Linux系統(tǒng)管理與應(yīng)用 課件 第六章 用戶管理

第六章用戶管理本章學(xué)習(xí)目標(biāo)⊙ 對于Linux下用戶的管理⊙ 對于Linux下用戶組的管理⊙ 磁盤配額的設(shè)置6.1用戶的管理Linux是一個多用戶、多任務(wù)的操作系統(tǒng)。多用戶可能通過遠(yuǎn)程登錄來進(jìn)行用戶在系統(tǒng)中是分角色的，通過UID識別：root用戶虛擬用戶普通用戶6.1.1Linux下的用戶6.1.2帳號系統(tǒng)文件Linux系統(tǒng)：純文本文件保存帳號信息最重要的文件：用戶帳號文件/etc/passwd用戶口令文件/etc/shadow使用vi或其他編輯器來更改它們 也可使用專用的命令來更改它們?nèi)笔∏闆r：只有超級用戶才有管理的權(quán)限/etc/passwd一個文本文件定義系統(tǒng)的用戶帳戶位于“/etc”目錄下包含一個系統(tǒng)帳戶列表，給出每個帳戶的信息文件中只定義了用戶帳號，沒有保存口令passwd文件中每行定義一個用戶帳戶，一行中又劃分為多個字段定義用戶帳號的不同屬性，各字段用“：”隔開root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin..gdm:x:42:42::/var/gdm:/sbin/nologinpostgres:x:26:26:PostgreSQLServer:/var/lib/pgsql:/bin/bashdesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinnick:x:500:500:Nick:/home/nick:/bin/bashjuju:x:501:501:Juju:/home/juju:/bin/bash圖6-1

passwd文件內(nèi)容表6-1 passwd文件各字段的說明字段說明帳號名使用者在系統(tǒng)中的名字，不能包含大寫字母口令用戶口令，現(xiàn)在出于安全考慮，不使用該字段保存口令，用“x”來填充該字段，真正的密碼保存在shadow文件中UID用戶ID，唯一表示某用戶的數(shù)字GID用戶所屬的組ID，該數(shù)字對應(yīng)于group文件中的GID個人資料這個字段是可選的，通常保存用戶的個人資料，可記錄完整姓名、地址、電話、用戶的職能等信息主目錄用戶的主目錄，用戶成功登錄后的默認(rèn)目錄Shell用戶所使用的Shell，如果該字段為空，則使用“/bin/sh”/etc/shadow保存已加密的口令,包括了所有用戶和口令的信息只有超級用戶才能讀取每一行定義了一個用戶信息，行中各字段用“：”隔開圖6-2

shadow文件內(nèi)容root:$1$U6RPxrgy$Ozt1y3lbeUD7K4KCPU9T6.:13618:0:99999:7:::bin:*:13618:0:99999:7:::daemon:*:13618:0:99999:7:::adm:*:13618:0:99999:7:::..gdm:!!:13618:0:99999:7:::postgres:!!:13618:0:99999:7:::desktop:!!:13618:0:99999:7:::nick:$1$QgN4bMk8$C9aYUGHcBBtMA87n9Z0uw/:13618:0:99999:7:::juju:$1$gwcVNQsj$pp77oiJQShiRv/067fAdn1:13626:0:99999:7:::

shadow文件中的每個記錄用“：”隔開了9個域，每個域的含義分別為：

· 登錄名

· 加密口令

· 口令上次更改距1970年1月1日的天數(shù)

· 口令更改后不可以更改的天數(shù)

· 口令更改后必須再次更改的天數(shù)（有效期）

· 口令失效前警告用戶的天數(shù)

· 口令失效后距帳號被查封的天數(shù)

· 帳號被封時距1970年1月1日的天數(shù)

· 保留未用第一個字符是“*”：口令域，表示帳號不能登錄root帳號：沒有口令的有效期，所以不會因一段時間沒有登錄而被查封假設(shè)bin帳號口令域可登錄：后面參數(shù)表示bin口令的有效期是99999天警告期是7天表示99992天過后，系統(tǒng)將提示用戶修改口令如果7天不修改，系統(tǒng)在有效期過后將立即查封bin帳號6.1.3創(chuàng)建、修改和刪除用戶root帳號打開終端，命令提示符下調(diào)用useradd命令，傳遞新帳號的參數(shù)即可。Useradd命令：必要參數(shù)是用戶的登錄名，也可包括附加信息。如書上表6-2所示，列出了useradd命令可用的選項(xiàng)。創(chuàng)建新的用戶〖示例6.1〗[root@localhost

root]#useradd–c“Nick”nick[root@localhost

root]#passwdnickChangepasswordforusernick:Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.注意：RedhatLinux9的終端里輸入口令時，并不會回顯任何的類似“*”的字符。

