Linux系統(tǒng)管理項(xiàng)目教程（RHEL8CentOS8）（微課版）-PPT項(xiàng)目3 管理Linux服務(wù)器的用戶和組

《Linux系統(tǒng)管理項(xiàng)目教程（RHEL8/CentOS8）（微課版）》國(guó)家精品課程和國(guó)家級(jí)精品資源共享課程配套教材項(xiàng)目3

管理Linux服務(wù)器的用戶和組人民郵電出版|楊云吳敏鄭叢編著能力CAPACITY要求了解用戶和組配置文件。熟練掌握Linux下用戶的創(chuàng)建與維護(hù)管理的方法。熟練掌握Linux下組的創(chuàng)建與維護(hù)管理的方法。熟悉用戶賬戶管理器的使用方法。思政IDEOLOGY導(dǎo)入“古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志”，鞭策學(xué)生努力學(xué)習(xí)。思政IDEOLOGY目標(biāo)了解中國(guó)國(guó)家頂級(jí)域名“CN”，了解中國(guó)互聯(lián)網(wǎng)發(fā)展中的大事，激發(fā)學(xué)生的自豪感。“古之立大事者，不惟有超世之才，亦必有堅(jiān)忍不拔之志”，鞭策學(xué)生努力學(xué)習(xí)。思政IDEOLOGY內(nèi)容1994年4月20日，一條64kbit/s的國(guó)際專線從中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心通過美國(guó)Sprint公司連入Internet，實(shí)現(xiàn)了我國(guó)與Internet的全功能連接。從此我國(guó)被國(guó)際上正式承認(rèn)為真正擁有全功能互聯(lián)網(wǎng)的國(guó)家。此事被我國(guó)新聞界評(píng)為1994年我國(guó)十大科技新聞之一，被國(guó)家統(tǒng)計(jì)公報(bào)列為我國(guó)1994年重大科技成就之一。1994年5月21日，在錢天白教授和德國(guó)卡爾斯魯厄大學(xué)的教授的協(xié)助下，中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心完成了我國(guó)國(guó)家頂級(jí)域名CN服務(wù)器的設(shè)置，改變了我國(guó)的頂級(jí)域名CN服務(wù)器一直放在國(guó)外的歷史。錢天白、錢華林分別擔(dān)任我國(guó)頂級(jí)域名CN的行政聯(lián)絡(luò)員和技術(shù)聯(lián)絡(luò)員。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：管理用戶和組一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶和組用戶賬戶是用戶的身份標(biāo)識(shí)。用戶通過用戶賬戶可以登錄到系統(tǒng)，并且訪問已經(jīng)被授權(quán)的資源。Linux系統(tǒng)下的用戶賬戶分為兩種：普通用戶賬戶和超級(jí)用戶賬戶（root）。在Linux系統(tǒng)中，為了方便管理員的管理和用戶工作的方便，產(chǎn)生了組的概念。組是具有相同特性的用戶的邏輯集合，在做資源授權(quán)時(shí)可以把權(quán)限賦予某個(gè)組，組中的成員即可自動(dòng)獲得這種權(quán)限。一個(gè)用戶賬戶可以同時(shí)是多個(gè)組的成員，其中某個(gè)組是該用戶的主組（私有組），其他組為該用戶的附屬組（標(biāo)準(zhǔn)組）。一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶和組用戶和組相關(guān)的一些基本概念如下表：root用戶的UID為：系統(tǒng)用戶的UID從1到999；普通用戶的UID可以在創(chuàng)建時(shí)由管理員指定，如果不指定，用戶的UID默認(rèn)從1000開始順序編號(hào)。在Linux系統(tǒng)中，創(chuàng)建用戶賬戶的同時(shí)也會(huì)創(chuàng)建一個(gè)與用戶同名的組，該組是用戶的主組。普通組的GID默認(rèn)也是從1000開始編號(hào)。概

念描

