6.用戶(hù)與權(quán)限管理

1、1RedHat Linux課程第六章Linux用戶(hù)與權(quán)限管理2Vi的三種工作模式Vi的基本操作使用Vi進(jìn)行配置文件的編輯內(nèi)容回顧3Vi 的模式三種模式命令模式輸入模式末行模式Linux退出vivi file末行模式輸入模式轉(zhuǎn)義命令按Esc鍵文本輸入命令執(zhí)行完畢或按Esc鍵命令模式4Vi 的模式命令模式狀態(tài)欄編輯區(qū)空白區(qū)5輸入模式輸入模式標(biāo)志Vi 的模式6末行模式末行模式標(biāo)志Vi 的模式7Vi 的命令命令模式下的操作命令輸入模式下的操作命令末行模式下的操作命令8掌握用戶(hù)和組相關(guān)的配置文件掌握用戶(hù)和組管理的方法日常的管理用戶(hù)和組掌握Linux權(quán)限的表示及設(shè)置了解Linux文件和目錄安全管理原則本章

2、目標(biāo)9用戶(hù)管理類(lèi)命令用戶(hù)管理組管理密碼管理用戶(hù)信息查詢(xún)10引 言Linux系統(tǒng)是一個(gè)多用戶(hù)的時(shí)操作系統(tǒng)，任何一個(gè)要使用系統(tǒng)資源的用戶(hù)，都必須首先向系統(tǒng)管理員申請(qǐng)一個(gè)賬號(hào)，然后以這個(gè)賬號(hào)的身份進(jìn)入系統(tǒng)。用戶(hù)的賬號(hào)一方面可以幫助系統(tǒng)管理員對(duì)使用系統(tǒng)的用戶(hù)進(jìn)行跟蹤，并控制他們對(duì)系統(tǒng)資源的訪問(wèn)；另一方面也可以幫助用戶(hù)組織文件，并為用戶(hù)提供安全性保護(hù)。每個(gè)用戶(hù)賬號(hào)都擁有一個(gè)惟一的用戶(hù)名和各自的口令。用戶(hù)在登錄時(shí)鍵入正確的用戶(hù)名和口令后，就能夠進(jìn)入系統(tǒng)和自己的主目錄。實(shí)現(xiàn)用戶(hù)賬號(hào)的管理，要完成的工作主要有如下幾個(gè)方面： 1.用戶(hù)賬號(hào)的添加、刪除與修改。 2.用戶(hù)口令的管理。 3.用戶(hù)組的管理。11用戶(hù)和組

3、帳號(hào)概述Linux基于用戶(hù)身份對(duì)資源訪問(wèn)進(jìn)行控制用戶(hù)帳號(hào)： 超級(jí)用戶(hù)root 普通用戶(hù) 程序用戶(hù)組帳號(hào)： 基本組(私有組) 附加組（公共組）UID和GID： UID（User Identity，用戶(hù)標(biāo)識(shí)號(hào)） GID（Group Identify，組標(biāo)識(shí)號(hào)）12/etc/passwd 用戶(hù)信息文件用戶(hù)帳號(hào)管理13用戶(hù)帳號(hào)文件 passwd用于保存用戶(hù)的帳號(hào)基本信息文件位置：/etc/passwd每一行對(duì)應(yīng)一個(gè)用戶(hù)的帳號(hào)記錄rootlocalhost # tail -2 /etc/passwdsabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nolo

4、ginbenet:x:500:500:BENET Student User:/home/benet:/bin/bash 字段1：用戶(hù)帳號(hào)的名稱(chēng) 字段2：用戶(hù)密碼字串或者密碼占位符“x” 字段3：用戶(hù)帳號(hào)的UID號(hào) 字段4：所屬基本組帳號(hào)的GID號(hào) 字段5：用戶(hù)全名 字段6：宿主目錄 字段7：登錄Shell信息14apache:x:48:48:Apache:/var/www:/bin/bash登錄名口令UIDGID別名主目錄登錄Shell /etc/passwd15用戶(hù)UID UID用戶(hù)名 65535以后外部應(yīng)用程序用戶(hù) 50065535普通用戶(hù) 1499系統(tǒng)標(biāo)準(zhǔn)用戶(hù) 0超級(jí)用戶(hù) UID：用戶(hù)獨(dú)

