Linux操作系统教程_第5章_用户与组群管理

Linux用户与组群管理第五章用户与组群管理Linux用户与组群管理5-1用户管理概述1、用户管理的范围•用户帐号管理•组帐号管理•用户/组帐号的权限管理Linux用户与组群管理5.1用户和组文件文件和程序用户组创建安装归属于执行继承、调用UIDGIDLinux用户与组群管理5.1用户和组文件Linux继承了Unix传统的方法，把全部用户信息保存为普通的文本文件。用户可以通过对这些文件的修改来管理用户和组。文件保护策略有：1.登录名和登录密码2.加密3.设置访问特权Linux用户与组群管理5.1.1用户账号文件――passwd口令文件(/etc/passwd)该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID(UID)、默认的用户分组ID(GID)、GECOS字段、用户登录子目录以及登录后使用的shell。该文件的每一行保存一个用户的资料，而用户资料的每一个数据项之间采用冒号“：”分隔。jl:x:100:0:JimLane,ECT8-3,,:/staff/ji:/bin/shLinux用户与组群管理5.1.1用户账号文件――passwd(1)登录名注意它的唯一性，它的长度一般不超过32个字符，它们可以包括冒号和换行之外的任何字符。登录名要区分大小写。放在/etc/passwd文件的开头部分的用户是系统定义的虚拟用户bin、daemon。(2)加密的口令当编辑/etc/passwd文件来创建一个新账号时，在加密口令字段的位置要放一个星号(*)。这个星号防止未经授权就使用该账号，直到设置了真实的口令为止。Linux用户与组群管理5.1.1用户账号文件――passwd(4)GID组的ID是一个32位整数。GID0是给root的组保留的。GID1通常指的是名为“bin”的组，GID2指的是“daemon”组。(5)GECOS字段通常用来定义每个用户的个人信息。(3)UID是32位无符号整数，它能表示从0到4294967296的值。建议在可能的情况下将站点上的最大UID号限制在32767。root的UID为0。UID在整个机构中应该是唯一的Linux用户与组群管理5.1.1用户账号文件――passwd(6)用户的登录子目录每个用户都需要有地方保存自己的配置文件。这个地方就叫做用户登录子目录。要禁止没有主目录的用户登录，可以把/etc/login.defs中的CREATE_HOME设置为no。(7)登录shell用户上机后运行的shell，此处出现的是默认的shell，大多数情况下是/bin/bash。Linux用户与组群管理查看/etc/passwd的内容Linux用户与组群管理/etc/passwd是一个简单的文本文件，以纯文本显示加密口令的做法存在安全隐患。同时，由于/etc/passwd文件是全局可读的，加密算法公开，恶意用户取得了/etc/passwd文件，便极有可能破解口令。Linux/Unix广泛采用了“shadow文件”机制，将加密的口令转移到/etc/shadow文件里，该文件只为root超级用户可读，而同时/etc/passwd文件的密文域显示一个*，从而最大限度地减少了密文泄漏的机会。Linux用户与组群管理5.1.2用户影子文件――shadowshadow文件的每行是8个冒号分隔的9个域，格式如下：登录名；加密后的口令；上次修改口令的时间；两次修改口令之间的最少天数；两次修改口令之间的最大天数；若最大天数是99999，则永远不过期在口令作废之前多少天，login程序应该开始警告用户口令即将过期；在达到了最大口令作废天数之后，登录账号作废之前必须等待的天数账号过期的天数。若该字段的值为空，则该账号永远不过期；保留字段，目前为空。username：passwd：lastchg:min:max:warn:inactive:expire:flagLinux用户与组群管理5.1.2用户影子文件――shadowLinux用户与组群管理用户影子文件――shadow各项详解Ø登录名Ø加密口令Ø口令上次更改时距1970年1月1日的天数Ø口令更改后不可以更改的天数Ø口令更改后必须再更改的天数(有效期)Ø口令失效前警告用户的天数Ø口令失效后距账号被查封的天数Ø账号被封时距1970年1月1日的天数Ø保留未用username：passwd：lastchg:min:max:warn:inactive:expire:flagshadow文件的每行是8个冒号分隔的9个域，格式如下：Linux用户与组群管理5.1.3用户组账号文件――group/etc/group文件包含了Linux组的名称和每个组中的成员列表。例如：wheel：x：10：evi,garth,trent每一行代表了一个组其中包含有四个字段：•组名；•被加密的口令(已被废弃，很少使用)；•GID；•成员列表，彼此用逗号隔开(注意不要加空格)。为了避免与厂商提供的GID发生冲突，一般从GID100开始分配本地组。Linux用户与组群管理/etc/group的内容Linux用户与组群管理5.1.4组账号号文件――gshadow组口令与组的其他信息相分离的安全机制，其格式如下：用户组名:加密的组口令:组成员列表supersun:8kuwngCidEio::liyangsuper,snoppy,desinyLinux用户与组群管理5.1.5使用pwck和grpck命令验证用户和组文件pwck用来验证用户账号文件和影子文件的一致性，验证文件中的每个数据项中每个域的格式以及数据的正确性。如果发现错误，该命令将会提示用户对出现错误的数据项进行删除。该命令主要验证每个数据项是否具有：正确的域数目唯一的用户名合法的用户和组标识合法的主要组群合法的主目录合法的登录shell。