05.用戶及用戶組管理

Linux操作系統(tǒng)與云計(jì)算

（基于華為openEuler）第5章用戶及用戶組管理程和俠程和生編著學(xué)習(xí)內(nèi)容回顧-4.1案例引入-4.2目錄查看操作-4.3文件系統(tǒng)層次結(jié)構(gòu)標(biāo)準(zhǔn)-4.4空目錄創(chuàng)建與刪除-4.5文件操作-4.6復(fù)制、刪除、移動(dòng)、重命名-4.7硬鏈接和符號(hào)鏈接-4.8歸檔（壓縮與解壓縮）-4.9小結(jié)5.1案例引入案例5.1：權(quán)力就是責(zé)任。思政教學(xué)目標(biāo)：在Linux系統(tǒng)中，用戶和用戶組是一組權(quán)限的集合，用戶嚴(yán)格在自己的權(quán)限范圍內(nèi)操作，權(quán)力越大，責(zé)任越大。Linux系統(tǒng)管理員通常具有最高的權(quán)限，可以對(duì)系統(tǒng)進(jìn)行任何操作。這包括但不限于安裝、刪除軟件，修改系統(tǒng)設(shè)置，管理用戶賬戶等。然而，這種強(qiáng)大的權(quán)力也意味著巨大的責(zé)任。如果系統(tǒng)管理員不小心刪除了一個(gè)重要的系統(tǒng)文件，可能會(huì)導(dǎo)致整個(gè)系統(tǒng)崩潰。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權(quán)限管理-5.6提升權(quán)限-5.7用戶聊天工具*-5.8小結(jié)5.2用戶與用戶組的概念(1)用戶分類超級(jí)用戶即root用戶，是系統(tǒng)管理員賬號(hào)，root用戶具有操作系統(tǒng)的一切權(quán)利。所以限制權(quán)限運(yùn)行是計(jì)算機(jī)系統(tǒng)的一個(gè)基本知識(shí)，非執(zhí)行管理任務(wù)時(shí)不建議使用root賬戶登錄系統(tǒng)。普通用戶一般只在用戶自己的主目錄中擁有完全權(quán)限。程序用戶又稱系統(tǒng)賬戶，用于維持系統(tǒng)或某個(gè)程序的正常運(yùn)行。例如:bin、daemon、ftp、mail等用戶就是系統(tǒng)賬戶。(2)uid和gid每個(gè)用戶或用戶組系統(tǒng)都會(huì)分配一個(gè)uid或gid，用于系統(tǒng)識(shí)別。root用戶的uid固定值為0、root組賬號(hào)的gid固定值為0；1~999的uid/gid默認(rèn)保留給程序用戶使用，“useradd-r”選項(xiàng)時(shí)分配；普通用戶/用戶組的uid/gid號(hào)在1000～60000之間。(3)私有組和標(biāo)準(zhǔn)組私有組中只包含同名用戶，不能加入其他用戶。標(biāo)準(zhǔn)組可以加入多個(gè)用戶。例如：root組是私有組；wheel與sudo組是標(biāo)準(zhǔn)組，表示次級(jí)管理員組。(4)默認(rèn)用戶組和附加組一個(gè)用戶可以屬于多個(gè)組；其所屬的第一個(gè)組稱為默認(rèn)用戶組，即gid所對(duì)應(yīng)的組名；其他的組稱為附加組，即groups對(duì)應(yīng)的組列表。用戶隸屬于某個(gè)組就具備該組的權(quán)限，用戶組權(quán)限的效力等同用戶權(quán)限的效力，所以要學(xué)會(huì)習(xí)慣將用戶組看成一類特殊的用戶。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權(quán)限管理-5.6提升權(quán)限-5.7用戶聊天工具*-5.8小結(jié)5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.1useradduseradd命令添加一個(gè)用戶賬號(hào)，然后為新賬號(hào)分配用戶號(hào)、用戶組、主目錄和登錄Shell等資源。[例5.1]創(chuàng)建用戶。有些程序需要一定的權(quán)限運(yùn)行，創(chuàng)建系統(tǒng)賬戶可以讓運(yùn)行程序具備特定權(quán)限。