帳戶管理與權(quán)限管理

更多企業(yè)學(xué)院：《中小企業(yè)管理全能版》183套講座+89700份資料《總經(jīng)理、高層管理》49套講座+16388份資料《中層管理學(xué)院》46套講座+6020份資料

《國(guó)學(xué)智慧、易經(jīng)》46套講座《人力資源學(xué)院》56套講座+27123份資料《各階段員工培訓(xùn)學(xué)院》77套講座+324份資料《員工管理企業(yè)學(xué)院》67套講座+8720份資料《工廠生產(chǎn)管理學(xué)院》52套講座+13920份資料《財(cái)務(wù)管理學(xué)院》53套講座+17945份資料

《銷售經(jīng)理學(xué)院》56套講座+14350份資料《銷售人員培訓(xùn)學(xué)院》72套講座+4879份資料更多企業(yè)學(xué)院：《中小企業(yè)管理全能版》183套講座+89700份資料《總經(jīng)理、高層管理》49套講座+16388份資料《中層管理學(xué)院》46套講座+6020份資料

《國(guó)學(xué)智慧、易經(jīng)》46套講座《人力資源學(xué)院》56套講座+27123份資料《各階段員工培訓(xùn)學(xué)院》77套講座+324份資料《員工管理企業(yè)學(xué)院》67套講座+8720份資料《工廠生產(chǎn)管理學(xué)院》52套講座+13920份資料《財(cái)務(wù)管理學(xué)院》53套講座+17945份資料

《銷售經(jīng)理學(xué)院》56套講座+14350份資料《銷售人員培訓(xùn)學(xué)院》72套講座+4879份資料linux帳戶管理一、帳戶管理卸1、概述

灘拍

Linu赤x操作系統(tǒng)終是多用戶操矛作系統(tǒng)，帳喚戶實(shí)質(zhì)上就結(jié)是一個(gè)用戶狀在系統(tǒng)上的級(jí)標(biāo)識(shí)，廣義診上講，Li鍋nux的帳浸戶包括用戶克帳戶和組錢帳戶兩種。概用戶帳戶分朗為普通用戶抓帳戶和超級(jí)涉用戶帳戶兩籍種。管理員低帳戶對(duì)系統(tǒng)興具有絕對(duì)控撤制權(quán)；組帳霧戶分為私有臉組和標(biāo)準(zhǔn)組兔，當(dāng)創(chuàng)建一舞個(gè)新用戶時(shí)憑，若沒有窩指定他所屬堂于的組，L旨inux就局建立一個(gè)和忽該用戶同名鼠的私有組，撤此私有組中喪只包含該用神戶自己，標(biāo)材準(zhǔn)組可以容遲納多個(gè)用戶科。若使用標(biāo)旬準(zhǔn)組，在創(chuàng)紋建一個(gè)新用能戶時(shí)就應(yīng)占該指定他所筆屬于的組。淡同一個(gè)用戶裹可以同屬于杠多個(gè)組，其艇登錄后所屬斑的組稱為主困組，其它的惱組稱為附加肅組。2、Linux下的帳戶系統(tǒng)文件

Linux下的帳戶系統(tǒng)文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow4個(gè)。

（1）/etc/passwd文件中每行定義一個(gè)用戶帳號(hào)，一行中又劃分為多個(gè)不同的字段定義用戶帳號(hào)的不同屬性，各字段用“：”隔開。

各字段定義如下：

用戶名：用戶登錄系統(tǒng)時(shí)使用的用戶名，它在系統(tǒng)中是唯一的。

口令：此字段存放加密的口令。在此文件中的口令是x，這表示用戶的口令是被/etc/shadow文件保護(hù)的，所有加密口令以及和口令有關(guān)的設(shè)置都保存在/etc/shadow中。

用戶標(biāo)識(shí)號(hào)：是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶。每個(gè)用戶的UID都是唯一的。root用戶的UID是0，1~499是系統(tǒng)的標(biāo)準(zhǔn)帳戶，普通用戶從500開始。

組標(biāo)識(shí)號(hào)：是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶所屬的組。

注釋性描述：例如存放用戶全名等信息。

自家目錄：用戶登錄系統(tǒng)后進(jìn)入的目錄。

命令解釋器：批示該用戶使用的shell，Linux默認(rèn)為bash。

（2）/etc/passwd文件對(duì)任何用戶均可讀，為了增加系統(tǒng)安全性，用戶的口令通常用shadowpasswords保護(hù)。/etc/shadow只對(duì)root用戶可讀。在安裝系統(tǒng)時(shí)，會(huì)詢問用戶是否啟用shadowpasswords功能。在安裝好系統(tǒng)后也可以用pwconv命令和pwunconv來啟動(dòng)或取消shadowpasswords保護(hù)。經(jīng)過shadowpasswords保護(hù)的帳戶口令和相關(guān)設(shè)置信息保存在/etc/shadow文件里。

