第八講Linux用戶及權(quán)限管理-課件

Linux用戶及權(quán)限管理

目的、要求了解Linux的用戶文件，掌握Linux用戶及權(quán)限管理方法。Linux用戶及權(quán)限管理目的、要求Linux的用戶管理

用戶和用戶組

在Linux操作系統(tǒng)中，每一個文件和目錄都歸屬某一用戶和特定的組。一個用戶擁有唯一的用戶標(biāo)識(UID)，一個組也擁有唯一的組標(biāo)識(GID)，一個用戶可以歸屬一個或多個組。用戶分為超級用戶(root)和普通用戶兩種。超級用戶具有至高無上的全部權(quán)限，其UID為0。普通用戶只擁有有限的系統(tǒng)權(quán)限，UID默認從500開始分配。執(zhí)行任何程序?qū)⒗^承調(diào)用它的用戶對系統(tǒng)的權(quán)限，但無法超越用戶權(quán)限，從而保證了Linux操作系統(tǒng)的安全性。Linux的用戶管理用戶和用戶組用戶賬號文件/etc/passwd

行結(jié)構(gòu)如下：logname:password:uid:gid:userinfo:home:shell其中：logname：用戶名。x：加密口令表示。uid：用戶ID。gid：組ID。userinfo：用戶相關(guān)信息。home ：用戶家目錄。shell：用戶shell環(huán)境。用戶賬號文件/etc/passwd用戶影子文件/etc/shadow行結(jié)構(gòu)如下：logname:password:lastchg:min:max:warn:inactive:expire:flag其中：logname：用戶名。password：加密口令。lastchg：1970年1月1日起至上次修改口令的天數(shù)。min：兩次修改口令之間至少的天數(shù)。max：口令還有效的最大天數(shù)，99999表示長期有效。warn：口令失效前多少天向系統(tǒng)發(fā)送警告信息。inactive ：用戶有效的天數(shù)。expire：用戶被禁止登錄的時間。flag ：保留，暫未使用。用戶影子文件/etc/shadow用戶組文件/etc/group行結(jié)構(gòu)如下：group:password:gid:member其中：group：組名。password ：組加密口令。gid：組ID。member：用“，”分隔的組成員。用戶組文件/etc/group增加用戶

useradd[選項]用戶名主要的[選項]如下。-c：指定用戶信息-d：設(shè)定用戶家目錄-g：設(shè)定基本組-s：設(shè)定用戶shell環(huán)境-u：設(shè)定用戶ID例如，增加test用戶，家目錄為/var/testtest：#useradd–c“thisistestuser”–d/var/testtest增加用戶授權(quán)和修改用戶口令

passwd[選項]用戶名主要的[選項]如下。-d：取消用戶登錄口令。例如，授權(quán)或修改test用戶口令：#passwdtest刪除用戶userdel[選項]用戶名主要的[選項]如下。-r：連用戶家目錄一起刪除。例如，刪除test用戶,但要保留用戶的文件資料：#userdeltest授權(quán)和修改用戶口令增加用戶組

groupadd組名例如，增加test組：#groupaddtest刪除用戶組

groupdel組名例如，刪除test用戶組：#groupdeltest增加用戶組vi命令管理用戶和組

通過命令vi直接修改/etc/passwd、/etc/group和/etc/shadow文件來直接管理用戶和組。但是，修改或授權(quán)用戶密碼時，只能使用命令#passwd來實現(xiàn)。vi命令管理用戶和組Linux的權(quán)限及管理

Linux被公認為是安全性最高的網(wǎng)絡(luò)操作系統(tǒng)，這是由Linux特有的權(quán)限機制所決定的。Linux系統(tǒng)中普通用戶對系統(tǒng)文件及用戶之間文件的訪問受到嚴(yán)格的控制。默認情況下，普通用戶不能修改系統(tǒng)文件、不能訪問其他用戶生成的文件。因此，由普通用戶帶來的病毒、木馬等對系統(tǒng)或其他用戶文件的破壞力幾乎為零。

Linux的權(quán)限及管理Linux被公認為是安全性最高的網(wǎng)權(quán)限結(jié)構(gòu)

