Linux基礎與應用實踐 課件 任務二 Linux用戶管理

Linux基礎與項目實踐任務二Linux用戶管理0203創(chuàng)建公司組及賬戶權(quán)限管理01賬戶管理賬戶管理PART01賬戶管理3

Linux是一個多用戶操作系統(tǒng)，它允許多個用戶同時登錄到系統(tǒng)中使用系統(tǒng)資源。當多個用戶同時使用系統(tǒng)時，為了使所有用戶的工作順利進行，保護每個用戶的文件安全，不被非授權(quán)用戶查看或修改，必須建立起一套相應的規(guī)則，讓每個用戶的權(quán)限都受到合理的限制。因此，需要區(qū)分不同的用戶，這樣就產(chǎn)生了用戶賬戶。

賬戶實質(zhì)上就是一個用戶在系統(tǒng)上的標識，系統(tǒng)依據(jù)賬戶ID來區(qū)分每個用戶的文件、進程、任務，給每個用戶提供特定的工作環(huán)境，如用戶的宿主目錄，Shell版本、XWindow環(huán)境配置等，使每個用戶的工作都能獨立的不受干擾地進行。用戶和組4Linux的賬戶包括用戶賬戶（簡稱用戶）有三種。第一種是超級用戶賬戶，也稱為管理員賬戶，對系統(tǒng)具有絕對的控制權(quán)，能夠?qū)ο到y(tǒng)進行一切操作，如果操作不當，有可能對系統(tǒng)造成破壞。因此通常會建議一些普通用戶賬戶，在日常工作時通常以普通賬戶登錄系統(tǒng)。第二種是系統(tǒng)用戶，這類用戶是在系統(tǒng)安裝時被系統(tǒng)默認創(chuàng)建的，負責對相應服務的使用和管理，通常不會被登入。第三種是普通用戶，可以用于日常的工作。普通用戶的權(quán)限會受到相應的限制。用戶和組5Linux系統(tǒng)中還存在組賬戶（簡稱組）。組是用戶的集合，當創(chuàng)建一個新用戶時，如果沒有指定其所屬的組，系統(tǒng)就會建議一個和該用戶同名的組，這時組中只包含這個用戶本身。也可以直接在系統(tǒng)中創(chuàng)建組，在創(chuàng)建新用戶時將用戶加入到指定的組中。

一個組通常可以包含多個用戶，一個用戶也可以屬于不同的組。當一個用戶屬于多個組時，其登錄后所屬的組稱為主組，其他的組稱為附加組。賬戶系統(tǒng)文件6Linux系統(tǒng)中的賬戶系統(tǒng)文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow等文件。/etc/passwd文件中各字段的含義字段說明用戶名用戶登錄系統(tǒng)時使用的用戶名，在系統(tǒng)中是唯一的口令此字段存放加密的口令。在此文件中的口令是x，表示用戶的口令是被/etc/shadow文件保護的，所有加密的口令以及和口令有關的設置都保存在/etc/shadow中用戶標識號是一個整數(shù)，系統(tǒng)內(nèi)部用來標識用戶。每個用戶的UID都是唯一的。root用戶的UID是0，從1~999是系統(tǒng)的標準賬戶。普通用戶UID從1000開始組標識號是一個整數(shù)，系統(tǒng)內(nèi)部用來標識用戶所屬的組。每個用戶賬戶在建立后都會有一個主組。主組相同的賬戶其GID相同。默認情況下，每一個賬戶建立好后系統(tǒng)都會建立一個和賬戶名同名的組，用為該賬戶的主組，這個組只有用戶本人這一個成員，因此也稱此組是私有組GECOS用來存放用戶全名、地理位置等信息宿主目錄用戶登錄系統(tǒng)后所進入的目錄命令解釋器用戶使用的Shell，默認為bash賬戶系統(tǒng)文件7

