UNIT4用戶管理_2011

1、 UNIT 5 UNIT 5 用戶管理配置文件用戶管理配置文件 用戶管理命令用戶管理命令用戶授權(quán)用戶授權(quán) 用戶信息文件用戶信息文件：/etc/passwd密碼文件密碼文件：/etc/shadow用戶組文件用戶組文件：/etc/group用戶配置文件用戶配置文件：/etc/login.defs 登錄信息文件登錄信息文件：/etc/motd /etc/issue1. 用戶信息文件：用戶信息文件：/etc/passwd 文件的權(quán)限是：文件的權(quán)限是：rw-r-r-該文件保存了該文件保存了每一個用戶賬號的相關(guān)信息每一個用戶賬號的相關(guān)信息，每一行是一，每一行是一個用戶賬號記錄，有幾行就代表在該系統(tǒng)中有幾個

2、注冊個用戶賬號記錄，有幾行就代表在該系統(tǒng)中有幾個注冊的用戶賬號。一個賬號記錄有的用戶賬號。一個賬號記錄有7個字段，各字段之間由個字段，各字段之間由冒號分隔，依次是：冒號分隔，依次是：賬號賬號:密碼位密碼位:UID:GID:備注備注:主目錄主目錄:所用所用shell用戶賬號用戶賬號 ：是用戶在系統(tǒng)中注冊所使用的名字，是：是用戶在系統(tǒng)中注冊所使用的名字，是用戶在系統(tǒng)中的符號標(biāo)識，建議只使用英文字母，一般用戶在系統(tǒng)中的符號標(biāo)識，建議只使用英文字母，一般不要超過不要超過8位，位，UNIX有此限制，它對超過有此限制，它對超過8位的賬號實位的賬號實際只取前際只取前8位。位。密碼位密碼位：早先的：早先的UN

3、IX是把密碼放在該字段中的，因是把密碼放在該字段中的，因該文件是對所有用戶開放的，易被竊取，為安全起見后該文件是對所有用戶開放的，易被竊取，為安全起見后來就將密碼移至加密的來就將密碼移至加密的/etc/shadow文件中，但該字文件中，但該字段依然保留著，其值段依然保留著，其值恒為恒為“x”。UID：用戶標(biāo)識碼用戶標(biāo)識碼。在。在UNIX系統(tǒng)中內(nèi)核是不認(rèn)識字系統(tǒng)中內(nèi)核是不認(rèn)識字母的，母的，只認(rèn)識數(shù)字代碼只認(rèn)識數(shù)字代碼，內(nèi)核操作的每一個對象，不管，內(nèi)核操作的每一個對象，不管是進(jìn)程、用戶、用戶組，還是文件，都需要有一個標(biāo)識是進(jìn)程、用戶、用戶組，還是文件，都需要有一個標(biāo)識它的數(shù)字代碼它的數(shù)字代碼ID，

4、內(nèi)核是通過，內(nèi)核是通過ID來識別對象的。來識別對象的。UID就是用戶賬號的就是用戶賬號的ID。 GID：用戶組標(biāo)識碼用戶組標(biāo)識碼。在。在UNIX/Linux中為便于分中為便于分類管理，類管理，每個用戶至少應(yīng)歸于一個用戶組每個用戶至少應(yīng)歸于一個用戶組。用戶組是。用戶組是同類型用戶的集合，即由具有某種相同屬性的若干用同類型用戶的集合，即由具有某種相同屬性的若干用戶組成，如組織內(nèi)的同一部門、同一戶組成，如組織內(nèi)的同一部門、同一project組、同一組、同一職業(yè)、同一活動團(tuán)體等，同組的用戶對系統(tǒng)資源享有職業(yè)、同一活動團(tuán)體等，同組的用戶對系統(tǒng)資源享有相同的權(quán)限。一個用戶可以同時是多個組的成員，相同的權(quán)限

