帳戶管理與權(quán)限管理

1、更多企業(yè)學(xué)院：中小企業(yè)管理全能版183套講座+89700份資料總經(jīng)理、高層管理49套講座+16388份資料中層管理學(xué)院46套講座+6020份資料國學(xué)智慧、易經(jīng)46套講座人力資源學(xué)院56套講座+27123份資料各階段員工培訓(xùn)學(xué)院77套講座+ 324份資料員工管理企業(yè)學(xué)院67套講座+ 8720份資料工廠生產(chǎn)管理學(xué)院52套講座+ 13920份資料財(cái)務(wù)管理學(xué)院53套講座+ 17945份資料銷售經(jīng)理學(xué)院56套講座+ 14350份資料銷售人員培訓(xùn)學(xué)院72套講座+ 4879份資料更多企業(yè)學(xué)院：中小企業(yè)管理全能版183套講座+89700份資料總經(jīng)理、高層管理49套講座+16388份資料中層管理學(xué)院46套講座+

2、6020份資料國學(xué)智慧、易經(jīng)46套講座人力資源學(xué)院56套講座+27123份資料各階段員工培訓(xùn)學(xué)院77套講座+ 324份資料員工管理企業(yè)學(xué)院67套講座+ 8720份資料工廠生產(chǎn)管理學(xué)院52套講座+ 13920份資料財(cái)務(wù)管理學(xué)院53套講座+ 17945份資料銷售經(jīng)理學(xué)院56套講座+ 14350份資料銷售人員培訓(xùn)學(xué)院72套講座+ 4879份資料linux帳戶管理、帳戶管理1、概述Linux 操作系統(tǒng)是多用戶操作系統(tǒng)， 帳戶實(shí)質(zhì)上就是一個用戶在系統(tǒng)上的 標(biāo)識，廣義上講， Linux 的帳戶包括用戶 帳戶和組帳戶兩種。用戶帳戶分為普 通用戶帳戶和超級用戶帳戶兩種。 管理員帳戶對系統(tǒng)具有絕對控制權(quán)； 組帳

3、戶分 為私有組和標(biāo)準(zhǔn)組，當(dāng)創(chuàng)建一個新用戶時(shí)，若沒 有指定他所屬于的組， Linux 就建立一個和該用戶同名的私有組， 此私有組中只包含該用戶自己， 標(biāo)準(zhǔn)組可以 容納多個用戶。 若使用標(biāo)準(zhǔn)組， 在創(chuàng)建一個新用戶 時(shí)就應(yīng)該指定他所屬于的組。 同一個用戶可以同屬于多個組， 其登錄后所屬的組稱為主組， 其它的組稱為附加 組。2、Linux 下的帳戶系統(tǒng)文件Linux 下的帳戶系統(tǒng)文件主要有 /etc/passwd 、 /etc/shadow 、/etc/group 和 /etc/gshadow 4 個。（ 1）/etc/passwd 文件中每行定義一個用戶帳號，一行中又劃分 為多個不同的字段定義用戶帳

4、號的不同屬性，各字段用“：”隔開。各字段定義如下： 用戶名：用戶登錄系統(tǒng)時(shí)使用的用戶名， 它在系統(tǒng)中是唯一 的。口令：此字段存放加密的口令。在此文件中的口令是 x，這表示用戶的口令是被 /etc/shadow 文件保護(hù)的，所有加密口令以及和口令有關(guān)的 設(shè)置都保存在 /etc/shadow 中。用戶標(biāo)識號： 是一個整數(shù)， 系統(tǒng)部用它來標(biāo)識用戶。 每個用 戶的UID都是唯一的。root用戶的UID是0, 1499是系統(tǒng)的標(biāo)準(zhǔn)帳戶，普通用 戶從 500開始。組標(biāo)識號：是一個整數(shù)，系統(tǒng)部用它來標(biāo)識用戶所屬的組。 注釋性描述：例如存放用戶全名等信息。 自家目錄：用戶登錄系統(tǒng)后進(jìn)入的目錄。命令解釋器：批示

5、該用戶使用的 shell ， Linux 默認(rèn)為 bash。（2）/etc/passwd 文件對任何用戶均可讀， 為了增加系統(tǒng)安全性， 用戶的口令通常用 shadow passwords 保護(hù)。 /etc/shadow 只對 root 用戶可讀。 在安裝系統(tǒng)時(shí)，會詢問用戶是否啟用 shadow passwords 功能。在安裝好系統(tǒng)后 也可以用 pwconv 命令和 pwunconv 來啟動或取消 shadow passwords 保護(hù)。經(jīng)過 shadow passwords 保護(hù)的帳戶口令和相關(guān)設(shè)置信息保存在 /etc/shadow 文件里。各字段意義如下：用戶名：用戶的帳戶名口令：用戶的口