5、一無(wú)二的身份標(biāo)識(shí)16/etc/shadow 密碼文件17用戶(hù)帳號(hào)文件 shadow用于保存密碼字串、密碼有效期等信息文件位置：/etc/shadow每一行對(duì)應(yīng)一個(gè)用戶(hù)的密碼記錄rootlocalhost # tail -2 /etc/shadowsabayon:!:14495:0:99999:7:mary:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:14495:0:99999:7: 字段1：用戶(hù)帳號(hào)的名稱(chēng) 字段2：加密的密碼字串信息 字段3：上次修改密碼的時(shí)間 字段4：指的是兩次修改口令之間所需的最小天數(shù)，0為不作要求 字段5：密碼的最長(zhǎng)有效天數(shù)，默認(rèn)值為99999

6、字段6：提前多少天警告用戶(hù)口令將過(guò)期，默認(rèn)值為7 字段7：在密碼過(guò)期之后多少天禁用此用戶(hù) 字段8：帳號(hào)失效時(shí)間，默認(rèn)值為空 字段9：保留字段（未使用）18用戶(hù)管理命令useradduserdelusermod用戶(hù)帳號(hào)管理19添加用戶(hù)帳號(hào)useradd命令格式：useradd 選項(xiàng). 用戶(hù)名常用命令選項(xiàng)-u：指定 UID 標(biāo)記號(hào)-d：指定宿主目錄，缺省為 /home/用戶(hù)名-e：指定帳號(hào)失效時(shí)間-g：指定用戶(hù)的基本組名（或UID號(hào)）-G：指定用戶(hù)的附加組名（或GID號(hào)）-M：不為用戶(hù)建立并初始化宿主目錄-s：指定用戶(hù)的登錄Shell20用戶(hù)帳號(hào)的初始配置文件文件來(lái)源新建用戶(hù)帳號(hào)時(shí)，從 /etc/

7、skel 目錄中復(fù)制而來(lái)主要的用戶(hù)初始配置文件/.bash_profile：用戶(hù)每次登錄時(shí)執(zhí)行/.bashrc：每次進(jìn)入新的Bash環(huán)境時(shí)執(zhí)行/.bash_logout：用戶(hù)每次退出登錄時(shí)執(zhí)行全局初始配置文件/etc/bashrc/erc/profilerootlocalhost # cat /.bashrcalias rm=rm -ialias cp=cp -ialias mv=mv -i21設(shè)置/更改用戶(hù)口令passwd命令格式：passwd 選項(xiàng). 用戶(hù)名常用命令選項(xiàng)-d：清空用戶(hù)的密碼，使之無(wú)需密碼即可登錄-l：鎖定用戶(hù)帳號(hào)-S：查看用戶(hù)帳號(hào)的狀態(tài)（是否被鎖定） -u：解鎖用戶(hù)帳號(hào)22

8、修改用戶(hù)帳號(hào)的屬性u(píng)sermod命令格式：usermod 選項(xiàng). 用戶(hù)名常用命令選項(xiàng)-l：更改用戶(hù)帳號(hào)的登錄名稱(chēng)-L：鎖定用戶(hù)賬戶(hù)-U：解鎖用戶(hù)賬戶(hù)以下選項(xiàng)與useradd命令中的含義相同 -u、-d、-e、-g、-G、-s23usermod 選項(xiàng) 用戶(hù)名 用戶(hù)帳號(hào)管理usermod -u uid username 修改用戶(hù)的UIDusermod -g gid username 修改用戶(hù)的GIDusermod -l newname oldname 修改用戶(hù)名usermod -G groupname username 添加用戶(hù)到組usermod -L username 鎖定用戶(hù)6. usermo

9、d -U username 解除鎖定24刪除用戶(hù)帳號(hào)userdel命令格式：userdel -r 用戶(hù)名添加 -r 選項(xiàng)時(shí)，表示連用戶(hù)的宿主目錄一并刪除rootlocalhost # useradd stu01rootlocalhost # ls -ld /home/stu01/drwx- 2 stu01 stu01 4096 09-09 12:38 /home/stu01/rootlocalhost # userdel -r stu01rootlocalhost # ls -ld /home/stu01/ls: /home/stu01/: 沒(méi)有那個(gè)文件或目錄刪除用戶(hù)帳號(hào)stu0125user