述用戶名用來標(biāo)識(shí)用戶的名稱，可以是字母、數(shù)字組成的字符串，區(qū)分大小寫密碼用于驗(yàn)證用戶身份的特殊驗(yàn)證碼用戶標(biāo)識(shí)（UserID，UID）用來表示用戶的數(shù)字標(biāo)識(shí)符用戶主目錄用戶的私人目錄，也是用戶登錄系統(tǒng)后默認(rèn)所在的目錄登錄shell用戶登錄后默認(rèn)使用的shell程序，默認(rèn)為/bin/bash組具有相同屬性的用戶屬于同一個(gè)組組標(biāo)識(shí)（GroupID，GID）用來表示組的數(shù)字標(biāo)識(shí)符用戶賬戶信息和組信息分別存儲(chǔ)在用戶賬戶文件和組文件中。1．/etc/passwd文件準(zhǔn)備工作：新建用戶bobby、user1、user2，將user1和user2加入bobby組。

[root@Server01~]#useraddbobby[root@Server01~]#useradduser1[root@Server01~]#useradduser2[root@Server01~]#usermod-Gbobbyuser1[root@Server01~]#usermod-Gbobbyuser2一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶文件用戶賬戶信息和組信息分別存儲(chǔ)在用戶賬戶文件和組文件中。用vim編輯器（或者使用cat/etc/passwd）打開passwd文件，內(nèi)容格式如下：root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinuser1:x:1002:1002::/home/user1:/bin/bash一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶文件用戶賬戶信息和組信息分別存儲(chǔ)在用戶賬戶文件和組文件中。2．/etc/shadow文件由于所有用戶對(duì)/etc/passwd文件均有讀取權(quán)限，為了增強(qiáng)系統(tǒng)的安全性，用戶經(jīng)過加密之后的口令都存放在/etc/shadow文件中。/etc/shadow文件只對(duì)root用戶可讀，shadow文件的內(nèi)容形式如下root:$6$.ogTGgxg60WtMR/w$xNVm8hVU1YVSjkKhtqGAkWgsDIvCuDOFgNl.0jec.myzm9tlZ3igOXgyX5UvGDvL8sptG8VNrKDsv8t0Qb0Pi/:18495:0:99999:7:::bin:*:18199:0:99999:7:::daemon:*:18199:0:99999:7:::bobby:!!:18495:0:99999:7:::user1:!!:18495:0:99999:7:::一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶文件用戶賬戶信息和組信息分別存儲(chǔ)在用戶賬戶文件和組文件中。3．/etc/login.defs文件建立用戶賬戶時(shí)會(huì)根據(jù)/etc/login.defs文件的配置設(shè)置用戶賬戶的某些選項(xiàng)。該配置文件的有效設(shè)置內(nèi)容及中文注釋如下所示。MAIL_DIR/var/spool/mail //用戶郵箱目錄MAIL_FILE.mailPASS_MAX_DAYS99999 //賬戶密碼最長(zhǎng)有效天數(shù)PASS_MIN_DAYS0 //賬戶密碼最短有效天數(shù)PASS_MIN_LEN5 //賬戶密碼的最小長(zhǎng)度PASS_WARN_AGE7 //賬戶密碼過期前提前警告的天數(shù)UID_MIN1000 //用useradd命令創(chuàng)建賬戶時(shí)自動(dòng)產(chǎn)生的最小UID值UID_MAX60000 //用useradd命令創(chuàng)建賬戶時(shí)自動(dòng)產(chǎn)生的最大UID值GID_MIN1000 //用groupadd命令創(chuàng)建組時(shí)自動(dòng)產(chǎn)生的最小GID值GID_MAX60000 //用groupadd命令創(chuàng)建組時(shí)自動(dòng)產(chǎn)生的最大GID值USERDEL_CMD/usr/sbin/userdel_local //如果定義的話，將在刪除用戶時(shí)執(zhí)行，以刪除相應(yīng)用戶的計(jì)劃作業(yè)和打印作業(yè)等CREATE_HOMEyes //創(chuàng)建用戶賬戶時(shí)是否為用戶創(chuàng)建主目錄一、項(xiàng)目知識(shí)準(zhǔn)備理解用戶賬戶文件組賬戶的信息存放在/etc/group文件中，而關(guān)于組管理的信息（組口令、組管理員等）則存放在/etc/gshadow文件中。