第7讲.Linux用户管理

课程大纲用户管理配置文件用户管理命令用户组管理命令批量添加用户用户授权配置文件用户信息文件：/etc/passwd密码文件：/etc/shadow用户组文件：/etc/group用户组密码文件：/etc/gshadow用户配置文件：/etc/login.defs/etc/default/useradd新用户信息文件：/etc/ske1登录信息：/etc/motd/etc/issue/etc/passwd文件格式字段含义用户名密码UIDGID注释性描述宿主目录命令解释器用户登录系统时使用的用户名密码位用户标识号缺省组标识号例如存放用户全名等信息用户登录系统后的缺省目录用户使用的Shell，默认为bash用户类型Linux用户分为三种：超级用户（root，UID=0）普通用户（UID500-60000）伪用户（UID1-499）伪用户1、伪用户与系统和程序服务相关bin、daemon、shutdown、halt等，任何Linux系统默认都有这些伪用户mail、news、games、apache、ftp、mysql及sshd等，与Linux系统的进程相关2、伪用户通常不需要或无法登录系统3、可以没有宿主目录用户组每个用户都至少属于一个用户组每个用户组可以包括多个用户同一用户组的用户享有该组共有的权限/etc/shadow文件格式段字用户名密码含义用户登录系统时使用的用户名加密密码最后一次修改时间用户最后一次修改密码的天数最小时间间隔最大时间间隔警告时间帐号闲置时间失效时间标志两次修改密码之间的最小天数密码保持有效的最多天数从系统开始警告到密码失效的天数帐号闲置时间密码失效的绝对天数一般不使用/etc/group文件格式字段含义组名组密码GID组内用户列表用户登录时所在的组一般不使用组标识号属于该组的所有用户列表手工添加用户分别在/etc/passwd、/etc/group和/etc/shadow文件中添加一笔记录创建用户宿主目录在用户宿主目录中设置默认的配置文件设置用户初始密码SetUID思考：为什么普通用户可以更改密码？SetUID的定义：当一个可执行程序具有SetUID权限，用户执行这个程序时，将以这个程序所有者的身份执行。范例：1、将touch命令授予SetUID权限2、当vi命令被授予SetUID权限3、查找SetUID程序：find/-perm-4000-o-perm-2000添加用户useradd设置选项用户名-D查看缺省参数u：UIDg：缺省所属用户组GIDG：指定用户所属多个组d：宿主目录s：命令解释器Shellc：描述信息e：指定用户失效时间passwdsam手工添加用户用户组管理命令添加用户组groupaddgroupadd-g888webadmin创建用户组webadmin，其GID为888删除用户组：groupdel组名修改用户组信息groupmodgroupmod-napachewebadmin修改webadmin组名为apache用户组管理命令gpasswd设置组密码及管理组内成员-a添加用户到用户组-d从用户组中删除用户-A设置用户组管理员-r删除用户组密码-R禁止用户切换为该组修改用户信息usermodusermod-Gsoftgroupsamlee将用户samlee添加到softgroup用户组中usermod-lsamlee-d/home/samlee-glampbrotherliming将用户liming的登录名改为samlee，加入到lampbrother组中，用户目录改为/home/samlee用户管理命令pwck检测/etc/passwd文件（锁定文件）vipw编辑/etc/passwd文件id查看用户id和组信息finger查看用户详细信息su切换用户（su-环境变量切换）passwd-S查看用户密码状态who、w查看当前登录用户信息用户组管理命令groups查看用户隶属于哪些用户组newgrp切换用户组grpckchgrpvigr用户组配置文件检测修改文件所属组编辑/etc/group文件（锁定文件）用户组权限示例授权用户jack和mary对目录/software有写权限#groupaddsoftadm#usermod-Gsoftadmjack#gpasswd-amarysoftadm#chgrpsoftadm/software#chmodg+w/software#ls-ld/software512Jul1406:17/softwaredrwxrwxr-x2rootsoftadm#grepsoftadm/etc/groupsoftadm::100:jack,mary禁用和恢复用户禁用#usermod-Lusername#passwd-lusername恢复#usermod-Uusername#passwd-uusername删除用户userdel-r用户名-r：删除用户目录手工删除：使用find命令查找属于某个用户或用户组的文件find选项-user、-uid、-group、-gid1、对需要保留的文件进行移动和备份2、对不需要的文件进行删除3、清除用户文件中的相关表项4、清除用户宿主目录用户管理命令chage设定密码-l-m-M-d-I-E-W查看用户密码设置密码修改最小天数密码修改最大天数密码最后修改的日期密码过期后，锁定账户的天数设置密码的过期日期，如果为0，代表密码立即过期；如果为-1，代表密码永不过期设置密码过期前，开始警告的天数启动或停用shadow功能pwconv/pwunconvgrpconv/grpunconvsystem-config-usersauthconfig、/etc/sysconfig/authconfig用户管理命令批量添加用户newusers命令导入用户信息文件pwunconv命令取消shadowpassword功能chpasswd命令导入密码文件（格式用户名:密码）pwconv命令将密码写入shadow文件实例：一次批量添加10个用户限制用户su为root：#groupaddsugroup#chmod4550/bin/su#chgrpsugroup/bin/su#ls-l/bin/su-r-sr-x---1rootsugroup18360Jan152010/bin/su设定后，只有sugroup组中的用户可以使用su切换为root#useraddhelen#passwdhelen#usermod-Gsugrouphelen用sudo代替su：－在执行sudo命令时，临时成为root－不会泄漏root口令－仅向用户提供有限的命令使用权限配置文件：/etc/sudoers，编辑配置文件命令visudo，普通用户使用命令sudo。格式：用户名（组名）主机地址=命令（绝对路径）Johntheripper应用：#tar-xzvfjohn-1.7.6.tar.gz#cdjohn-1.7.6/run#make破解用户liming密码#grepliming/etc/passwd/test/liming.passwd#grepliming/etc/shadow/test/liming.shadow#/test/john-1.6.6/run/unshadow/test/liming.passwd/test/liming.shadow/test/liming.john#/test/john-1.6.6/run/john/test/liming.john下载地址