RHEL6版-項目4__用戶與文件權(quán)限的管理

十二五 職業(yè)教育國家規(guī)劃教材選題立項RedHatEnterpriseLinux6 4 RHEL6 4 教材附帶的光盤資源 Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理 教材主編 夏笠芹 課程標(biāo)準 教學(xué)大綱 教學(xué)設(shè)計方案 教案 PPT電子課件教材習(xí)題參考答案模擬試卷及參考答案 4套 IT認證 全國技能大賽資料知識拓展 網(wǎng)絡(luò)工程解決方案 項目4用戶與文件權(quán)限的管理 職業(yè)知識目標(biāo) 了解 Linux中的用戶和組的分類 用戶登錄Linux系統(tǒng)的過程熟悉 Linux中用戶和用戶組的配置文件 Linux中文件和目錄的權(quán)限類型 掌握 用戶和用戶組的管理方法 文件和目錄的權(quán)限設(shè)置方法 職業(yè)能力目標(biāo) 會添加新用戶 用戶組并為用戶設(shè)置密碼會設(shè)置用戶 用戶組的屬性和刪除用戶 用戶組會向用戶組添加和刪除組成員會設(shè)置文件和目錄的一般權(quán)限 特殊權(quán)限能修改文件和目錄的屬主和屬組會設(shè)置新建文件或目錄的默認權(quán)限 Linux操作系統(tǒng)是一個多用戶的操作系統(tǒng) 它允許多個用戶同時登陸到系統(tǒng)上使用系統(tǒng)資源 系統(tǒng)根據(jù)帳戶來區(qū)分每個用戶的文件 進程 任務(wù) 給每個用戶提供特定的工作環(huán)境 如用戶的工作目錄 Shell版本以及X Window環(huán)境的配置等 使每個用戶的工作都能獨立不受干擾地進行 任何一個要使用系統(tǒng)資源的使用者 都必須首先向系統(tǒng)管理員申請一個用戶賬號 每個用戶賬號都擁有一個惟一的用戶名和相應(yīng)的口令 用戶在登錄時只有鍵入正確的用戶名和口令后 才能進入系統(tǒng) 對用戶 組 的管理工作主要涉及到用戶 組 賬號的添加 修改和刪除 用戶 組 口令的管理以及為用戶 組 配置訪問系統(tǒng)資源的權(quán)限 這些工作是網(wǎng)絡(luò)管理員日常最基本的工作任務(wù) 也是構(gòu)建系統(tǒng)安全的最基本的保障 4 1項目背景 4 2項目知識準備 4 2 1Linux中的用戶和組的分類Linux下的用戶可以分為三類 超級用戶 用戶名為root 它具有一切權(quán)限 只有進行系統(tǒng)維護 例如 建立用戶等 或其他必要情形下才用超級用戶登錄 以避免系統(tǒng)出現(xiàn)安全問題 系統(tǒng)用戶 偽用戶 是Linux系統(tǒng)正常工作所必需的內(nèi)建的用戶 主要是為了滿足相應(yīng)的系統(tǒng)進程對文件屬主的要求而建立的 例如 bin daemon adm lp等用戶 系統(tǒng)用戶不能用來登錄 普通用戶 是為了讓使用者能夠使用Linux系統(tǒng)資源而建立的 我們的大多數(shù)用戶屬于此類 4 2項目知識準備 4 2 1Linux中的用戶和組的分類Linux中的組有以下三種 基本組 私有組 建立賬戶時 若沒有指定賬戶所屬的組 系統(tǒng)會建立一個和用戶名相同的組 這個組就是基本組 基本組只容納一個用戶 當(dāng)把其他用戶加入到該組中 則基本組就變成了附加組 附加組 公有組 可以容納多個用戶 組中的用戶都具有組所擁有的權(quán)利 系統(tǒng)組 一般加入一些系統(tǒng)用戶 4 2 2Linux中用戶和用戶組的配置文件 每個用戶都有一個UID數(shù)值 超級用戶的UID 0系統(tǒng)用戶的UID 1 499普通用戶的UID 500 60000在Linux中 用戶賬號 密碼 用戶組信息和用戶組密碼均是存放在不同的配置文件中的 1 用戶賬號文件 etc passwdpasswd是一個文本文件 用于定義系統(tǒng)的用戶賬號 由于所有用戶都對passwd有讀權(quán)限 所以該文件中只定義用戶賬號 而不保存口令 passwd文件中 每行定義一個用戶賬號每一行由7個字段的數(shù)據(jù)組成 字段之間用 分隔 其格式如下 賬號名稱 密碼 UID GID 用戶全名 主目錄 Shell 4 2 2Linux中用戶和用戶組的配置文件 passwd文件 