi)部用它來標識用戶組，每個用戶組的GID都是唯一的。用戶組成員列表：該組的成員。3.2.2與用戶組管理相關(guān)的系統(tǒng)文件用戶組密碼配置文件/etc/gshadow該文件用于定義用戶組口令、組管理員等信息，該文件只有root用戶可讀。3.2.2與用戶組管理相關(guān)的系統(tǒng)文件在/etc/gshadow文件中，從左到右各個字段的含義如下用戶組名：組的名稱。用戶組口令：用戶組的口令，保存已加密的口令。用戶組的管理員帳號：組的管理員帳號，管理員有權(quán)對該組添加、刪除帳號。用戶組成員：該組的成員，多個用戶用“，”分開。3.2.3用戶組管理命令1．用groupadd命令創(chuàng)建用戶組用戶組是用戶的集合，通常將用戶進行分類歸組，便于進行訪問控制。用戶與用戶組屬于多對多的關(guān)系，一個用戶可以同時屬于多個用戶組，一個用戶組可以包含多個不同的用戶。命令格式：groupadd[選項]用戶組名稱常用選項是-r，功能是創(chuàng)建系統(tǒng)用戶組?！祭?.10〗創(chuàng)建用戶組student。#groupaddstudent3.2.3用戶組管理命令2．用groupmod命令修改用戶組屬性對于已經(jīng)創(chuàng)建好的用戶組，可以使用groupmod命令來修改其屬性。命令格式：groupmod選項用戶組名〖例3.11〗修改用戶組student為teacher。#groupmod-nteacherstudent選項功能說明-n修改用戶組名-g修改用戶組標識號GID3.2.3用戶組管理命令3．用groupdel命令刪除用戶組在Linux系統(tǒng)當中，可以在groupdel命令后直接加用戶組名，刪除指定的用戶組。命令格式：groupdel用戶組名在刪除用戶組時，被刪除的用戶組不能是某個用戶的主組，否則無法刪除。若必需刪除，則應(yīng)先刪除該用戶，然后再刪除用戶組。3.2.3用戶組管理命令4．用gpasswd命令維護組中成員gpasswd命令可用于把一個用戶添加到用戶組、把一個用戶從用戶組中刪除、把一個用戶設(shè)為組管理員。命令格式：gpasswd選項

用戶名

用戶組名選項功能說明-a添加用戶到組。-d將用戶從用戶組中刪除。-A設(shè)置用戶為組管理員。3.2.3用戶組管理命令〖例3.12〗將lili用戶添加到tescher組。#gpasswd-aliliteacher〖例3.13〗將lili設(shè)置為teacher組的組管理員。組管理員具有可以向該組添加用戶和移除用戶的權(quán)限。作為組管理員也可以使用gpasswd命令給用戶組設(shè)置口令，只有設(shè)置了用戶組口令，其他用戶才可以通過newgrp命令切換成該組的成員身份，否則只有本組成員才能使用該組身份。#gpasswd-Aliliteacher〖例3.14〗將lili從teacher用戶組中刪除。#gpasswd-dliliteacher3.2項目二：用戶組的管理#groupaddwdesg //為設(shè)計部創(chuàng)建用戶組賬號#usermod-gwdesgwdes01//將用戶ydeg01的用戶組修改為ydeg#usermod-gwdesgwdes02#groupaddwresg //為研發(fā)部創(chuàng)建用戶組賬號#usermod-gwresgwres01//將用戶yrd01的用戶組修改為yrd#usermod-gwresgwres02#tail-2/etc/group//查看并核對/etc/group文件內(nèi)容#less/etc/passwd//查看并核對/etc/passwd文件內(nèi)容3.3知識擴展1．查看用戶信息的id命令id命令用于顯示用戶當前的UID、GID以及所屬組的組列表。命令格式：id[選項][用戶名稱]直接執(zhí)行id命令不帶選項表示顯示當前用戶的ID信息，否則只需要在id命令后面直接加上要查詢的用戶名即可。選項功能說明-g顯示用戶所屬組的ID-G顯示用戶所屬附屬組的ID-u顯示用戶ID3.3知識擴展〖例3.15〗查看lili用戶的ID信息。通過命令執(zhí)行結(jié)果可看到，lili用戶的uid是1009，gid是1009，用戶組名為lili，此外該用戶還屬于1010組，組名為teacher。lili組是lili用戶的主組，teacher組是lili用戶的附屬組。3.3知識擴展2．輸出指定用戶所在組的groups命令命令格式：groups[選項][用戶名]例如顯示用戶lili所在的組。選項功能說明--help顯示命令幫助信息

--version顯示版本號3.3知識擴展3．查看當前登錄用戶whoami命令whoami命令用于顯示登錄者自身的用戶名，本指令相當于執(zhí)行“id–un”指令，whoami命令顯示當前用戶更詳細的登錄信息。這一系列相關(guān)的還有w，who，whoami。3.3知識擴展4．查看當前用戶的w命令系統(tǒng)管理員在任何時刻都可以查看用戶的行為，在終端提示符下輸入w命令。第1行顯示系統(tǒng)的匯總信息，字段分別表示系統(tǒng)當前時間、系統(tǒng)運行時間、登錄用戶總數(shù)及系統(tǒng)平均負載信息。3.3知識擴展5．查看登錄用戶who命令系統(tǒng)管理員若想知道某一時刻有哪些用戶登錄到系統(tǒng)，可以使用系統(tǒng)提供的who命令，該命令可以查看當前登錄系統(tǒng)的用戶及其他相關(guān)系統(tǒng)信息。6．查看登錄用戶歷史last命令系統(tǒng)管理員可以隨時查看用戶登錄的歷史行為。3.3知識擴展7．用于修改用戶口令有效期限的chage命令。密碼時效是通過chage命令來管理的。命令格式：