Linux的用戶和組群管理.docx

/os/linuxLinux的用戶和組群管理 Linux是一個(gè)多用戶的操作系統(tǒng)用戶和用戶組的管理是系統(tǒng)管理員的重要工作之一。本文的內(nèi)容包括如何利用圖形化工具rfuser和在命令行界面下完成用戶賬號(hào)工作組的建立和維護(hù)并正確設(shè)置用戶權(quán)限和安全性問題。 利用圖形配置工具rfuser與使用命令進(jìn)行用戶/用戶組管理完成的是同樣的，工作不同之處在于圖形工具的操作界面友好直觀用戶也不必去記憶大量的命令和參數(shù)。 概述 在Linux系統(tǒng)中每個(gè)用戶對(duì)應(yīng)一個(gè)帳號(hào)RedFlagServer安裝完成后系統(tǒng)本身已創(chuàng)建了一些特殊用戶它們具有特殊的意義其中最重要的是超級(jí)用戶即root。 超級(jí)用戶承擔(dān)了系統(tǒng)管理的一切任務(wù)可以不受限制地進(jìn)行任何操作因此建議只有在完全必要的情況下才以root身份進(jìn)行操作。 由超級(jí)用戶創(chuàng)建允許登錄系統(tǒng)的普通用戶一般超級(jí)用戶也需要為自己建立一個(gè)用來處理一般事務(wù)的普通帳戶。 下面是用戶和組群管理的一些基本概念 用戶名系統(tǒng)中用來標(biāo)識(shí)用戶的名稱可以是字母數(shù)字組成的字符串區(qū)分大小寫。 用戶標(biāo)識(shí)UID系統(tǒng)中用來標(biāo)識(shí)用戶的數(shù)字。 用戶主目錄系統(tǒng)為每個(gè)用戶配置的單獨(dú)使用環(huán)境即用戶登錄系統(tǒng)后最初所在的目錄用戶的文件都放置在此目錄下。 登錄shell用戶登錄后啟動(dòng)以接收用戶的輸入并執(zhí)行輸入相應(yīng)命令的程序如/bin/bash/bin/csh 用戶組/組群具有相似屬性的多個(gè)用戶被分配到一個(gè)組中， 組標(biāo)識(shí)GID用來表示用戶組的數(shù)字標(biāo)識(shí)。 超級(jí)用戶在系統(tǒng)中的用戶ID和組ID都是普通用戶的用戶ID（UID）從開始編號(hào)并且默認(rèn)屬于與用戶名同名的組組ID（GID）也從開始編號(hào) 用su命令改變身份 用戶在系統(tǒng)使用過程中可以隨時(shí)使用su命令來改變身份，例如系統(tǒng)管理員在平時(shí)工作時(shí)可以用普通帳號(hào)登錄在需要進(jìn)行系統(tǒng)維護(hù)時(shí)用su命令獲得root權(quán)限之后再用su回到原帳號(hào)。 su的語法為su username是要切換到的用戶名如果不指定用戶名則默認(rèn)將用戶身份切換為root系統(tǒng)會(huì)要求給出正確的口令。 默認(rèn)情況下只要知道root口令任何用戶都可以通過su命令切換到root身份這是一個(gè)安全漏洞所以我們強(qiáng)烈建議只有wheel組成員才可以通過su命令轉(zhuǎn)換為root實(shí)現(xiàn)的辦法是修改/etc/pamd/su文件取消對(duì)如下一句 authrequiredlib/security/$ISA/pam_wheelsouse_uid的注釋 系統(tǒng)中的用戶管理配置文件 /etc/passwd文件 RedFlagServer系統(tǒng)中用于管理用戶帳號(hào)的基本文件是/etc/passwd，該文件中包含了系統(tǒng)中所有用戶的用戶名和它們的相關(guān)信息每個(gè)用戶帳號(hào)在文件中對(duì)應(yīng)一行并且用冒號(hào)（）分為七個(gè)域。 每一行的形式如下： 用戶名:加密的口令:用戶ID:組ID:用戶的全名或描述:登錄目錄:登錄shell 下面是root用戶在此文件中對(duì)應(yīng)的行 root:X:root:/root:/bin/bash Linux系統(tǒng)將每一個(gè)用戶僅僅看成是一個(gè)數(shù)字即用每個(gè)用戶惟一的用戶ID來識(shí)別配置文件。 /etc/passwd給出了系統(tǒng)用戶ID與用戶名之間及其他信息的對(duì)應(yīng)關(guān)系， /etc/passwd文件對(duì)系統(tǒng)的所有用戶都是可讀的這樣的好處是每個(gè)用戶都可以知道系統(tǒng)上有哪些用戶但缺點(diǎn)是其他用戶的口令容易受到攻擊（尤其當(dāng)口令較簡單時(shí)），所以在紅旗Linux中使用影子口令格式將用戶的口令存儲(chǔ)在另一個(gè)文件/etc/shadow中該文件只有根用戶root可讀因而大大提高了安全性， /etc/shadow文件 為了保證系統(tǒng)的安全性系統(tǒng)通常對(duì)用戶的口令進(jìn)行shadow處理并把用戶口令保存到只有超級(jí)用戶可讀的/etc/shadow文件中該文件包含了系統(tǒng)中所有用戶和用戶口令等相關(guān)信息。