Linux操作系統(tǒng)用戶管理課件

Linux操作系統(tǒng)

用戶管理本章內(nèi)容1基礎(chǔ)知識(shí)2用戶數(shù)據(jù)庫(kù)3用戶管理工具4文件訪問控制位SetUID和SetGID5更該文件的所有權(quán)1基礎(chǔ)知識(shí)在Linux操作系統(tǒng)中，每一個(gè)文件和程序必須屬于某一個(gè)“用戶”。每一個(gè)用戶都有一個(gè)唯一的身份標(biāo)識(shí)叫做用戶ID（UserID，UID）。每一個(gè)用戶也至少需要屬于一個(gè)“用戶分組”，也就是由系統(tǒng)管理員建立的用戶小團(tuán)體。用戶分組也有一個(gè)唯一的身份標(biāo)識(shí)叫做用戶分組ID（GroupID，GID）用戶可以歸屬于多個(gè)用戶分組。1基礎(chǔ)知識(shí)在Linux操作系統(tǒng)中，任何東西都有一個(gè)所有者。用戶都按照這樣一個(gè)方式配置：它們的訪問權(quán)限只分配給經(jīng)過挑選的一個(gè)很小的用戶范圍。1.1用戶登錄子目錄1.2口令1.3shell1.4啟動(dòng)上機(jī)腳本程序1.5電子郵件1.1用戶登錄子目錄用戶登錄子目錄:每一個(gè)實(shí)際登錄進(jìn)入系統(tǒng)上機(jī)的用戶都需要有地方保存那些專屬于他的配置文件。這個(gè)地方就叫做用戶登錄子目錄（homedirectory）大多數(shù)站點(diǎn)都從/home開始安排用戶登錄子目錄,把用戶登錄子目錄安排在/home下的決定完全是人為的根用戶的登錄子目錄對(duì)大多數(shù)UNIX操作系統(tǒng)的變體來說都是傳統(tǒng)的“/”，許多Linux操作系統(tǒng)的安裝把它設(shè)置為/root1.2口令每個(gè)賬戶都必須有一個(gè)口令，否則就根本不可能登錄進(jìn)入它。當(dāng)用戶在登錄提示符處輸入它們的口令時(shí)，輸入的口令將由系統(tǒng)進(jìn)行加密。再把加密后的數(shù)據(jù)與機(jī)器中用戶的口令數(shù)據(jù)項(xiàng)進(jìn)行比較。如果這兩個(gè)加密數(shù)據(jù)匹配，就可以讓這個(gè)用戶進(jìn)入系統(tǒng)?？诹罱ㄗh的規(guī)則：非語言單詞(不是人類使用語言的單詞)，最好大小寫、數(shù)字和標(biāo)點(diǎn)符號(hào)混用1.4啟動(dòng)腳本程序當(dāng)建立了一個(gè)用戶賬號(hào)的時(shí)候，必須提供一套缺省的啟動(dòng)腳本讓這個(gè)用戶可以開始工作。相當(dāng)于dos下面的autoexec.bat或者config.sys的程序bash的啟動(dòng)腳本文件是:.bashrc(.bash_bashrc).bash_pro)1.5電子郵件建立一個(gè)新用戶意味著能夠讓這個(gè)用戶收發(fā)電子郵件。電子郵箱保存在/var/spool/mail子目錄中，以用戶名命名的文件指定。一個(gè)空電子郵箱是一個(gè)零長(zhǎng)度的文件。所有電子郵箱都應(yīng)該只屬于它們對(duì)應(yīng)的主人，其訪問權(quán)限被設(shè)置為不允許別人讀出其中的內(nèi)容。2用戶數(shù)據(jù)庫(kù)用戶數(shù)據(jù)庫(kù):是普通的文本文件，可以直接編輯修改/etc/passwd/etc/shadow2.1/etc/passwd文件很多站點(diǎn)是通過修改這個(gè)加過密的口令數(shù)據(jù)項(xiàng)來禁用某個(gè)賬戶的。例如：把一個(gè)干了壞事的用戶的加密口令數(shù)據(jù)項(xiàng)修改為