各字段意義如下：

用戶名：用戶的帳戶名

口令：用戶的口令，是加密過的

最后一次修改時(shí)間：從1970年1月1日起，到用戶最后一次更改口令的天數(shù)

最小時(shí)間間隔：從1970年1月1日起，到用戶可以更改口令的天數(shù)

最大時(shí)間間隔：從1970年1月1日起，到用戶必須更改口令的天數(shù)

警告時(shí)間：在用戶口令過期之前多少天提醒用戶更新

不活動(dòng)時(shí)間：在用戶口令過期之后到禁用帳戶的天數(shù)

失效時(shí)間：從1970年1月1日起，到帳戶被禁用的天數(shù)

標(biāo)志：保留位

（3）/etc/group文件。將用戶分組是Linux中對(duì)用戶進(jìn)行管理及控制訪問權(quán)限的一種手段。當(dāng)一個(gè)用戶同時(shí)是多個(gè)組的成員時(shí)，在/etc/passwd中記錄的是用戶所屬的主組，也就是登錄時(shí)所屬的默認(rèn)組，而其他的組稱為附加組。用戶要訪問附加組的文件時(shí)，必須首先使用newgrp命令使自己成為所要訪問的組的成員。組的所有屬性都存放在/etc/group中，此文件對(duì)任何用戶均可讀。

各字段意義如下：

組名：該組的名稱

組口令：用戶組口令，由于安全性原因，已不使用該字段保存口令，用“x”占位

GID：組的識(shí)別號(hào)，和UID類似，每個(gè)組都有自己獨(dú)有的ID號(hào)，不同組的GID不會(huì)相同

組成員：屬于這個(gè)組的成員

（4）/etc/gshadow文件用于定義用戶組口令、組管理員等信息，該文件只有root用戶可以讀取。

各字段意義如下：

組名：用戶組名稱，該字段與group文件中的組名稱對(duì)應(yīng)

組口令：用戶組口令，該字段用于保存已加密的口令

組的管理員帳號(hào)：組的管理員帳號(hào)，管理員有權(quán)對(duì)該組添加、刪除帳號(hào)

組成員：屬于該組的用戶成員列表，用“，”分隔提示：帳戶管理的實(shí)質(zhì)就是管理上述的4個(gè)帳戶系統(tǒng)文件3、使用命令行工具管理帳戶

管理帳戶的俱行工具及功能如下：useradd[<選項(xiàng)>]<用戶名>

添加新用戶usermod[<選項(xiàng)>]<用戶名>

修改已存在的指定用戶userdel[-r]<用戶名>

刪除已存在的指定帳戶，-r參數(shù)用于刪除用戶自家目錄groupadd[<選項(xiàng)>]<組名>

添加新組groupmod[<選項(xiàng)>]<組名>

修改已存在的指定組groupdel<組名>

刪除已存在的指定組使用舉例：useraddosmond//創(chuàng)建一個(gè)新用戶osmondgroupaddstaff

//創(chuàng)建一個(gè)新組staffuseradd-Gstafftom//創(chuàng)建一個(gè)新用戶tom，同時(shí)加入staff附加組中useradd-d/webmaster//創(chuàng)建一個(gè)新用戶webmaster，指定登錄目錄為/www，不創(chuàng)建自家用戶目錄（-M）usermod-Gstaffosmond//將osmond添加到附加組staff中userdelwebmaster//刪除用戶userdel-rosmond//刪除用戶，同時(shí)刪除自家目錄groupdelstaff//刪除組staff

4、口令管理與口令時(shí)效

（1）passwd命令

passwd命令用來設(shè)置用戶口令，格式為：passwd[<選項(xiàng)>][<用戶名>]

用戶修改自己的用戶密碼可直接鍵入passwd，若修改其他用戶密碼需加用戶名。超級(jí)用戶還可以使用如下命令進(jìn)行用戶口令管理：passwd-l<用戶帳戶名>//禁用用戶帳戶口令passwd-S<用戶帳戶名>//查看用戶帳戶口令狀態(tài)passwd-u<用戶帳戶名>//恢復(fù)用戶帳戶口令passwd-d<用戶帳戶名>//刪除用戶帳戶口令

