Linux操作系統(tǒng)案例教程電子教案 第5章 用戶與組群管理.ppt

1、第五章 用戶與組群管理,5-1用戶管理概述,1、用戶管理的范圍 用戶帳號管理 組帳號管理 用戶/組帳號的權限管理,5.1 用戶和組文件,Linux系統(tǒng)中文件從何而來？,文件和程序,用戶,組,5.1 用戶和組文件,Linux繼承了Unix傳統(tǒng)的方法，把全部用戶信息保存為 普通的文本文件。用戶可以通過對這些文件的修改來管 理用戶和組。,文件保護策略有： 1.登錄名和登錄密碼 2.加密 3.設置訪問特權,5.1.1用戶賬號文件passwd,口令文件(/etc/passwd) 該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數(shù)據(jù) 項、用戶ID(UID)、 默認的用戶分組ID(GID)、GECOS字段、

2、 用戶登錄子目錄以及登錄后使用的shell。,該文件的每一行保存一個用戶的資料，而用戶資料的每一個 數(shù)據(jù)項之間采用冒號“：”分隔。,jl:x:100:0:Jim Lane,ECT8-3, ,:/staff/ji:/bin/sh,5.1.1用戶賬號文件passwd,登錄名 注意它的唯一性，它的長度一般不超過32個字符， 它們可以包括冒號和換行之外的任何字符。登錄名要區(qū)分大 小寫。放在/etc/passwd文件的開頭部分的用戶是系統(tǒng)定義的虛 擬用戶bin、daemon。,(2)加密的口令 當編輯/etc/passwd文件來創(chuàng)建一個新賬號時， 在加密口令字段的位置要放一個星號(*)。這個星號防止未經(jīng)

3、 授權就使用該賬號，直到設置了真實的口令為止。,5.1.1用戶賬號文件passwd,(4)GID 組的ID是一個32位整數(shù)。GID 0是給root的組保留的。 GID 1 通常指的是名為“bin”的組，GID2指的是“daemon”組。,(5)GECOS字段 通常用來定義每個用戶的個人信息。,(3)UID 是32位無符號整數(shù)，它能表示從0到4294967296 的值。建議在可能的情況下將站點上的最大UID號限制在 32767。root的UID為0。UID在整個機構中應該是唯一的,5.1.1用戶賬號文件passwd,(6)用戶的登錄子目錄 每個用戶都需要有地方保存自己的配置 文件。這個地方就叫做

4、用戶登錄子目錄。要禁止沒有主目錄的 用戶登錄，可以把/etc/login.defs中的CREATE_HOME設置為no。,(7)登錄shell 用戶上機后運行的shell，此處出現(xiàn)的是默認的shell， 大多數(shù)情況下是/bin/bash。,查看/etc/passwd的內容,/etc/passwd是一個簡單的文本文件，以純文本顯示加密口令的做法存在安全隱患。同時，由于/etc/passwd文件是全局可讀的，加密算法公開，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。 Linux/Unix廣泛采用了“shadow文件”機制，將加密的口令轉移到/etc/shadow文件里，該文件只為

5、root超級用戶可讀，而同時/etc/passwd文件的密文域顯示一個*，從而最大限度地減少了密文泄漏的機會。,5.1.2用戶影子文件shadow,shadow文件的每行是8個冒號分隔的9個域，格式如下：,登錄名； 加密后的口令； 上次修改口令的時間； 兩次修改口令之間的最少天數(shù)； 兩次修改口令之間的最大天數(shù)；若最大天數(shù)是99999，則永遠不過期 在口令作廢之前多少天，login程序應該開始警告用戶口令即將過期； 在達到了最大口令作廢天數(shù)之后，登錄賬號作廢之前必須等待的天數(shù) 賬號過期的天數(shù)。若該字段的值為空，則該賬號永遠不過期； 保留字段，目前為空。,username：passwd：lastc

6、hg: min: max: warn: inactive: expire: flag,5.1.2用戶影子文件shadow,用戶影子文件shadow各項詳解, 登錄名 加密口令 口令上次更改時距1970年1月1日的天數(shù) 口令更改后不可以更改的天數(shù) 口令更改后必須再更改的天數(shù)(有效期) 口令失效前警告用戶的天數(shù) 口令失效后距賬號被查封的天數(shù) 賬號被封時距1970年1月1日的天數(shù) 保留未用,username：passwd：lastchg: min: max: warn: inactive: expire: flag,shadow文件的每行是8個冒號分隔的9個域，格式如下：,5.1.3用戶組賬號文件g