6、令，是加密過的 最后一次修改時(shí)間：從 1970 年 1 月 1 日起，到用戶最后一 次更改口令的天數(shù)最小時(shí)間間隔：從 1970 年 1 月 1 日起，到用戶可以更改口 令的天數(shù)最大時(shí)間間隔：從 1970 年 1 月 1 日起，到用戶必須更改口 令的天數(shù)警告時(shí)間：在用戶口令過期之前多少天提醒用戶更新不活動時(shí)間：在用戶口令過期之后到禁用帳戶的天數(shù)失效時(shí)間：從 1970年 1月1 日起，到帳戶被禁用的天數(shù) 標(biāo)志：保留位（3）/etc/group 文件。將用戶分組是 Linux 中對用戶進(jìn)行管理 及控制訪問權(quán)限的一種手段。當(dāng)一個用戶同時(shí)是多個組的成員時(shí)，在 /etc/passwd 中記錄的是用戶所屬的

7、主組，也就是登錄時(shí)所屬的默認(rèn)組，而其他 的組稱為附加組。用戶要訪問附加組的文件時(shí)，必須首先使用 newgrp 命令使自 己成為所要訪問的組的成員。組的所有屬性都存放在 /etc/group 中，此文件對 任何用戶均可讀。各字段意義如下：組名：該組的名稱組口令：用戶組口令， 由于安全性原因， 已不使用該字段保存口令，用“X”占位GID ：組的識別號，和 UID 類似，每個組都有自己獨(dú)有的 ID 號，不同組的 GID 不會相同組成員：屬于這個組的成員（ 4）/etc/gshadow 文件用于定義用戶組口令、組管理員等信息，該文件只有 root 用戶可以讀取各字段意義如下： 組名：用戶組名稱，該字段

8、與 group 文件中的組名稱對應(yīng)組口令：用戶組口令，該字段用于保存已加密的口令組的管理員帳號：組的管理員帳號，管理員有權(quán)對該組添加、刪除帳號提示：帳戶管理的實(shí)質(zhì)就是管理上述的4 個帳戶系統(tǒng)文件添加新用戶修改已存在的指定用戶刪除已存在的指定帳戶， 添加新組修改已存在的指定組刪除已存在的指定組/ 創(chuàng)建一個新用戶 osmond/ 創(chuàng)建一個新組 staff/創(chuàng)建一個新用戶tom，同時(shí)加組成員：屬于該組的用戶成員列表，用“，”分隔3、使用命令行工具管理帳戶 管理帳戶的俱行工具及功能如下： useradd < 選項(xiàng) > < 用戶名 usermod < 選項(xiàng) > < 用

9、戶名 userdel -r < 用戶名 > -r 參數(shù)用于刪除用戶自家目錄 groupadd < 選項(xiàng)> < 組名 groupmod <選項(xiàng)> < 組名 groupdel < 組名 > 使用舉例： useradd osmond groupadd staff useradd -G staff tom 入 staff 附加組中/將osmo nd添加到附加組/ 刪除用戶/ 刪除用戶，同時(shí)刪除自家目錄/ 刪除組 staffpasswd 選項(xiàng) passwd -l < 用戶帳戶名 > passwd -S < 用戶帳戶名 >

10、 passwd -u < 用戶帳戶名 > passwd -d < 用戶帳戶名 >/ 禁用用戶帳戶口令/ 查看用戶帳戶口令狀態(tài)/ 恢復(fù)用戶帳戶口令/ 刪除用戶帳戶口令webmaster,指定登錄目錄為/，不創(chuàng)建自家用戶目錄（-M）usermod -G staff osmondstaff 中userdel webmaster userdel -r osmond groupdel staff4 、口令管理與口令時(shí)效（ 1） passwd 命令命令用來設(shè)置用戶口令，格式為：passwd< 用戶名>用戶修改自己的用戶密碼可直接鍵入passw d,若修改其他用戶密碼需加

11、用戶名。超級用戶還可以使用如下命令進(jìn)行用戶口令管理：（ 2） chage 命令 口令時(shí)效是系統(tǒng)管理員用來防止機(jī)構(gòu)不良口令的一種技術(shù)。在Linux系統(tǒng)上，口令時(shí)效是通過chage命令來管理的，格式為：chage 選項(xiàng) 用戶名-m面列出了 chage 命令的選項(xiàng)說明：days： 指定用戶必須改變口令所間隔的最少天數(shù)。如果值為 0，口令就不會過期-Mdays ： 指定口令有效的最多天數(shù)。當(dāng)該選項(xiàng)指定的天數(shù)加上 -d 選項(xiàng)指定的天數(shù)小于當(dāng)前的日期時(shí)，用戶在使用該帳號前就必須改變口 令。-ddays ： 指定從 1970 年 1 月 1 日起，口令被改變的天數(shù)。-Idays ： 指定口令過期后，帳號被鎖