（2）chage命令

口令時(shí)效是系統(tǒng)管理員用來防止機(jī)構(gòu)內(nèi)不良口令的一種技術(shù)。在Linux系統(tǒng)上，口令時(shí)效是通過chage命令來管理的，格式為：chage[<選項(xiàng)>]<用戶名>

下面列出了chage命令的選項(xiàng)說明：

-mdays：指定用戶必須改變口令所間隔的最少天數(shù)。如果值為0，口令就不會(huì)過期。

-Mdays：指定口令有效的最多天數(shù)。當(dāng)該選項(xiàng)指定的天數(shù)加上-d選項(xiàng)指定的天數(shù)小于當(dāng)前的日期時(shí)，用戶在使用該帳號(hào)前就必須改變口令。

-ddays：指定從1970年1月1日起，口令被改變的天數(shù)。

-Idays：指定口令過期后，帳號(hào)被鎖前不活躍的天數(shù)。如果值為0，帳號(hào)在口令過期后就不會(huì)被鎖。

-Edate：指定帳號(hào)被鎖的日期。日期格式Y(jié)YYY-MM-DD。若不用日期，也可以使用自1970年1月1日后經(jīng)過的天數(shù)。

-Wdays：指定口令過期前要警告用戶的天數(shù)。

-l：列出指定用戶當(dāng)前的口令時(shí)效信息，以確定帳號(hào)何時(shí)過期。

例如下面的命令要求用戶user1兩天內(nèi)不能更改口令，并且口令最長(zhǎng)的存活期為30天，并且口令過期前5天通知用戶chage-m2-M30-W5user1

可以使用如下命令查看用戶user1當(dāng)前的口令時(shí)效信息：chage-luser1提示：1）可以使用chage<用戶名>進(jìn)入交互模式修改用戶的口令時(shí)效。

2）修改口令實(shí)質(zhì)上就是修改影子口令文件/etc/shadow中與口令時(shí)效相關(guān)的字段值。

5、用戶和組狀態(tài)命令

whoami：用于顯示當(dāng)前用戶的名稱

groups[<用戶名>]：用于顯示指定用戶所屬的組，若未指定用戶，則顯示當(dāng)前用戶所屬的組

id：用于顯示用戶當(dāng)前的UID、GID和用戶所屬的組列表

su[-][<用戶名>]：用于轉(zhuǎn)換當(dāng)前用戶到指定的用戶帳號(hào)，若不指定用戶名則轉(zhuǎn)換當(dāng)前用戶到root；若使用參數(shù)“-”，則在轉(zhuǎn)換當(dāng)前用戶的同時(shí)轉(zhuǎn)換用戶工作環(huán)境。

newgrp[<組名>]：用于轉(zhuǎn)換用戶的當(dāng)前組到指定的附加組，用戶必須屬于該組才可以進(jìn)行。二、權(quán)限管理

1、3種基本權(quán)限距跳編

在Li稻nux中，涂將使用系統(tǒng)峽資源的人員纏分為4類：口超級(jí)用戶、景文件或目錄臟的屬主、屬紋主的同組人裁和其他人員鉤。超級(jí)用戶診擁有對(duì)Li優(yōu)nux系統(tǒng)適一切操作權(quán)黨限，對(duì)于其牌他3類用戶筐都要指定對(duì)防文件和目錄炒的訪問權(quán)限梳。需奧噴照代表字符

喪距銷

權(quán)限

辨儉也驗(yàn)雞對(duì)文件的含竹義

駛晴抄塔冬對(duì)目錄的含慨義鴿唐耗征答r

她滋價(jià)

讀權(quán)限渾耽徒下

可以讀醬文件的內(nèi)容鋤楚驅(qū)旅

可以列色出目錄中的詳文件列表桐滲餡封

w迅黃哥著寫權(quán)限

存拐尤莊

可以修撓改該文件

傅他運(yùn)綁

可以在嚴(yán)目錄中創(chuàng)建厚刪除文件薯識(shí)蠅標(biāo)

x濃視夢(mèng)距執(zhí)行權(quán)限

返嚼沈寄

可以執(zhí)行禽該文件

備形暮敲

可以使用辣cd命令進(jìn)如入該目錄

賞窗惑貸

2、查看頸文件和目錄借的權(quán)限平嚼擔(dān)

可以使嶄用帶l參數(shù)伐的ls命令黑查看文件或剛目錄的權(quán)限允輕匪翁侮捧

每一行襪顯示一個(gè)文疾件或目錄的穗信息，這些澆信息包括文偵件的類型、江文件的權(quán)限痰、文件的屬漆主和文件的汁所屬組，還多有文件的大嬸小以及創(chuàng)建首時(shí)間和文件別名。輸出列義表中每一行唯第一列的第憂一個(gè)字母指疑示了該文件惱的類型。各鍬種文件類型隸及代表字符夸如下：買心掉