10、del -r username-r :將該賬號(hào)的home directory與/var/spool/mail/username一并刪除。 eg:userdel -r sam 用戶(hù)帳號(hào)管理注意：一般而言，如果該賬號(hào)只是暫時(shí)不啟用的話(huà)，那么將 /etc/shadow 里頭最后倒數(shù)一個(gè)字段設(shè)定為 0 就可以讓該賬號(hào)無(wú)法使用，但是所有跟該賬號(hào)相關(guān)的數(shù)據(jù)都會(huì)留下來(lái)！使用 userdel 的時(shí)機(jī)通常是你真的確定不要讓該用戶(hù)在主機(jī)上面使用任何數(shù)據(jù)了！26組帳號(hào)文件 group、gshadow與用戶(hù)帳號(hào)文件相類(lèi)似/etc/group：保存組帳號(hào)基本信息/etc/gshadow：保存組帳號(hào)的密碼信息rootlo

11、calhost # grep adm /etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon組帳號(hào)名 組成員列表27用戶(hù)組管理/etc/group 用戶(hù)組文件28用戶(hù)組管理/etc/gshadow 用戶(hù)組密碼文件29用戶(hù)組管理命令groupaddgroupdelgroupmod用戶(hù)組管理30 groupadd -g GID 用戶(hù)組 -g GID 指定新用戶(hù)組的組標(biāo)識(shí)（GID）用戶(hù)組管理groupdel 用戶(hù)組groupmod -g GID -n 用戶(hù)組-g GID 為用戶(hù)組指定新的組標(biāo)識(shí)號(hào) -n新用戶(hù)組 將用戶(hù)組的名字改為新名字例如：將組名為

12、group2修改為group3。 groupmod -n group3 group231添加組帳號(hào)groupadd命令格式：groupadd -g GID 組帳號(hào)名rootlocalhost # groupadd -g 1000 marketrootlocalhost # tail -1 /etc/groupmarket:x:1000:添加組帳號(hào)market32添加、刪除組成員gpasswd命令用途：設(shè)置組帳號(hào)密碼（極少用）、添加/刪除組成員格式：gpasswd 選項(xiàng). 組帳號(hào)名常用命令選項(xiàng)-a：向組內(nèi)添加一個(gè)用戶(hù)-d：從組內(nèi)刪除一個(gè)用戶(hù)成員-M：定義組成員列表，以逗號(hào)分隔rootlocalh

13、ost # gpasswd -a benet market正在將用戶(hù)“benet”加入到“market”組中rootlocalhost # grep market /etc/groupmarket:x:1000:benetrootlocalhost # gpasswd -M benet,root,adm marketrootlocalhost # grep market /etc/groupmarket:x:1000:benet,root,adm添加組成員benet定義多個(gè)組成員rootlocalhost # grep market /etc/groupmarket:x:1000:benet,

14、root,admrootlocalhost # gpasswd -d root market正在將用戶(hù)“root”從“market”組中刪除rootlocalhost # grep market /etc/groupmarket:x:1000:benet,adm刪除組成員root33刪除組帳號(hào)groupdel命令格式：groupdel 組帳號(hào)名rootlocalhost # groupdel marketrootlocalhost # grep market /etc/grouprootlocalhost #刪除組帳號(hào)market34用戶(hù)和組帳號(hào)查詢(xún)id命令用途：查詢(xún)用戶(hù)身份標(biāo)識(shí)格式：id 用

15、戶(hù)名groups命令用途:查詢(xún)用戶(hù)所屬的組格式：groups 用戶(hù)名finger命令用途：查詢(xún)用戶(hù)帳號(hào)的詳細(xì)信息格式：finger -l 用戶(hù)名users、w 、who命令用途：查詢(xún)已登錄到主機(jī)的用戶(hù)信息35圖形化的用戶(hù)和組管理工具打開(kāi)方式“系統(tǒng)”“管理”“用戶(hù)和組群” 按Alt+F2鍵后，運(yùn)行“system-config-users” 36小結(jié)請(qǐng)思考：主要有哪兩個(gè)用戶(hù)帳號(hào)文件，各有什么作用？如何鎖定、解鎖用戶(hù)帳號(hào)？在添加用戶(hù)帳號(hào)時(shí)，如何設(shè)置其失效時(shí)間？用戶(hù)初始配置文件包括哪些，各有什么作用？如何設(shè)置一個(gè)組的多個(gè)用戶(hù)成員？37手工添加帳戶(hù)先建立所需要的群組（ vi /etc/group ） 建