/etc/shadow文件中各字段的含義欄位說明用戶名用戶的賬戶名口令用戶的口令，是SHA512加密過的最后一次修改的時間從1970年1月1日起，到用戶最后一次更改口令的天數(shù)最小時間間隔從1970年1月1日起，到用戶可以更改口令的天數(shù)最大時間間隔從1970年1月1日起，到用戶必須更改口令的天數(shù)警告時間在用戶口令過期之前多少天提醒用戶更新不活動時間在用戶口令過期之后到禁用賬戶的天數(shù)失效時間從1970年1月1日起，到賬戶被禁用的天數(shù)標志保留位賬戶系統(tǒng)文件8/etc/group文件中各字段含義欄位說明組名該組的名稱組口令組口令，由于安全性原因，已不使用該字段保存口令，用x占位GID組的標識號，每個組都有自己唯一的標識號組成員屬于這個組的成員，多個成員之間用“,”分隔/etc/gshadow文件中各字段含義欄位說明組名組名稱，該字段與/etc/group文件中的組名稱對應組口令組口令，該字段用于保存已加密的口令組管理員賬號組的管理員賬號，管理員有權(quán)對該組添加、刪除賬號組成員屬于這個組的成員列表，列表中多個用戶之間用“,”分隔使用passwd命令進行口令管理9創(chuàng)建用戶賬戶后，還需要給新用戶設置口令，使用的命令是passwd，其格式如下：passwd[<選項>][<用戶名>]常用的選項如表2-6所示。

passwd命令的常用選項選項說明選項說明-S列出口令的狀態(tài)信息-d刪除口令-l鎖定用戶賬戶-k保持口令不變，直到口令過期失效后才能更改-u解除已鎖定賬戶--stdin從標準輸入讀取口令（非交互模式）change命令10硬件計算能力越來越強大，這大大地縮短了利用自動運行的程序來猜測口令的時間。口令的時效是系統(tǒng)管理員用來防止系統(tǒng)中不良口令的一種技術(shù)。防止口令被攻擊的方法就是經(jīng)常改變口令，為了安全，要求用戶定期更改口令是個不錯的辦法?？诹顣r效意味著過了一段預先設定的時間后，用戶會被提示創(chuàng)建一個新口令。它所根據(jù)的理論是，如果用戶被強制定期改變口令，某個口令的破譯對入侵者來說就只有有限的利用機會。這種用來強制用戶在一段時間之后更改口令的機制稱為口令時效。在Linux系統(tǒng)中，修改口令時效分為：l對于未來要創(chuàng)建的所有用戶的口令時效需修改/etc/login.defs文件的相關參數(shù)。l對已存在的用戶修改口令時效是通過chage命令來管理。change命令/etc/login.defs中與口令時效相關的參數(shù)參數(shù)說明PASS_MAX_DAYS設定在多少天后要求用戶修改口令。默認口令時效的天數(shù)為99999，即關閉了口令時效。建議設定一般60天強制更改一次口令PASS_MIN_DAYS設定在本次口令修改后，至少要經(jīng)過多少天后才允許更改口令PASS_WARN_AGE設置在口令失效前多少天開始通知用戶更改口令（一般在用戶剛剛登錄系統(tǒng)時就會收到警告通知）1212chage命令的選項說明參數(shù)說明-m指定用戶必須改變口中令所間隔的最少天數(shù)，如果值為0，口令就不會過期（PASS_MIN_DAYS）-M指定口令有效的最多天數(shù)。當該選項指定的天數(shù)加上-d選項指定的天數(shù)小于當前的日期時，用戶在使用該賬號前就必須改變口令（PASS_MAX_DAYS）-d指定自從1970年1月1日起，口令被改變的天數(shù)-I指定口令過期后，賬號被鎖定前不活躍的天數(shù)。如果值為0，賬號在口令過期后就不會被鎖-E指定賬號被鎖的日期，日期格式為YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后經(jīng)過的天數(shù)-W指定口令過期前要警告用戶的天數(shù)（PASS_WARN_AGE）-l列出指定用戶當前的口令時效信息，以確定賬號何時過期用戶和組狀態(tài)13常用的用戶和組狀態(tài)命令命令功能whoami用于顯示當前用戶的名稱id用于顯示用戶身份groups用于顯示指定用戶所屬的組newgrp用于將用戶從當前組轉(zhuǎn)換到指定的附加組，用戶必須屬于該組才可以使用權(quán)限管理PART02操作權(quán)限概述15

