《linux操作系統(tǒng)》課件 第 5 章 管理 Linux 用戶(hù)組、用戶(hù)及權(quán)限

Linux用戶(hù)組、用戶(hù)及權(quán)限管理0104Linux用戶(hù)管理規(guī)則與約定05Linux用戶(hù)組管理總結(jié)與展望0203Linux文件權(quán)限管理目錄CONTENTS01Linux用戶(hù)管理01Linux用戶(hù)按角色分為超級(jí)用戶(hù)（如root）、普通用戶(hù)和虛擬用戶(hù)（如apache）。超級(jí)用戶(hù)擁有最高權(quán)限，普通用戶(hù)只能訪(fǎng)問(wèn)和修改自己目錄下的文件，虛擬用戶(hù)用于運(yùn)行特定服務(wù)，但不能登錄系統(tǒng)。02/etc/passwd文件存儲(chǔ)用戶(hù)信息，每行代表一個(gè)用戶(hù)，字段包括用戶(hù)名、密碼占位符、UID、GID、備注信息、主目錄和登錄Shell。密碼數(shù)據(jù)存儲(chǔ)在/etc/shadow文件中，包含加密密碼和密碼限制參數(shù)。用戶(hù)角色分類(lèi)用戶(hù)信息文件使用useradd創(chuàng)建用戶(hù)，passwd設(shè)置用戶(hù)密碼，usermod修改用戶(hù)屬性，userdel刪除用戶(hù)。例如，useradd-c"ChenCheng"-d/home/cc01-mchencheng創(chuàng)建用戶(hù)并設(shè)置主目錄。使用su切換用戶(hù)，id查看用戶(hù)身份信息。su-lchencheng切換用戶(hù)并加載目標(biāo)用戶(hù)配置文件。用戶(hù)管理命令03用戶(hù)類(lèi)型與角色創(chuàng)建與刪除用戶(hù)創(chuàng)建用戶(hù)時(shí)，指定用戶(hù)名、主目錄和用戶(hù)組。例如，useradd-u1010-d/home/lucyLucy創(chuàng)建用戶(hù)Lucy并設(shè)置UID和主目錄。刪除用戶(hù)時(shí)，使用userdel-rf用戶(hù)名刪除用戶(hù)及其主目錄。修改用戶(hù)屬性修改用戶(hù)屬性，如注釋信息、主目錄和用戶(hù)組。例如，usermod-c"ChenCheng"-d/home/cc01-mchencheng修改用戶(hù)chencheng的注釋和主目錄。鎖定和解鎖用戶(hù)賬戶(hù)，使用usermod-L和usermod-U。用戶(hù)密碼管理設(shè)置和修改用戶(hù)密碼，使用passwd用戶(hù)名。例如，passwdchencheng修改用戶(hù)chencheng的密碼。刪除用戶(hù)密碼，使用passwd-d用戶(hù)名。例如，passwd-dchencheng刪除用戶(hù)chencheng的密碼。用戶(hù)管理實(shí)踐02Linux用戶(hù)組管理01用戶(hù)組定義用戶(hù)組是具有相同特性的用戶(hù)的邏輯集合，用于管理用戶(hù)權(quán)限。每個(gè)用戶(hù)都有一個(gè)基本用戶(hù)組和多個(gè)附加用戶(hù)組。02用戶(hù)組分類(lèi)用戶(hù)組分為基本組（私有組）、系統(tǒng)用戶(hù)組和附加組（公共組）?；窘M與用戶(hù)同名，系統(tǒng)用戶(hù)組包含系統(tǒng)用戶(hù)，附加組可包含多個(gè)用戶(hù)。03用戶(hù)組配置文件/etc/group文件記錄用戶(hù)組信息，字段包括組名、密碼占位符、GID和附加組用戶(hù)列表。/etc/gshadow文件存儲(chǔ)用戶(hù)組密碼信息。用戶(hù)組概念與分類(lèi)01使用groupadd創(chuàng)建用戶(hù)組，groupdel刪除用戶(hù)組。例如，groupaddasset01創(chuàng)建用戶(hù)組asset01。刪除用戶(hù)組時(shí)，確保沒(méi)有用戶(hù)使用該組作為初始用戶(hù)組。02使用groupmod修改用戶(hù)組屬性，如組名和GID。例如，groupmod-nnewgroupoldgroup修改用戶(hù)組名稱(chēng)。創(chuàng)建與刪除用戶(hù)組修改用戶(hù)組屬性使用chgrp改變文件或目錄的用戶(hù)組。例如，chgrpasset01/test/proj/asset01將目錄asset01的用戶(hù)組更改為asset01。變更文件用戶(hù)組03用戶(hù)組管理命令0102創(chuàng)建用戶(hù)組為公司銷(xiāo)售部創(chuàng)建組名為sale的用戶(hù)組，groupaddsale。為公司財(cái)務(wù)部創(chuàng)建組名為fi的用戶(hù)組，groupaddfi。