4 2 2Linux中用戶和用戶組的配置文件 字段說明 賬號名稱 用戶登錄Linux系統(tǒng)時使用的名稱 密碼 這里的密碼是經(jīng)過加密后的密碼 一般是采用MD5加密方式 而不是真正的密碼 若為 x 說明密碼經(jīng)過了shadow的保護UID 用戶的標(biāo)識 是一個數(shù)值 用它來區(qū)分不同的用戶GID 用戶所在基本組的標(biāo)識 是一個數(shù)值 用它來區(qū)分不同的組 相同的組具有相同的GID 個人資料 可以記錄用戶的完整姓名 地址 辦公室電話 家庭電話等信息 主目錄 類似Windows的個人目錄 通常是 home username 這里username是用戶名 用戶執(zhí)行 cd 命令時當(dāng)前目錄會切換到個人主目錄 Shell 定義用戶登錄后激活的Shell 默認是BashShellpasswd文件中 第一行是root用戶 緊接的是系統(tǒng)用戶 普通用戶通常在文件的尾部 4 2 2Linux中用戶和用戶組的配置文件 2 用戶密碼文件 etc shadow每行定義了一個用戶信息 行中各字段各字段用 隔開 為提高安全性 用戶真實的密碼采用MD5加密算法加密后 保存在配置文件中 只有root用戶可以讀取 Mail用戶信息 mail 12259 0 99999 7 username passwd lastchg min max warn inactive expire flag 4 2 2Linux中用戶和用戶組的配置文件 etc shadow文件中的每個記錄用 隔開為9個域 每個域的含義分別為 4 2 2Linux中用戶和用戶組的配置文件 3 用戶組賬號文件 etc group系統(tǒng)中的每一個文件都有一個用戶和一個組的屬主 使用 ls l 命令可以看到每一個文件的屬主和組 系統(tǒng)中的每個組 在 etc group文件中有一行記錄任何用戶均可以讀取用戶組賬戶信息配置文件 用戶組的真實密碼保存在 etc gshadow配置文件中 group文件字段說明 4 2 2Linux中用戶和用戶組的配置文件 4 2 3用戶登錄Linux系統(tǒng)的過程 Linux系統(tǒng)采用純文本文件來保存賬號的各種信息 其中最重要的文件有這幾個 Linux用戶登入系統(tǒng)過程實質(zhì)是系統(tǒng)讀取 核對 etc passwd etc shadow etc group等文件的過程 過程如下 首先 Linux會出現(xiàn)一個登錄系統(tǒng)的畫面提示輸入賬號 輸入賬號與密碼 Linux接著會先找尋 etc passwd里面是否有這個賬號名 如果沒有則退出登錄 如果有的話則將該賬號對應(yīng)的UID UserID 與GID GroupID 讀出來 另外 該賬號的對應(yīng)的用戶主目錄與shell設(shè)定也一并讀出 核對密碼表 這時Linux會進入 etc shadow里面找出登錄賬號與UID相對應(yīng)的 記錄 然后核對一下剛剛輸入的密碼與此文件的密碼是否符合 以上核定沒有問題 用戶正式進入系統(tǒng) 4 2 4Linux中文件和目錄的權(quán)限 1 文件和目錄的一般權(quán)限 4 2 4Linux中文件和目錄的權(quán)限 1 文件和目錄的一般權(quán)限 4 2 4Linux中文件和目錄的權(quán)限 2 文件和目錄的特殊權(quán)限在Linux系統(tǒng)中 用戶對文件或目錄的訪問權(quán)限 除了r 讀取 w 寫入 x 執(zhí)行 三種一般權(quán)限外 還有SETUID SUID SETGID SGID StickyBit 粘滯位 三種特殊權(quán)限 用于對文件或目錄進行更加靈活方便的訪問控制 1 SETUID SUID 2 SETGID SGID 3 StickyBit SBit 粘滯位 4 3項目實施 任務(wù)4 1用戶的管理1 添加新用戶 useradd命令先用root用戶登錄后 再執(zhí)行它們 useradd 選項 常用選項 d目錄 指定用戶主目錄 如果此目錄不存在 則同時使用 m選項 可以創(chuàng)建主目錄 默認值是 home 用戶名 eYYYY MM DD 設(shè)置賬號的失效日期 此日期后用戶將不能使用該賬號 要啟用shadow才能使用此功能 fdays 指定密碼到期后多少天永久停止賬號 若指定為0 