國產(chǎn)操作系統(tǒng)實戰(zhàn)-服務(wù)器管理與開發(fā)項目教程 課件 項目五 用戶和權(quán)限管理

項目五

用戶與權(quán)限管理用戶、組的管理與文件、目錄的權(quán)限修改CONTENTS1.項目描述2.項目目標3.用戶與組群管理4.文件和目錄的特殊權(quán)限管理5.文件特殊權(quán)限操作實踐6.本章小結(jié)7.習題01項目描述Linux操作系統(tǒng)是一個多用戶多任務(wù)的分時操作系統(tǒng)，每個需要使用操作系統(tǒng)的用戶都要用一個賬號來登錄系統(tǒng)。如果公司業(yè)務(wù)需要，有新員工加入，也有開設(shè)新的部門，小陳作為IT系統(tǒng)工程師的下一項任務(wù)是做好公司分部門規(guī)劃賬戶，為新員工創(chuàng)建賬戶，利用組管理對部門進行分類管理。那么小陳需要學習本章節(jié)的內(nèi)容才能去完成工作。2.項目目標1．了解用戶賬戶分類：超級用戶、系統(tǒng)用戶、普通用戶。2．熟練操作用戶管理命令：包括用戶增加、刪除、修改屬性等操作3．學會操作組管理命令：包括組增加、刪除、修改屬性等操作。4．了解系統(tǒng)用戶的特殊權(quán)限，掌握系統(tǒng)安全和用戶權(quán)限策略的管理操作任務(wù)5.1用戶與組群管理5.1.1用戶管理1.認識用戶賬戶Linux操作系統(tǒng)的用戶賬戶分為三種：超級用戶（root）、系統(tǒng)用戶和普通用戶。系統(tǒng)為每一個用戶都分配一個用戶ID（UID），它是區(qū)分用戶的唯一標志，Linux操作系統(tǒng)是以數(shù)字表示的用戶ID，并不會直接認識用戶的用戶名。超級用戶（root）：也稱為管理員賬戶，它具有最高權(quán)限，它的任務(wù)是對普通用戶和整個系統(tǒng)進行管理，超級用戶對系統(tǒng)具有絕對的控制權(quán)，所以使用超級用戶時需要謹慎操作，以免操作系統(tǒng)破壞或者損失，默認情況下，超級用戶的UID為0。系統(tǒng)用戶系統(tǒng)用戶是Linux系統(tǒng)正常工作所必需的內(nèi)置的用戶，主要就為了滿足相應(yīng)的系統(tǒng)進程對文件屬主的要求而建立的，這樣用戶在安裝操作系統(tǒng)過程中就自動創(chuàng)建了的，系統(tǒng)用戶不能用來登錄，如：man、bin、daemon、list、sys等用戶，系統(tǒng)用戶的UID一般為1~999。普通用戶普通用戶：是使用者需要使用Linux系統(tǒng)資源而建立的，普通用戶在系統(tǒng)中只能進行普通工作，只能訪問他們擁有的或者有權(quán)限執(zhí)行的文件，大多數(shù)用戶屬于此類，普通用戶的UID一般為1000~65535。2.用戶賬戶管理文件——/etc/passwd在國產(chǎn)Linux操作系統(tǒng)中，用戶賬戶信息保存在/etc/passwd文件中，每個用戶一行，我們可以用查看命令來查看文件內(nèi)容。如圖5-1所示。圖5.1查看/etc/passwd文件內(nèi)容passwd文件中的每一行代表一個用戶的資料，可以看到root是第一個用戶，接著是一些標準賬戶，每行由7個字段的數(shù)據(jù)組成，這些字段之間用“：”分隔，其格式如下：sudo賬戶名稱：密碼：UID：GID：用戶信息：主目錄：命令解釋器（登錄Shell）

3．用戶密碼文件—/etc/shadow在/etc/passwd文件中，有一個字段是用來存放經(jīng)過加密后的密碼，我們可以查看/etc/passwd文件來了解文檔的內(nèi)容，如圖5.2所示。圖5.2

查看/etc/shadow文件內(nèi)容可以發(fā)現(xiàn)etc/shadow和etc/passwd文件的內(nèi)容類似，其中的每一行都和passwd中的行對應(yīng)，每個用戶的信息在shadow文件中占用一行，并且用“：”分隔為9個字段，其格式如下：shadow文件中的各字段含義如表5.1所示，其中少數(shù)字段的內(nèi)容是可以為空的，但仍然需要使用“：”進行占位來表示該字段。