Linux的權(quán)限結(jié)構(gòu)由三大類權(quán)限組成，分別為文件屬主、組和其他用戶類權(quán)限。每一類權(quán)限又由只讀、可寫和執(zhí)行三種權(quán)限組合而成。只讀權(quán)限r(nóng)表示只允許該類用戶讀其內(nèi)容；可寫權(quán)限w表示允許該類用戶對文件內(nèi)容進行修改；執(zhí)行權(quán)限x表示允許該類用戶把文件當(dāng)程序執(zhí)行。如–rwxrwxr-xtestgroup130000…file1drwxr-x---usergroup25000…dir1（$ls–l查看解釋）數(shù)字與權(quán)限關(guān)系

數(shù)字“4”表示只讀權(quán)限r(nóng)，數(shù)字“2”表示可寫權(quán)限w，數(shù)字“1”表示具有可執(zhí)行權(quán)限x，用“數(shù)字加和”的辦法表示同類用戶具有的權(quán)限，“7”則由4+2+1組成?！?77”表示將開放文件的所有權(quán)限給所有的用戶。權(quán)限結(jié)構(gòu)超級用戶的權(quán)限

Linux系統(tǒng)規(guī)定root用戶擁有系統(tǒng)的所有權(quán)限。所以，如果root用戶的密碼泄露給危險的黑客（Cracker）,系統(tǒng)就有被毀滅的危險。改變文件的用戶屬性

改變文件的用戶屬性（文件屬主和組）能夠達到改變用戶權(quán)限的目的。chown文件屬主名：組名文件名主要選項：-R（或r)對子目錄進行遞歸處理#chownroot:testaa#chown－Rroot:testdir1超級用戶的權(quán)限改變文件的權(quán)限

chmod數(shù)字權(quán)限文件名主要選項：-R（或r)對子目錄進行遞歸處理#chmod664aa強制位與冒險位

Linux的EXT3文件系統(tǒng)還增加一個強制位(suid、sgid)與冒險位(stick)權(quán)限。強制位權(quán)限對可執(zhí)行文件有意義。強制位suid對可執(zhí)行文件的作用是使執(zhí)行該文件的用戶具有執(zhí)行文件屬主的權(quán)限。強制位sgid對文件的作用是執(zhí)行該文件的用戶具有和該執(zhí)行文件同組用戶相同的權(quán)限。強制位sgid對目錄的作用是用戶在該目錄中生成的文件其文件組名自動改為目錄的組名。目錄的冒險位stick的作用是某用戶在該目錄中生成的文件，其他用戶無權(quán)刪除，常常用于設(shè)定ftp服務(wù)器上傳目錄，以防止用戶之間相互刪除對方文件。改變文件的權(quán)限強制位與冒險位的設(shè)定方法

chmod數(shù)字權(quán)限文件名主要選項：-R（或r)對子目錄進行遞歸處理強制位與冒險位的設(shè)定方法是在原系統(tǒng)權(quán)限的最前方再增加一位。其中：數(shù)字“4”表示設(shè)定強制位suid，數(shù)字“2”表示設(shè)定強制位sgid，數(shù)字“1”表示設(shè)定冒險位stick。例如，設(shè)定文件aa的強制位suid的命令如下。#chmod4664aa強制位與冒險位的設(shè)定方法系統(tǒng)變量umask的作用