1．/etc/group文件使用cat/etc/group命令可以查看整個(gè)文件內(nèi)容組名稱:組口令（一般為空，用x占位）:GID:組成員列表root:x:0:bin:x:1:daemon:x:2:bobby:x:1001:user1,user2user1:x:1002:一、項(xiàng)目知識(shí)準(zhǔn)備理解組文件組賬戶的信息存放在/etc/group文件中，而關(guān)于組管理的信息（組口令、組管理員等）則存放在/etc/gshadow文件中。2．/etc/gshadow文件使用cat/etc/gshadow命令可以查看整個(gè)文件內(nèi)容（組名稱:加密后的組口令（沒有就用?。?組的管理員:組成員列表）root:::bin:::daemon:::bobby:!::user1,user2user1:!::user2:!::一、項(xiàng)目知識(shí)準(zhǔn)備理解組文件項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：管理用戶和組二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備當(dāng)服務(wù)器安裝完成后，需要對(duì)用戶帳戶和組、文件權(quán)限、RAID、LVM邏輯卷、磁盤配額等內(nèi)容進(jìn)行管理。在進(jìn)行本項(xiàng)目的教學(xué)與實(shí)驗(yàn)前，需要做好如下準(zhǔn)備：（1）已經(jīng)安裝好的RHEL8。（2）RHEL8安裝光盤或ISO映像文件。（3）VMware15.5以上虛擬機(jī)軟件。（4）設(shè)計(jì)教學(xué)或?qū)嶒?yàn)用的用戶及權(quán)限列表。本項(xiàng)目的所有實(shí)例都在服務(wù)器Server01上完成。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄：管理用戶和組三、項(xiàng)目實(shí)施任務(wù)3-1新建用戶在系統(tǒng)新建用戶可以使用useradd或者adduser命令。useradd命令的格式是：useradd[選項(xiàng)]<username>【例3-1】新建用戶user3，UID為1010，指定其所屬的私有組為group1（group1組的標(biāo)識(shí)符為1010），用戶的主目錄為/home/user3，用戶的shell為/bin/bash，用戶的密碼為12345678，賬戶永不過期。[root@Server01~]#groupadd-g1010group1//新建組group1，其GID為1010[root@Server01~]#useradd-u1010-g1010-d/home/user3-s/bin/bash-p12345678-f-1user3[root@Server01~]#tail-1/etc/passwduser3:x:1010:1010::/home/user3:/bin/bash[root@Server01~]#grepuser3/etc/shadow //grep用于查找文件里符合條件的字符串user3:12345678:18495:0:99999:7::: //這種方式下生成的密碼是明文，即12345678三、項(xiàng)目實(shí)施任務(wù)3-2設(shè)置用戶賬戶口令1．passwd命令指定和修改用戶賬戶口令的命令是passwd。超級(jí)用戶可以為自己和其他用戶設(shè)置口令，而普通用戶只能為自己設(shè)置口令。passwd命令的格式為：passwd[選項(xiàng)][username]【例3-2】假設(shè)當(dāng)前用戶為root，則下面的兩個(gè)命令分別為root用戶修改自己的口令和root用戶修改user1用戶的口令。//root用戶修改自己的口令，直接用passwd命令回車即可[root@Server01~]#passwd//root用戶修改user1用戶的口令[root@Server01~]#passwduser1三、項(xiàng)目實(shí)施任務(wù)3-2設(shè)置用戶賬戶口令2．chage命令要修改用戶賬戶口令，也可以用chage命令實(shí)現(xiàn)?！纠?-3】設(shè)置user1用戶的最短口令存活期為6天，最長(zhǎng)口令存活期為60天，口令到期前5天提醒用戶修改口令。設(shè)置完成后查看各屬性值。[root@Server01~]#chage-m6-M60-W5user1[root@Server01~]#chage-luser1三、項(xiàng)目實(shí)施任務(wù)3-3維護(hù)用戶賬戶1．