Linux是多用戶的操作系統(tǒng)，允許多個用戶同時在系統(tǒng)上登錄和工作。為了確保系統(tǒng)和用戶的安全，Linux采取了很多的安全措施。用戶在登入系統(tǒng)時需要輸入用戶名和口令，這樣，就使系統(tǒng)可以通過用戶的識別號（UID）來分別確定每個用戶在登錄系統(tǒng)后都做了些什么，也可以用來區(qū)別不同用戶所建立的文件或目錄。

普通用戶在系統(tǒng)上受到權(quán)限的制約，一個普通用戶若要切換到其他用戶甚至超級用戶的工作目錄，或執(zhí)行只有管理員權(quán)限才可以執(zhí)行的操作時，會收到權(quán)限不夠、不允許的操作等提示信息。操作權(quán)限概述16

在Linux系統(tǒng)中，將使用系統(tǒng)資源的人員分為4類，超級用戶、文件或目錄的屬主、屬主的同組者、其他人員。文件或目錄的三種基本訪問權(quán)限代表字符權(quán)限對文件的含義對目錄的含義r讀權(quán)限可以讀文件的內(nèi)容可以列出目錄中的文件列表w寫權(quán)限可以修改該文件可以在該目錄中創(chuàng)建、刪除文件x執(zhí)行權(quán)限可以執(zhí)行該文件可以使用cd命令進入該目錄查看文件和目錄的權(quán)限17在Linux系統(tǒng)中通過給3類用戶分配三種基本權(quán)限，就產(chǎn)生了文件或目錄的9個基本權(quán)限位，可以使用-l參數(shù)查看文件或目錄的權(quán)限，如圖所示：更改操作權(quán)限18系統(tǒng)管理員和文件的屬主可以根據(jù)需要來更改文件的權(quán)限。更改文件和目錄的操作權(quán)限可以使用chmod命令來完成，通常有兩種設置方法：文字設定法和數(shù)值設定法。1．文字設定法chmod命令的文字設定法格式如下：chmod[ugoa][+-=][rwxugo]<文件名或目錄名>2．數(shù)值設定法chmod命令的數(shù)值設定法格式如下：chmodn1n2n3<文件名或目錄名>其中，n1代表屬主的權(quán)限，n2代表組用戶的權(quán)限，n3代表其他用戶的權(quán)限，這3個選項都是八進制數(shù)字，其意義如下表所示。權(quán)限數(shù)值表示說明讀寫執(zhí)行二進制八進制---0000沒有權(quán)限--x0011允許執(zhí)行-w-0102允許寫入-wx0113允許執(zhí)行和寫入r--1004允許讀取r-x1015允許執(zhí)行和讀取rw-1106允許寫入和讀取rwx1117允許執(zhí)行、寫入和讀取更改屬主和同組人19管理員有時需要更改文件的屬主和所屬的組。除了root用戶外，只有文件的屬主才有權(quán)更改其屬主和所屬組，即用戶可以把屬于自己的文件轉(zhuǎn)讓給他人。改變文件的屬主和組可以使用chown命令，命令格式如下：chown[-R]<用戶[:組]><文件或目錄>設置文件和目錄的生成掩碼20用戶可以使用umask命令設置文件的默認生成排碼。默認的生成掩碼告訴系統(tǒng)當創(chuàng)建一個文件或目錄時不應該賦予其哪些權(quán)限。如果用戶將umask命令放在環(huán)境文件（.bash_profile）中，就可以控制所有新建的文件或目錄的訪問權(quán)限。umask命令的格式如下：umask[-S][u1u2u3]其中，u1表示的是不允許屬主的權(quán)限；u2表示的是不允許同組人有的權(quán)限；u3表示的是不允許其他人有的權(quán)限。su和sudo21Linux系統(tǒng)中，由于