則立即被停權(quán) 為 1 則關(guān)閉此功能 g用戶組 設(shè)定用戶所屬基本組 或使用GID號 該組在指定時必須已存在 G用戶組列表 設(shè)定用戶所屬附屬組 或使用GID號 各組在指定時已存在 附屬組可以有多個 組之間用 分隔開 m 若用戶主目錄不存在 則創(chuàng)建主目錄 在redhat系列中此選項可省 M 不創(chuàng)建用戶主目錄 p口令 指定用戶登錄密碼 加密的口令 sShell 設(shè)置用戶登錄后啟動的Shell 默認是bash u用戶號 設(shè)置賬號的UID 默認是已有用戶的最大UID加1 如果同時有 o選項 則可以重復(fù)使用其他用戶的標(biāo)識號 應(yīng)用示例創(chuàng)建一個名為zhangsan的用戶 并作為student用戶組的成員 useradd gstudentzhangsan tail 1 etc passwd 顯示最后1行的內(nèi)容 zhangsan x 502 500 home zhangyan bin bash該命令做了下面幾件事 在 etc passwd和 etc group文件中增添了一行記錄 創(chuàng)建新用戶的主目錄從 etc skel中拷貝文件和目錄到用戶主目錄 讓新用戶獲得其主目錄和文件的擁有的權(quán)限但是使用了該命令后 新建的用戶暫時還無法登錄 因為還沒有為該用戶設(shè)置口令 需要再用passwd命令為其設(shè)置口令后 才能登錄 用戶的UID和GID是useradd自動選取的 它是將 etc passwd文件中的UID加1 將etc group文件中的GID加1 增加新用戶時 系統(tǒng)將為用戶創(chuàng)建一個與用戶名相同的組 稱為私有組 這一方法是為了能讓新用戶與其他用戶隔離 確保安全性的措施 任務(wù)4 1用戶的管理 應(yīng)用示例 useradd s bin shtest1 chsh l顯示可使用的shell useradd d hnwy zhang3test2hnwy目錄事先存在useradd d data s bin nologin gnobodytest3 任務(wù)4 1用戶的管理 任務(wù)4 1用戶的管理 2 為用戶賬號設(shè)置密碼 passwd命令Linux的賬戶必須設(shè)置密碼后 才能登錄系統(tǒng)passwd 賬戶名 常用選項 d 清空指定用戶的口令 這與未設(shè)置口令的賬戶不同 未設(shè)置口令的賬戶無法登錄系統(tǒng) 而口令為空的賬戶可以 f 強迫用戶下次登錄時必須修改口令 i 口令過期后多少天停用賬戶 l 鎖定 停用 用戶賬戶 n 指定口令的最短存活期 S 顯示賬戶口令的簡短狀態(tài)信息 是否被鎖定 u 解鎖用戶賬戶 x 指定口令的最長存活期 w 口令要到期前提前警告的天數(shù) 如果缺省用戶名 則表示修改當(dāng)前用戶的口令 任務(wù)4 1用戶的管理 2 為用戶賬號設(shè)置密碼 passwd命令只有root用戶才有權(quán)設(shè)置指定賬戶的密碼 一般用戶只能設(shè)置或修改自己賬戶的密碼 如 若要設(shè)置zhang3賬戶的登錄密碼 則操作命令為 passwdzhang3Changingpasswordforuserlijunjie Newpassword 鍵入密碼Retypenewpassword 重輸密碼passwd allauthenticationtokensupdatedsuccessfully 3 修改用戶賬號屬性 usermod命令usermod 選項 username常用的選項包括 c d m g G s u以及 o等 這些選項的意義與useradd命令中的選項一樣 可以為用戶指定新的資源值 另外 還可以使用如下選項 l新用戶名 更改賬戶的名稱 必須在該用戶未登錄的情況下才能使用 L 鎖定 暫停 用戶賬戶 使其不能登錄使用 U 解鎖用戶賬戶 改變用戶賬戶名usermod l新用戶名原用戶名例如 將用戶zhangsan更名為zhang3 usermod lzhangsanzhang3 tail 1 etc passwdzhang3 x 503 503 home lijie bin bash從輸出結(jié)果可見 用戶名已更改為了zhang3 主目錄仍為 home zhangsan 若要將其更改為 home zhang3 則命令為 usermod d home