红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638第四章用户管理教学内容:用户管理基本概念用户账号的管理用户安全管理教学目标:了解用户及组的基本概念熟悉用户、组、文件权限的分类掌握文件访问权限、用户、组的管理命令教学重点:用户、组的管理命令文件访问权限管理的命令教学难点:文件访问权限管理一.用户管理概念1.Linux系统用户管理特点多用户平台(ALT+F1--6)单用户模式中无需用户管理方法有两种:命令、图形工具、2.用户账号的分类超级用户(UID=0):具有一切系统操作权限普通用户(UID=500—MAXUID默认值60000):操作权限受到限制伪用户(UID=1—499):限制本机登录(用于特定服务的启动用户)注:-用户的UID的取值,除0以外,其它值不允许用户取相同的值-Linux系统有很多内置用户账号,如:root,bin…3.用户组的介绍(1)什么是用户组用户组是用户集合,通过用户可以减少用户管理的工作量(2)用户组的分类私用组:由创建用户时自动创建(一般只包含一个用户)标准组:是用户手创建组,可以包含多个用户4.用户管理的相关文件(1)/etc/passwd功能:存放系统的用户帐号信息内容:用户名密码UIDGID描述用户主目录SHELL实例:u1:x:0:0:u1:/home/u1:/bin/bash注:-如果采用了shadow,此处存放口令的为屏蔽字符,真正密码保存在/etc/shadow中,shadow可以利用md5加密红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638-修改/etc/sysconfig/authconfig文件可以配置用户口令采用影子口令和md5加密机制(2)/etc/shadow(使用影子口令)功能:存放用户口令(一般采用加密的方式存放口令)实例:u1:bq$#:10750:0:9999:7:-1:21110:12546说明:u1用户名b1$#加密的口令10750从1970.1.1开始计算,该口令修改后已过去了多少天(密码最后一次修改的时间)0需要再过多少天这个口令可以被修改9999密码的有效期(-1代表永不过期)7口令失效多少天前发出警告-1口令失效多少天之后禁用账户(-1不禁用、0代表立即禁用)21110用户账号的有效日期(从1970/1/1开始计算)12546保留(3)/etc/group功能:存放系统组信息格式:组名:组口令:GID:成员列表(4)/etc/gshadow功能:存放用户组口令格式:组名:口令:组管理员:成员列表(5)用户环境文件目录——/etc/skelskel目录类似与windows系统中的DefaultUser目录,用于存放用户的环境文件等。当添加新用户时,系统会自动复制该目录到新用户的家目录下。#ls–la/etc/skel/total64drwxr-xr-x3rootroot4096Nov121:04.drwxr-xr-x61rootroot8192Feb719:44..-rw-r--r--1rootroot242003-09-18.bash_logout-rw-r--r--1rootroot1912003-09-18.bash_profile-rw-r--r--1rootroot1242003-09-18.bashrc-rw-r--r--1rootroot2372003-05-22.emacs-rw-r--r--1rootroot1202003-08-20.gtkrcdrwxr-xr-x3rootroot40961月121:01.kde(6)用户规则文件——/etc/default/useradd/etc/default/useradd文件用于定义添加新用户的一些规则信息。下面为该文件的默认内容。#cat/etc/default/useradd#useradddefaultsfileGROUP=100//默认组ID是100,在禁止默认的私有组时有用。HOME=/home//默认创建新用户时,用户家目录所在的位置。INACTIVE=-1//密码过期后,帐号是否处于激活状态,-1表示永远激活。EXPIRE=//用户帐号过期日期,为空表示不启用。红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638SHELL=/bin/bash//默认创建新用户时,所用的SHELL类型。SKEL=/etc/skel//默认创建新用户时,用户的环境文件等存放的位置。(7)用户规则文件——/etc/login.defs/etc/login.defs文件用于定义添加新用户的一些规则信息。下面为该文件的默认内容。//查看login.defs文件中所有不是以“#”开头的行。#grep-v^#/etc/login.defsMAIL_DIR/var/spool/mail//用户mail文件所在的位置PASS_MAX_DAYS99999//用户密码最多使用的天数PASS_MIN_DAYS0//用户密码最少使用的天数PASS_MIN_LEN5//用户密码最小的长度PASS_WARN_AGE7//定义用户密码过期前多少天给予警告UID_MIN500//默认创建新用户时最小的UID号UID_MAX60000//默认创建新用户时最大的UID号GID_MIN500//默认创建新用户时最小的GID号GID_MAX60000//默认创建新用户时最大的GID号CREATE_HOMEyes//创建新用户时是否创建家目录二.