-：普來通文件

離

b并：塊文件設(shè)問備

黃

d：目籮錄文件

盞

c糊：字符文件挺設(shè)備

并

l：增符號(hào)鏈接文墻件

由

p：管援道文件攔錄閉

第一列寄的其余9個(gè)畝字母可分為斗三組，3個(gè)虧字母一組，槽這3組分別蛙代表：文件繁屬主的權(quán)限莖、文件所屬驚組的權(quán)限和變其他用戶的夸權(quán)限。每組斃中的3個(gè)欄譜位分別表示榆讀、寫、執(zhí)稱行權(quán)限。墾可

3、更改阻操作權(quán)限（襲chmod鈴）東萌金

系統(tǒng)管勞理員和文件續(xù)屬主可以根蟻據(jù)需要來設(shè)鳳置文件的權(quán)工限，有兩種反設(shè)置方法：片文字設(shè)定法抱和數(shù)值設(shè)定娛法。疤凱霸

（1）集文字設(shè)定法賊謀客或

ch輝omd的文估字設(shè)定法的所格式為：驅(qū)chmod遇[ugo夠a][+-顆=][rw豆xugo]橫<文件名題或目錄名>擴(kuò)匆于譜祝

其中寇第1個(gè)選項(xiàng)印表示要賦予家權(quán)限的用戶謎，具體說明復(fù)如下：

劃辜原西雀

u：豪屬主

抱

g：榆所屬組用戶鳥泰

o：其他俊用戶

導(dǎo)

a：鄭所有用戶盛費(fèi)臭擋

第2貴個(gè)選項(xiàng)表示遙要進(jìn)行的操亭作，具體說餐明如下：許森座危

+：不增加權(quán)限

錢屬-：刪除權(quán)蒼限

冬

=：分爸配權(quán)限，同訊時(shí)將原有權(quán)蕉限刪除撕什礦錯(cuò)

第3禽個(gè)選項(xiàng)是要棚分配的權(quán)限探，具體說明呀如下：意姑癢礎(chǔ)

r/訴x/w：允擴(kuò)許讀取/寫鉆入/執(zhí)行

廚揉

u/g瑞/o：和屬蝦主/所屬組揭用戶/其他懸用戶的權(quán)限挎相同衣圾哄題

例如鋼：俱起婚前君chmod用go-適ruse姜rs雞杰劑//取消組良用戶和其他瞎用戶對(duì)文件寬users殼的讀取權(quán)限怕侍障永芒chmod餃u+x芽users寶螺航//對(duì)文件域users紅的屬主增加趙招待權(quán)限豎斬域況矛chmod粒u+x,轟go-r戰(zhàn)users納遺離//對(duì)文件輔users屈的屬主添加疾執(zhí)行權(quán)限，溫同時(shí)取消組歡用戶和其他維用戶對(duì)文件貴的讀取權(quán)限伐餐因

（2）撇數(shù)值設(shè)定法總鋪驚可

ch芳mod的數(shù)摩值設(shè)定法的升格式為：甘chmod幸n1n2漫n3<文晶件名或目錄模名>偽師宣延

其中插n1、n2孕、n3分別餓代表屬主的委權(quán)限、組用抱戶的權(quán)限和濫其他用戶的崇權(quán)限，這三蒸個(gè)選項(xiàng)都是陰八進(jìn)制數(shù)字淋。例如：諷南戶飄倡chmod三755典addus槳er看護(hù)型//對(duì)文件催addus搖er的屬設(shè)糖置可讀、寫慨和執(zhí)行的權(quán)戀限，所屬組聾和其他用戶些只設(shè)置讀和絕執(zhí)行權(quán)限，臭沒有寫權(quán)限斧不悟傍駕chmod敬600餐user1逃扁習(xí)//取消組太用戶和其他守用戶對(duì)文件墨user1兄的一切權(quán)限播（原權(quán)限為蜂-rw-r堂–r–）五快

4、更改典屬組或同組恢人神兆奸

改變文膨件的屬主和婦組可以用c新hown命鉗令，命令格路式為：雹chown釀[-R]率<用戶[.風(fēng)組]><休文件或目錄童>畢。例如：莖隱膨璃chmod典osmo塑ndus產(chǎn)er1悅肅定//將文件失user1惕的屬主改為速osmon符d盾倒們租chmod落osmo撫nd.os全mond鞭user1壺淚著//將文件英user1炕的屬主和組彩都改成os繡mond甚峰分渡chmod染-Ro頓smond巡.osmo畜ndmy金dir燕擔(dān)屠//將my析dir目錄講及其子目錄架下的所有文鉆件或目錄的桐屬主和組都漏改成osm序ond頓桌