zhang3zhang3 任務(wù)4 1用戶的管理 鎖定賬戶 臨時禁止用戶登戶命令 usermod L要鎖定的賬戶比如 usermod Lzhang3Linux鎖定賬戶 是通過在密碼文件shadow的密碼字段前加 來標(biāo)識該用戶被鎖定 解鎖賬戶命令 usermod U要解鎖的賬戶比如 usermod Uzhang3 任務(wù)4 1用戶的管理 4 刪除用戶賬號 userdel命令命令 userdel r 賬戶名 r 在刪除該賬戶的同時 一并刪除該賬戶對應(yīng)的主目錄 比如 userdel rzhang35 用戶間切換 su substituteuser 命令 su 用戶名 su命令的常見用法是變成跟用戶或超級用戶 如果發(fā)出不帶用戶名的su命令 則系統(tǒng)提示輸入根口令 輸入之后則可換為根用戶 如果登陸為根用戶 則可以用su命令成為系統(tǒng)上任何用戶而不需要口令 任務(wù)4 1用戶的管理 1 創(chuàng)建用戶組 groupadd命令命令 groupadd r 用戶組名稱 gGID 指定新用戶組的組標(biāo)識號 GID 默認值是已有的最大的GID加1 r 創(chuàng)建系統(tǒng)用戶組 該類用戶組的GID值小于500 無 r參數(shù) 則創(chuàng)建普通用戶組 其GID值大于或等于500 在前面創(chuàng)建的student用戶組 由于是創(chuàng)建的第1個普通用戶組 故其GID值為500 舉例 創(chuàng)建一個名為sysgroup的系統(tǒng)用戶組 則操作命令為 groupadd rsysgroup tail 1 etc groupsysgroup x 101 任務(wù)4 2用戶組的管理 2 添加 刪除組成員 gpasswd命令命令 gpasswd 選項 用戶 組 只有root用戶和組管理員才能夠使用這個 選項 a 把用戶加入組 d 把用戶從組中刪除 M 可同時添加多個用戶 A 給組指派管理員 例4 12 將zhang3 li4用戶同時加入group1組 并指派zhang3為管理員 root dyzx gpasswd Mzhang3 li4group1 root dyzx tail 1 etc groupgroup1 x 1000 zhang3 li4 root dyzx gpasswd Azhang3group1 任務(wù)4 2用戶組的管理 3 修改用戶組屬性 groupmod命令語法 groupmod選項用戶組常用選項 gGID 為用戶組指定新的組標(biāo)識號 n新用戶組 將用戶組的名字改為新名字修改用戶組的名稱和用戶組的GID值 1 改變用戶組名稱命令 groupmod n新用戶組名原用戶組名對用戶組更名 不會改變其GID的值 比如 將sysgroup用戶組更名為teacher用戶組 則操作命令為 groupmod nteachersysgroup tail 1 etc groupteacher x 101 任務(wù)4 2用戶組的管理 2 重設(shè)用戶組的GID用戶組的GID值可以重新進行設(shè)置修改 但不能與已有用戶組的GID值重復(fù) 對GID進行修改 不會改變用戶名的名稱 命令 groupmod g新GID用戶組名例如 若要將teacher組的GID更改名501 則操作命令為 groupmod g501teacher grepteacher etc group 在 etc group文件中查找并顯示含有teacher的行teacher x 501 任務(wù)4 2用戶組的管理 4 刪除組賬戶 groupdel命令命令 groupdel用戶組名比如 groupdelteacher在刪除用戶組時 被刪除的用戶組不能是某個賬戶的私有用戶組 否則將無法刪除 若要刪除 則應(yīng)先刪除引用該私有用戶組的賬戶 然后再刪除用戶組 任務(wù)4 2用戶組的管理 任務(wù)4 2用戶組的管理 5 用戶和組賬戶的信息顯示 1 修改文件或目錄的權(quán)限 chmod changemode 命令格式1 chmod 選項 ugoa rwx 文件或目錄 格式2 chmod 選項 nnn文件或目錄 只有文件或目錄的擁有者或root用戶才有更改權(quán) R 可遞歸設(shè)置指定目錄下的全部文件權(quán)限值的兩種表示方法使用3位的八進制數(shù)表示 使用字符串表示 任務(wù)4 