Linux用户与组群管理pwck的使用①vi/etc/passwd②输入其中没有的用户信息③pwck/etc/passwd④如果数据域的项数正确，只会反映出不存在相关的用户信息，不会提示用户删除该信息⑤如果数据域项数不正确，系统提示用户进行删除，用户确定删除后该文件验证才通过。Linux用户与组群管理案例一1.新建一个user1用户，UID、GID、主目录均按默认；2.新建一个user2用户，UID=800、其余按默认；3.新建一个user3用户，默认主目录为/abc、其余默认；并观察这三个用户的信息有什么不同；4.分别为以上三个用户设置密码为123456；5.把user1用户改名为u1,UID改为700，主目录为/test;6.把u1用户锁定，在不同的终端分别登录user2与u1,并观察有什么现象；Linux用户与组群管理5-2用户帐号的管理1、用户帐号的分类•超级用户（UID=0）•普通用户（500=UIDmax=60000）操作权限受到限制•伪用户（系统用户）（UID=1—499）：限制本机登录Linux用户与组群管理2、用户帐号包含的信息•用户名：•口令：•UID：用户唯一标识符•GID：用户组的唯一标识符•用户描述信息：•用户主目录：用户登录的初始目录•SHELL类型：设置SHELL程序的种类Linux用户与组群管理3、用户管理1）添加新用户•格式：useradd/adduser[参数]用户名•参数：-uUID//指定用户的UID值-g组名//指定用户所属的默认组-G组名//指定用户附加组Linux用户与组群管理-d路径//指定用户主目录-e时间//指定用户帐号有效日期(YYYY-MM-DD)-sshell类型//指定默认的shell类型-m//建立用户主目录-M//不建立用户主目录Linux用户与组群管理•实例：#useraddu2//新建用户#useradd-gg2u3//新建用户u3，主要群组为g2#useradd-e2009-08-12u4//Linux用户与组群管理2）设置用户口令•格式：passwd[选项][用户名]d（delete）//删除用户口令-l（lock）//暂时锁定指定的用户账号-u（unlock）//解除指定用户账号的锁定-S（status）//显示指定用户账号的状态•实例：#passwdu2Linux用户与组群管理useradd–rtom–c“Tom”–gjerry–s/bin/sh–d/home/JonepasswdtomEnterpassword:Linux用户与组群管理passwdtom//设置口令passwd-dtom//删除用户口令passwd-ltom//锁定账号passwd-utom//解锁账号passwd-Stom//显示账号Linux用户与组群管理3）删除用户•格式：userdel[参数]用户名•参数：-r//同时删除用户主目录•实例：#userdelu2#userdel-ru3Linux用户与组群管理4）修改用户信息•格式：usermod[参数]用户名•参数：-l新用户名当前用户名//更改用户名-d路径//更改用户主目录-G组名//修改附加组-L用户帐号名//锁定用户帐号(不能登录)-U用户帐号名//解锁用户帐号Linux用户与组群管理•实例：#usermod-d/abcu3#usermod-Ggroup2u3#usermod-luser3u3#usermod-Luser1#usermod-Uuser1Linux用户与组群管理usermod命令用来修改使用者账号，具体修改信息和useradd命令所添加的信息一样。例子usermod–gsuper–u5600jeffery//将用户jeffery组改为super,用户id改为5600usermod–lhoney-jone–s/bin/ash–c“honey-jone”jone//将用户jone改名为honey-jone,登录的shell改为/bin/ash//用户描述改为“honey-jone”Linux用户与组群管理5）切换用户身份•格式：su[-][用户名]•实例：#su–//切换到超级用户#sutomLinux用户与组群管理6）查看用户的UIDGID和用户所属组群的信息•格式：id[用户名]•实例：#idtomLinux用户与组群管理案例二1.建立一个标准的组group1，GID=900；2.建立一个标准组group2，选项为默认，观察该组的信息有什么变化；3.新建用户ah、xh，再新建一个组group3，把root、u1、user2用户添加到group1组中，把ah、xh添加到group2组，4.把group3组改名为g3，GID=1000；5.查看user2所属于的组，并记录；6.删除user1组与g3组，观察有什么情况发生；Linux用户与组群管理5-3组帐号管理1、组的分类•私用组：创建用户时自动创建的组•标准组：可以包含多个用户的组Linux用户与组群管理2、组的信息•组名：组的标识符号•口令•GID：组的唯一标识符•组的成员Linux用户与组群管理3．组帐号的管理1）建立组•格式：groupadd[参数]组名•参数：-gGID//指定新建组的GID值-r//建立伪用户组（1--499）•实例：#groupaddg2#groupadd–rg3Linux用户与组群管理例子：groupadd–g5400testbed//创建一个gid为5400组名为testbed的用户组Linux用户与组群管理2）删除组•格式：groupdel组名•实例：groupdelg3Linux用户与组群管理3）修改组的信息•格式：groupmod[参数]组名•参数：-n新组名原组名//修改组的名称-gGID//修改组的GID•实例：#groupmod-ngroup1g1#groupmod-g860g2Linux用户与组群管理groupmod-ntestbed-newtestbed//将组testbed的名称改为testbed-newgroupmod-g5404testbe