通過指定登錄Shell為/sbin/nologin，可以限制用戶登錄。在Linux系統(tǒng)中，除了要了解命令本身操作之外，還要掌握命令相關(guān)的配置文件，配置文件提供了更豐富的功能。用戶賬號(hào)管理相關(guān)的配置文件有:/etc/passwd:用戶文件，記錄用戶賬戶信息。/etc/shadow:用戶影子文件，記錄用戶補(bǔ)充信息，需要超級(jí)權(quán)限才能訪問。/etc/default/useradd:創(chuàng)建用戶時(shí)的默認(rèn)配置信息。/etc/passwd文件是Linux系統(tǒng)中的一個(gè)重要文件，它存儲(chǔ)著系統(tǒng)中所有用戶的信息。在/etc/passwd文件中，每行代表一個(gè)用戶，每個(gè)用戶的信息由多個(gè)字段組成，這些字段用冒號(hào)“:”分隔。每個(gè)字段的含義如下：(1)用戶名：用戶的登錄名。(2)密碼：用戶的密碼，但在現(xiàn)代的Linux系統(tǒng)中，實(shí)際的密碼通常存儲(chǔ)在/etc/shadow文件中，這個(gè)字段通常設(shè)置為“x”或其它的占位符。(3)用戶uid：這是用戶的唯一ID，用于識(shí)別用戶。(4)gid：這是用戶所屬組的ID。(5)用戶全名或描述信息。(6)用戶主目錄：用戶登錄后默認(rèn)的工作目錄。(7)登錄Shell：用戶登錄后默認(rèn)使用的Shell程序。/etc/shadow文件是Linux系統(tǒng)中的一個(gè)重要文件，它存儲(chǔ)著系統(tǒng)中所有用戶的密碼信息。這個(gè)文件是只有root用戶才有權(quán)限讀取或修改。在/etc/shadow文件中，每行代表一個(gè)用戶，每個(gè)用戶的信息由多個(gè)字段組成，這些字段用冒號(hào)“:”分隔。每個(gè)字段的含義如下：(1)用戶名：用戶的登錄名。(2)密碼的加密形式：密碼是由一個(gè)“$”符號(hào)開始，后面跟著一個(gè)標(biāo)識(shí)符和鹽值（salt）。(3)上次密碼更改的天數(shù)：從上次密碼更改到現(xiàn)在經(jīng)過的天數(shù)。(4)密碼更改后最小天數(shù)：用戶必須等待的最小天數(shù)，才能更改其密碼。(5)密碼更改后最大天數(shù)：用戶必須等待的最大天數(shù)，才能更改其密碼。(6)密碼過期前警告天數(shù)：在密碼過期前多少天開始發(fā)出警告。(7)密碼過期后寬限天數(shù)：在密碼過期后多少天內(nèi)，用戶仍可以登錄系統(tǒng)。(8)賬號(hào)失效天數(shù)：從賬號(hào)創(chuàng)建到現(xiàn)在經(jīng)過的天數(shù)，之后該賬號(hào)將被禁用。(9)保留：保留字段，目前未使用。/etc/default/useradd文件是Linux系統(tǒng)中的一個(gè)配置文件，它存儲(chǔ)著關(guān)于用戶添加命令的默認(rèn)設(shè)置。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.2passwdpasswd命令修改用戶口令。用戶口令的管理是用戶管理的一項(xiàng)重要內(nèi)容。用戶賬號(hào)剛創(chuàng)建時(shí)沒有口令，被系統(tǒng)鎖定無法使用，必須為其指定口令后才能使用。[例5.2]修改用戶密碼。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.3usermodusermod修改用戶賬號(hào)就是根據(jù)實(shí)際情況更改用戶的有關(guān)屬性，如用戶號(hào)、主目錄、用戶組、登錄Shell等。[例5.3]“-G”選項(xiàng)設(shè)定用戶附加組列表，未出現(xiàn)在列表中的組會(huì)直接被移除。直接使用“-G”選項(xiàng)會(huì)造成莫名的組被移除，一般建議使用“-a-G”表明直接加入某個(gè)指定組，不會(huì)移除其它組。Shell運(yùn)行環(huán)境Shell腳本的執(zhí)行需要一個(gè)能解釋執(zhí)行的腳本解釋器，即Shell運(yùn)行環(huán)境。