7、roup,/etc/group文件包含了Linux組的名稱和每個組中的成員列表。例如： wheel：x：10：evi,garth,trent 每一行代表了一個組其中包含有四個字段： 組名； 被加密的口令(已被廢棄，很少使用)； GID； 成員列表，彼此用逗號隔開(注意不要加空格)。 為了避免與廠商提供的GID發(fā)生沖突，一般從GID100開始分配本地組。,/etc/group的內容,5.1.4組賬號號文件gshadow,組口令與組的其他信息相分離的安全機制，其格式如下：,用戶組名:加 密的組口令: 組成員列表,supersun:8kuwngCidEio:liyangsuper,snoppy,de

8、siny,5.1.5 使用pwck和grpck命令驗證用戶和組文件,pwck用來驗證用戶賬號文件和影子文件的一致性，驗證文件中的每個數(shù)據(jù)項中每個域的格式以及數(shù)據(jù)的正確性。如果發(fā)現(xiàn)錯誤，該命令將會提示用戶對出現(xiàn)錯誤的數(shù)據(jù)項進行刪除。,該命令主要驗證每個數(shù)據(jù)項是否具有： 正確的域數(shù)目 唯一的用戶名 合法的用戶和組標識 合法的主要組群 合法的主目錄 合法的登錄shell。,pwck的使用,vi /etc/passwd 輸入其中沒有的用戶信息 pwck /etc/passwd 如果數(shù)據(jù)域的項數(shù)正確，只會反映出不存在相關的用戶信息，不會提示用戶刪除該信息 如果數(shù)據(jù)域項數(shù)不正確，系統(tǒng)提示用戶進行刪除，用戶

9、確定刪除后該文件驗證才通過。,案例一 新建一個user1用戶，UID、GID、主目錄均按默認； 新建一個user2用戶，UID=800、其余按默認； 新建一個user3用戶，默認主目錄為/abc、其余默認；并觀察這三個用戶的信息有什么不同； 分別為以上三個用戶設置密碼為123456； 把user1用戶改名為u1,UID改為700，主目錄為/test; 把u1用戶鎖定，在不同的終端分別登錄user2與u1,并觀察有什么現(xiàn)象；,5-2 用戶帳號的管理,1、用戶帳號的分類 超級用戶（UID=0） 普通用戶（500=UIDmax=60000） 操作權限受到限制 偽用戶（系統(tǒng)用戶） （UID=1499）

10、：限制本機登錄,2、用戶帳號包含的信息 用戶名： 口令： UID：用戶唯一標識符 GID：用戶組的唯一標識符 用戶描述信息： 用戶主目錄：用戶登錄的初始目錄 SHELL類型：設置SHELL程序的種類,3、用戶管理 1）添加新用戶 格式： useradd/adduser 參數(shù) 用戶名 參數(shù)： -u UID/指定用戶的UID值 -g 組名/指定用戶所屬的默認組 -G 組名/指定用戶附加組,-d 路徑 /指定用戶主目錄 -e 時間 /指定用戶帳號有效日期(YYYY-MM-DD) -s shell類型 /指定默認的shell類型 -m /建立用戶主目錄 -M /不建立用戶主目錄,實例： # usera

11、dd u2 /新建用戶 # useradd -g g2 u3 /新建用戶u3，主要群組為g2 # useradd -e 2009-08-12 u4 /,2）設置用戶口令 格式：passwd 選項 用戶名 d （delete） /刪除用戶口令 -l （lock） /暫時鎖定指定的用戶賬號 -u （unlock）/解除指定用戶賬號的鎖定 -S （status） /顯示指定用戶賬號的狀態(tài) 實例： #passwd u2,useradd r tom c “Tom” g jerry s /bin/sh d /home/Jone passwd tom Enter password:,passwd tom /

12、 設置口令 passwd -d tom /刪除用戶口令 passwd -l tom /鎖定賬號 passwd -u tom /解鎖賬號 passwd -S tom /顯示賬號,3）刪除用戶 格式： userdel 參數(shù) 用戶名 參數(shù)： -r / 同時刪除用戶主目錄 實例： # userdel u2 # userdel -r u3,4）修改用戶信息 格式： usermod 參數(shù) 用戶名 參數(shù)： -l 新用戶名 當前用戶名 /更改用戶名 -d 路徑 /更改用戶主目錄 -G 組名 /修改附加組 -L 用戶帳號名 /鎖定用戶帳號(不能登錄) -U 用戶帳號名 /解鎖用戶帳號,實例： # usermod

13、 -d /abc u3 # usermod -G group2 u3 # usermod -l user3 u3 # usermod -L user1 # usermod -U user1,usermod命令用來修改使用者賬號，具體修改信息和useradd命令所添加的信息一樣。,例子 usermod g super u 5600 jeffery,/將用戶jeffery組改為super,用戶id改為5600,usermod l honey-jone s /bin/ash c “honey-jone” jone,/將用戶jone改名為honey-jone,登錄的shell改為/bin/ash /用