16、立賬號(hào)的各個(gè)屬性（ vi /etc/passwd ） 將 passwd 與 shadow 同步化 （ /usr/sbin/pwconv ） 建立該賬號(hào)的密碼 （ passwd acount ） 建立使用者家目錄 （ cp -r /etc/skel /home/acount ） 更改家目錄屬性（ chown -R acount：group /home/acount） 38建立新的群組 test ，設(shè)其 GID 為 520 root test /root # vi /etc/group -略 test:x:520:test =新增群組，且群組的人為 test ，GID 為 520 建立 test

17、的各個(gè)屬性 root test /root # vi /etc/passwd -略 test:x:520:520:testing account:/home/test:/bin/bash =建立各個(gè)屬性 同步化 /etc/passwd 與 /etc/shadow root test /root # pwconv =將 passwd 的資料轉(zhuǎn)入 /etc/shadow 中！ 建立密碼 root test /root # passwd test =建立使用者 test 密碼 Changing password for user test New password: Retype new passw

18、ord: passwd: all authentication tokens updated successfully 建立家目錄并轉(zhuǎn)化家目錄的擁有者 root test /root # cp -r /etc/skel /home/test root test /root # chown -R test:test /home/test手工添加test帳戶(hù)39添加和刪除用戶(hù)對(duì)每位Linux系統(tǒng)管理員都是輕而易舉的事，比較棘手的是如果要添加幾十個(gè)、上百個(gè)甚至上千個(gè)用戶(hù)時(shí)，我們不太可能還使用useradd一個(gè)一個(gè)地添加，必然要找一種簡(jiǎn)便的創(chuàng)建大量用戶(hù)的方法。問(wèn)題：如何添加大量用戶(hù)？1、 vi use

19、r.txt2、newusers user.txt3、pwunconv4、vi passwd.txt5、chpasswd passwd.txt6、pwconv思考？40文件/目錄的權(quán)限和歸屬訪問(wèn)權(quán)限讀?。涸试S查看文件內(nèi)容、顯示目錄列表寫(xiě)入：允許修改文件內(nèi)容，允許在目錄中新建、移動(dòng)、刪除文件或子目錄可執(zhí)行：允許運(yùn)行程序、切換目錄歸屬（所有權(quán)）屬主：擁有該文件或目錄的用戶(hù)帳號(hào)屬組：擁有該文件或目錄的組帳號(hào)41查看文件/目錄的權(quán)限和歸屬rw-r-r-420400400644權(quán)限項(xiàng)讀寫(xiě)執(zhí)行讀寫(xiě)執(zhí)行讀寫(xiě)執(zhí)行字符表示rwxrwxrwx數(shù)字表示421421421權(quán)限分配文件所有者文件所屬組其他用戶(hù) rootl

20、ocalhost # ls -l install.log -rw-r-r- 1 root root 34298 04-02 00:23 install.log文件類(lèi)型屬組屬主訪問(wèn)權(quán)限42設(shè)置文件/目錄的權(quán)限chmod命令格式1：chmod ugoa +-= rwx 文件或目錄. u、g、o、a 分別表示屬主、屬組、其他用戶(hù)、所有用戶(hù) +、-、= 分別表示增加、去除、設(shè)置權(quán)限對(duì)應(yīng)的權(quán)限字符3位八進(jìn)制數(shù)格式2：chmod nnn 文件或目錄.常用命令選項(xiàng)-R：遞歸修改指定目錄下所有文件、子目錄的權(quán)限43chmod a-x temprw- rw- rw- 收回所有用戶(hù)的執(zhí)行權(quán)限chmod og-w