4.添加賬戶——useradd(adduser)命令用戶賬戶管理包括新建用戶、設(shè)置密碼和用戶賬戶其他屬性的修改。1．useradd(adduser)命令—建立用戶賬戶在系統(tǒng)可以使用useradd或者adduser命令來新建用戶賬戶，其命令格式如下：

useradd命令各選項及功能說明，如表5.2所示。表5.2useradd命令各選項及功能說明選項功能說明-ccomment用戶的注釋性信息，如：全名、辦公電話等-dhome_dir設(shè)置用戶的主目錄，默認值“/home/用戶名”-eYYYY-MM-DD設(shè)置賬戶的有效日期，此日期以后，用戶將不能使用該賬戶-fdays設(shè)置賬戶過期多少天后用戶賬戶被禁用，如果為0，賬戶過期后將立刻被禁用；如果為-1，賬戶過期后，將不被禁用-ggroup用戶所屬主組群的組群名稱或者GID-Ggroup-list用戶所屬的附屬組群列表，多個組群之間用逗號分隔-m自動建立用戶的主目錄-M不要自動建立用戶的主目錄-n不要為用戶創(chuàng)建用戶私人組群-ppasswd加密的口令-r建立系統(tǒng)賬號-sshell指定用戶的登錄所使用的shell，默認為/bin/bash-uUID指定用戶UID,它必須是唯一的 2．passwd命令—設(shè)置用戶賬戶口令密碼在終端中，我們可以用passwd命令修改賬戶的密碼，超級用戶可以為自己和其他用戶設(shè)置口令密碼，而普通用戶賬戶只能為自己設(shè)置口令密碼，其命令格式如下：4．usermod命令—修改用戶賬戶usermod命令用于修改的屬性，其命令格式如下：從前面的知識我們知道Linux系統(tǒng)中的所有內(nèi)容都是文件，用戶的信息保存在/etc/passwd文件中，可以直接用文本編輯器來修改文件中用戶參數(shù)，也可以用usermod命令修改已經(jīng)創(chuàng)建的用戶信息，如：用戶的UID、用戶組、默認終端等，usermod命令各選項及功能說明5．userdel命令—刪除用戶賬戶要想刪除一個賬戶，可以用文本編輯器在/etc/passwd和etc/shadow文件中要刪除需要去掉的用戶所對應(yīng)的行，也可以使用userdel命令進行刪除，其命令格式如下：5.1.2組群管理在國產(chǎn)Linux操作系統(tǒng)系統(tǒng)組的管理也是非常重要的，系統(tǒng)有私有組、系統(tǒng)組、標準組。（1）系統(tǒng)組：是Linux系統(tǒng)正常運行所必需的，安裝Linux系統(tǒng)或添加新的軟件包會自動建立系統(tǒng)。（2）私有組：建立賬戶時，若沒有指定賬戶所屬的組，系統(tǒng)會建立一個組名和用戶名相同的組，這個組就是私有組，這個組只容納了一個用戶。（3）標準組：可以容納多個用戶，組中的用戶都具有組所擁有的權(quán)利。一個用戶可以屬于多個組，用戶所屬的組又有基本組和附加組之分，在用戶所屬組中的第一個組稱為基本組，基本組在/etc/passwd文件中指定；其它組為附加組，附加組在/etc/group文件中指定。屬于多個組的用戶所擁有的權(quán)限是它所在的組的權(quán)限之和。3.2.1理解組群文件1．/etc/group文件2．/etc/gshadow文件1．/etc/group文件/etc/group文件用于存放用戶的組賬戶信息，對于該文件的內(nèi)容任何用戶都可以讀取，每個組群賬戶在group文件中占一行，并且用“：”分隔為4個字段，其格式如下：group文件中的各字段含義如表5.8所示。表5.8group文件字段功能說明字段功能說明組群名稱組群的名稱組群密碼通常不需要設(shè)定，一般很少用組群登錄，其密碼也是被記錄在/etc/gshadow中GID組群的ID號組群成員是組群所包含的用戶，用戶之間用“，”分隔，如果沒有成員，默認為空2．/etc/gshadow文件/etc/gshadow文件用于存放組群的加密口令、組管理員等信息，該文件只有root用戶可以讀取，每個組群賬戶在gshadow文件中占用一行，并且用“：”分隔為4個字段，其格式如下：gshadow文件中的各字段含義如表5.9所示。表5.9gshadow文件字段功能說明字段功能說明組群名稱組群的名稱加密后的組群密碼通常不需要設(shè)定，沒有就用“!”占位組群的管理員組群的管理員，默認為空組群成員是組群所包含的用戶，用戶之間用“，”分隔，如果沒有成員，默認為空3.2.2組群維護與管理5.chown命令—修改文件的擁有者和組群chown命令可以將指定文件的擁有者改為指定的用戶或組，用戶可以是用戶名或者用戶ID；組可以是組名或者組ID；文件是以空格分開的要改變權(quán)限的文件列表，支持通配符。系統(tǒng)管理員經(jīng)常使用chown命令，在將文件拷貝到另一個用戶的名錄下之后，讓用戶擁有使用該文件的權(quán)限，通過chown命令改變文件的擁有者和群組。在更改文件的所有者或所屬群組時，可以使用用戶名稱和用戶識別碼設(shè)置，普通用戶不能將自己的文件改變成其他的擁有者，其操作權(quán)限一般為管理員，其命令格式如下：6.chgrp命令—修改文件與目錄所屬組群在linux系統(tǒng)里，文件與目錄的權(quán)限控制是以擁有者及所屬組群來管理的，可以使用chgrp命令來取修改文件與目錄所屬組群，chgrp命令可采用組群名稱或組群識別碼的方式改變文件或目錄的所屬群組，使用權(quán)限是超級用戶，chgrp命令是changegroup的縮寫，要被改變的組群名必須要在/etc/group文件中才可以，其命令格式如下：任務(wù)5.2

