05.用戶及用戶組管理

Linux操作系統(tǒng)與云計算

（基于華為openEuler）第5章用戶及用戶組管理程和俠程和生編著學習內(nèi)容回顧-4.1案例引入-4.2目錄查看操作-4.3文件系統(tǒng)層次結構標準-4.4空目錄創(chuàng)建與刪除-4.5文件操作-4.6復制、刪除、移動、重命名-4.7硬鏈接和符號鏈接-4.8歸檔（壓縮與解壓縮）-4.9小結5.1案例引入案例5.1：權力就是責任。思政教學目標：在Linux系統(tǒng)中，用戶和用戶組是一組權限的集合，用戶嚴格在自己的權限范圍內(nèi)操作，權力越大，責任越大。Linux系統(tǒng)管理員通常具有最高的權限，可以對系統(tǒng)進行任何操作。這包括但不限于安裝、刪除軟件，修改系統(tǒng)設置，管理用戶賬戶等。然而，這種強大的權力也意味著巨大的責任。如果系統(tǒng)管理員不小心刪除了一個重要的系統(tǒng)文件，可能會導致整個系統(tǒng)崩潰。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權限管理-5.6提升權限-5.7用戶聊天工具*-5.8小結5.2用戶與用戶組的概念(1)用戶分類超級用戶即root用戶，是系統(tǒng)管理員賬號，root用戶具有操作系統(tǒng)的一切權利。所以限制權限運行是計算機系統(tǒng)的一個基本知識，非執(zhí)行管理任務時不建議使用root賬戶登錄系統(tǒng)。普通用戶一般只在用戶自己的主目錄中擁有完全權限。程序用戶又稱系統(tǒng)賬戶，用于維持系統(tǒng)或某個程序的正常運行。例如:bin、daemon、ftp、mail等用戶就是系統(tǒng)賬戶。(2)uid和gid每個用戶或用戶組系統(tǒng)都會分配一個uid或gid，用于系統(tǒng)識別。root用戶的uid固定值為0、root組賬號的gid固定值為0；1~999的uid/gid默認保留給程序用戶使用，“useradd-r”選項時分配；普通用戶/用戶組的uid/gid號在1000～60000之間。(3)私有組和標準組私有組中只包含同名用戶，不能加入其他用戶。標準組可以加入多個用戶。例如：root組是私有組；wheel與sudo組是標準組，表示次級管理員組。(4)默認用戶組和附加組一個用戶可以屬于多個組；其所屬的第一個組稱為默認用戶組，即gid所對應的組名；其他的組稱為附加組，即groups對應的組列表。用戶隸屬于某個組就具備該組的權限，用戶組權限的效力等同用戶權限的效力，所以要學會習慣將用戶組看成一類特殊的用戶。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權限管理-5.6提升權限-5.7用戶聊天工具*-5.8小結5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.1useradduseradd命令添加一個用戶賬號，然后為新賬號分配用戶號、用戶組、主目錄和登錄Shell等資源。[例5.1]創(chuàng)建用戶。有些程序需要一定的權限運行，創(chuàng)建系統(tǒng)賬戶可以讓運行程序具備特定權限。通過指定登錄Shell為/sbin/nologin，可以限制用戶登錄。在Linux系統(tǒng)中，除了要了解命令本身操作之外，還要掌握命令相關的配置文件，配置文件提供了更豐富的功能。用戶賬號管理相關的配置文件有:/etc/passwd:用戶文件，記錄用戶賬戶信息。/etc/shadow:用戶影子文件，記錄用戶補充信息，需要超級權限才能訪問。/etc/default/useradd:創(chuàng)建用戶時的默認配置信息。/etc/passwd文件是Linux系統(tǒng)中的一個重要文件，它存儲著系統(tǒng)中所有用戶的信息。在/etc/passwd文件中，每行代表一個用戶，每個用戶的信息由多個字段組成，這些字段用冒號“:”分隔。每個字段的含義如下：(1)用戶名：用戶的登錄名。(2)密碼：用戶的密碼，但在現(xiàn)代的Linux系統(tǒng)中，實際的密碼通常存儲在/etc/shadow文件中，這個字段通常設置為“x”或其它的占位符。(3)用戶uid：這是用戶的唯一ID，用于識別用戶。(4)gid：這是用戶所屬組的ID。(5)用戶全名或描述信息。(6)用戶主目錄：用戶登錄后默認的工作目錄。(7)登錄Shell：用戶登錄后默認使用的Shell程序。/etc/shadow文件是Linux系統(tǒng)中的一個重要文件，它存儲著系統(tǒng)中所有用戶的密碼信息。這個文件是只有root用戶才有權限讀取或修改。在/etc/shadow文件中，每行代表一個用戶，每個用戶的信息由多個字段組成，這些字段用冒號“:”分隔。每個字段的含義如下：(1)用戶名：用戶的登錄名。(2)密碼的加密形式：密碼是由一個“$”符號開始，后面跟著一個標識符和鹽值（salt）。(3)上次密碼更改的天數(shù)：從上次密碼更改到現(xiàn)在經(jīng)過的天數(shù)。(4)密碼更改后最小天數(shù)：用戶必須等待的最小天數(shù)，才能更改其密碼。(5)密碼更改后最大天數(shù)：用戶必須等待的最大天數(shù)，才能更改其密碼。(6)密碼過期前警告天數(shù)：在密碼過期前多少天開始發(fā)出警告。(7)密碼過期后寬限天數(shù)：在密碼過期后多少天內(nèi)，用戶仍可以登錄系統(tǒng)。