21、temprw- r- r- 收回屬組用戶(hù)和其他用戶(hù)的寫(xiě)權(quán)限 chmod g+w tempchmod u+x tempchmod go+x temprw- rw- r- 賦予屬組用戶(hù)寫(xiě)權(quán)限r(nóng)wx rw- r- 賦予文件屬主執(zhí)行權(quán)限r(nóng)wx rwx r-x 賦予屬組用戶(hù)和其他用戶(hù)執(zhí)行權(quán)限權(quán)限表示方法temp : rwxrwxrwx44數(shù)字表示法 chmod n1n2n3 filename 參數(shù)說(shuō)明: 1. r 對(duì)應(yīng)數(shù)值4, w 對(duì)應(yīng)數(shù)值2, x 對(duì)應(yīng)數(shù)值1 2. rwx合起來(lái)就是4+2+1=7,即上邊表示為n1 3. rwxrwxrwx表權(quán)限全開(kāi)放的文件,數(shù)值777權(quán)限表示方法45例如當(dāng)屬性為 -r

22、wxrwx- 則是： owner = rwx = 4+2+1 = 7 group = rwx = 4+2+1 = 7 others = - = 0+0+0 = 0例如：要將屬性變成-rwxr-xr- -rwxr-xr 4+2+14+0+14+0+0=754 所以輸入： chmod 754 filename 數(shù)字權(quán)限表示方法46設(shè)置文件/目錄的歸屬chown命令格式：chown 屬主 文件或目錄 chown :屬組 文件或目錄 chown 屬主:屬組 文件或目錄常用命令選項(xiàng)-R：遞歸修改指定目錄下所有文件、子目錄的歸屬47特殊權(quán)限,s位,t位SET位權(quán)限主要用途： 為可執(zhí)行（有 x 權(quán)限的）文件

23、設(shè)置，權(quán)限字符為“s” 其他用戶(hù)執(zhí)行該文件時(shí)，將擁有屬主或?qū)俳M用戶(hù)的權(quán)限s位只能加在文件的所有者或組的x位上s位代表當(dāng)用戶(hù)執(zhí)行該文件時(shí),以文件的所有者或文件的組的權(quán)限來(lái)執(zhí)行該文件(這時(shí)不需要看用戶(hù)對(duì)該文件的身份)SET位權(quán)限類(lèi)型： SUID：表示對(duì)屬主用戶(hù)增加SET位權(quán)限 SGID：表示對(duì)屬組內(nèi)的用戶(hù)增加SET位權(quán)限r(nóng)ootlocalhost # ls -l /usr/bin/passwd-rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd普通用戶(hù)以root用戶(hù)的身份，間接更新了shadow文件中自己的密碼應(yīng)用示例：/usr/bin/p

24、asswd48使用附加權(quán)限粘滯位權(quán)限（Sticky）主要用途： 為公共目錄（例如，權(quán)限為777的）設(shè)置，權(quán)限字符為“t” 用戶(hù)不能刪除該目錄中其他用戶(hù)的文件應(yīng)用示例：/tmp、/var/tmprootlocalhost # ls -ld /tmp /var/tmpdrwxrwxrwt 8 root root 4096 09-09 15:07 /tmpdrwxrwxrwt 2 root root 4096 09-09 07:00 /var/tmp粘滯位標(biāo)記字符49使用附加權(quán)限設(shè)置SET位、粘滯位權(quán)限使用權(quán)限字符 chmod ugs 可執(zhí)行文件. chmod ot 目錄名.使用權(quán)限數(shù)字： chmod mnnn 可執(zhí)行文件. m為4時(shí)，對(duì)應(yīng)SUID，2對(duì)應(yīng)SGID，1對(duì)應(yīng)粘滯位，可疊加50實(shí)驗(yàn)案例：用戶(hù)和文件權(quán)限管理需求描述建立用戶(hù)目錄 創(chuàng)建目錄/tech/benet、/tech/accp，分別用于不同項(xiàng)目組添加組帳號(hào) 添加組帳號(hào)benet、accp，GID號(hào)分別設(shè)置為1001、1002 為技術(shù)部添加組帳號(hào)tech，GID號(hào)設(shè)置為200添加用戶(hù)帳號(hào) benet組的4個(gè)用戶(hù)：jerry、kylin、tsengia、obama其中的kylin用戶(hù)帳號(hào)在2009年8月31日后失效 accp組的2個(gè)用戶(hù)：handy、cucci其中的cucci用戶(hù)帳號(hào)的登錄Shell設(shè)置為“/bin/k