09.第九章 用户帐号管理

第九章用户帐号管理概述帐号简介系统管理员帐号创建帐号帐号管理帐号权限设置磁盘限额帐号概述Linux是一个多用户的系统。用户就是指登录系统并运用系统资源工作的人，但并不一定负责管理系统的工作。管理员负责系统管理，所以在系统中的权限是被管理规范的。用户可以通过网络登录，甚至主机也提供虚拟终端让用户同时登录。所以，管理员的工作就是决定哪些用户能登录系统，并给每一个分配一个登录系统的帐号，设置权限等相关的管理。用户必须以root登录时，才能取得最大的权限，才能修改相关的设备，而日常工作时应该以一般的用户帐号登录，以免不小心对系统造成不能修复的损害。管理员账号1、设置root账号的密码#passwd2、变换身份为管理员#su–或su3、只允许root登录#touch/etc/nologin4、单人模式编辑/etc/inittab创建用户账号1、添加用户#useradd用户名#passwd用户名2、增加用户对环境的修改(1).#vi/etc/passwd增加一条用户名：密码：UID：GID：用户全名：用户HOME目录：用户的SHELL例：zhy::500:500:zhyuser:/home/zhy:/bin/bash(2).在/HOME/下增加一个以用户名命名的目录。(3)．#vi/etc/group增加一条以用户名命名的组。两个重要文件：passwd与group⒈[用户名]是passwd文件里各记录行一的有唯一性要求的域。也就是说每一行的第一个区域的内容都不能相同，其它区域就无所谓了。⒉[密码]现在由于使用了shadow口令，在密码区域只有一个x字符。⒊[UID]系统使用UID来判别用户身份⒋[GID]用户默认的组ID，这个ID可以在文件/etc/group里查到对应的组名。⒌[身份描述]：就是用户的身份说明，默认的是无任何说明，可人工添加。⒍[主目录]：用户的主目录，可以使用前面介绍的命令修改。⒎[登录shell]：用户登录时系统提供的shell，请参考前面的有关内容。注意：[UID]和[GID]小于500的一般都是系统自己保留，不做普通用户和组的标识的，所以新增加的用户和组一般都是UID和GID大于500的。两个重要文件：passwd与group在linux的安全机制里，/etc/passwd与/etc/group这两个文件占着非常重要的地位。它们控制着linux的用户和组一些重要设置。◆/etc/passwd文件说明在passwd的文件里，每一行被冒号（:）分成7个部分，分别是：[用户名]：[密码]：[UID]：[GID]：[身份描述]：[主目录]：[登录shell]两个重要文件：passwd与group/etc/group文件说明它总共分四个部分：[组名]：[密码域]：[GID]：[组员列表]创建用户账号3、删除用户:#userdel用户名4、查封用户:#vi/etc/passwd用分号注释掉用户记录。在前面加上#号创建组账号6、建立用户组#groupadd组名7、删除用户组#groupdel组名8、将用户加入到组和从组中删除#gpasswd–a用户名组名//添加用户#gpasswd–d用户名组名//删除用户9、查看用户属于某组#groups用户名10、新建用户加入某组#useradd–g某组名用户用户账号操作更改用户主目录：useradd的参数-d，命令如下：#useradd-d主目录用户#useradd-d/home/goaltom添加用户到组：#useradd-g用户组用户#useradd-gwebuserstom权限的意义执行ls–l或ls–a命令时所显现的结果，最前面的2—10个字符用来标示权限。d：表示这是一个目录。-：表这是一个普通的文件l：表示这是一个符号连接的文件，实际上它指向另一个文件b、c：分别表示区块设备和其他的外围设备，是特殊类型的文件S、p：这些文件关系到系统的数据结构和管道读、写、执行的权限说明w（2,Write，写入）所谓写的权限，也就是对文件修改和删除的权限。如果目录的写权限也对你开放了，则可以创建、删除或修改该目录下的任何文件或自目录——即使该文件和子目录并不属于你。r（4,Read，读取）对目录有只读许可的用户，不能用cd命令进入该目录；还必须同时有执行许可才可以进入该目录。必须同时拥有读和执行权限才可以使用ls这样的程序列出目录内容清单。x（1,Execute，执行）只对目录有执行权限的用户，想访问该目录下的文件有读权限的文件，必须知道该文件名才可以访问。对文件而言，该用户具有执行文件的权限权限的数字表示数字代表的权限0没有权限1执行2写入4读取31+2，执行和写入51+4，执行和读取62+4，写入和读取71+2+4，执行，写入，读取用数字表示权限“rwx”合起来就是４+２+１＝７，一个“rwxrwxrwx”权限权限全开的文件，用数字来表示就是“777”；而完全不开放权限的文件“---------”，它的数字标示则为“000”。下面再以几个例子说明权限（2-10）数字rwxrwxrwx777（1+2+4=7）rwx------700rwxr--r--744rw-rw-r-x665rwx—x—x711---------000chmodchmod指令可以改变文件或目录的权限模式。只有文件或目录的所属用户或root能改变权限。