boQavhhaCKaXg*usedmailbomber用戶ID（UID）對(duì)每一個(gè)用戶來說都必須是唯一的，只有UID等于0時(shí)可以例外。有些Linux操作系統(tǒng)的發(fā)行版本保留數(shù)值-1（或者65535）作為“nobody”用戶的UID2.2/etc/shadow文件/etc/shadow文件中的口令則只對(duì)那些具有根用戶優(yōu)先權(quán)的程序如登錄程序等可讀。/etc/shadow文件包含加過密的口令，口令失效期和賬戶是否已被禁用等方面的信息。/etc/shadow文件中每一行的格式包含著如下所示的幾個(gè)部分：登錄名。加過密的口令。從1970年1月1日起計(jì)算，該口令修改后已經(jīng)過去了多少天。需要再過多少天才能修改這個(gè)口令。需要再過多少天這個(gè)口令必須被修改。需要在這個(gè)口令失效之前多少天對(duì)用戶發(fā)出提示警告?？诹钍Ф嗌偬熘蠼眠@個(gè)賬戶。從1970年1月1日起計(jì)算，該口令已經(jīng)被禁用了多少天。保留域。young：boQavhhaCKaXg：10750：0：99999：7：-1：-1：1345298682.3/etc/group文件/etc/group分組定義文件對(duì)整個(gè)系統(tǒng)來說也必須是可讀的。每個(gè)用戶至少會(huì)屬于一個(gè)用戶分組，也就是缺省用戶分組在需要的情況下，用戶還可以分配到其他的分組中去。/etc/passwd文件中包含著每個(gè)用戶缺省的分組ID（GID）。在/etc/group文件中，這個(gè)GID被映射到該用戶分組的名稱以及同一分組中的其他成員去。/etc/group文件中每一行的格式如下所示：用戶分組名。加過密的用戶分組口令。用戶分組ID號(hào)（GID）。以逗號(hào)分隔的成員用戶清單。project：baHrE1KPNjrPE：102：young,txs3.1使用命令行進(jìn)行用戶管理可以從下列的六種命令行工具程序中進(jìn)行選擇，用來執(zhí)行GUI工具程序完成同樣的動(dòng)作：useradd增加用戶userdel刪除用戶usermod修改用戶groupadd增加組groupdel刪除組groupmod修改組passwd設(shè)置密碼chpasswd用文件配置修改密碼chpasswd<ora_pass密碼文件格式：oracle:password3.2使用LinuxConf進(jìn)行用戶管理LinuxConf工具軟件包是一個(gè)功能非常強(qiáng)大的配置工具，可以用來執(zhí)行許多不同的任務(wù)。它的特色之一就是建立、刪除和修改用戶信息的能力。linuxconf有文本模式下和圖形模式下的執(zhí)行程序。3.2使用LinuxConf進(jìn)行用戶管理LinuxConf工具軟件包是一個(gè)功能非常強(qiáng)大的配置工具，可以用來執(zhí)行許多不同的任務(wù)。它的特色之一就是建立、刪除和修改用戶信息的能力。linuxconf有文本模式下和圖形模式下的執(zhí)行程序。4.1改變文件的所有權(quán)命令chownchown命令可以把一個(gè)文件的所有權(quán)修改為別人的。只有根用戶能夠進(jìn)行這樣的操作。這個(gè)命令的格式如下所示：#chown[-R]username沒有所有權(quán)的文件:是指文件所屬的用戶不存在當(dāng)用戶從/etc/passwd文件中被刪除后但是屬于他的文件還依然存在的時(shí)候。在問題中的文件進(jìn)行子目錄列表操作的時(shí)候。列表中不會(huì)出現(xiàn)文件的所有者，它將顯示為一個(gè)號(hào)碼，這個(gè)號(hào)碼代表著擁有該文件的UID。如果有一個(gè)新用戶在被建立的時(shí)候使用了與老用戶相同的UID，這個(gè)相同的UID將被顯示為所有者，使得新用戶看起來就像是擁有著那些文件一樣。4.2改變用戶分組命令chgrpchgrp命令可以改變一個(gè)文件的用戶分組設(shè)置情況。它的格式：#chgrp[-R]groupname5.3改變文件屬性命令chmod訪問權(quán)限分為四個(gè)部分,10位：第一個(gè)部分就是訪問權(quán)限的頭一個(gè)字母。