添加用戶(hù)到用戶(hù)組將用戶(hù)添加到用戶(hù)組，使用usermod-aG組名用戶(hù)名。例如，usermod-aGasset01lilei將用戶(hù)lilei添加到用戶(hù)組asset01。為不同部門(mén)的用戶(hù)分配到相應(yīng)的用戶(hù)組，確保權(quán)限管理的靈活性和安全性。用戶(hù)組管理實(shí)踐03Linux文件權(quán)限管理文件權(quán)限分為讀（r）、寫(xiě)（w）和執(zhí)行（x）三種。目錄權(quán)限包括讀、寫(xiě)和執(zhí)行權(quán)限，分別對(duì)應(yīng)瀏覽目錄、修改目錄結(jié)構(gòu)和進(jìn)入目錄的權(quán)限。權(quán)限分類(lèi)權(quán)限可以用符號(hào)（如rwx）或數(shù)字（如755）表示。數(shù)字表示法中，4表示讀權(quán)限，2表示寫(xiě)權(quán)限，1表示執(zhí)行權(quán)限。權(quán)限表示每個(gè)文件有屬主、屬組和其他用戶(hù)三種權(quán)限。屬主通常是文件創(chuàng)建者，屬組是文件所屬的用戶(hù)組，其他用戶(hù)是除屬主和屬組之外的用戶(hù)。文件權(quán)限與用戶(hù)關(guān)系權(quán)限類(lèi)型與表示權(quán)限設(shè)置使用chmod設(shè)置文件或目錄的權(quán)限?？梢允褂梅?hào)法（如chmodu+x文件名）或數(shù)字法（如chmod755文件名）。例如，chmod770/test/proj/asset01設(shè)置目錄asset01的權(quán)限，使屬主和屬組具有讀寫(xiě)執(zhí)行權(quán)限，其他用戶(hù)無(wú)權(quán)限。權(quán)限提升使用sudo命令允許普通用戶(hù)以root用戶(hù)的身份執(zhí)行特定命令。例如，sudo-uroot命令以root用戶(hù)身份執(zhí)行命令。權(quán)限管理命令為項(xiàng)目組目錄設(shè)置權(quán)限，確保只有項(xiàng)目組成員可以訪(fǎng)問(wèn)和修改文件。例如，chmod770/test/proj/asset01設(shè)置目錄權(quán)限。01驗(yàn)證權(quán)限配置是否成功，使用組內(nèi)和組外用戶(hù)分別訪(fǎng)問(wèn)目錄。組內(nèi)用戶(hù)可以正常訪(fǎng)問(wèn)，組外用戶(hù)訪(fǎng)問(wèn)時(shí)會(huì)提示權(quán)限拒絕。02使用ACL（訪(fǎng)問(wèn)控制列表）為特定用戶(hù)或用戶(hù)組設(shè)置額外的權(quán)限。例如，setfacl-mu:cc01:w文件名為用戶(hù)cc01添加寫(xiě)權(quán)限。03設(shè)置目錄權(quán)限驗(yàn)證權(quán)限配置使用ACL精準(zhǔn)控制權(quán)限權(quán)限管理實(shí)踐04規(guī)則與約定用戶(hù)名應(yīng)由小寫(xiě)字母、數(shù)字和下劃線(xiàn)組成，長(zhǎng)度在2~32個(gè)字符之間，避免使用系統(tǒng)保留的關(guān)鍵字。用戶(hù)命名規(guī)則01組名由1~32個(gè)字符組成，可使用字母、數(shù)字、下劃線(xiàn)、短劃線(xiàn)和點(diǎn)號(hào)，首字符不能是數(shù)字，避免使用系統(tǒng)保留的組名。用戶(hù)組命名規(guī)則02用戶(hù)與用戶(hù)組命名規(guī)則最小權(quán)限原則為每個(gè)用戶(hù)或用戶(hù)組分配完成其任務(wù)所需的最小權(quán)限，避免賦予過(guò)多權(quán)限，減少安全風(fēng)險(xiǎn)。權(quán)限分離將系統(tǒng)管理和維護(hù)任務(wù)分解為多個(gè)角色，為每個(gè)角色分配不同權(quán)限，防止某個(gè)角色被惡意利用。謹(jǐn)慎修改權(quán)限修改目錄或文件權(quán)限前，了解其作用和影響，避免隨意更改系統(tǒng)目錄和關(guān)鍵文件的權(quán)限。權(quán)限管理原則強(qiáng)口令原則用戶(hù)設(shè)置強(qiáng)口令，長(zhǎng)度至少8位，禁用弱口令和字典口令，每90天修改一次密碼。root用戶(hù)管理原則避免使用root用戶(hù)執(zhí)行日常任務(wù)，使用sudo進(jìn)行特權(quán)提升，減少使用root用戶(hù)帶來(lái)的風(fēng)險(xiǎn)。服務(wù)賬戶(hù)原則建立服務(wù)賬戶(hù)，通常具有不可登錄Shell，確保系統(tǒng)安全。賬戶(hù)密碼管理原則記錄所有對(duì)目錄和文件權(quán)限的更改，監(jiān)控潛在的異常活動(dòng)