root用戶的權(quán)限大，為避免root用戶不小心修改某些重要的配置文件，一般以普通用戶登錄系統(tǒng)，但在某些情況下又需要使用root用戶來執(zhí)行一些重要的命令，這樣就需要在不同的需求下以不同的用戶來登錄系統(tǒng)，通過注銷系統(tǒng)再登錄的辦法比較浪費時間，這時可以通過切換用戶登錄系統(tǒng)的方法來解決這個問題。Linux系統(tǒng)常用的切換用戶的命令為su和sudo。su（switchuser）命令可以使當前用戶在不退出登錄的情況下，順利地切換到其他用戶登錄系統(tǒng)。其中，su后如果加“-”，表示同時切換Shell環(huán)境登錄，如果不加“-”，表示不切換Shell環(huán)境。另外，root用戶切換為普通用戶登錄不需要輸入密碼，普通用戶切換為root用戶登錄系統(tǒng)則需要輸入密碼。su的語法格式如下：su[選項][用戶]sudo命令允許普通用戶以系統(tǒng)管理者的身份執(zhí)行一些指令，如halt、reboot、su、passwd等等，經(jīng)由sudo所執(zhí)行的指令就好像是由root用戶親自執(zhí)行，這樣不僅減少了root用戶的登錄和管理時間，同時也提高了系統(tǒng)的安全性。sudo命令的運行只需要知道自己的密碼即可，甚至于，我們可以通過手動修改sudo的配置文件，使其無需任何密碼即可運行。sudo命令的語法格式如下：sudo[選項]命令名稱創(chuàng)建公司組及賬戶PART0323實驗目標?掌握使用命令方式創(chuàng)建和管理組?掌握使用命令方式創(chuàng)建和管理用戶?掌握批量創(chuàng)建用戶的方法?掌握用戶權(quán)限分配實驗任務描述現(xiàn)在已經(jīng)在虛擬機中安裝了CentOS9操作系統(tǒng)，公司準備使用這臺虛擬機搭建一個Web服務器，用于信息發(fā)布和數(shù)據(jù)共享。公司現(xiàn)有32人，對這些人員進行分類，包括行政人員、銷售人員、財務人員、研發(fā)人員、系統(tǒng)運維人員等幾類，要對這些人員進行分組并為每名員工創(chuàng)建一個賬號。實驗環(huán)境要求?Windows桌面操作系統(tǒng)（建議使用Win10）?CentOS9操作系統(tǒng)實驗步驟24第一步：收集人員信息，合理規(guī)劃組。經(jīng)過信息收信，將員工分為6個組，分別是行政人員（manager）、銷售人員（saler）、財務人員（financer）、開發(fā)人員（developer）、運維人員（maintance）。第二步：創(chuàng)建用戶組，操作命令如下。[root@office~]#groupaddmanager[root@office~]#groupaddsaler[root@office~]#groupaddfinancer[root@office~]#groupadddeveloper[root@office~]#groupaddmaintance[root@office~]#cat/etc/group實驗步驟25第三步：添加用戶。添加用戶時可以指定組及初始密碼，命令如下：[root@office~]#useraddzhangqiang-gmanager-pP@ssword_man[root@office~]#cat/etc/passwd|grepzhangqiangzhangqiang:x:1004:3002::/home/zhangqiang:/bin/bash第四步：為每個組創(chuàng)建文件存放目錄，并合理規(guī)劃權(quán)限。[root@office~]#mkdir/share[root@office~]#mkdir/share/