(8)賬號失效天數(shù)：從賬號創(chuàng)建到現(xiàn)在經(jīng)過的天數(shù)，之后該賬號將被禁用。(9)保留：保留字段，目前未使用。/etc/default/useradd文件是Linux系統(tǒng)中的一個配置文件，它存儲著關于用戶添加命令的默認設置。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.2passwdpasswd命令修改用戶口令。用戶口令的管理是用戶管理的一項重要內(nèi)容。用戶賬號剛創(chuàng)建時沒有口令，被系統(tǒng)鎖定無法使用，必須為其指定口令后才能使用。[例5.2]修改用戶密碼。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.3usermodusermod修改用戶賬號就是根據(jù)實際情況更改用戶的有關屬性，如用戶號、主目錄、用戶組、登錄Shell等。[例5.3]“-G”選項設定用戶附加組列表，未出現(xiàn)在列表中的組會直接被移除。直接使用“-G”選項會造成莫名的組被移除，一般建議使用“-a-G”表明直接加入某個指定組，不會移除其它組。Shell運行環(huán)境Shell腳本的執(zhí)行需要一個能解釋執(zhí)行的腳本解釋器，即Shell運行環(huán)境。臨時切換Shell，可以輸入Shell名，打開一個看不見的窗口，該窗口的運行環(huán)境即為對應的Shell?？梢允褂谩?s”永久修改登錄Shell。/sbin/nologin不是真實Shell，只是限制用戶登錄，在禁止用戶登錄時，可以將該用戶Shell設置為/sbin/nologin。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.4userdel[例5.4]userdel刪除用戶zs001。注意：請不要輕易使用“-r”選項；它會刪除用戶的同時刪除用戶所有相關的文件和目錄。如果用戶目錄下有重要的文件，在刪除前請備份。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權限管理-5.6提升權限-5.7用戶聊天工具*-5.8小結5.4用戶組管理用戶組就是具有相同特征用戶的集合體。我們把用戶都定義到同一用戶組，通過修改文件或目錄的權限，讓用戶組具有一定的操作權限，這樣用戶組下的用戶對該文件或目錄都具有相同的權限。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.1groupaddgroupadd命令用于創(chuàng)建一個新的用戶組。[例5.5]向系統(tǒng)中增加一個新組“group1”，新組的gid是在當前已有的最大gid的基礎上加1。5.4.2gpasswd用戶組的管理也是通過配置文件的更新來完成的。相關配置文件包括：/etc/group:用戶組信息/etc/gshadow:用戶組補充信息gpasswd命令是Linux下組文件/etc/group和/etc/gshadow的管理工具。[例5.6]“-A”選項設定管理員列表，管理員有權限向組添加或刪除成員，不再需要系統(tǒng)管理員或sudo命令提權。“-a”選項添加用戶到組?！癹sj”已經(jīng)是“group1”組的管理員，可以直接執(zhí)行下面的命令:“-d”選項從組中刪除用戶。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.3groupmodgroupmod命令更改組gid或名稱。-g<用戶組gid>：設置使用的用戶組gid；-o：重復使用用戶組gid；-n<新用戶組名稱>：設置欲使用的用戶組名稱。5.4.4groupdelgroupdel命令用于刪除指定的用戶組。[例5.7]刪除用戶組“group1”。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.5newgrp有效用戶組是指用戶創(chuàng)建文件時，新文件默認隸屬于的那個用戶組。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權限管理-5.6提升權限-5.7用戶聊天工具*-5.8小結案例引入案例5.2：權限的合理劃分。思政教學目標：在一個大型軟件開發(fā)公司中，IT部門需要管理大量的開發(fā)人員。每個開發(fā)人員都需要訪問特定的代碼庫和工具來完成他們的工作。然而，由于不同的開發(fā)人員負責不同的項目，他們對資源的需求也各不相同。為了解決這個問題，IT部門決定使用Linux用戶及用戶組管理功能來進行權限的合理劃分。在Linux系統(tǒng)中，我們可以創(chuàng)建多個用戶組，并將不同的用戶分配到不同的用戶組中。每個用戶組都有自己的權限。5.5文件權限管理5.5.1查看權限5.5.2chmod5.5.3chown5.5.4umask5.5.1查看權限每行前10個字母代表的含義就是文件的權限。第一個字符代表文件（-）、目錄（d）、鏈接（l）；其余字符每3個一組（rwx），讀（r）、寫（w）、執(zhí)行（x）。表5.1Linux文件權限表權限項讀寫執(zhí)行讀寫執(zhí)行讀寫執(zhí)行字符表示rwxrwxrwx數(shù)字表示421421421權限分配u:所有者