5、。一個用戶可以同時是多個組的成員，GID是其初始組默認(rèn)組的組標(biāo)識碼，即在用戶注冊是其初始組默認(rèn)組的組標(biāo)識碼，即在用戶注冊時所指定的組時所指定的組，如果用戶自己沒指定，系統(tǒng)也會自動，如果用戶自己沒指定，系統(tǒng)也會自動地為其創(chuàng)建或指定一個默認(rèn)組。地為其創(chuàng)建或指定一個默認(rèn)組。這里涉及一個基本概念，在真正的這里涉及一個基本概念，在真正的LinuxLinux服務(wù)器管理服務(wù)器管理過程中，在新用戶注冊時，系統(tǒng)管理員必須將新用戶加過程中，在新用戶注冊時，系統(tǒng)管理員必須將新用戶加入進(jìn)一個用戶組，絕不能使該用戶不屬于任何一個組而入進(jìn)一個用戶組，絕不能使該用戶不屬于任何一個組而成為散兵游勇，否則，只能說明你的管理策略

6、很失敗，成為散兵游勇，否則，只能說明你的管理策略很失敗，你將不能有效地管理系統(tǒng)中的所有用戶。因為你添加一你將不能有效地管理系統(tǒng)中的所有用戶。因為你添加一個用戶總是有目的的，這個用戶需要做什么事情呢？你個用戶總是有目的的，這個用戶需要做什么事情呢？你應(yīng)該把他加入到相應(yīng)的組中，或者至少應(yīng)該按部門劃分，應(yīng)該把他加入到相應(yīng)的組中，或者至少應(yīng)該按部門劃分，把他加入到他所在的部門組中。把他加入到他所在的部門組中。注意：注意：LinuxLinux用戶組與用戶組與WindowsWindows用戶組在概念上有所用戶組在概念上有所不同，在不同，在WindowsWindows中，用戶組可以是嵌套組，即一個用戶中，用

7、戶組可以是嵌套組，即一個用戶組的成員可以是另一個用戶組；而組的成員可以是另一個用戶組；而LinuxLinux用戶組是不能嵌用戶組是不能嵌套的套的。備注備注：是對用戶賬號的注釋性描述，通常是指明用戶的：是對用戶賬號的注釋性描述，通常是指明用戶的實際姓名（全名）與身份，可缺省。但在真正管理一個服實際姓名（全名）與身份，可缺省。但在真正管理一個服務(wù)器時，有經(jīng)驗的系統(tǒng)管理員一般不會遺漏此項內(nèi)容。務(wù)器時，有經(jīng)驗的系統(tǒng)管理員一般不會遺漏此項內(nèi)容。主目錄主目錄：每個新用戶在注冊時都會被創(chuàng)建一個他自己的：每個新用戶在注冊時都會被創(chuàng)建一個他自己的主目錄，如果用戶自己不指定，則系統(tǒng)會自動為其創(chuàng)建一主目錄，如果用戶

8、自己不指定，則系統(tǒng)會自動為其創(chuàng)建一個與他賬號名同名的主目錄。個與他賬號名同名的主目錄。所用所用shell：默認(rèn)是：默認(rèn)是bash賬號賬號密碼密碼UIDGID備注備注主目錄主目錄shell/etc/passwd示例示例用戶賬號類型及其對應(yīng)的用戶賬號類型及其對應(yīng)的UID 超級用戶：超級用戶：UID=0普通用戶：普通用戶：UID=50060000偽用戶：偽用戶：UID=1499超級用戶超級用戶：UID=0，默認(rèn)賬號名為，默認(rèn)賬號名為root，具有最高，具有最高的權(quán)限，是為系統(tǒng)管理員專門設(shè)置的。但的權(quán)限，是為系統(tǒng)管理員專門設(shè)置的。但Linux允許允許有有多個多個UID為為0的賬號，的賬號，即超級用戶不

9、僅僅是即超級用戶不僅僅是root！當(dāng)超級用戶在當(dāng)超級用戶在/etc/passwd中把某個普通用戶賬號的中把某個普通用戶賬號的UID改為改為0，該用戶也同樣成為超級用戶了，與，該用戶也同樣成為超級用戶了，與root享有同樣的權(quán)限。可見，享有同樣的權(quán)限?？梢?，“超級用戶就是超級用戶就是root”這句話這句話并不完全對，應(yīng)該是并不完全對，應(yīng)該是“UIDUID為為0 0的用戶是超級用戶的用戶是超級用戶”。不過，設(shè)置多個超級用戶賬號需特別慎重。不過，設(shè)置多個超級用戶賬號需特別慎重。普通用戶普通用戶：UID對應(yīng)于對應(yīng)于50060000，默認(rèn)從，默認(rèn)從500開開始自動分配，也可以指定。事實上，目前的始自動分