用于設(shè)定文件或目錄的默認權(quán)限1、確定目錄權(quán)限

777-umask2、確定文件權(quán)限

666-umask3、例如：umask=022 目錄權(quán)限：755

文件權(quán)限：644系統(tǒng)變量umask的作用上機作業(yè)建立用戶user1,設(shè)定密碼為user1,用戶家目錄為/var/user1，默認的登錄shell為/bin/csh。用groupadd命令向系統(tǒng)增加一個名為teacher的組。建立用戶user2并設(shè)定基本組為teacher組；刪除用戶user1（包括用戶建立的所有文件）。建立普通用戶test,在test的家目錄下建立一個文件file1，root用戶用指令#chmod500/home/test及#chmod600/home/test/file1修改權(quán)限后，test用戶進入家目錄并試著刪除文件file1。然后，root用戶用指令#chmod000/home/test/file1和#chmod700/home/test修改權(quán)限后，test用戶進入家目錄,并試著刪除文件file1。記住上機實驗過程（命令）及能否刪除文件file1的結(jié)論。分別建立普通用戶test和qq,要求通過對用戶家目錄授權(quán)，使得test和qq用戶能夠相互進入對方家目錄并創(chuàng)建一個文件。記住上機實驗過程（命令）上機作業(yè)建立用戶user1,設(shè)定密碼為user1,用戶家上機作業(yè)建立5個普通用戶，其中一個用戶名為個人學(xué)號，且該用戶的shell要求設(shè)定為：/bin/csh,所有用戶同屬于student組(其他不作要求的用戶屬性可以采用默認設(shè)置）。同時要求包括root用戶在內(nèi)的6個用戶同時登錄在線。個人學(xué)號用戶登錄后執(zhí)行id,finger和w命令后抓圖表示作業(yè)完成情況。上機作業(yè)建立5個普通用戶，其中一個用戶名為個人學(xué)號，且該用戶Linux用戶及權(quán)限管理

目的、要求了解Linux的用戶文件，掌握Linux用戶及權(quán)限管理方法。Linux用戶及權(quán)限管理目的、要求Linux的用戶管理

用戶和用戶組

在Linux操作系統(tǒng)中，每一個文件和目錄都歸屬某一用戶和特定的組。一個用戶擁有唯一的用戶標(biāo)識(UID)，一個組也擁有唯一的組標(biāo)識(GID)，一個用戶可以歸屬一個或多個組。用戶分為超級用戶(root)和普通用戶兩種。超級用戶具有至高無上的全部權(quán)限，其UID為0。普通用戶只擁有有限的系統(tǒng)權(quán)限，UID默認從500開始分配。執(zhí)行任何程序?qū)⒗^承調(diào)用它的用戶對系統(tǒng)的權(quán)限，但無法超越用戶權(quán)限，從而保證了Linux操作系統(tǒng)的安全性。Linux的用戶管理用戶和用戶組用戶賬號文件/etc/passwd

行結(jié)構(gòu)如下：logname:password:uid:gid:userinfo:home:shell其中：logname：用戶名。x：加密口令表示。uid：用戶ID。gid：組ID。userinfo：用戶相關(guān)信息。home ：用戶家目錄。shell：用戶shell環(huán)境。用戶賬號文件/etc/passwd用戶影子文件/etc/shadow行結(jié)構(gòu)如下：logname:password:lastchg:min:max:warn:inactive:expire:flag其中：logname：用戶名。password：加密口令。lastchg：1970年1月1日起至上次修改口令的天數(shù)。min：兩次修改口令之間至少的天數(shù)。max：口令還有效的最大天數(shù)，99999表示長期有效。warn：口令失效前多少天向系統(tǒng)發(fā)送警告信息。inactive ：用戶有效的天數(shù)。expire：用戶被禁止登錄的時間。flag ：保留，暫未使用。用戶影子文件/etc/shadow用戶組文件/etc/group行結(jié)構(gòu)如下：group:password:gid:member其中：group：組名。password ：組加密口令。gid：組ID。member：用“，”分隔的組成員。用戶組文件/etc/group增加用戶

useradd[選項]用戶名主要的[選項]如下。-c：指定用戶信息-d：設(shè)定用戶家目錄-g：設(shè)定基本組-s：設(shè)定用戶shell環(huán)境-u：設(shè)定用戶ID例如，增加test用戶，家目錄為/var/testtest：#useradd–c“thisistestuser”–d/var/testtest增加用戶授權(quán)和修改用戶口令

passwd[選項]用戶名主要的[選項]如下。-d：取消用戶登錄口令。例如，授權(quán)或修改test用戶口令：#passwdtest刪除用戶userdel[選項]用戶名主要的[選項]如下。-r：連用戶家目錄一起刪除。例如，刪除test用戶,但要保留用戶的文件資料：#userdeltest授權(quán)和修改用戶口令增加用戶組

groupadd組名例如，增加test組：#groupaddtest刪除用戶組

groupdel組名例如，刪除test用戶組：#groupdeltest增加用戶組vi命令管理用戶和組

通過命令vi直接修改/etc/passwd、/etc/group和/etc/shadow文件來直接管理用戶和組。但是，修改或授權(quán)用戶密碼時，只能使用命令#passwd來實現(xiàn)。vi命令管理用戶和組Linux的權(quán)限及管理