14、戶描述改為“honey-jone”,5）切換用戶身份 格式： su - 用戶名 實例： #su / 切換到超級用戶 #su tom,6）查看用戶的UID GID和用戶所屬組群的信息 格式： id 用戶名 實例： #id tom,案例二,建立一個標準的組group1，GID=900； 建立一個標準組group2，選項為默認，觀察該組的信息有什么變化； 新建用戶ah、xh，再新建一個組group3，把root、u1、user2用戶添加到group1組中，把ah、xh添加到group2組， 把group3組改名為g3，GID=1000； 查看user2所屬于的組，并記錄； 刪除user1組與g3組，

15、觀察有什么情況發(fā)生；,5-3 組帳號管理,1、組的分類 私用組：創(chuàng)建用戶時自動創(chuàng)建的組 標準組：可以包含多個用戶的組,2、組的信息 組名：組的標識符號 口令 GID：組的唯一標識符 組的成員,3組帳號的管理 1）建立組 格式： groupadd 參數(shù) 組名 參數(shù)： -g GID /指定新建組的GID值 -r /建立偽用戶組（1-499） 實例： # groupadd g2 # groupadd r g3,例子： groupadd g 5400 testbed /創(chuàng)建一個gid為5400組名為testbed的用戶組,2）刪除組 格式： groupdel 組名 實例： groupdel g3,3）

16、修改組的信息 格式： groupmod 參數(shù) 組名 參數(shù)： -n 新組名 原組名 /修改組的名稱 -g GID/修改組的GID 實例： # groupmod -n group1 g1 # groupmod -g 860 g2,groupmod -n testbed-new testbed /將組testbed的名稱改為testbed-new groupmod -g 5404 testbed-new /將組testbed-new的gid改為5404 groupmod g 5405 n testbed-old testbed-new /將組testbed-new的gid改為5405,名稱改為tes

17、tbed-old,4）添加/刪除組成員 格式： gpasswd 參數(shù) 用戶名 組名 參數(shù)： -a 用戶名 /向指定組添加用戶 -d 用戶名 /從指定組中刪除用戶 實例： #gpasswd -a u1 root #gpasswd -d u1 root,5）顯示用戶所屬組 格式： groups 用戶名 實例： #groups （顯示當前用戶所屬組) #groups root （顯示root用戶的所屬組）,使用Red Hat用戶管理器管理用戶和組,啟動Red Hat用戶管理器 兩種方法： 一種通過shell，使用如下命令： redhat-config-users 第二種方法是通過圖形界面來啟動用戶管

18、理器。 【開始】|【系統(tǒng)設置】|【用戶和組群】菜 單項。,圖 形 界 面,用戶管理器,修改用戶屬性,修改帳號信息,修 改 口 令 信 息,修改組群,添 加 組 群,案例三,用root用戶登錄，在根目錄下新建一目錄test，設置文件的權限，當用戶u1登錄時，能進入到/test目錄之中，并能建立屬于u1用戶的文件；當用戶xh登錄時，只能進入到/test目錄中，但不能建立屬于xh用戶的文件； 以root身份登錄，在test目錄下新建一個文件ff與目錄dd，觀察新建文件及目錄的權限，進行一定的設置，讓新建的目錄具有寫與執(zhí)行的權限； 進行設置，把文件ff和目錄dd的所屬用戶變?yōu)閍h用戶；同時把目錄 dd

19、的權限設具有讀、寫、執(zhí)行的權限； 利用ah用戶登錄，來觀察對dd的操作情況；,5-4 權限管理,1、文件權限 定義：是一種限制用戶對文件操作的規(guī)則 Red Hat Linux 9.0系統(tǒng)中文件訪問權限通常分為三類 ： 讀： r 或 4 寫： w 或 2 執(zhí)行： x 或 1,2、權限值的表示方法 (1) 8進制數(shù)字表示 r ：4 w ：2 x ：1 rw ：6 rx ：5 wx ： 3 rwx ：7 0：代表沒有權限,(2)字符表示方法 r-： 只讀 -w-：寫 -x： 執(zhí)行 rw-：讀寫 -wx： 寫和執(zhí)行 r-x ：讀和執(zhí)行 rwx ： 讀寫執(zhí)行 -：無權限,3、權限設置的方法 （1）chmod 功能：設置用戶的文件操作權限 格式： 格式一：chmod 操作對象 操作符 權限 文件名 （稱為字符設定法） 命令中各選項的含義為：,(1) 操作對象 u 表示“用戶（user）”，即文件或目錄的所有者。 g 表示“同組（group）用戶”，即與文 件屬主有相 同組ID的所有用戶。 o 表示“其他（others）用戶”。 a 表示“所有（all）用戶”。它是系統(tǒng)默認值。,(2) 操作符號 + 添加某個權限。 - 取消某個權限。 = 設置唯一權限。,(3) 所