Linux操作系統(tǒng)案例教程電子教案 第5章 用戶與組群管理.ppt

1、第五章 用戶與組群管理,5-1用戶管理概述,1、用戶管理的范圍 用戶帳號(hào)管理 組帳號(hào)管理 用戶/組帳號(hào)的權(quán)限管理,5.1 用戶和組文件,Linux系統(tǒng)中文件從何而來？,文件和程序,用戶,組,5.1 用戶和組文件,Linux繼承了Unix傳統(tǒng)的方法，把全部用戶信息保存為 普通的文本文件。用戶可以通過對(duì)這些文件的修改來管 理用戶和組。,文件保護(hù)策略有： 1.登錄名和登錄密碼 2.加密 3.設(shè)置訪問特權(quán),5.1.1用戶賬號(hào)文件passwd,口令文件(/etc/passwd) 該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù) 項(xiàng)、用戶ID(UID)、 默認(rèn)的用戶分組ID(GID)、GECOS字段、

2、 用戶登錄子目錄以及登錄后使用的shell。,該文件的每一行保存一個(gè)用戶的資料，而用戶資料的每一個(gè) 數(shù)據(jù)項(xiàng)之間采用冒號(hào)“：”分隔。,jl:x:100:0:Jim Lane,ECT8-3, ,:/staff/ji:/bin/sh,5.1.1用戶賬號(hào)文件passwd,登錄名 注意它的唯一性，它的長(zhǎng)度一般不超過32個(gè)字符， 它們可以包括冒號(hào)和換行之外的任何字符。登錄名要區(qū)分大 小寫。放在/etc/passwd文件的開頭部分的用戶是系統(tǒng)定義的虛 擬用戶bin、daemon。,(2)加密的口令 當(dāng)編輯/etc/passwd文件來創(chuàng)建一個(gè)新賬號(hào)時(shí)， 在加密口令字段的位置要放一個(gè)星號(hào)(*)。這個(gè)星號(hào)防止未經(jīng)

3、 授權(quán)就使用該賬號(hào)，直到設(shè)置了真實(shí)的口令為止。,5.1.1用戶賬號(hào)文件passwd,(4)GID 組的ID是一個(gè)32位整數(shù)。GID 0是給root的組保留的。 GID 1 通常指的是名為“bin”的組，GID2指的是“daemon”組。,(5)GECOS字段 通常用來定義每個(gè)用戶的個(gè)人信息。,(3)UID 是32位無符號(hào)整數(shù)，它能表示從0到4294967296 的值。建議在可能的情況下將站點(diǎn)上的最大UID號(hào)限制在 32767。root的UID為0。UID在整個(gè)機(jī)構(gòu)中應(yīng)該是唯一的,5.1.1用戶賬號(hào)文件passwd,(6)用戶的登錄子目錄 每個(gè)用戶都需要有地方保存自己的配置 文件。這個(gè)地方就叫做

4、用戶登錄子目錄。要禁止沒有主目錄的 用戶登錄，可以把/etc/login.defs中的CREATE_HOME設(shè)置為no。,(7)登錄shell 用戶上機(jī)后運(yùn)行的shell，此處出現(xiàn)的是默認(rèn)的shell， 大多數(shù)情況下是/bin/bash。,查看/etc/passwd的內(nèi)容,/etc/passwd是一個(gè)簡(jiǎn)單的文本文件，以純文本顯示加密口令的做法存在安全隱患。同時(shí)，由于/etc/passwd文件是全局可讀的，加密算法公開，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。 Linux/Unix廣泛采用了“shadow文件”機(jī)制，將加密的口令轉(zhuǎn)移到/etc/shadow文件里，該文件只為

5、root超級(jí)用戶可讀，而同時(shí)/etc/passwd文件的密文域顯示一個(gè)*，從而最大限度地減少了密文泄漏的機(jī)會(huì)。,5.1.2用戶影子文件shadow,shadow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域，格式如下：,登錄名； 加密后的口令； 上次修改口令的時(shí)間； 兩次修改口令之間的最少天數(shù)； 兩次修改口令之間的最大天數(shù)；若最大天數(shù)是99999，則永遠(yuǎn)不過期 在口令作廢之前多少天，login程序應(yīng)該開始警告用戶口令即將過期； 在達(dá)到了最大口令作廢天數(shù)之后，登錄賬號(hào)作廢之前必須等待的天數(shù) 賬號(hào)過期的天數(shù)。若該字段的值為空，則該賬號(hào)永遠(yuǎn)不過期； 保留字段，目前為空。,username：passwd：lastc