10、配，也可以指定。事實上，目前的Linux版版本已經(jīng)可以支持到本已經(jīng)可以支持到232-1。偽用戶偽用戶：也稱：也稱虛用戶虛用戶或或特殊用戶特殊用戶。偽用戶是專為一些。偽用戶是專為一些系統(tǒng)進(jìn)程和服務(wù)器進(jìn)程而設(shè)置的，由系統(tǒng)在啟動時默認(rèn)系統(tǒng)進(jìn)程和服務(wù)器進(jìn)程而設(shè)置的，由系統(tǒng)在啟動時默認(rèn)創(chuàng)建。在創(chuàng)建。在Linux系統(tǒng)中任何一個進(jìn)程執(zhí)行都必須對應(yīng)有系統(tǒng)中任何一個進(jìn)程執(zhí)行都必須對應(yīng)有一個用戶賬號，對于一些一個用戶賬號，對于一些系統(tǒng)進(jìn)程和服務(wù)器進(jìn)程系統(tǒng)進(jìn)程和服務(wù)器進(jìn)程，不能，不能將它們都?xì)w屬于將它們都?xì)w屬于root用戶，因為一旦有人通過某種手段用戶，因為一旦有人通過某種手段得到了這些進(jìn)程的權(quán)限就等于竊取到了得到

11、了這些進(jìn)程的權(quán)限就等于竊取到了root的權(quán)限，這的權(quán)限，這樣非常危險。因此，就為這些進(jìn)程設(shè)置了相應(yīng)的偽用戶樣非常危險。因此，就為這些進(jìn)程設(shè)置了相應(yīng)的偽用戶（如）。所以偽用戶的最大作用就是在一些系統(tǒng)進(jìn)程和（如）。所以偽用戶的最大作用就是在一些系統(tǒng)進(jìn)程和服務(wù)器進(jìn)程啟動時調(diào)用的用戶賬號而已。服務(wù)器進(jìn)程啟動時調(diào)用的用戶賬號而已。偽用戶的特點(diǎn)偽用戶的特點(diǎn)是，它是不能登錄系統(tǒng)的是，它是不能登錄系統(tǒng)的，因為它既沒有可驗證的密碼，因為它既沒有可驗證的密碼也沒有宿主目錄，所以即便你獲得偽用戶的權(quán)限，你也也沒有宿主目錄，所以即便你獲得偽用戶的權(quán)限，你也沒有辦法登錄到?jīng)]有辦法登錄到Linux Server上進(jìn)行任何

12、的操作，這上進(jìn)行任何的操作，這就讓一些服務(wù)和系統(tǒng)取得了一定的就讓一些服務(wù)和系統(tǒng)取得了一定的安全性安全性。 2. 密碼文件密碼文件/etc/shadow只有超級用戶可讀寫的文件，即權(quán)限為：只有超級用戶可讀寫的文件，即權(quán)限為：r-w-/etc/shadow文件格式（文件格式（9 個字段）：個字段）：用戶賬號用戶賬號密碼密碼：該字段內(nèi)存放的是經(jīng)：該字段內(nèi)存放的是經(jīng)MD5加密后的密碼加密后的密碼密密文。注意：文。注意：如果密文被超級用戶刪除，那么該用戶不是如果密文被超級用戶刪除，那么該用戶不是不能登錄，而是不需輸入密碼就可直接登錄系統(tǒng)不能登錄，而是不需輸入密碼就可直接登錄系統(tǒng)。最近一次更改密碼的日期最

13、近一次更改密碼的日期：自：自1970年年1月月1日（日（UNIX誕生日）起累計的天數(shù)。誕生日）起累計的天數(shù)。最小時間間隔最小時間間隔：兩次更改密碼之間的最少天數(shù)，一：兩次更改密碼之間的最少天數(shù)，一般為般為0，表示不限制。，表示不限制。最大時間間隔最大時間間隔：密碼保持有效的最多天數(shù)。如果用：密碼保持有效的最多天數(shù)。如果用戶過期還不更改密碼，密碼從而賬號就會失效，用戶戶過期還不更改密碼，密碼從而賬號就會失效，用戶不能再登錄系統(tǒng)。不能再登錄系統(tǒng)。警告時間警告時間：密碼需要變更期限前的警告天數(shù)。：密碼需要變更期限前的警告天數(shù)。賬號閑置天數(shù)賬號閑置天數(shù)：用戶連續(xù)未登錄的天數(shù)：用戶連續(xù)未登錄的天數(shù)失效時