每個(gè)用戶在該文件中對(duì)應(yīng)一行并且用冒號(hào)分成九個(gè)域每一行包括以下內(nèi)容： 用戶登錄名 用戶加密后的口令（若為空表示該用戶不需口令即可登錄若為*號(hào)表示該帳號(hào)被禁止）。 從年月日至口令最近一次被修改的天數(shù) 口令在多少天內(nèi)不能被用戶修改 口令在多少天后必須被修改 口令過期多少天后用戶帳號(hào)被禁止 口令在到期多少天內(nèi)給用戶發(fā)出警告 口令自年月日被禁止的天數(shù) 保留域 /etc/group文件 在Linux中使用組來賦予用戶訪問文件的不同權(quán)限組的劃分可以采用多種標(biāo)準(zhǔn)一個(gè)用戶，可同時(shí)包含在多個(gè)組內(nèi)管理用戶組的基本文件是/etc/group。其中包含了系統(tǒng)中所有用戶組的相關(guān)信息每個(gè)用戶組對(duì)應(yīng)文件中的一行并用冒號(hào)分成四個(gè)域其中每一行的形式如下： 用戶組名加密后的組口令組ID組成員列表 下面是用戶組sys在/etc/group中對(duì)應(yīng)的一行 sys:x:rootbinadm 代表的信息包括系統(tǒng)中有一個(gè)稱為sys的用戶組設(shè)有口令組ID為組中的成員有rootbinadm三個(gè)用戶 RedFlagServer在安裝中同樣創(chuàng)建了一些標(biāo)準(zhǔn)的用戶組在一般情況下建議您不要對(duì)這些用戶組進(jìn)行刪除和修改除非您完全明白它們的用途和意義。 /etc/skel目錄 一般來說每個(gè)用戶都有自己的主目錄用戶成功登錄后就處于自己的主目錄下，主目錄中存放有與用戶相關(guān)的文件命令和配置當(dāng)為新用戶創(chuàng)建主目錄時(shí)系統(tǒng)會(huì)在新用戶的主目錄下建立一份。 /etc/skel目錄下所有文件的拷貝用來初始化用戶的主目錄 使用rfuser管理用戶與組群 利用rfuser用戶和組群管理工具可以輕松的管理系統(tǒng)中的用戶和用戶組，包括完成新建查看管理帳號(hào)密碼權(quán)限等所有操作。 在控制面板的系統(tǒng)配置項(xiàng)中選擇本地用戶和組或在KDE桌面環(huán)境下使用命令rfuser即可打開本地用戶和組管理。器rfuser工具需要以超級(jí)用戶身份運(yùn)行，系統(tǒng)缺省創(chuàng)建的用戶和組群對(duì)于系統(tǒng)管理和應(yīng)用程序的使用有重要的意義不要隨意修改或刪除它們，尤其是root用戶否則有可能導(dǎo)致系統(tǒng)異常甚至崩潰。 添加新用戶 點(diǎn)擊工具欄中的添加新用戶按鈕出現(xiàn)增加新用戶向?qū)г谟脩粜畔⒋翱谥休斎胗脩裘兔枋鲂畔⒂脩裘氖孜槐仨毷怯⑽淖帜福⑶也荒芘c已有的用戶名重復(fù)用戶ID是該用戶在系統(tǒng)中唯一的標(biāo)識(shí)范圍是默認(rèn)情況下系統(tǒng)會(huì)為用戶指定一個(gè)以上的標(biāo)識(shí)號(hào)也可以手工指定用戶的UID號(hào)但推薦由系統(tǒng)自動(dòng)分配登錄，shell一般只需采用默認(rèn)的/bin/bash添加用戶時(shí)默認(rèn)會(huì)在系統(tǒng)中創(chuàng)建一個(gè)用戶，主目錄/home/username也可以指定其他的目錄。 點(diǎn)擊繼續(xù)按鈕進(jìn)入下一步在右側(cè)的密碼和確認(rèn)文本框中輸入至少位的用戶密碼，密碼最好是數(shù)字字母及特殊字符的組合圖方便使用簡單的數(shù)字英語單詞生日電話等都可能成為個(gè)人信息安全的隱患。 可以設(shè)置用戶密碼的使用期限選中永不過期則用戶密碼永遠(yuǎn)有效選擇無密碼表示該用戶不需要密碼就可以登錄系統(tǒng)。 點(diǎn)擊繼續(xù)按鈕進(jìn)入用戶組關(guān)系設(shè)置界面 從系統(tǒng)已有的用戶組列表中選擇新添加用戶將從屬的組按增加按鈕加入隸屬于列表， 一個(gè)用戶可以同時(shí)從屬于幾個(gè)不同的組在主組群中選擇用戶所屬的主組名稱 RedFlagServer使用UPG（userprivategroup）機(jī)制如果在此步驟中沒有選擇新用戶所屬的用戶組系統(tǒng)會(huì)在創(chuàng)建新用戶的同時(shí)會(huì)默認(rèn)創(chuàng)建一個(gè)和用戶名同名的組。 