文件和目錄的特殊權(quán)限管理5.2.1特殊權(quán)限文件權(quán)限包括讀（r）、寫（w）、執(zhí)行（x）等基本權(quán)限。決定文件類型的屬性包括目錄（d）、文件（-）、連接（l）等，修改權(quán)限文件可以使用chmod、chown、chgrp命令來實現(xiàn)，在Linux的ext2、ext3、ext4文件系統(tǒng)下，除基本的讀?。╮）、寫入（w）、執(zhí)行（x）權(quán)限外，還可以設(shè)定系統(tǒng)隱藏屬性，可以使用chattr命令設(shè)置系統(tǒng)隱藏屬性，而使用lsattr命令可以查看隱藏屬性。1.文件預(yù)設(shè)權(quán)限umaskumask命令其格式如下：umask命令各選項及功能說明，如表5.21所示。表5.21umask命令各選項及功能說明選項功能說明-p（小寫）輸出的權(quán)限掩碼可直接作為指令來執(zhí)行-S(大寫)以符號方式輸出權(quán)限掩碼查看默認權(quán)限有兩種方法：一是直接輸入umask，可以看到數(shù)字形態(tài)的權(quán)限設(shè)定；另一種是加入-S（symbolic）選項，則會以符號類型的方式顯示權(quán)限目錄與文件的默認權(quán)限是不一樣的，但是一般文件的建立是不應(yīng)該有執(zhí)行的權(quán)限，因為一般文件通常是用于數(shù)據(jù)的記錄，當然不需要執(zhí)行的權(quán)限，因此，預(yù)設(shè)的情況如下。1、若使用者建立文件，則預(yù)設(shè)沒有可執(zhí)行（x）權(quán)限，即只有讀?。╮）和寫入（w）這兩個權(quán)限，也就是最大值為666，預(yù)設(shè)權(quán)限為：-rw-rw-rw-。2、若使用者建立目錄，則由于執(zhí)行與是否可以進入此目錄有關(guān)，因此默認所有權(quán)限均開放，即為777，預(yù)設(shè)權(quán)限為：drwxrwxrwx。umask的分值指的是該默認值需要減掉的權(quán)限（r、w、x分別對應(yīng)的是4、2、1），具體情況如下。1、如果去掉讀取的權(quán)限，umask的分值輸入4。2、如果去掉寫入的權(quán)限，umask的分值輸入2。3、如果去掉執(zhí)行的權(quán)限，umask的分值輸入1。4、如果去掉讀取和寫入的權(quán)限，umask的分值輸入6。5、如果去掉讀取和執(zhí)行的權(quán)限，umask的分值輸入5。6、如果去掉執(zhí)行和寫入的權(quán)限，umask的分值輸入3。從上面執(zhí)行的命令結(jié)果，我們可以看到umask的值為：0022，所以用戶并沒有被去掉任何權(quán)限，不過同組成員（group）與其他用戶（other）的權(quán)限被去掉了2，也就是寫入（w）的權(quán)限被去掉了，那么使用者的權(quán)限是多少呢，下面我們一起來看一下吧。1、建立文件是：（-rw-rw-rw-）-（----w--w-）=-rw-r--r--。2、建立目錄是：（drwxrwxrwx）-（d----w--w-）=drwxr-xr-x。2.使用umask當你和你的團隊進行同一個項目專題的時候，你們的賬號屬于相同的組群，并且/home/team01/目錄是你們的項目專題目錄，可以想象一下，有沒有可能你所制作的文件你的團隊成員無法編輯呢？如果是這樣的話，應(yīng)該如何解決呢？這樣的問題可能經(jīng)常發(fā)生的，以上面的案例，用戶user01的權(quán)限是644，也就是說，如果umask的值為022，那么新建的數(shù)據(jù)只有用戶自己具有寫入（w）的權(quán)限，同組群的人只有讀?。╮）的權(quán)限，肯定無法修改，這樣怎么可能共同制作項目專題呢？3.設(shè)置文件隱藏屬性有時候，發(fā)現(xiàn)有些文件使用超級用戶root都不能修改，大部分原因是曾經(jīng)用chattr命令鎖定該文件了，chattr命令的作用很大，其中一些功能是由Linux內(nèi)核版本來支持的，不過現(xiàn)在生產(chǎn)絕大部分跑的Linux系統(tǒng)都是2.6以上內(nèi)核了。通過chattr命令修改屬性能夠提高系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var目錄。lsattr命令是顯示chattr命令設(shè)置的文件屬性。5.2.2系統(tǒng)安全和用戶權(quán)限策略提供數(shù)據(jù)保護：文件和目錄權(quán)限確保只有授權(quán)的用戶能夠訪問敏感數(shù)據(jù)。通過正確配置權(quán)限，可以防止未經(jīng)授權(quán)的用戶訪問、修改或刪除文件。維護系統(tǒng)完整性：