14、間失效時間：密碼失效的絕對天數(shù)：密碼失效的絕對天數(shù)保留字段保留字段/etc/shadow示例示例賬號賬號密碼密文密碼密文有效時間有效時間警告時間警告時間問題：問題：如果如果root用戶忘記了自己的密碼，用戶忘記了自己的密碼，可通過什么方法補(bǔ)救？可通過什么方法補(bǔ)救？關(guān)于密碼關(guān)于密碼UNIX和和Linux現(xiàn)使用的是現(xiàn)使用的是MD5加密法（早先是加密法（早先是DES，已被破解），已被破解），MD5有如下基本特點(diǎn)：有如下基本特點(diǎn)：密碼長度不受限制（概念上）；密碼長度不受限制（概念上）；不論密碼明文長度多長，密文長度固定（不論密碼明文長度多長，密文長度固定（255bit）；）；單向不可逆轉(zhuǎn)（由密碼密文無

15、法推算出密碼明文）。單向不可逆轉(zhuǎn)（由密碼密文無法推算出密碼明文）。事實上，任何密文都是可破解的，它取決于密碼構(gòu)造的事實上，任何密文都是可破解的，它取決于密碼構(gòu)造的復(fù)雜度和計算機(jī)的運(yùn)行速度。為安全起見，復(fù)雜度和計算機(jī)的運(yùn)行速度。為安全起見，一般要求密一般要求密碼長度在碼長度在8 8位或以上，且采用混合式密碼位或以上，且采用混合式密碼（字母、數(shù)字（字母、數(shù)字及符號混合）。在用及符號混合）。在用passwd命令建立密碼時，如果密命令建立密碼時，如果密碼過于簡單，系統(tǒng)將不予接受。碼過于簡單，系統(tǒng)將不予接受。3. 用戶組文件用戶組文件/etc/group文件格式（文件格式（4個字段）：個字段）：組名：初

16、始組名稱組名：初始組名稱組密碼位：組密碼一般不用組密碼位：組密碼一般不用GID：組標(biāo)識碼：組標(biāo)識碼組內(nèi)用戶：屬于該組的所有用戶賬號列表組內(nèi)用戶：屬于該組的所有用戶賬號列表復(fù)習(xí)：復(fù)習(xí)：1、linux用戶的信息保存在哪個文件中？用戶的信息保存在哪個文件中？2、 linux用戶的密碼信息保存在哪個文件中？用戶的密碼信息保存在哪個文件中？3、用戶組群信息保存在哪個文件中？、用戶組群信息保存在哪個文件中？4、普通用戶的、普通用戶的UID的范圍是多少？的范圍是多少？5、 1. groupaddgroupadd命令命令 功能：新建用戶組（寫入功能：新建用戶組（寫入/etc/group）執(zhí)行權(quán)限：執(zhí)行權(quán)限：超

17、級用戶超級用戶語法：語法： groupadd選項選項 用戶組名用戶組名選項選項-g gid：指定該組的：指定該組的GID。不常用。不常用。范例：范例：groupadd project1 groupadd -g 888 leaders 建立用戶組建立用戶組leadersleaders，GIDGID為為8888882. useradduseradd命令命令 功能：新建用戶賬號（寫入功能：新建用戶賬號（寫入/etc/passwd中）中）執(zhí)行權(quán)限：執(zhí)行權(quán)限：超級用戶超級用戶語法：語法： useradd選項選項 用戶賬號用戶賬號常用選項常用選項-g ：指定該用戶的初始組基本組。：指定該用戶的初始組基本組

18、。一般必須選用一般必須選用!-G ：該用戶加入的其他附加組：該用戶加入的其他附加組-c ：備注信息，若含有空格，需用雙引號擴(kuò)起：備注信息，若含有空格，需用雙引號擴(kuò)起-d ：主目錄：主目錄-u ：該用戶的：該用戶的UID-e ：失效日期，日期格式：失效日期，日期格式：yyyy-mm-dd -s ：所用：所用shell（默認(rèn)是（默認(rèn)是bash）范例：范例：useradd Jack 建立新賬號建立新賬號JackJack，默認(rèn)的基本組為，默認(rèn)的基本組為JackJack（不提倡?。ú惶岢。﹗seradd -g project1 -c “軟件軟件1部部 王林王林” Jack建立新賬號建立新賬號Jack