6、hg: min: max: warn: inactive: expire: flag,5.1.2用戶影子文件shadow,用戶影子文件shadow各項(xiàng)詳解, 登錄名 加密口令 口令上次更改時(shí)距1970年1月1日的天數(shù) 口令更改后不可以更改的天數(shù) 口令更改后必須再更改的天數(shù)(有效期) 口令失效前警告用戶的天數(shù) 口令失效后距賬號(hào)被查封的天數(shù) 賬號(hào)被封時(shí)距1970年1月1日的天數(shù) 保留未用,username：passwd：lastchg: min: max: warn: inactive: expire: flag,shadow文件的每行是8個(gè)冒號(hào)分隔的9個(gè)域，格式如下：,5.1.3用戶組賬號(hào)文件g

7、roup,/etc/group文件包含了Linux組的名稱和每個(gè)組中的成員列表。例如： wheel：x：10：evi,garth,trent 每一行代表了一個(gè)組其中包含有四個(gè)字段： 組名； 被加密的口令(已被廢棄，很少使用)； GID； 成員列表，彼此用逗號(hào)隔開(注意不要加空格)。 為了避免與廠商提供的GID發(fā)生沖突，一般從GID100開始分配本地組。,/etc/group的內(nèi)容,5.1.4組賬號(hào)號(hào)文件gshadow,組口令與組的其他信息相分離的安全機(jī)制，其格式如下：,用戶組名:加 密的組口令: 組成員列表,supersun:8kuwngCidEio:liyangsuper,snoppy,de

8、siny,5.1.5 使用pwck和grpck命令驗(yàn)證用戶和組文件,pwck用來驗(yàn)證用戶賬號(hào)文件和影子文件的一致性，驗(yàn)證文件中的每個(gè)數(shù)據(jù)項(xiàng)中每個(gè)域的格式以及數(shù)據(jù)的正確性。如果發(fā)現(xiàn)錯(cuò)誤，該命令將會(huì)提示用戶對(duì)出現(xiàn)錯(cuò)誤的數(shù)據(jù)項(xiàng)進(jìn)行刪除。,該命令主要驗(yàn)證每個(gè)數(shù)據(jù)項(xiàng)是否具有： 正確的域數(shù)目 唯一的用戶名 合法的用戶和組標(biāo)識(shí) 合法的主要組群 合法的主目錄 合法的登錄shell。,pwck的使用,vi /etc/passwd 輸入其中沒有的用戶信息 pwck /etc/passwd 如果數(shù)據(jù)域的項(xiàng)數(shù)正確，只會(huì)反映出不存在相關(guān)的用戶信息，不會(huì)提示用戶刪除該信息 如果數(shù)據(jù)域項(xiàng)數(shù)不正確，系統(tǒng)提示用戶進(jìn)行刪除，用戶

9、確定刪除后該文件驗(yàn)證才通過。,案例一 新建一個(gè)user1用戶，UID、GID、主目錄均按默認(rèn)； 新建一個(gè)user2用戶，UID=800、其余按默認(rèn)； 新建一個(gè)user3用戶，默認(rèn)主目錄為/abc、其余默認(rèn)；并觀察這三個(gè)用戶的信息有什么不同； 分別為以上三個(gè)用戶設(shè)置密碼為123456； 把user1用戶改名為u1,UID改為700，主目錄為/test; 把u1用戶鎖定，在不同的終端分別登錄user2與u1,并觀察有什么現(xiàn)象；,5-2 用戶帳號(hào)的管理,1、用戶帳號(hào)的分類 超級(jí)用戶（UID=0） 普通用戶（500=UIDmax=60000） 操作權(quán)限受到限制 偽用戶（系統(tǒng)用戶） （UID=1499）