12、前不活躍的天數(shù)。如果值為 0，帳號在口令過期后就不會被鎖。-E date:指定帳號被鎖的日期。日期格式 YYYY-MM-DD若不用日期，也可以使用自 1970年1月1日后經(jīng)過的天數(shù)。-W days: 指定口令過期前要警告用戶的天數(shù)。-l: 列出指定用戶當(dāng)前的口令時(shí)效信息，以確定帳號何時(shí)過期。例如下面的命令要求用戶 user1 兩天不能更改口令， 并且口 令最長的存活期為 30 天，并且口令過期前 5 天通知用戶chage -m 2 -M 30 -W 5 user1 可以使用如下命令查看用戶 user1 當(dāng)前的口令時(shí)效信息: chage -l user1提示: 1）可以使用 chage 用戶名

13、進(jìn)入交互模式修改用戶 的口令時(shí)效。2 ）修改口令實(shí)質(zhì)上就是修改影子口令文件 /etc/shadow 中與口令時(shí)效相關(guān)的字段值。5 、用戶和組狀態(tài)命令whoami： 用于顯示當(dāng)前用戶的名稱groups< 用戶名 >： 用于顯示指定用戶所屬的組， 若未指定用戶，則顯示當(dāng)前用戶所屬的組id ： 用于顯示用戶當(dāng)前的 UID、GID 和用戶所屬的組列表su -< 用戶名 > ： 用于轉(zhuǎn)換當(dāng)前用戶到指定的用戶帳號，若不 指定用戶名則轉(zhuǎn)換當(dāng)前用戶到 root ；若使用參數(shù)“ - ”，則在轉(zhuǎn)換當(dāng)前用戶的同 時(shí)轉(zhuǎn)換用戶工作環(huán)境。newgrp< 組名 > ： 用于轉(zhuǎn)換用戶的當(dāng)前

14、組到指定的附加組，用戶必須屬于該組才可以進(jìn)行。二、權(quán)限管理1 、3種基本權(quán)限在 Linux 中，將使用系統(tǒng)資源的人員分為 4 類：超級用戶、 文件或目錄的屬主、 屬主的同組人和其他人員。 超級用戶擁有對 Linux 系統(tǒng)一切操作權(quán)限，對于其他 3 類用戶都要指定對文件和目錄的訪問權(quán)限代表字符 權(quán)限對文件的含義r件的容w該文件對目錄的含義讀權(quán)限可以列出目錄中的文件列表寫權(quán)限可以在目錄中創(chuàng)建刪除文件執(zhí)行權(quán)限可以讀文可以修改可以執(zhí)行2 、查看文件和目錄的權(quán)限可以使用帶 l 參數(shù)的 ls 命令查看文件或目錄的權(quán)限每一行顯示一個文件或目錄的信息， 這些信息包括文件的類型、 文 件的權(quán)限、文件的屬主和文件

15、的所屬組， 還有文件的大小以及創(chuàng)建時(shí)間和文件名。 輸出列表中每一行第一列的第一個字母指示了該文件的類型。 各種文件類型及代 表字符如下：- ：普通文件 b ：塊文件設(shè)備 d ：目錄文件 c ：字 符文件設(shè)備 l ：符號文件 p ：管道文件第一列的其余 9 個字母可分為三組， 3 個字母一組，這 3 組分別代 表：文件屬主的權(quán)限、 文件所屬組的權(quán)限和其他用戶的權(quán)限。 每組中的 3 個欄位 分別表示讀、寫、執(zhí)行權(quán)限。3 、更改操作權(quán)限（ chmod） 系統(tǒng)管理員和文件屬主可以根據(jù)需要來設(shè)置文件的權(quán)限， 有兩種設(shè) 置方法：文字設(shè)定法和數(shù)值設(shè)定法。（1）文字設(shè)定法chomd 的文字設(shè)定法的格式為： c

16、hmodugoa+-=rwxugo<文件名或目錄名 >其中第 1 個選項(xiàng)表示要賦予權(quán)限的用戶，具體說明如下：屬主 g ：所屬組用戶 o ：其他用戶所有用戶 第 2 個選項(xiàng)表示要進(jìn)行的操作，具體說明如下：+ ：增加權(quán)限 - ：刪除權(quán)限 = ：分配權(quán)限，同時(shí) 將原有權(quán)限刪除第 3 個選項(xiàng)是要分配的權(quán)限，具體說明如下：r/x/w ：允許讀取 / 寫入 / 執(zhí)行 u/g/o ：和屬主 / 所屬 組用戶/ 其他用戶的權(quán)限相同例如：chmod go -r users/ 取消組用戶和其他用戶對文件users 的讀取權(quán)限chmod u+x users/ 對文件 users 的屬主增加招待權(quán)限chm