19、Jack，其基本組為，其基本組為project1project1，實際身份是，實際身份是軟件軟件1 1部的王林。部的王林。（強(qiáng)烈建議?。◤?qiáng)烈建議！） useradd -g project2 -c “市場部市場部 高建設(shè)高建設(shè)” -e 2012-09-30 TomGao建立新賬號建立新賬號TomGaoTomGao，實際身份是市場部的高建設(shè)，其，實際身份是市場部的高建設(shè)，其基本組為基本組為project2project2。3. passwdpasswd命令命令 功能：設(shè)置或更新密碼功能：設(shè)置或更新密碼執(zhí)行權(quán)限：所有用戶執(zhí)行權(quán)限：所有用戶語法語法1： passwd選項選項 用戶賬號用戶賬號/超級用

20、戶為用戶設(shè)置密碼超級用戶為用戶設(shè)置密碼常用的選項及其含義：（常用的選項及其含義：（僅超級用戶使用僅超級用戶使用）-l：鎖定用戶：鎖定用戶賬號。在鎖定期間不能登錄系統(tǒng)。賬號。在鎖定期間不能登錄系統(tǒng)。-u：解除用戶：解除用戶賬號的鎖定狀態(tài)賬號的鎖定狀態(tài)-S：查看用戶密碼狀態(tài)：查看用戶密碼狀態(tài)：鎖定？鎖定？空？空？-d：刪除用戶的密碼：刪除用戶的密碼語法語法2： passwd/用戶更新自己的密碼用戶更新自己的密碼范例：關(guān)范例：關(guān)Tom“Tom“禁閉禁閉”Tom這家伙最近常在主機(jī)上胡來，所以管理員想讓他暫時不能登這家伙最近常在主機(jī)上胡來，所以管理員想讓他暫時不能登錄，最簡單的方法是使用錄，最簡單的方法

21、是使用passwd命令改變其密碼的長度，從而命令改變其密碼的長度，從而使其賬號失效。使其賬號失效。添加了添加了2個個“！”，密文變長了，密文變長了鎖定鎖定Tom的賬號的賬號為什么普通用戶使用為什么普通用戶使用passwd命令可以更改密碼？命令可以更改密碼？ 已知密碼實際是存放在對普通用戶完全屏蔽的已知密碼實際是存放在對普通用戶完全屏蔽的/etc/shadow文件中的，按道理普通用戶是無法更改文件中的，按道理普通用戶是無法更改密碼的。秘密就在于密碼的。秘密就在于passwd這條命令。這條命令。 s=setUID是一種特殊的權(quán)限。是一種特殊的權(quán)限。setUID的定義：當(dāng)一個可執(zhí)行程序具有的定義：當(dāng)

22、一個可執(zhí)行程序具有setUID權(quán)限，權(quán)限，則用戶執(zhí)行這個程序時，將以這個程序?qū)僦鞯纳矸輬?zhí)行。則用戶執(zhí)行這個程序時，將以這個程序?qū)僦鞯纳矸輬?zhí)行。命令是種可執(zhí)行程序，在命令是種可執(zhí)行程序，在Linux中所有中所有shell命令的命令的屬主都是屬主都是root。因此，普通用戶在執(zhí)行具有。因此，普通用戶在執(zhí)行具有setUID權(quán)限權(quán)限的的passwd命令進(jìn)行修改密碼時，突然靈魂附體一下子命令進(jìn)行修改密碼時，突然靈魂附體一下子變成變成root了，是以了，是以root的身份在執(zhí)行修改密碼這個動作，的身份在執(zhí)行修改密碼這個動作，而而root是有權(quán)讀寫是有權(quán)讀寫/etc/shadow文件的。改完后又恢復(fù)文件的。