Linux被公認為是安全性最高的網(wǎng)絡(luò)操作系統(tǒng)，這是由Linux特有的權(quán)限機制所決定的。Linux系統(tǒng)中普通用戶對系統(tǒng)文件及用戶之間文件的訪問受到嚴(yán)格的控制。默認情況下，普通用戶不能修改系統(tǒng)文件、不能訪問其他用戶生成的文件。因此，由普通用戶帶來的病毒、木馬等對系統(tǒng)或其他用戶文件的破壞力幾乎為零。

Linux的權(quán)限及管理Linux被公認為是安全性最高的網(wǎng)權(quán)限結(jié)構(gòu)

Linux的權(quán)限結(jié)構(gòu)由三大類權(quán)限組成，分別為文件屬主、組和其他用戶類權(quán)限。每一類權(quán)限又由只讀、可寫和執(zhí)行三種權(quán)限組合而成。只讀權(quán)限r(nóng)表示只允許該類用戶讀其內(nèi)容；可寫權(quán)限w表示允許該類用戶對文件內(nèi)容進行修改；執(zhí)行權(quán)限x表示允許該類用戶把文件當(dāng)程序執(zhí)行。如–rwxrwxr-xtestgroup130000…file1drwxr-x---usergroup25000…dir1（$ls–l查看解釋）數(shù)字與權(quán)限關(guān)系

數(shù)字“4”表示只讀權(quán)限r(nóng)，數(shù)字“2”表示可寫權(quán)限w，數(shù)字“1”表示具有可執(zhí)行權(quán)限x，用“數(shù)字加和”的辦法表示同類用戶具有的權(quán)限，“7”則由4+2+1組成?！?77”表示將開放文件的所有權(quán)限給所有的用戶。權(quán)限結(jié)構(gòu)超級用戶的權(quán)限

Linux系統(tǒng)規(guī)定root用戶擁有系統(tǒng)的所有權(quán)限。所以，如果root用戶的密碼泄露給危險的黑客（Cracker）,系統(tǒng)就有被毀滅的危險。改變文件的用戶屬性

改變文件的用戶屬性（文件屬主和組）能夠達到改變用戶權(quán)限的目的。chown文件屬主名：組名文件名主要選項：-R（或r)對子目錄進行遞歸處理#chownroot:testaa#chown－Rroot:testdir1超級用戶的權(quán)限改變文件的權(quán)限

chmod數(shù)字權(quán)限文件名主要選項：-R（或r)對子目錄進行遞歸處理#chmod664aa強制位與冒險位

Linux的EXT3文件系統(tǒng)還增加一個強制位(suid、sgid)與冒險位(stick)權(quán)限。強制位權(quán)限對可執(zhí)行文件有意義。強制位suid對可執(zhí)行文件的作用是使執(zhí)行該文件的用戶具有執(zhí)行文件屬主的權(quán)限。強制位sgid對文件的作用是執(zhí)行該文件的用戶具有和該執(zhí)行文件同組用戶相同的權(quán)限。強制位sgid對目錄的作用是用戶在該目錄中生成的文件其文件組名自動改為目錄的組名。目錄的冒險位stick的作用是某用戶在該目錄中生成的文件，其他用戶無權(quán)刪除，常常用于設(shè)定ftp服務(wù)器上傳目錄，以防止用戶之間相互刪除對方文件。改變文件的權(quán)限強制位與冒險位的設(shè)定方法

chmod數(shù)字權(quán)限文件名主要選項：-R（或r)對子目錄進行遞歸處理強制位與冒險位的設(shè)定方法是在原系統(tǒng)權(quán)限的最前方再增加一位。其中：數(shù)字“4”表示設(shè)定強制位suid，數(shù)字“2”表示設(shè)定強制位sgid，數(shù)字“1”表示設(shè)定冒險位stick。例如，設(shè)定文件aa的強制位suid的命令如下。#chmod4664aa強制位與冒險位的設(shè)定方法系統(tǒng)變量umask的作用

用于設(shè)定文件或目錄的默認權(quán)限1、確定目錄權(quán)限

777-umask2、確定文件權(quán)限

666-umask3、例如：umask=022 目錄權(quán)限