3設(shè)置文件和目錄的一般權(quán)限 例如 myfile txt文件目前的權(quán)限為rw r r 若要更改為rw rw r 其命令為 chmod664 home liyang myfile txt 擁有者的權(quán)限 所屬的組中的用戶的權(quán)限 其他用戶對該文件的權(quán)限 644 110 100 100 r r rw 權(quán)限值的表示方法1 使用3位的八進制數(shù)表示 比如 權(quán)限值的表示方法2 使用字符串表示chmod R ugoa rwxst 用戶對象 權(quán)限符用戶對象u 擁有者g 擁有者所屬的用戶組o 其他用戶a 所有的 增加某項權(quán)限 去掉某項權(quán)限 賦予某項權(quán)限 權(quán)限符 r w x s若通過r w x s表示方式來更改權(quán)限 則只需在chmod命令中表達出權(quán)限需要改變的部分即可 該方法可視為是相對修改法 任務(wù)4 3設(shè)置文件和目錄的一般權(quán)限 2 修改文件或目錄的屬主和屬組 chown changeowner 命令 修改文件或目錄的擁有者chown 選項 新屬主 新屬組 被改變歸屬的文件或目錄 R 可遞歸設(shè)置指定目錄下的全部文件 包括子目錄和子目錄中的文件 的所屬關(guān)系 用空格分隔列表中多個文件名或目錄名例如 若要設(shè)置 var software目錄的屬主為angel用戶和angel用戶組 則設(shè)置方法為 chownangel angel var software 任務(wù)4 3設(shè)置文件和目錄的一般權(quán)限 例如 假設(shè) setup sh文件的權(quán)限當(dāng)前為rw rw r 若要修改為rw r 則更改命令為 chmodg w setup sh chmodo r setup sh若要給其他用戶增加讀的權(quán)限 則命令為 chmodo r setup sh若要同時去掉用戶組和其他用戶對該文件的讀權(quán)限 則實現(xiàn)命令為 chmodgo r setup sh若文件擁有者 用戶組和其他用戶都只賦予讀的權(quán)限 則實現(xiàn)命令為 chmodugo r setup sh 任務(wù)4 3設(shè)置文件和目錄的一般權(quán)限 任務(wù)4 4設(shè)置文件和目錄的特殊權(quán)限 為文件或目錄添加三種特殊權(quán)限同樣可以通過chmod命令來實施 使用 u s g s o t 的字符權(quán)限模式分別用于添加和移除SUID GUID sticky權(quán)限 若使用數(shù)字形式的權(quán)限模式 可采用 nnnn 格式的四位八進制數(shù)字表示 其中 后面三位是一般權(quán)限的數(shù)字表示 前面第一位則是特殊權(quán)限的標(biāo)志數(shù)字 0表示不設(shè)置特殊權(quán)限 1表示只設(shè)置sticky 2表示只設(shè)置GUID權(quán)限 3表示只設(shè)置SGID和sticky權(quán)限 4表示只設(shè)置SUID權(quán)限 5表示只設(shè)置SUID和sticky權(quán)限 6表示只設(shè)置SUID和SGID 7表示同時設(shè)置SUID GUID sticky3種權(quán)限 例4 20 為mkdir命令對應(yīng)的命令文件設(shè)置SUID權(quán)限 使得普通用戶在根目錄下能夠使用mkdir命令創(chuàng)建目錄 例4 21 在目錄上面運用sticky權(quán)限 使得僅root用戶和文件的擁有者才能刪除該目錄中的文件 其他用戶不能刪除 任務(wù)4 5設(shè)置新建文件或目錄的默認權(quán)限 在Linux系統(tǒng)中 當(dāng)用戶創(chuàng)建一個新的文件或目錄時 系統(tǒng)都會為新建的文件或目錄分配默認的權(quán)限 該默認權(quán)限并不是繼承了上級目錄的權(quán)限 而是與umask值 稱為權(quán)限掩碼 有關(guān) 其具體關(guān)系是 新建文件的默認權(quán)限 0666 umask值新建目錄的默認權(quán)限 0777 umask值 例4 22 分別查看 修改root用戶和普通用戶當(dāng)前默認