用户及组管理命令1.useradd功能:建立用户格式:useradd[参数]用户名参数:-uUID:指定用户的UID值(指定UID不能与其它用户UID相等)-g组名/GID:指定用户的所属组-G组名:指定用户附加组-d路径:指定用户主目录(/home/$USERNAME)-e时间:指定用户有效日期-sSHELL:指定SHELL的类型(/bin/bash)-m:建立用户主目录-M:不建立用户主目录-r:建立一个伪用户-o:与-u连用,如果所指定的UID重复时,强制使用指定的UID-p口令:指定用户口令,默认新建用户为禁用状态实例:#useraddu2#useradd-gg2u2#useradd-e03/28/04–gg3-d/etc/u3#useraddu3-p$1asd#dfsdkfeodsfefsdf2.userdel功能:删除用户格式:userdel[参数]用户名参数:-r:删除用户主目录实例:#userdelu2红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638#userdel-ru33.passwd功能:修改用户口令格式:passwd[参数][用户名]参数:-l:锁定用户-u:解除用户的锁定-d:删除用户的口令实例:#passwdu2#passwd-lu2#passwd-du24.usermod功能:修改用户信息格式:usermod[参数]用户名参数:-l新的用户名:修改用户名称-d路径:修改用户主目录-G组名:修改附加组-s路径:修改用户SHELL-uUID:修改用户UID-gGID:修改用户所属组的GID-o:强制使用指定的UID,与-u连用实例:#usermod-d/u3#usermod-Gu2u3#usermod-luser3u35.gropadd功能:建立用户组格式:groupadd[参数]组名参数:-gGID:指定GID的值-r:建立伪用户组(1--499)实例:#groupaddg2#groupadd–rg36.groupdel功能:删除用户组格式:groupdel组名实例:groupdelG37.groupmod功能:修改组信息格式:groupmod[参数]组名参数:-n新组名:修改组的名称-gGID:修改组的GID-o:强制使用指定的GID,与-g连用实例:#groudmod-ngroupg1#groupmod-g860group18.gpasswd格式:gpasswd[参数][用户名][组名]红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638参数:-a用户名:向指定组添加用户-d用户名:从指定组中删除用户-A用户名:设置组的管理员-r:删除组的口令实例:#gpasswd-au1root#gpasswd-du1root#gpasswdgp1#gpasswd-Au1gp19.groups功能:显示组信息格式:groups[用户名]实例:#groups(显示当前用户所属组)#groupsroot(显示root用户的所属组)10.id功能:查看UID/GID的相关信息格式:#id[参数]参数:-a显示所有信息-g显示有效组的ID-G显示所有组的ID-u显示用户ID-n与-gGu连用,用于显示用户/组名称实例:#id#id-un11.newgrp功能:更改用户有效组格式:#newgrp组名实例:#newgrpusers12.pwck功能:检查/etc/passwd与/etc/shadow文件内容及用户主目录是否存在实例:#pwck13.chpasswd功能:修改用户口令,用户名和口令由用户输入的执行过程中输入格式:#chpasswd[参数]参数:-e不加密存储实例:#chpasswdu1:linuxu2:linux#cat/etc/userschpasswd三.用户安全管理1.文件访问权限操作(1)文件的使用者超级用户:不受文件访问权限的限制,可以所有文件普通用户:受具体文件访问权限的限制,每个文件的访问权限由拥有者权限、红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638拥有组权限及其他用户权限三部分组成(2)文件设问权限的种类普通权限表示字符权限名称对文件的含义对目录的含义r(4)读读取文件内容检查目录内容w(2)写修改文件内容改变目录内容x(1)执行执行文件进入目录注:以上权限组合可以用字母(如:r-x)和八进制数字(如:7=4+2+1)表示特殊权限表示字符权限名称含义备注s(4)Suid执行文件时使用文件拥有者的UID用于可执行文件s(2)Sgid执行文件时使用文件拥有组的GID用于可执行文件t(1)粘着位使目录成为临时目录(可写,可删除自己拥有的文件)用于目录(3)文件访问权限的相关操作chmod功能:修改文件访问权限格式:chmod[参数]权限值文件名参数:-v:显示详细说明-c:与-v相似,但只有在文件权限发生改变时才显示详细说明-R:递归改变目录的权限实例:#chmodrwxr-xr-xfile1#chmodu+xfile1#chmodu-x,o+rwfile2#chmodu+s,g+sfile2#chmod1755dir1注:-只有root和文件属主有权执行chmod文件chown功能:改变文件拥有者及拥有级(只有超级用户使用)格式:chown[参数]用户名文件名参数:-R:递归改变目录的拥有者-f:不显示拥有者的详细信息实例:#chownuserf1#chown-Ruser1.g1/d1umask功能:设置权限掩码(决定新建文件的权限)格式:umask权限值(超级用户默认为022,普通用户默认为002)红旗Linux软件技术学院——RCE课程之用户基础邮电:z_an_d@tom.com电话:13856036638实例:#umask044计算公式:目录:777-umask文件:666-umaskChattr功能:修改ext2和ext3文件系统中的文件属性(只有超级用户使用)格式:chattr[参数]操作符属性值文件或目录参数:-R:递归处理所有的文件及子目录-V:详细显示修改内容,并打印输出。操作符:-:失效属性+:激活属性=:指定属性属性