創(chuàng)建帳號時，useradd命令執(zhí)行以下操作：讀取/etc/login.defs文件，來獲得創(chuàng)建帳號時所使用的默認(rèn)值對命令行參數(shù)進(jìn)行解析，來確定哪些默認(rèn)值可以覆蓋基于默認(rèn)值和命令行參數(shù)，在/etc/passwd以及/etc/shadow文件下創(chuàng)建新用戶項(xiàng)創(chuàng)建新組項(xiàng)，在/etc/group文件中創(chuàng)建主目錄，根據(jù)用戶名，并定位在/home父目錄中目錄復(fù)制，在/etc/skel中目錄復(fù)制到新主目錄修改用戶帳號usermod命令來修改用戶帳號的信息

傳遞該命令的參數(shù)列表如書上表6-3所示

〖示例6.2〗假設(shè)有一員工Juju將接手Nick的工作，想要nick帳號轉(zhuǎn)換成新名（juju）、新注釋（“Juju”）和主目錄（/home/juju）。[…root]#usermod–ljuju–c“Juju”–m–d/home/jujunick刪除用戶帳號userdel命令：只需一個參數(shù)，即要刪除的用戶登錄名可選的-r選項(xiàng)：刪除用戶的主目錄以及主目錄下的所有文件

〖示例6.3〗需要刪除Nick的用戶帳號：

[root@localhost

root]#userdelnick要刪除Nick的帳號和主目錄：

[root@localhost

root]#userdel–rnick6.1.4默認(rèn)的新用戶useradd命令：通過讀取/etc/login.defs文件，可為新帳號確定默認(rèn)值?？尚薷哪J(rèn)值：通過用標(biāo)準(zhǔn)的文本編輯器〖示例6.4〗[root@localhost

root]#useradd–DGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skel表6-4用于修改用戶默認(rèn)值的useradd選項(xiàng)選項(xiàng)說明-bdefault_home設(shè)置創(chuàng)建用戶主目錄的默認(rèn)目錄-edefault_expire_date設(shè)置用戶帳號失效的默認(rèn)終止日期-fdefault_inactive設(shè)置帳號失效前口令終止的天數(shù)-gdefault_group設(shè)置將把用戶放入的默認(rèn)組-sdefault_shell設(shè)置新用戶使用的默認(rèn)Shell〖示例6.5〗

設(shè)置到/home/juju的默認(rèn)主目錄位置以及到/bin/tcsh的默認(rèn)shell。[root@localhost

root]#useradd–D–b/home/juju–s/bin/tcsh6.1.5用戶環(huán)境的設(shè)定

/$HOME/.bashrc.bashrc腳本：在每次用戶啟動新的bashshell時運(yùn)行作用：提供命令別名以及添加到命令搜索路徑的好方法.bashrc文件內(nèi)容如書本圖6-3所示。/etc/profile系統(tǒng)啟動后首先執(zhí)行的文件可以用來修改：PATH：為根用戶和其他用戶指定默認(rèn)的PATH。ulimit：將允許的最大的文件尺寸設(shè)置為不受限。環(huán)境變量：包括USER、LOGNAME、MAIL等。INPUTRC：設(shè)置特殊情況下的鍵盤映射。查看：/etc/profile.d目錄及文件源代碼/etc/profile的文件內(nèi)容：如書上圖6-4所示6.1.6用戶權(quán)限管理文件的權(quán)限：在Linux系統(tǒng)中，由權(quán)限標(biāo)志來決定權(quán)限標(biāo)志：決定了文件的所有者、文件的所屬組、其他用戶對文件的訪問能力等。顯示權(quán)限標(biāo)志：使用“l(fā)s–l”命令來?！际纠?.6〗