點(diǎn)擊繼續(xù)按鈕進(jìn)入下一步彈出窗口中顯示了將添加用戶的信息按下完成按鈕新建的用戶將加入用戶列表， rfuser會(huì)將新創(chuàng)建的用戶同時(shí)加入系統(tǒng)的samba用戶列表即該用戶也同時(shí)成為能夠使用SMB遠(yuǎn)程訪問本機(jī)文件或打印機(jī)的授權(quán)用戶。 編輯用戶屬性 要查看或修改一個(gè)已存在用戶的屬性在主界面的用戶列表中選中該用戶雙擊鼠標(biāo)或按下工具， 欄中的設(shè)置屬性按鈕也可以在菜單中選擇工具設(shè)置屬性出現(xiàn)圖的的窗口 用戶屬性窗口分為三個(gè)標(biāo)簽頁 用戶信息查看或修改用戶的基本信息 密碼設(shè)置或修改用戶口令用戶帳號(hào)的時(shí)限設(shè)置當(dāng)前用戶是否可以登錄系統(tǒng)等。 用戶組關(guān)系查看或修改用戶所屬的組群設(shè)置所屬的主組群等。 編輯完成后按修改按鈕使所做的配置生效 還有一種編輯用戶屬性的方法是在用戶列表中選擇某一用戶單擊鼠標(biāo)右鍵在快捷菜單中選擇相應(yīng)的菜單項(xiàng)進(jìn)行修改。 添加新組 系統(tǒng)管理過程經(jīng)常要建立新的組群點(diǎn)擊工具欄中的添加新組群按鈕，出現(xiàn)增加新組群對(duì)話框輸入新組群的名稱，組群名稱的首位必須是英文字母，并且不能與已有的組群名重復(fù)組ID是該組群在系統(tǒng)中唯一的標(biāo)識(shí)范圍，是默認(rèn)情況下系統(tǒng)會(huì)為新添的用戶組，指定一個(gè)以上的標(biāo)識(shí)號(hào)也可以手工指定一個(gè)標(biāo)識(shí)號(hào)，但推薦由系統(tǒng)自動(dòng)分配點(diǎn)擊繼續(xù)按鈕在右側(cè)的視圖中設(shè)置組成員信息從系統(tǒng)的用戶列表中選擇將隸屬于新組的成員按增加按鈕加入組成員列表一個(gè)組中可以包含多個(gè)用戶。 點(diǎn)擊繼續(xù)按鈕進(jìn)入下一步彈出窗口中顯示了將添加用戶組的信息按下完成按鈕新添的用戶組將出現(xiàn)在組列表中， 編輯組群屬性 在主界面的組列表中選中一個(gè)已存在的組，雙擊鼠標(biāo)右鍵按工具欄中的設(shè)置屬性按鈕或在菜單中選擇工具設(shè)置屬性，顯示組屬性設(shè)置窗口可以對(duì)組群名稱組ID組用戶成員等屬性進(jìn)行修改。 還有一種編輯組屬性的方法是在組列表中選擇某組單擊鼠標(biāo)右鍵在快捷菜單中選擇相應(yīng)的菜單項(xiàng)進(jìn)行修改。 刪除本地用戶和組 在列表中選擇要?jiǎng)h除的用戶或用戶組按下工具欄中的刪除按鈕或者在菜單中選擇工具刪除確認(rèn)是否刪除系統(tǒng)用戶或用戶組，刪除用戶后該用戶主目錄及其所有文件也將被刪除 命令行界面下的用戶和組管理 用戶管理 添加新用戶在命令行下超級(jí)用戶root可以按照以下的步驟來創(chuàng)建新的用戶帳號(hào)，在shell提示符下運(yùn)行命令useradd或adduser來增加一個(gè)用戶，如要在系統(tǒng)中加入一個(gè)名為newuser的新用戶可以使用以下的命#useraddnewuseruseradd命令，還有很多可選參數(shù)用來設(shè)置新建用戶的一些屬性詳細(xì)的參數(shù)使用方法請(qǐng)參考其manpage為用戶設(shè)置口令，通過passwd命令可以完成為新建用戶設(shè)立口令例如超級(jí)用戶要設(shè)置或改變用戶newuser的口令時(shí)可使用命令 #passwdnewuser系統(tǒng)會(huì)提示輸入新的口令，新口令需要輸入兩次出于安全的原因鍵入口令時(shí)不會(huì)在屏幕上，回顯出來當(dāng)用戶使用不帶參數(shù)的passwd命令時(shí)可以修改自己的口令。 useradd命令的常用參數(shù)和選項(xiàng)如下表 選項(xiàng)和參數(shù)描述 ccomment/etc/passwd文件中用戶全名或注釋域的內(nèi)容 dhomedir指定用于取代默認(rèn)的/home/username的用戶主目錄 edate禁用賬號(hào)的日期格式為YYYYMMDD fdays口令過期后賬號(hào)禁用前的天數(shù) ggroupname用戶所屬主組群的組群名或