23、改完后又恢復(fù)原形變回普通用戶。原形變回普通用戶。超級用戶可使用超級用戶可使用chmod命令為某命令添加命令為某命令添加setUID權(quán)限，當(dāng)然必須非常慎重，否則很危險。權(quán)限，當(dāng)然必須非常慎重，否則很危險。一般格式：一般格式：#chmod u+s 命令名命令名 /為指定命令設(shè)置為指定命令設(shè)置setUID權(quán)限權(quán)限#chmod u-s 命令名命令名 /取消命令的取消命令的setUID權(quán)限權(quán)限設(shè)置設(shè)置setUID權(quán)限的實驗權(quán)限的實驗?zāi)敲?，系統(tǒng)中有哪些命令是具有那么，系統(tǒng)中有哪些命令是具有setUID權(quán)限的呢？權(quán)限的呢？我們可通過我們可通過find命令來查找：命令來查找：find / -perm -400

24、0發(fā)現(xiàn)有發(fā)現(xiàn)有40多條命令具有多條命令具有setUID權(quán)限，如權(quán)限，如passwd ping su write wall 練習(xí)：練習(xí)：1、新建一個用戶組，組名為、新建一個用戶組，組名為test；2、新建一個用戶組，組名為、新建一個用戶組，組名為test1，該組的，該組的GID為為555.3、新建一個用戶，用戶名為、新建一個用戶，用戶名為cxxy1,其所屬的組為其所屬的組為test，用戶主目錄為用戶主目錄為/home/cxxy1。4、為用戶、為用戶cxxy1設(shè)置密碼。（設(shè)置密碼。（root用戶來設(shè)置）用戶來設(shè)置）5、以用戶、以用戶cxxy1進(jìn)行登錄后，修改其密碼。進(jìn)行登錄后，修改其密碼。6、為命

25、令、為命令touch增加增加setUID的權(quán)限，以用戶的權(quán)限，以用戶cxxy登錄，登錄，用用touch命令建立新文件命令建立新文件fa，查看文件，查看文件fa的文件屬主。的文件屬主。7、減掉命令、減掉命令touch的的setUID權(quán)限。權(quán)限。4. usermod命令命令功能：修改賬號信息功能：修改賬號信息（包括（包括/etc/passwd和和/etc/shadow的內(nèi)容）的內(nèi)容）執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法：usermod 選項選項 用戶賬號用戶賬號選項及其含義：選項及其含義：與與useradd的選項幾乎完全相同，最常用的是：的選項幾乎完全相同，最常用的是：-l name：修

26、改賬號名（增加的選項）：修改賬號名（增加的選項）-G name：將用戶添加到指定的用戶組。：將用戶添加到指定的用戶組。范例：范例：usermod -G test Tom /將將Tom添加到添加到test組組 usermod -l JackLi -d /home/JackLi Jack /將將Jack更名為更名為JackLi并將用戶主目錄改為并將用戶主目錄改為/home/JackLi建立用戶組建立用戶組添加用戶賬號添加用戶賬號設(shè)置用戶的初始密碼設(shè)置用戶的初始密碼groupadd、useradd、passwd、usermod 應(yīng)用示例應(yīng)用示例vi /etc/passwd :vi /etc/grou

27、p :vi /etc/group :將用戶添加到組中：將用戶添加到組中：至此，建立用戶賬號至此，建立用戶賬號的整個過程的整個過程 OverOver用戶重設(shè)自己的密碼用戶重設(shè)自己的密碼：總算成功了！總算成功了！練習(xí)練習(xí)1、建立用戶組：、建立用戶組：coding，design，test，manag2、添加用戶賬號：、添加用戶賬號：jack（manag組），組），anna(coding組組),lisite(test組組) ,hellen(desing組組) tom(coding)。3、分別查看文件、分別查看文件/etc/passwd、/etc/group 文件看文件看以上用戶組與用戶賬號的添加是否成

28、功。以上用戶組與用戶賬號的添加是否成功。4、為、為jack用戶設(shè)置初始密碼，用戶設(shè)置初始密碼，jack用戶登錄用戶登錄linux系統(tǒng)系統(tǒng)后修改初始密碼。后修改初始密碼。7. groups命令與命令與newgrpnewgrp命令命令 當(dāng)前組（有效組）概念當(dāng)前組（有效組）概念一個用戶可屬于多個組，同時享有這些組的權(quán)限。但當(dāng)一個用戶可屬于多個組，同時享有這些組的權(quán)限。但當(dāng)用戶創(chuàng)建一個新文件時，該文件該屬于哪一個組呢？用戶創(chuàng)建一個新文件時，該文件該屬于哪一個組呢？使用使用groups命令可查看用戶屬于哪些組且當(dāng)前組是哪個？命令可查看用戶屬于哪些組且當(dāng)前組是哪個？groups命令的語法是：命令的語法是：