臨時(shí)切換Shell，可以輸入Shell名，打開一個(gè)看不見的窗口，該窗口的運(yùn)行環(huán)境即為對(duì)應(yīng)的Shell?？梢允褂谩?s”永久修改登錄Shell。/sbin/nologin不是真實(shí)Shell，只是限制用戶登錄，在禁止用戶登錄時(shí)，可以將該用戶Shell設(shè)置為/sbin/nologin。5.3用戶管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.4userdel[例5.4]userdel刪除用戶zs001。注意：請(qǐng)不要輕易使用“-r”選項(xiàng)；它會(huì)刪除用戶的同時(shí)刪除用戶所有相關(guān)的文件和目錄。如果用戶目錄下有重要的文件，在刪除前請(qǐng)備份。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權(quán)限管理-5.6提升權(quán)限-5.7用戶聊天工具*-5.8小結(jié)5.4用戶組管理用戶組就是具有相同特征用戶的集合體。我們把用戶都定義到同一用戶組，通過修改文件或目錄的權(quán)限，讓用戶組具有一定的操作權(quán)限，這樣用戶組下的用戶對(duì)該文件或目錄都具有相同的權(quán)限。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.1groupaddgroupadd命令用于創(chuàng)建一個(gè)新的用戶組。[例5.5]向系統(tǒng)中增加一個(gè)新組“group1”，新組的gid是在當(dāng)前已有的最大gid的基礎(chǔ)上加1。5.4.2gpasswd用戶組的管理也是通過配置文件的更新來完成的。相關(guān)配置文件包括：/etc/group:用戶組信息/etc/gshadow:用戶組補(bǔ)充信息gpasswd命令是Linux下組文件/etc/group和/etc/gshadow的管理工具。[例5.6]“-A”選項(xiàng)設(shè)定管理員列表，管理員有權(quán)限向組添加或刪除成員，不再需要系統(tǒng)管理員或sudo命令提權(quán)?！?a”選項(xiàng)添加用戶到組?！癹sj”已經(jīng)是“group1”組的管理員，可以直接執(zhí)行下面的命令:“-d”選項(xiàng)從組中刪除用戶。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.3groupmodgroupmod命令更改組gid或名稱。-g<用戶組gid>：設(shè)置使用的用戶組gid；-o：重復(fù)使用用戶組gid；-n<新用戶組名稱>：設(shè)置欲使用的用戶組名稱。5.4.4groupdelgroupdel命令用于刪除指定的用戶組。[例5.7]刪除用戶組“group1”。5.4用戶組管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.5newgrp有效用戶組是指用戶創(chuàng)建文件時(shí)，新文件默認(rèn)隸屬于的那個(gè)用戶組。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權(quán)限管理-5.6提升權(quán)限-5.7用戶聊天工具*-5.8小結(jié)案例引入案例5.2：權(quán)限的合理劃分。思政教學(xué)目標(biāo)：在一個(gè)大型軟件開發(fā)公司中，IT部門需要管理大量的開發(fā)人員。每個(gè)開發(fā)人員都需要訪問特定的代碼庫和工具來完成他們的工作。然而，由于不同的開發(fā)人員負(fù)責(zé)不同的項(xiàng)目，他們對(duì)資源的需求也各不相同。為了解決這個(gè)問題，IT部門決定使用Linux用戶及用戶組管理功能來進(jìn)行權(quán)限的合理劃分。在Linux系統(tǒng)中，我們可以創(chuàng)建多個(gè)用戶組，并將不同的用戶分配到不同的用戶組中。每個(gè)用戶組都有自己的權(quán)限。