格式：chmod[option][who][opcode][permission][file1]参数说明:Option说明--version指令的版本信息--help显示指令的说明-R(大写)连同该目录下的子目录及文件一并更改chmodWho说明u所属用户g所属组o其他用户a(all)所有用户who:要改变权限的用户.chmodopcode说明+增加权限-删除权限=分配权限,同时将原本的权限删除opcode:代表权限的修改方法.opcode:optioncodechmod示例指令作用chmodu+xfile对file文件增加执行权限.chmodu=rwx,g=rfile删除用户的执行,写入,只读权限,所属组为只读权限.chmodo-xfile取消其他用户的执行权限Chmoda=rw*.conf为当前目录下所有的*.conf文件设置读取和写入权限chown作用:改变所有权,可以改变文件或目录的所属用户，也可以改变所属组。可以改变数个文件或目录的所有权。只有root或文件的所属用户有权改变。格式：chown[option][newuser][.newgroup]file1[file2file3…….]option参数：Option说明-c显示改变的信息-R连同该目录下的子目录及文件一并更改-v显示所有权的改变--version指令的版本信息chown示例chowntom/test/yp.confchowntom/test/*.confchowntom.tom/test/yp.confchgrp作用：可以改变文件或目录的所属组，且可以改变数个文件或目录的所属组。格式：chgrp[option][newgroup]file1[file2file3…..]Option说明-c显示改变的信息-R连同该目录下的子目录及文件一并更改-v显示所有权改变信息--help显示帮助信息--version版本信息磁盘限额在Linux系统中，可以通过quota命令来限制用户和用户组的硬盘空间配额。避免用户将磁盘的所有空间全部用完。需要内核支持.只有ext2/ext3文件系统目前被支持.需要用户程序quota软件包.使用实例:各个网站、ICP等为用户设置信箱大小、磁盘使用空间、虚拟主机等都用到了磁盘配额技术。磁盘配额软件包的安装检查guofa软件包是否安装（默认去持磁盘配额）#rpm-qquota磁盘配额配置过程init1进入单用户模式（可选）格式化分区（可选）mount–ousrquota,grpquota/dev/sdb1/mail(此行写入/etc/fstab)quotacheck-cvuga检查并且创建磁盘配额的数据库文件quotaon/mail(此行可以加入-mc参数，m代表强制在“读写”模式下进行，c检测磁盘)edquota-u/gusername为指定用户分配磁盘空间和节点数量quota命令可以查看用户的配额使用情况磁盘空间管理执行“quotacheck-avug”命令quotacheck这个命令的功能就是对“已经使用过的磁盘空间”做扫描，分析已使用磁盘上的每一个目录和文件属于哪一个用户和组，然后分别在根目录/（root）产生“aquota.user”和“aquota.group”这两种记录文件。其中命令中参数组合“-avug”中各个参数的含义如下所示：-a参数：表示扫描全部的磁盘-v参数：表示在扫描（scan）磁盘时，显示扫描过程的信息-u参数：表示扫描记录磁盘上各个用户（User）的使用的文件和目录-g参数：表示扫描记录磁盘上各个用户组（Group）的使用的文件和目录-m强近以读写检查文件系统磁盘空间管理软限制（softlimits）通常设置软限制为一接近硬限制的值，超越此限制时，系统将警告用户将到达最大磁盘配额限制。软限制为0时没有软限制。结合宽限期使用时，只要用户超越了软限制，一过宽限期，任何对磁盘空间的额外需求将被立即拒绝。硬限制（hardlimits）磁盘配额的绝对限制，设置了quota的用户不能超越此限制。宽限期（GracePeriod）用户超越了软限制而没有到达硬限制时的一段放宽期，在这段时间内，用户可以在硬限制范围内自由地使用磁盘空间，超过这段时间，所有对磁盘空间的额外需求将被拒绝，即使用户还在硬限制之内。宽限期的单位可以是秒、分、时、天。执行edquota－t命令设置宽限期。执行该命令后，将系统提示中的两个0days改成你认为合适的值即可。取消磁盘配额（1）quotaoff功能：关闭配额格式：quotaoff[参数][装载点]参数：与quotaon相同实例：#quotaoff-avug（关闭所有分区的用户配额和组配额）#quotaoff–ug/quota（关闭/home分区的用户和组配额）（2）quota功能：产生配额的信息摘要格式：#quota[用户]|[组名]实例：#quota（显示当前用户使用情况）#quotau1（显示u1用户的使用情况）磁盘空间管理设定softquota和hardquota之间的时间:edquota-t出现一个vi窗口：Graceperiodbeforeenforcingsoftlimitsforusers:Timeunitsmaybe:days,hours,minutes,orsecondsFilesystemBlockgraceperiodInodegraceperiod/dev/hda77days7days按照自己的需要修改吧。重新启动就可以了。磁盘限额就生效了。如果要成批的复制相同的磁盘配额给不通用户：edquota-puseruser1user2user3edquota-g-pgroupgroup1group2group3repquota–ag-au查看所有组及用户的磁盘限制取消磁盘限额：quotaoff/磁盘空间管理命令语法：dd[选项]if=输入文件（或设备名称）。of=输出文件（或设备名称）。bs=bytes同时设置读/写缓冲区的字节数。count=blocks只拷贝输入的blocks块。