29、groups例如：例如：$groups design,test表明該用戶隸屬表明該用戶隸屬design組和組和test組，且組，且design為當(dāng)前組。為當(dāng)前組。用戶新建的文件屬于當(dāng)前組。用戶新建的文件屬于當(dāng)前組。使用使用newgrp命令可進(jìn)行當(dāng)前組的切換，將指定組切換命令可進(jìn)行當(dāng)前組的切換，將指定組切換為當(dāng)前組。語法為為當(dāng)前組。語法為newgrp 組名組名指定的組必須是該用戶已加入的組。例如指定的組必須是該用戶已加入的組。例如$newgrp test$groups test,design注意：在注銷時必須以初始組的身份才能完成注銷！注意：在注銷時必須以初始組的身份才能完成注銷！ 8. gro

30、upmodgroupmod命令命令 功能：修改用戶組屬性功能：修改用戶組屬性執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法： groupmod選項選項 用戶組名用戶組名選項選項-g gid：修改組的：修改組的GID。（一般不用）（一般不用）-n name：修改組名。：修改組名。范例：范例：groupmod -n apache project2 將組名將組名project2project2改為改為apacheapache9. userdeluserdel命令命令 功能：刪除用戶賬號功能：刪除用戶賬號執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法： user 選項選項 用戶賬號用戶賬號選項選項-r

31、 ：刪除用戶的主目錄。：刪除用戶的主目錄。一般來說這一選項是必須的。一般來說這一選項是必須的。范例：范例： userdel -r Jack 10. groupdel命令命令功能：刪除用戶組（功能：刪除用戶組（該組須是空組該組須是空組）。）。執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法：groupdel 用戶組名用戶組名 【應(yīng)用】【應(yīng)用】用戶組權(quán)限示例用戶組權(quán)限示例系統(tǒng)管理員為某用戶組建立一個共享目錄，使得此用戶系統(tǒng)管理員為某用戶組建立一個共享目錄，使得此用戶組的所有用戶對該目錄都具有組的所有用戶對該目錄都具有“寫寫”權(quán)限，即每個用戶權(quán)限，即每個用戶都可以在該目錄中建立文件。方法如下：都可以在

32、該目錄中建立文件。方法如下：用用mkdir命令在命令在/usr下建立一個目錄，如下建立一個目錄，如share；用用chgrp命令改變命令改變share的所屬組，從的所屬組，從root組改為指定組改為指定用戶組；用戶組；用用chmod命令為命令為share的組權(quán)限添加的組權(quán)限添加“寫寫”權(quán)限。權(quán)限。練習(xí)練習(xí)1、新建一個用戶組的命令是？、新建一個用戶組的命令是？2、新建用戶的命令是？、新建用戶的命令是？3、修改用戶組、用戶的命令分別是？、修改用戶組、用戶的命令分別是？4、刪除用戶、刪除用戶組的命令分別是？、刪除用戶、刪除用戶組的命令分別是？5、修改密碼的命令是？、修改密碼的命令是？11. pwck

33、命令命令功能：檢測功能：檢測/etc/passwd和和/etc/shadow文件的全整文件的全整性性執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法：pwck 12. id命令命令功能：查看用戶的功能：查看用戶的id和組信息。和組信息。執(zhí)行權(quán)限：執(zhí)行權(quán)限：所有用戶所有用戶語法：語法：id 用戶賬號用戶賬號 13. finger命令命令功能：查看用戶的詳細(xì)信息功能：查看用戶的詳細(xì)信息執(zhí)行權(quán)限：所有用戶執(zhí)行權(quán)限：所有用戶語法：語法：finger 用戶賬號用戶賬號 登錄主機(jī)登錄主機(jī)登錄時間登錄時間郵件郵件計劃任務(wù)計劃任務(wù)遠(yuǎn)程登錄遠(yuǎn)程登錄14. who命令與命令與w命令命令功能：查看在線用戶的信息功能：