5.5文件權(quán)限管理5.5.1查看權(quán)限5.5.2chmod5.5.3chown5.5.4umask5.5.1查看權(quán)限每行前10個(gè)字母代表的含義就是文件的權(quán)限。第一個(gè)字符代表文件（-）、目錄（d）、鏈接（l）；其余字符每3個(gè)一組（rwx），讀（r）、寫（w）、執(zhí)行（x）。表5.1Linux文件權(quán)限表權(quán)限項(xiàng)讀寫執(zhí)行讀寫執(zhí)行讀寫執(zhí)行字符表示rwxrwxrwx數(shù)字表示421421421權(quán)限分配u:所有者

g:所屬組

o:其他用戶

其中:u-user；g-group；o-other；a-all。0-無權(quán)限；1-執(zhí)行權(quán)限；2-寫權(quán)限；4-讀權(quán)限。目錄的x權(quán)限與能否進(jìn)入該目錄有關(guān)，沒有x權(quán)限的目錄不可訪問。5.5文件權(quán)限管理5.5.1查看權(quán)限5.5.2chmod5.5.3chown5.5.4umask5.5.2chmodchmod(changefilemode)變更文件或目錄的權(quán)限。[例5.8]5.5文件權(quán)限管理5.5.1查看權(quán)限5.5.2chmod5.5.3chown5.5.4umask5.5.3chown同Windows系統(tǒng)不同，Linux系統(tǒng)如果要共享文件，不僅要分享文件，還要共享權(quán)限。修改所屬者/所屬組可以將文件權(quán)限共享給指定用戶。chown命令可以改變某個(gè)文件或目錄的所有者和所屬組，該命令可以向某個(gè)用戶授權(quán)，使該用戶變成指定文件的所有者；也可以改變文件所屬組實(shí)現(xiàn)文件共享。[例5.9]將目錄/home/jsj及其下面的所有文件、子目錄的文件所有者改成“jsj”。5.5文件權(quán)限管理5.5.1查看權(quán)限5.5.2chmod5.5.3chown5.5.4umask5.5.4umask文件初創(chuàng)建時(shí)帶有默認(rèn)權(quán)限，umask是文件權(quán)限掩碼，可以通過掩碼修改創(chuàng)建新文件的默認(rèn)權(quán)限。“0022”表示“g-2,o-2,a-1”，即文件所屬組和其他用戶默認(rèn)移除寫權(quán)限。本章主要內(nèi)容-5.1案例引入-5.2用戶與用戶組的概念-5.3用戶管理-5.4用戶組管理-5.5文件權(quán)限管理-5.6提升權(quán)限-5.7用戶聊天工具*-5.8小結(jié)5.6提升權(quán)限Linux系統(tǒng)為我們提供了su、sudo兩種用戶權(quán)限提升機(jī)制，其中su主要是用來切換用戶身份提權(quán)，而sudo用來提升一次執(zhí)行權(quán)限。5.6提升權(quán)限5.6.1su5.6.2sudo5.6.1su使用su（switchuser）命令，可以切換為指定的另一個(gè)用戶，從而具有該用戶的所有權(quán)限。[例5.10]當(dāng)普通用戶切換root身份時(shí)，需要輸入root的密碼。選項(xiàng)“su-”，表示切換用戶時(shí)，并切換工作環(huán)境。注意：默認(rèn)情況下，任何用戶都被允許使用su命令切換身份，從而有機(jī)會(huì)反復(fù)嘗試其他用戶的登錄密碼，帶來安全隱患。為了加強(qiáng)su命令的安全控制，可以借助于pam_wheel認(rèn)證模塊，只允許特定用戶使用su命令。5.6提升權(quán)限5.6.1su5.6.2sudo5.6.2sudo使用sudo命令提升權(quán)限時(shí)，不需要使用管理員密碼驗(yàn)證，只需要使用用戶自己的密碼驗(yàn)證即可。可以說，sudo是對(duì)su命令的一個(gè)非常重要的補(bǔ)充和替代。sudo權(quán)限范圍經(jīng)歷了三代調(diào)整，變化不大，但是需要了解和掌握。第一代sudo權(quán)限設(shè)定所有命令都可以使用sudo提升權(quán)限。第二代sudo權(quán)