g:所屬組

o:其他用戶

其中:u-user；g-group；o-other；a-all。0-無權限；1-執(zhí)行權限；2-寫權限；4-讀權限。目錄的x權限與能否進入該目錄有關，沒有x權限的目錄不可訪問。5.5文件權限管理5.5.1查看權限5.5.2chmod5.5.3chown5.5.4umask5.5.2chmodchmod(changefilemode)變更文件或目錄的權限。[例5.8]5.5文件權限管理5.5.1查看權限5.5.2chmod5.5.3chown5.5.4umask5.5.3chown同Windows系統(tǒng)不同，Linux系統(tǒng)如果要共享文件，不僅要分享文件，還要共享權限。修改所屬者/所屬組可以將文件權限共享給指定用戶。chown命令可以改變某個文件或目錄的所有者和所屬組，該命令可以向某個用戶授權，使該用戶變成指定文件的所有者；也可以改變文件所屬組實現(xiàn)文件共享。[例5.9]將目錄/home/jsj及其下面的所有文件、子目錄的文件所有者改成“jsj”。5.5文件權限管理5.5.1查看權限5.5.2chmod5.5.3chown5.5.4umask5.5.4umask文件初創(chuàng)建時帶有默認權限，umask是文件權限掩碼，可以通過掩碼修改創(chuàng)建新文件的默認權限?！?022”表示“g-2,o-2,a-1”，即文件所屬組和其他用戶默認移除寫權限。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權限管理-5.6提升權限-5.7用戶聊天工具*-5.8小結5.6提升權限Linux系統(tǒng)為我們提供了su、sudo兩種用戶權限提升機制，其中su主要是用來切換用戶身份提權，而sudo用來提升一次執(zhí)行權限。5.6提升權限5.6.1su5.6.2sudo5.6.1su使用su（switchuser）命令，可以切換為指定的另一個用戶，從而具有該用戶的所有權限。[例5.10]當普通用戶切換root身份時，需要輸入root的密碼。選項“su-”，表示切換用戶時，并切換工作環(huán)境。注意：默認情況下，任何用戶都被允許使用su命令切換身份，從而有機會反復嘗試其他用戶的登錄密碼，帶來安全隱患。為了加強su命令的安全控制，可以借助于pam_wheel認證模塊，只允許特定用戶使用su命令。5.6提升權限5.6.1su5.6.2sudo5.6.2sudo使用sudo命令提升權限時，不需要使用管理員密碼驗證，只需要使用用戶自己的密碼驗證即可。可以說，sudo是對su命令的一個非常重要的補充和替代。sudo權限范圍經(jīng)歷了三代調(diào)整，變化不大，但是需要了解和掌握。第一代sudo權限設定所有命令都可以使用sudo提升權限。第二代sudo權