5、設(shè)置興文件和目錄潤(rùn)的生成掩碼級(jí)請(qǐng)通

用戶膜可以使用u膝mask命臭令設(shè)置文件宋夾的默認(rèn)生其成掩碼。默貢認(rèn)的生成掩漆碼告訴系統(tǒng)瓣當(dāng)創(chuàng)建一個(gè)租文件或目錄薄時(shí)不應(yīng)該賦梅予哪些權(quán)限林。如果用戶逆將umas嚷k命令放在鳥環(huán)境文件壩（.bas庫h_pro谷file）擦中，就可以歇控制所有的褲新建文件或需目錄的訪問穿權(quán)限。其命匹令格式為：糖umask賓[u1u俱2u3]請(qǐng)?zhí)談?/p>

其中，壺u1、u2清、u3分別爺表示的是不刊允許屬主有逐的權(quán)限、不妖允許同組人蓬有的權(quán)限和寬不允許其他殲人有的權(quán)限陸。例如：貍齊出冬umask癥022耗暈濫//設(shè)置不何允許同組用肚戶和其他用聽?wèi)粲袑憴?quán)限極撐溫率umask施龜咱櫻//顯示當(dāng)栽前的默認(rèn)生瘋成掩碼捕各

6、特殊斜權(quán)限設(shè)置可茄滿

（1）權(quán)SUID、煌SGID和典stick賤y-bit煉皇敲略

除了真上述的基本擋權(quán)限之外，篩還有所謂的狠特殊權(quán)限存敲在。由于特克殊權(quán)限會(huì)擁軌有一些“特村權(quán)”，因而隙用戶若無特棕殊需要，不燒應(yīng)該去打開東這些權(quán)限，甘避免安全方諷面出現(xiàn)嚴(yán)重怎漏洞，甚至朗摧毀系統(tǒng)。態(tài)下面列出了宇3個(gè)特殊權(quán)粗限的說明：束或緒姨

SU境ID：當(dāng)歲一個(gè)設(shè)置了便SUID位曾的可執(zhí)行文升件被執(zhí)行時(shí)選，該文件以幼所有者的身岡份運(yùn)行，也錦就是說無論無誰來執(zhí)行這粱個(gè)文件，他敲都擁有文件亡所有者的特端權(quán)，可以任痛意存取該文畢件擁有者紗能使用的全謊部系統(tǒng)資源靜。如果所有端者是roo床t，那么執(zhí)戴行人就有超咬級(jí)用戶的特店權(quán)了。稿漆緣啊

SG耗ID：當(dāng)一乳個(gè)設(shè)置了題SGID位造的可執(zhí)行文饒件被執(zhí)行時(shí)枯，該文件將慚具有所屬組畫的特權(quán)，任左意存取整個(gè)恰組所能使用痰的系統(tǒng)資源貞；若一個(gè)目森錄設(shè)置了S示GID，則皺所有被復(fù)制絨到這個(gè)目錄砌下的文件先，其所屬的姓組都會(huì)被重餅設(shè)為和這個(gè)鞋目錄一樣，寄除非在復(fù)制擴(kuò)文件時(shí)加上字-p（pr槽eserv島e，保留文凡件屬性）參窄數(shù)，才能保矩留原來所屬撈的群組設(shè)置委。遮餓滔鳥

st將icky-真bit：對(duì)釣一個(gè)文件設(shè)叫置了sti赴cky-b薦it之后，葬盡管其他用醬戶有寫權(quán)限終，也必須由縮屬主執(zhí)行刪蓬除、移動(dòng)等違操作，對(duì)一沉個(gè)目錄設(shè)置料了stic嘴ky-bi僵t之后，存苗放在該目錄督下的文件僅哪允許其屬主律執(zhí)行刪除、案移動(dòng)等操作源。洲邀眠煌

一奸個(gè)設(shè)置了S幼UID的典膝型例子是p薄asswd愧程序，它允士許普通用戶覆改變自己的賢口令，這是冷通過改變/測(cè)etc/s妹hadow賤文件的口令即字段來實(shí)現(xiàn)蠢的。然而系故統(tǒng)管理員定決不允許普元通用戶擁有腳直接改變/魄etc/s盟hadow纏文件的權(quán)限獻(xiàn)。