10、：限制本機(jī)登錄,2、用戶帳號(hào)包含的信息 用戶名： 口令： UID：用戶唯一標(biāo)識(shí)符 GID：用戶組的唯一標(biāo)識(shí)符 用戶描述信息： 用戶主目錄：用戶登錄的初始目錄 SHELL類型：設(shè)置SHELL程序的種類,3、用戶管理 1）添加新用戶 格式： useradd/adduser 參數(shù) 用戶名 參數(shù)： -u UID/指定用戶的UID值 -g 組名/指定用戶所屬的默認(rèn)組 -G 組名/指定用戶附加組,-d 路徑 /指定用戶主目錄 -e 時(shí)間 /指定用戶帳號(hào)有效日期(YYYY-MM-DD) -s shell類型 /指定默認(rèn)的shell類型 -m /建立用戶主目錄 -M /不建立用戶主目錄,實(shí)例： # usera

11、dd u2 /新建用戶 # useradd -g g2 u3 /新建用戶u3，主要群組為g2 # useradd -e 2009-08-12 u4 /,2）設(shè)置用戶口令 格式：passwd 選項(xiàng) 用戶名 d （delete） /刪除用戶口令 -l （lock） /暫時(shí)鎖定指定的用戶賬號(hào) -u （unlock）/解除指定用戶賬號(hào)的鎖定 -S （status） /顯示指定用戶賬號(hào)的狀態(tài) 實(shí)例： #passwd u2,useradd r tom c “Tom” g jerry s /bin/sh d /home/Jone passwd tom Enter password:,passwd tom /

12、 設(shè)置口令 passwd -d tom /刪除用戶口令 passwd -l tom /鎖定賬號(hào) passwd -u tom /解鎖賬號(hào) passwd -S tom /顯示賬號(hào),3）刪除用戶 格式： userdel 參數(shù) 用戶名 參數(shù)： -r / 同時(shí)刪除用戶主目錄 實(shí)例： # userdel u2 # userdel -r u3,4）修改用戶信息 格式： usermod 參數(shù) 用戶名 參數(shù)： -l 新用戶名 當(dāng)前用戶名 /更改用戶名 -d 路徑 /更改用戶主目錄 -G 組名 /修改附加組 -L 用戶帳號(hào)名 /鎖定用戶帳號(hào)(不能登錄) -U 用戶帳號(hào)名 /解鎖用戶帳號(hào),實(shí)例： # usermod

13、 -d /abc u3 # usermod -G group2 u3 # usermod -l user3 u3 # usermod -L user1 # usermod -U user1,usermod命令用來修改使用者賬號(hào)，具體修改信息和useradd命令所添加的信息一樣。,例子 usermod g super u 5600 jeffery,/將用戶jeffery組改為super,用戶id改為5600,usermod l honey-jone s /bin/ash c “honey-jone” jone,/將用戶jone改名為honey-jone,登錄的shell改為/bin/ash /用

14、戶描述改為“honey-jone”,5）切換用戶身份 格式： su - 用戶名 實(shí)例： #su / 切換到超級(jí)用戶 #su tom,6）查看用戶的UID GID和用戶所屬組群的信息 格式： id 用戶名 實(shí)例： #id tom,案例二,建立一個(gè)標(biāo)準(zhǔn)的組group1，GID=900； 建立一個(gè)標(biāo)準(zhǔn)組group2，選項(xiàng)為默認(rèn)，觀察該組的信息有什么變化； 新建用戶ah、xh，再新建一個(gè)組group3，把root、u1、user2用戶添加到group1組中，把a(bǔ)h、xh添加到group2組， 把group3組改名為g3，GID=1000； 查看user2所屬于的組，并記錄； 刪除user1組與g3組，

15、觀察有什么情況發(fā)生；,5-3 組帳號(hào)管理,1、組的分類 私用組：創(chuàng)建用戶時(shí)自動(dòng)創(chuàng)建的組 標(biāo)準(zhǔn)組：可以包含多個(gè)用戶的組,2、組的信息 組名：組的標(biāo)識(shí)符號(hào) 口令 GID：組的唯一標(biāo)識(shí)符 組的成員,3組帳號(hào)的管理 1）建立組 格式： groupadd 參數(shù) 組名 參數(shù)： -g GID /指定新建組的GID值 -r /建立偽用戶組（1-499） 實(shí)例： # groupadd g2 # groupadd r g3,例子： groupadd g 5400 testbed /創(chuàng)建一個(gè)gid為5400組名為testbed的用戶組,2）刪除組 格式： groupdel 組名 實(shí)例： groupdel g3,3）