[root@localhost

root]#ls-l-rw-r—r--1jujujuju18144月1605:4621.cfgdrwxr-xr-x4rootroot40964月1922:13downloads顯示/root目錄下文件的權(quán)限標(biāo)志：設(shè)定權(quán)限：在模式中常用以下的字母表示用戶或用戶組：

· 文件的所有者——u · 文件的所屬組——g · 其他用戶 ——o · 所有用戶——a改變文件或目錄權(quán)限chmod重新設(shè)置文件權(quán)限：chmod（changemode）修改權(quán)限：文件和目錄的所有者 超級用戶可對所有文件或目錄進(jìn)行權(quán)限設(shè)置。chmod命令的語法格式如下：

chmod[選項(xiàng)]文件和目錄列表參數(shù)說明如下：· 選項(xiàng)的常用取值如表6-5所示· 文件和目錄列表：準(zhǔn)備修改權(quán)限的文件和目錄表6-5 chmod、chown、chgrp的常用選項(xiàng)選項(xiàng)說明-c只有在文件的權(quán)限確實(shí)改變時，才進(jìn)行詳細(xì)說明-f不打印權(quán)限不能改變的文件的錯誤信息-v詳細(xì)說明權(quán)限的變化-R遞歸改變目錄及其內(nèi)容的權(quán)限

chmod命令支持兩種文件權(quán)限設(shè)定的方式：使用字符串設(shè)置權(quán)限?！际纠?.7〗將文件juju_inf文件設(shè)為所有人都有權(quán)限來讀取：[…root]#chmod

ugo+r

juju_inf[…root]#chmod

a+r

juju_inf〖示例6.8〗將文件nick_inf1和nick_inf2設(shè)為該文件所有者與其所屬組可寫入，但其他人不能寫入：[…root]#chmod

ug+w,o-wnick_inf1nick_inf22.使用八進(jìn)制設(shè)置權(quán)限。若要rwx屬性則4+2+1=7若要rw-屬性則4+2=6若要r-x屬性則4+1=5〖示例6.9〗將juju_inf設(shè)為所有人都可以讀?。篬…root]#chmod444juju_inf〖示例6.10〗將nick_inf1設(shè)為該文件所有者與其所屬組可寫入，但其他人不能寫入：[…root]#chmod775nick_inf1改變文件和目錄的所有權(quán)chownchown命令：改變文件和目錄的所有者權(quán)限格式：

chown[參數(shù)]用戶文件和目錄列表參數(shù)說明：·命令中的選擇說明如表6-5所示·用戶：用戶號或是用戶登錄名·文件和目錄列表：重新指定所有權(quán)的文件和目錄列表〖示例6.11〗

把/home/juju目錄下的21.txt文件的所有權(quán)賦予nick：

[…root]#chownnick/home/juju/21.txt改變文件和目錄的所屬組chgrpchgrp指令：變更文件與目錄的所屬群組設(shè)置方式：群組名稱或群組識別碼格式：

chgrp[參數(shù)]所屬組文件和目錄列表參數(shù)說明：

· 命令中的選擇說明如表6-5所示

· 所屬組：所屬群組名

· 文件和目錄列表：用于重新指定所有權(quán)的文件和目錄列表6.1.7超級用戶超級用戶:是Unix的所有者，擁有所有的權(quán)利改變當(dāng)前用戶:su命令 格式：su[用戶名]， 如不使用“用戶名”參數(shù)，則默認(rèn)為超級用戶

示例如下: [nick@localhost

nick]$su Password: [root@localhostnick]#root用戶的UID和GID都為0。

6.2組的管理Linux下所屬組分:私有組、系統(tǒng)組、標(biāo)準(zhǔn)組。私有組：建立帳戶時，沒有指定帳戶所屬的組，系統(tǒng)會建立一個組名和用戶名相同的組，只容納一個用戶。一個用戶可以屬于多個組，用戶所屬組分：基本組：在用戶所屬組中的第一個組，在/etc/passwd文件中指定附加組：附加組在/etc/group文件中指定。屬于多個組的用戶權(quán)限：所在組的權(quán)限之和。6.2.1Linux下的組和組文件/etc/group文件：每一行記錄了一個組的信息每行包括4個字段：組名、組的密碼、GID、組成員，字段之間用“：”分隔。