修改用戶賬戶usermod命令用于修改用戶的屬性，格式為“usermod[選項(xiàng)]用戶名”。usermod命令的參數(shù)以及作用如表所示:三、項(xiàng)目實(shí)施任務(wù)3-3維護(hù)用戶賬戶2．禁用和恢復(fù)用戶賬戶有時(shí)需要臨時(shí)禁用一個(gè)賬戶而不刪除它。禁用用戶賬戶可以用passwd或usermod命令實(shí)現(xiàn)，也可以直接修改/etc/passwd或/etc/shadow文件。例如，暫時(shí)禁用和恢復(fù)user3賬戶，可以使用以下3種方法實(shí)現(xiàn)。（1）使用passwd命令（被鎖定用戶的密碼必須是使用passwd命令生成的）[root@Server01~]#passwd-luser1 //鎖定用戶user1鎖定用戶user1的密碼。passwd:操作成功三、項(xiàng)目實(shí)施任務(wù)3-3維護(hù)用戶賬戶2．禁用和恢復(fù)用戶賬戶（2）使用usermod命令[root@Server01~]#usermod-Luser1 //禁用user1賬戶[root@Server01~]#usermod-Uuser1 //解除user1賬戶的鎖定三、項(xiàng)目實(shí)施任務(wù)3-3維護(hù)用戶賬戶2．禁用和恢復(fù)用戶賬戶（3）直接修改用戶賬戶配置文件可將/etc/passwd文件或/etc/shadow文件中關(guān)于user1賬戶的passwd域的第一個(gè)字符前面加上一個(gè)“*”，達(dá)到禁用賬戶的目的，在需要恢復(fù)的時(shí)候只要?jiǎng)h除字符“*”即可。三、項(xiàng)目實(shí)施任務(wù)3-3維護(hù)用戶賬戶3．刪除用戶賬戶要?jiǎng)h除一個(gè)賬戶，可以直接刪除/etc/passwd和/etc/shadow文件中要?jiǎng)h除的用戶所對(duì)應(yīng)的行，或者用userdel命令刪除。userdel命令的格式為：userdel[-r]用戶名三、項(xiàng)目實(shí)施任務(wù)3-4管理組組管理包括新建組、維護(hù)組賬戶和為組添加用戶等內(nèi)容。1.維護(hù)組賬戶創(chuàng)建組和刪除組的命令與創(chuàng)建、維護(hù)賬戶的命令相似。創(chuàng)建組可以使用命令groupadd或者addgroup。例如，創(chuàng)建一個(gè)新的組，組的名稱為testgroup，可用以下命令：[root@Server01~]#groupaddtestgroup要?jiǎng)h除一個(gè)組可以用groupdel命令，例如刪除剛創(chuàng)建的testgroup組時(shí)可用以下命令：[root@Server01~]#groupdeltestgroup修改組的命令是groupmod，其命令格式為groupmod[選項(xiàng)]組名三、項(xiàng)目實(shí)施任務(wù)3-4管理組組管理包括新建組、維護(hù)組賬戶和為組添加用戶等內(nèi)容。2.為組添加用戶在RedHatLinux中使用不帶任何參數(shù)的useradd命令創(chuàng)建用戶時(shí)，會(huì)同時(shí)創(chuàng)建一個(gè)和用戶賬戶同名的組，稱為主組。當(dāng)一個(gè)組中必須包含多個(gè)用戶時(shí)，則需要使用附屬組。在附屬組中增加、刪除用戶都用gpasswd命令。gpasswd命令的格式為gpasswd[選項(xiàng)][用戶][組]例如，要把user1用戶加入testgroup組，并指派user1為管理員，可以執(zhí)行下列命令：[root@Server01~]#groupaddtestgroup[root@Server01~]#gpasswd-auser1testgroup[root@Server01~]#gpasswd-Auser1testgroup三、項(xiàng)目實(shí)施任務(wù)3-5使用su命令su命令su命令可以解決切換用戶身份的需求，使得當(dāng)前用戶在不退出登錄的情況下，順暢地切換到其他用戶，比如從root管理員切換至普通用戶[root@Server01~]#su-test[test@Server01~]$三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。1．vipw命令vipw命令在功能上等同于“vi/etc/passwd”命令，但是比直接使用vi命令更安全。