34、查看在線用戶的信息執(zhí)行權(quán)限：所有用戶執(zhí)行權(quán)限：所有用戶語法：語法：who w 系統(tǒng)運(yùn)行時間系統(tǒng)運(yùn)行時間當(dāng)前用戶數(shù)當(dāng)前用戶數(shù)系統(tǒng)負(fù)載情況系統(tǒng)負(fù)載情況正在執(zhí)行的操作正在執(zhí)行的操作【應(yīng)用】【應(yīng)用】用戶的鎖定與解鎖用戶的鎖定與解鎖鎖定鎖定#usermod -L 用戶賬號用戶賬號#passwd -l 用戶賬號用戶賬號解鎖解鎖#usermod -U 用戶賬號用戶賬號#passwd -u 用戶賬號用戶賬號或或#passwd -fu 用戶賬號用戶賬號15. vipw命令與命令與vigr命令命令功能：功能：vipw為互斥編輯為互斥編輯/etc/passwd文件，文件，vigr為互為互斥編輯斥編輯/etc/gro

35、up文件。文件。目的是避免多個超級用戶同時對目的是避免多個超級用戶同時對/etc/passwd文件或文件或/etc/group文件進(jìn)行編輯。文件進(jìn)行編輯。執(zhí)行權(quán)限：超級用戶執(zhí)行權(quán)限：超級用戶語法：語法：vipw vigr 練習(xí)練習(xí)1、id命令的作用是什么？命令的作用是什么？2、finger命令的作用是什么？命令的作用是什么？3、who命令的作用是什么？命令的作用是什么？5、vipw與與vigr命令的作用是什么？命令的作用是什么？ su命令：命令：實現(xiàn)不同用戶身份之間的切換實現(xiàn)不同用戶身份之間的切換sudo命令：命令：以以root身份執(zhí)行授權(quán)命令身份執(zhí)行授權(quán)命令16. su命令命令功能：切換用戶

36、身份功能：切換用戶身份執(zhí)行權(quán)限：所有用戶執(zhí)行權(quán)限：所有用戶語法：語法：su 用戶賬號用戶賬號 su - 用戶賬號用戶賬號 為什么需要切換用戶身份？主要原因：為什么需要切換用戶身份？主要原因：使用普通用戶賬號：進(jìn)行系統(tǒng)日常工作的好習(xí)慣使用普通用戶賬號：進(jìn)行系統(tǒng)日常工作的好習(xí)慣 為了安全的緣故，盡量以普通用戶的身份來進(jìn)行為了安全的緣故，盡量以普通用戶的身份來進(jìn)行 Linux 的日常管理工作！等到需要設(shè)置系統(tǒng)環(huán)境時，才變的日常管理工作！等到需要設(shè)置系統(tǒng)環(huán)境時，才變換身份成為換身份成為 root 來進(jìn)行系統(tǒng)管理，相對比較安全！這可來進(jìn)行系統(tǒng)管理，相對比較安全！這可避免用錯一些臨界命令。避免用錯一些臨界

37、命令。 用較低權(quán)限啟動系統(tǒng)服務(wù)用較低權(quán)限啟動系統(tǒng)服務(wù) 相對于系統(tǒng)安全，有的時候，我們必須要以某些系相對于系統(tǒng)安全，有的時候，我們必須要以某些系統(tǒng)賬號來進(jìn)行程序的執(zhí)行。統(tǒng)賬號來進(jìn)行程序的執(zhí)行。 舉例來說，對于舉例來說，對于Linux 主機(jī)主機(jī)上的名為上的名為apache的的web服務(wù)器服務(wù)器 ，我們可以額外建立一，我們可以額外建立一個名為個名為apache的用戶賬號來啟動的用戶賬號來啟動 apache 軟件，如此軟件，如此一來，如果這個程序被攻破，至少系統(tǒng)還不至于就崩潰一來，如果這個程序被攻破，至少系統(tǒng)還不至于就崩潰了。了。(1)從普通用戶切換為從普通用戶切換為root（需輸入（需輸入root的密碼）的密碼）$su -/環(huán)境變量一起切換環(huán)境變量一起切換Password:注意，避免使用：注意，避免使用：$su /不切換環(huán)境變量不切換環(huán)境變量環(huán)境變量未被切換，仍是環(huán)境變量未被切換，仍是Lisite的環(huán)境變量值的環(huán)境變量值環(huán)境變量被切換成環(huán)境變量被切換成root的環(huán)境變量值的環(huán)境變量值(2)從從root切換為普通用戶（無需輸入用戶的密碼）切換為普通用戶（無需輸入用戶的密碼）#su - 用戶賬號用戶賬號例如：例如：#su - Lisite (3