字段說明：

· 組名：組的名稱

·

組的密碼：設(shè)置加入組的密碼，該字段通常沒用

· GID：組的標(biāo)識符，類似UID · 組成員：組所包含的用戶，用戶間用“，”分隔，大部分系統(tǒng)組無成員6.2.2組的添加和刪除添加新組：手工編輯/etc/group來完成，命令groupadd來添加用戶所屬組。groupadd的命令格式：

groupadd[參數(shù)]組名參數(shù)說明：

· 命令中的選擇說明如表6-6所示

· 組名：新建的組名稱表6-6 groupadd的常用選項(xiàng)選項(xiàng)說明-gGID指定新組的GID，默認(rèn)值是已有的最大值加1-r建立一個系統(tǒng)組，與-g不同時使用則分配一個1-499的GID-f當(dāng)系統(tǒng)中已存在與新組名稱一樣的組時，會拋出添加新組失效的錯誤〖示例6.12〗添加一個組名為juju的新組，組ID為521：[…root]#groupadd–g521jujugroupdel指令：從系統(tǒng)上刪除群組若該群組中仍包括某些用戶，則必須先刪除這些用戶后，方能刪除群組。groupdel的命令格式：

groupdel

組名組名：需刪除組的名稱〖示例6.13〗

刪除一個組名為nick的新組：

[…root]#groupdelnick6.2.3組屬性的修改groupmod指令：更改群組的識別碼或名稱groupmod的命令格式：

groupmod[參數(shù)]組名命令的參數(shù)：

· 命令中的選擇說明如表6-7所示

· 組名：需刪除組的名稱表6-7 groupmod常用選項(xiàng)選項(xiàng)參數(shù)-gGID設(shè)置欲使用的群組識別碼-o重復(fù)使用群組識別碼-n設(shè)置欲使用的群組名稱〖示例6.14〗將群組juju的GID修改為555：[…root]#groupmod–g555juju6.3磁盤配額磁盤限額:

利用軟件對特殊用戶賬號所使用的磁盤空間進(jìn)行限制?；久钚衠uota工具集:常用的磁盤限額系統(tǒng)，操作系統(tǒng)自身可對不同用戶賬號進(jìn)行存儲空間限制。磁盤限額:可為每個用戶賬號單獨(dú)配置。當(dāng)有成批的用戶需要在同樣的限制下進(jìn)行操作時，還可方便地進(jìn)行復(fù)制。系統(tǒng)自動運(yùn)行，并可進(jìn)行設(shè)置

最大優(yōu)點(diǎn):不必直接面對用戶,系統(tǒng)自行進(jìn)行管理。6.3.1磁盤配額介紹6.3.2磁盤配額設(shè)置根用戶身份編輯/etc/fstab文件，給需要配額的文件系統(tǒng)添加usrquota和grpquota

選項(xiàng)如書本圖6-6所示：啟動磁盤配額重新掛載文件系統(tǒng)重新掛載該文件系統(tǒng)某文件系統(tǒng)沒有被任何進(jìn)程使用：使用umount

命令后再緊跟著mount命令某文件系統(tǒng)正在被使用：重新引導(dǎo)系統(tǒng)〖示例6.15〗重新掛載sda2文件系統(tǒng)：[root@localhost

root]#umount/dev/sda2[root@localhost

root]#mount/dev/sda2

創(chuàng)建配額文件quotacheck命令：檢查啟用了配額的文件系統(tǒng)為每個文件系統(tǒng)建立一個當(dāng)前磁盤用來的表

表會被用來更新操作系統(tǒng)的磁盤用量文件〖示例6.16〗如果用戶和組群配額都為/home分區(qū)啟用了，在/home目錄下創(chuàng)建這些文件：

[root@localhost

root]#quotacheck-cug/home修改系統(tǒng)啟動腳本修改系統(tǒng)的啟動腳本:/etc/rc.d/rc.local

在rc.local文件末尾加入如下語句：

/sbin/quotacheck–vug-a/sbin/quotaon–vug–a可使用如下命令：[…root]#echo“/sbin/quotacheck–vug–a”>>/etc/rc.d/rc.local[…root]#echo“/sbin/quotaon–vug–a”>>/etc/rc.d/rc.local設(shè)置配額Edquota：設(shè)置配額的命令命令格式：

edquota[參數(shù)]用戶名或組名參數(shù)說明：

·命令中的選擇說明如表6-8所示

·用戶名或組名：設(shè)置用戶配額或群組配額表6-8edquota命令的常用選項(xiàng)選項(xiàng)說明-u設(shè)置用戶的磁盤配額-g設(shè)置群組的磁盤配額-p將用戶的配額設(shè)置套用至其他用戶或群組-t設(shè)置寬限的時間〖示例6.17〗