17、odu+x,go-r users / 對文件 users 的屬主添加執(zhí) 行權(quán)限，同時(shí)取消組用戶和其他用戶對文件的讀取權(quán)限（2）數(shù)值設(shè)定法chmod 的數(shù)值設(shè)定法的格式為： chmod n1n2n3 文件名或目 錄名其中 n1、n2、n3 分別代表屬主的權(quán)限、組用戶的權(quán)限和其 他用戶的權(quán)限，這三個選項(xiàng)都是八進(jìn)制數(shù)字。例如：chmod755 adduser/ 對文件 adduser 的屬設(shè)置可讀、寫和執(zhí)行的權(quán)限，所屬組和其他用戶只設(shè)置讀和執(zhí)行權(quán)限，沒有寫權(quán)限chmod600 user1/ 取消組用戶和其他用戶對文件userl的一切權(quán)限（原權(quán)限為-rw-r - r -）4 、更改屬組或同組人改變文件

18、的屬主和組可以用 chown 命令，命令格式為： chown-R< 用戶. 組> <文件或目錄 >。例如：chmod osmond user1 / 將文件 user1 的屬主改為 osmondchmod osmond.osmond user1 / 將文件 user1 的屬主和組都 改成 osmondchmod-R osmond.osmondmydir / 將 mydir 目錄及其子目錄 下的所有文件或目錄的屬主和組都改成 osmond5 、設(shè)置文件和目錄的生成掩碼用戶可以使用umask命令設(shè)置文件夾的默認(rèn)生成掩碼。默認(rèn)的生成掩碼告訴系統(tǒng)當(dāng)創(chuàng)建一個文件或目錄時(shí)不應(yīng)該賦予哪

19、些權(quán)限。如果用戶將umask命令放在環(huán)境文件(.bash_profile )中，就可以控制所有的新建文件或 目錄的訪問權(quán)限。其命令格式為： umask u1u2u3其中，u1、u2、u3分別表示的是不允許屬主有的權(quán)限、不允許同組人有的權(quán)限和不允許其他人有的權(quán)限。例如：umask/ 設(shè)置不允許同組用戶和其他用戶有寫權(quán)限umask/ 顯示當(dāng)前的默認(rèn)生成掩碼6 、特殊權(quán)限設(shè)置(1)SUID SGID和 sticky-bit除了上述的基本權(quán)限之外， 還有所謂的特殊權(quán)限存在。 由于 特殊權(quán)限會擁有一些“特權(quán)”， 因而用戶若無特殊需要， 不應(yīng)該去打開這些權(quán)限， 避免安全方面出現(xiàn)嚴(yán)重漏洞，甚至摧毀系統(tǒng)。下面

20、列出了 3 個特殊權(quán)限的說明：SUID： 當(dāng)一個設(shè)置了 SUID 位的可執(zhí)行文件被執(zhí)行時(shí)， 該文件以所有者的身份運(yùn)行， 也就是說無論誰來執(zhí)行這個文件， 他都擁有文件所有者 的特權(quán)，可以任意存取該文件 擁有者能使用的全部系統(tǒng)資源。如果所有者是 root ，那么執(zhí)行人就有超級用戶的特權(quán)了。SGID ：當(dāng)一個設(shè) 置了 SGID 位的可執(zhí)行文件被執(zhí)行時(shí)， 該文 件將具有所屬組的特權(quán)， 任意存取整個組所能使用的系統(tǒng)資源； 若一個目錄設(shè)置 了 SGID,則所有被復(fù)制到這個目錄 下的文件，其所屬的組都會被重設(shè)為和這個 目錄一樣，除非在復(fù)制文件時(shí)加上 -p（preserve ，保留文件屬性）參數(shù)，才能保 留原來所屬的群組設(shè)置。sticky-bit：對一個文件設(shè)置了 sticky-bit 之后，盡管其他用戶有寫權(quán)限，也必須由屬主執(zhí)行刪除、移動等操作，對一個目錄設(shè)置了 sticky-bit 之后，存放在該目錄下的文件僅允許其屬主執(zhí)行刪除、移動等操作。一個設(shè)置了 SUID的典型例子是passwd程序，它允許普通 用戶改變自己的口令，這是通過改變 /etc/shadow 文件的口令字段來實(shí)現(xiàn)的。然 而系統(tǒng) 管理員決不允許普通用戶擁有直接改變 /etc/shadow 文件的權(quán)限。解決 方法是將passwd程序設(shè)置SUID,當(dāng)p