該命令的語法為：[root@Server01~]#vipw三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。2．vigr命令vigr命令在功能上等同于“vi/etc/group”命令，但是比直接使用vi命令更安全。vigr命令的語法為：[root@Server01~]#vigr三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。3．pwck命令pwck命令用于驗(yàn)證用戶賬戶文件認(rèn)證信息的完整性。該命令檢測(cè)/etc/passwd文件和/etc/shadow文件每行中字段的格式和值是否正確。pwck命令的語法為：[root@Server01~]#pwck三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。4．grpck命令grpck命令用于驗(yàn)證組文件認(rèn)證信息的完整性。該命令還可檢測(cè)/etc/group文件和/etc/gshadow文件每行中字段的格式和值是否正確。grpck命令的語法為：[root@Server01~]#grpck三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。5．id命令id命令用于顯示一個(gè)用戶的UID和GID以及用戶所屬的組列表。在命令行輸入id直接回車將顯示當(dāng)前用戶的ID信息。id命令的語法為id[選項(xiàng)]用戶名例如，顯示user1用戶的UID、GID信息的實(shí)例如下所示：[root@Server01~]#iduser1uid=8888(user1)gid=1002(user1)組=1002(user1),1011(testgroup),0(root)三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。6．whoami命令whoami命令用于顯示當(dāng)前用戶的名稱。whoami命令與id-un命令的作用相同。[root@Server01~]#su-user1[user1@Server01~]$whoamiUser1[root@Server01~]#exit三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。7．newgrp命令newgrp命令用于轉(zhuǎn)換用戶的當(dāng)前組到指定的主組，對(duì)于沒有設(shè)置組口令的組賬戶，只有組的成員才可以使用newgrp命令改變主組身份到該組。如果組設(shè)置了口令，其他組的用戶只要擁有組口令也可以將主組身份改變到該組。三、項(xiàng)目實(shí)施任務(wù)3-6使用常用的賬戶管理命令賬戶管理命令可以在非圖形化操作中對(duì)賬戶進(jìn)行有效管理。7．newgrp命令應(yīng)用案例如下：[root@Server01~]#id //顯示當(dāng)前用戶的giduid=0(root)gid=0(root)組=0(root)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#newgrpgroup1 //改變用戶的主組[root@Server01~]#iduid=0(root)gid=1010(group1)組=1010(group1)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#newgrp //newgrp命令不指定組時(shí)轉(zhuǎn)換為用戶的私有組[root@Server01~]#iduid=0(root)gid=0(root)組=0(root),1010(group1)環(huán)境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023三、項(xiàng)目實(shí)施3.4企業(yè)實(shí)戰(zhàn)與應(yīng)用——賬號(hào)管理實(shí)例1．情境假設(shè)需要的賬號(hào)數(shù)據(jù)如表所示，你該如何操作？賬號(hào)名稱賬號(hào)全名支持次要組是否可登錄主機(jī)口

令myuser11stusermygroup1可以Passwordmyuser22ndusermygroup1可以Passwordmyuser33rduser無額外支持不可以password三、項(xiàng)目實(shí)施3.4企業(yè)實(shí)戰(zhàn)與應(yīng)用——賬號(hào)管理實(shí)例2．解決方案#先處理賬號(hào)相關(guān)屬性的數(shù)據(jù)：[r