為用戶juju進(jìn)行配額：[root@localhost

root]#edquota–ujujuDiskquotasforuserjuju(uid501):Filesystem blockssofthardinodessofthard/dev/sda2500500“blocks”：顯示了用戶當(dāng)前使用的塊數(shù)隨后的兩列用： 設(shè)置用戶在該文件系統(tǒng)上的軟硬塊限度“inodes”：顯示用戶當(dāng)前使用的內(nèi)節(jié)點(diǎn)數(shù)量最后兩列： 用來設(shè)置用戶在該文件系統(tǒng)上的軟硬內(nèi)節(jié)點(diǎn)限度硬限： 用戶或組群可以使用的磁盤空間的絕對最大值。 達(dá)到該限度后，磁盤空間就不能再被用戶或組群使用了。軟限： 定義可被使用的最大磁盤空間量。 軟限可以在一段時期內(nèi)被超過。這段時期被稱為過渡期（graceperiod）。過渡期可以用秒鐘、分鐘、小時、天數(shù)、周數(shù)、或月數(shù)表示?！际纠?.18〗設(shè)置磁盤配額的寬限時間：[root@localhost

root]#edquota–tGraceperiodbeforeenforcingsoftlimitsforusers:Timeunitsmaybe:days,hours,minutes,orsecondsFilesystem BlockgraceperiodInodegraceperiod/dev/sda2 7days 7days打開和關(guān)閉磁盤配額功能

要關(guān)閉用戶和組群配額:使用以下命令：

[…root]#quotaoff–ugv–a-u或-g選項(xiàng)沒被指定，只有用戶配額被禁用。只指定了-g選項(xiàng)，只有組群配額會被禁用要重新啟用配額，使用帶有同樣選項(xiàng)的quotaon命令。6.3.3磁盤配額管理repquota工具:創(chuàng)建磁盤用量報(bào)告需要運(yùn)行命令格式如下：

repquota[參數(shù)]文件系統(tǒng)

命令的參數(shù)說明：

· 命令中的選擇說明如表6-9所示

· 文件系統(tǒng)：需要檢查的文件系統(tǒng)報(bào)告磁盤配額表6-9 repquota命令的常用選項(xiàng)選項(xiàng)說明-a列出在/etc/fstab文件里加入quota設(shè)置的分區(qū)的狀況，包括用戶和群組-g列出所有群組的磁盤空間限制-u列出所有用戶的磁盤空間限制-v顯示該用戶或群組的所有空間限制[root@localhost

root]#repquota/home***Reportforuserquotasondevice/dev/sda2Blockgracetime:7days;Inodegracetime:7daysBlocklimitsFilelimitsUserusedsofthardgraceusedsofthardgrace-------------------------------------------------------------------------------------------------root--2500400〖示例6.19〗

創(chuàng)建/home下的磁盤用量報(bào)告：

保持配額的正確性quotacheck定期運(yùn)行以下命令來保持配額的正確性：

[…root]#quotacheck–ugv–a6.4課后習(xí)題與實(shí)驗(yàn)唯一標(biāo)識每一個用戶的是

和

。某文件的權(quán)限為：drw-r--r--，用數(shù)值形式表示該權(quán)限，則該八進(jìn)制數(shù)為

，該文件類型是

。root的UID是

，GID是

。為了開啟磁盤配額功能，使用的兩個文件系統(tǒng)屬性關(guān)鍵字分別是_____和

。使用

命令可以監(jiān)控系統(tǒng)所有用戶使用的磁盤空間，并在接近極限時提示用戶。Bash的環(huán)境配置文件為

。6.4.1課后習(xí)題7.關(guān)于建立系統(tǒng)用戶的錯誤描述是 （）A．在Linux系統(tǒng)下建立用戶使用useradd命令B．每個系統(tǒng)用戶分別