權(quán)限控制有助于維護系統(tǒng)的完整性，防止惡意軟件或未經(jīng)授權(quán)的用戶修改系統(tǒng)關(guān)鍵文件。隔離和保護隱私：

不同用戶之間的文件和目錄應(yīng)該得到隔離，權(quán)限控制可以確保用戶之間的數(shù)據(jù)互不干擾，保護用戶的隱私。5.2.2系統(tǒng)安全和用戶權(quán)限策略

保障合規(guī)性和法規(guī)要求：

許多法規(guī)和合規(guī)性標準要求保護敏感數(shù)據(jù)，權(quán)限控制是滿足這些要求的關(guān)鍵。

防止意外操作：

通過限制對關(guān)鍵文件和目錄的寫權(quán)限，可以防止用戶意外覆蓋或刪除重要數(shù)據(jù)。本章小結(jié)再本章學習中，小陳通過刻苦學習，掌握了比較多的知識。對系統(tǒng)的用戶與組管理的工作游刃有余了。他了解用戶賬戶分類：超級用戶、系統(tǒng)用戶、普通用戶。熟練操作用戶管理命令：包括用戶增加、刪除、修改屬性等操作學會操作組管理命令：包括組增加、刪除、修改屬性等操作。了解系統(tǒng)用戶的特殊權(quán)限，掌握系統(tǒng)安全和用戶權(quán)限策略的管理操作。習題一、選擇題

1.Linux系統(tǒng)中，若文件名前面多一個點“.”，則代表文件為（

）。A.只讀文件B.寫入文件C.可執(zhí)行文件D.隱藏文件2.Linux系統(tǒng)中，可以使用（）命令來查看隱藏文件。A.ll

B.ls-aC.ls-lD.ls-ld3.存放Linux基本命令的目錄是什么（

）。A./binB./libC./rootD./home4.Linux系統(tǒng)中，將加密后的密碼存放到（

）文件中。A./etc/passwdB./etc/shadowC./etc/passwordD./etc/gshadow5.Linux系統(tǒng)中，超級用戶root的UID是多少（

）。A.0B.1C.100D.1000習題6.Linux系統(tǒng)中，新建用戶user01，并為用戶設(shè)置密碼為123456的命令是（

）。A.useradd–c123456user01B.useradd–d123456user01C.useradd–p123456user01D.useradd–n123456user017.Linux系統(tǒng)中，為用戶user01添加屬組student命令是（

）。A.usermod–Gstudentuser01B.usermod–gstudentuser01C.usermod–Mstudentuser01D.usermod–mstudentuser018.Linux系統(tǒng)中，刪除主目錄和以及目錄中的所有文件（

）。A.userdel–huser01B.userdel–ruser01C.userdel–Ruser01