“普通”文件（-）不具有任何特殊的值，如果該文件具有特殊的屬性，它就用一個(gè)字母來表示。子目錄（d）符號(hào)鏈接（l）第二個(gè)部分3位，表示的是文件所有者的訪問權(quán)限；第三個(gè)部分3位，表示的是文件所在分組的訪問權(quán)限；第四個(gè)部分3為，表示的是全系統(tǒng)(系統(tǒng)中的全部用戶)的訪問權(quán)限。當(dāng)組合屬性的時(shí)候，把后三個(gè)部分的數(shù)值逐個(gè)相加。字母訪問權(quán)限數(shù)值r讀4w寫2x執(zhí)行1文件的設(shè)定：-rw-------(600)--只有屬主有讀寫權(quán)限。-rw-r--r--(644)--只有屬主有讀寫權(quán)限；而屬組用戶和其他用戶只有讀權(quán)限。-rwx------(700)--只有屬主有讀、寫、執(zhí)行權(quán)限。-rwxr-xr-x(755)--屬主有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有讀、執(zhí)行權(quán)限。-rwx--x--x(711)--屬主有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有執(zhí)行權(quán)限。-rw-rw-rw-(666)--所有用戶都有文件讀、寫權(quán)限。這種做法不可取。-rwxrwxrwx(777)--所有用戶都有讀、寫、執(zhí)行權(quán)限。更不可取的做法。目錄注意事項(xiàng)：因?yàn)椴豢赡苋ァ皥?zhí)行”一個(gè)目錄。當(dāng)添加或清除某個(gè)目錄的執(zhí)行權(quán)限時(shí)，其實(shí)上是允許完全查找這個(gè)目錄。5文件的權(quán)限和SetUID，SetGID文件是通過SetUID位和SetGID位來控制訪問權(quán)限的。SetUID位的作用是通過二進(jìn)制位進(jìn)行設(shè)置的方法使程序按照其所有者的訪問權(quán)限運(yùn)行，不再受運(yùn)行它的用戶的訪問權(quán)限的限制。當(dāng)用戶運(yùn)行一個(gè)應(yīng)用程序的時(shí)候，這個(gè)程序?qū)⒗^承該用戶所具有的全部權(quán)利（或者限制）。用戶不能夠讀取這個(gè)文件，那么他運(yùn)行的程序也不能讀取該文件。這個(gè)權(quán)限可能會(huì)與該程序文件（通常叫做二進(jìn)制文件）所有者所具有的權(quán)限有所不同。例如：ls程序是歸根用戶所有的，它的訪問權(quán)限被設(shè)置為每一個(gè)用戶都能夠執(zhí)行，某用戶young運(yùn)行了ls命令，限制這份ls命令的是分配給用戶young的訪問權(quán)限而不是根用戶。如果把一個(gè)執(zhí)行程序的SetUID位設(shè)置為on，并且讓這個(gè)命令的二進(jìn)制文件歸屬于根用戶，那么就意味著如果用戶young運(yùn)行這個(gè)命令，這命令就是以根用戶的訪問權(quán)限運(yùn)行的，不再受到用戶young訪問權(quán)限的限制。SetGID位