16、修改組的信息 格式： groupmod 參數(shù) 組名 參數(shù)： -n 新組名 原組名 /修改組的名稱 -g GID/修改組的GID 實(shí)例： # groupmod -n group1 g1 # groupmod -g 860 g2,groupmod -n testbed-new testbed /將組testbed的名稱改為testbed-new groupmod -g 5404 testbed-new /將組testbed-new的gid改為5404 groupmod g 5405 n testbed-old testbed-new /將組testbed-new的gid改為5405,名稱改為tes

17、tbed-old,4）添加/刪除組成員 格式： gpasswd 參數(shù) 用戶名 組名 參數(shù)： -a 用戶名 /向指定組添加用戶 -d 用戶名 /從指定組中刪除用戶 實(shí)例： #gpasswd -a u1 root #gpasswd -d u1 root,5）顯示用戶所屬組 格式： groups 用戶名 實(shí)例： #groups （顯示當(dāng)前用戶所屬組) #groups root （顯示root用戶的所屬組）,使用Red Hat用戶管理器管理用戶和組,啟動(dòng)Red Hat用戶管理器 兩種方法： 一種通過shell，使用如下命令： redhat-config-users 第二種方法是通過圖形界面來啟動(dòng)用戶管

18、理器。 【開始】|【系統(tǒng)設(shè)置】|【用戶和組群】菜 單項(xiàng)。,圖 形 界 面,用戶管理器,修改用戶屬性,修改帳號(hào)信息,修 改 口 令 信 息,修改組群,添 加 組 群,案例三,用root用戶登錄，在根目錄下新建一目錄test，設(shè)置文件的權(quán)限，當(dāng)用戶u1登錄時(shí)，能進(jìn)入到/test目錄之中，并能建立屬于u1用戶的文件；當(dāng)用戶xh登錄時(shí)，只能進(jìn)入到/test目錄中，但不能建立屬于xh用戶的文件； 以root身份登錄，在test目錄下新建一個(gè)文件ff與目錄dd，觀察新建文件及目錄的權(quán)限，進(jìn)行一定的設(shè)置，讓新建的目錄具有寫與執(zhí)行的權(quán)限； 進(jìn)行設(shè)置，把文件ff和目錄dd的所屬用戶變?yōu)閍h用戶；同時(shí)把目錄 dd

19、的權(quán)限設(shè)具有讀、寫、執(zhí)行的權(quán)限； 利用ah用戶登錄，來觀察對(duì)dd的操作情況；,5-4 權(quán)限管理,1、文件權(quán)限 定義：是一種限制用戶對(duì)文件操作的規(guī)則 Red Hat Linux 9.0系統(tǒng)中文件訪問權(quán)限通常分為三類 ： 讀： r 或 4 寫： w 或 2 執(zhí)行： x 或 1,2、權(quán)限值的表示方法 (1) 8進(jìn)制數(shù)字表示 r ：4 w ：2 x ：1 rw ：6 rx ：5 wx ： 3 rwx ：7 0：代表沒有權(quán)限,(2)字符表示方法 r-： 只讀 -w-：寫 -x： 執(zhí)行 rw-：讀寫 -wx： 寫和執(zhí)行 r-x ：讀和執(zhí)行 rwx ： 讀寫執(zhí)行 -：無權(quán)限,3、權(quán)限設(shè)置的方法 （1）chmod 功能：設(shè)置用戶的文件操作權(quán)限 格式： 格式一：chmod 操作對(duì)象 操作符 權(quán)限 文件名 （稱為字符設(shè)定法） 命令中各選項(xiàng)的含義為：,(1) 操作對(duì)象 u 表示“用戶（user）”，即文件或目錄的所有者。 g 表示“同組（group）用戶”，即與文 件屬主有相 同組ID的所有用戶。 o 表示“其他（others）用戶”。 a 表示“所有（all）用戶”。它是系統(tǒng)默認(rèn)值。,(2) 操作符號(hào) + 添加某個(gè)權(quán)限。 - 取消某個(gè)權(quán)限。 = 設(shè)置唯一權(quán)限。,(3) 所