6.用户与权限管理

1RedHatLinux课程第六章Linux用户与权限管理2Vi的三种工作模式Vi的基本操作使用Vi进行配置文件的编辑内容回顾3Vi的模式三种模式命令模式输入模式末行模式Linux退出vivifile末行模式输入模式命令模式4Vi的模式命令模式状态栏编辑区空白区5输入模式输入模式标志Vi的模式6末行模式末行模式标志Vi的模式7Vi的命令命令模式下的操作命令输入模式下的操作命令末行模式下的操作命令8掌握用户和组相关的配置文件掌握用户和组管理的方法日常的管理用户和组掌握Linux权限的表示及设置了解Linux文件和目录安全管理原则本章目标9用户管理类命令用户管理组管理密码管理用户信息查询10引言Linux系统是一个多用户的时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。实现用户账号的管理，要完成的工作主要有如下几个方面：1.用户账号的添加、删除与修改。2.用户口令的管理。3.用户组的管理。11用户和组帐号概述•Linux基于用户身份对资源访问进行控制–用户帐号：•超级用户root•普通用户•程序用户–组帐号：•基本组(私有组)•附加组（公共组）–UID和GID：•UID（UserIdentity，用户标识号）•GID（GroupIdentify，组标识号）12/etc/passwd用户信息文件用户帐号管理13用户帐号文件——passwd•用于保存用户的帐号基本信息–文件位置：/etc/passwd–每一行对应一个用户的帐号记录[root@localhost~]#tail-2/etc/passwdsabayon:x:86:86:Sabayonuser:/home/sabayon:/sbin/nologinbenet:x:500:500:BENETStudentUser:/home/benet:/bin/bash字段1：用户帐号的名称字段2：用户密码字串或者密码占位符“x”字段3：用户帐号的UID号字段4：所属基本组帐号的GID号字段5：用户全名字段6：宿主目录字段7：登录Shell信息14apache:x:48:48:Apache:/var/登录名口令UIDGID别名主目录登录Shell/etc/passwd15用户UIDUID用户名65535以后外部应用程序用户500~65535普通用户1~499系统标准用户0超级用户UID：用户独一无二的身份标识16/etc/shadow密码文件17用户帐号文件——shadow•用于保存密码字串、密码有效期等信息–文件位置：/etc/shadow–每一行对应一个用户的密码记录[root@localhost~]#tail-2/etc/shadowsabayon:!!:14495:0:99999:7:::mary:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:14495:0:99999:7:::字段1：用户帐号的名称字段2：加密的密码字串信息字段3：上次修改密码的时间字段4：指的是两次修改口令之间所需的最小天数，0为不作要求字段5：密码的最长有效天数，默认值为99999字段6：提前多少天警告用户口令将过期，默认值为7字段7：在密码过期之后多少天禁用此用户字段8：帐号失效时间，默认值为空字段9：保留字段（未使用）18用户管理命令useradduserdelusermod用户帐号管理19添加用户帐号•useradd命令–格式：useradd[选项]...用户名•常用命令选项–-u：指定UID标记号–-d：指定宿主目录，缺省为/home/用户名–-e：指定帐号失效时间–-g：指定用户的基本组名（或UID号）–-G：指定用户的附加组名（或GID号）–-M：不为用户建立并初始化宿主目录–-s：指定用户的登录Shell20用户帐号的初始配置文件•文件来源–新建用户帐号时，从/etc/skel目录中复制而来•主要的用户初始配置文件–~/.bash_profile：用户每次登录时执行–~/.bashrc：每次进入新的Bash环境时执行–~/.bash_logout：用户每次退出登录时执行全局初始配置文件/etc/bashrc/erc/profile[root@localhost~]#cat~/.bashrcaliasrm='rm-i'aliascp='cp-i'aliasmv='mv-i'……21设置/更改用户口令•passwd命令–格式：passwd[选项]...用户名•常用命令选项–-d：清空用户的密码，使之无需密码即可登录–-l：锁定用户帐号–-S：查看用户帐号的状态（是否被锁定）–-u：解锁用户帐号22修改用户帐号的属性•usermod命令–格式：usermod[选项]...用户名•常用命令选项–-l：更改用户帐号的登录名称–-L：锁定用户账户–-U：解锁用户账户–以下选项与useradd命令中的含义相同•-u、-d、-e、-g、-G、-s23usermod选项用户名用户帐号管理1.usermod-uuidusername修改用户的UID2.usermod-ggidusername修改用户的GID3.usermod-lnewnameoldname修改用户名4.usermod-Ggroupnameusername添加用户到组5.usermod-Lusername锁定用户6.usermod-Uusername解除锁定24删除用户帐号•userdel命令–格式：userdel[-r]用户名–添加-r选项时，表示连用户的宿主目录一并删除[root@localhost~]#useraddstu01[root@localhost~]#ls-ld/home/stu01/drwx------2stu01stu01409609-0912:38/home/stu01/[root@localhost~]#userdel-rstu01[root@localhost~]#ls-ld/home/stu01/ls:/home/stu01/:没有那个文件或目录删除用户帐号stu0125userdel[-r]username-r:将该账号的[homedirectory]与[/var/spool/mail/username]一并删除。eg:userdel-rsam用户帐号管理注意：一般而言，如果该账号只是『暂时不启用』的话，那么将/etc/shadow里头最后倒数一个字段设定为0就可以让该账号无法使用，但是所有跟该账号相关的数据都会留下来！使用userdel的时机通常是『你真的确定不要让该用户在主机上面使用任何数据了！』26组帐号文件——group、gshadow•与用户帐号文件相类似–/etc/group：保存组帐号基本信息–/etc/gshadow：保存组帐号的密码信息[root@localhost~]#grepadm/etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon组帐号名组成员列表27用户组管理/etc/group用户组文件28用户组管理/etc/gshadow用户组密码文件29用户组管理命令groupaddgroupdelgroupmod用户组管理30groupadd[-gGID]用户组-gGID指定新用户组的组标识（GID）用户组管理groupdel用户组groupmod[-gGID][-n]用户组-gGID为用户组指定新的组标识号-n新用户组将用户组的名字改为新名字例如：将组名为group2修改为group3。groupmod-ngroup3group231添加组帐号•groupadd命令–格式：groupadd[-gGID]组帐号名[root@localhost~]#groupadd-g1000market[root@localhost~]#tail-1/etc/groupmarket:x:1000:添加组帐号market32添加、删除组成员•gpasswd命令–用途：设置组帐号密码（极少用）、添加/删除组成员–格式：gpasswd[选项]...组帐号名•常用命令选项–-a：向组内添加一个用户–-d：从组内删除一个用户成员–-M：定义组成员列表，以逗号分隔[root@localhost~]#gpasswd-abenetmarket正在将用户“benet”加入到“market”组中[root@localhost~]#grepmarket/etc/groupmarket:x:1000:benet[root@localhost~]#gpasswd-Mbenet,root,admmarket[root@localhost~]#grepmarket/etc/groupmarket:x:1000:benet,root,adm添加组成员benet定义多个组成员[root@localhost~]#grepmarket/etc/groupmarket:x:1000:benet,root,adm[root@localhost~]#gpasswd-drootmarket正在将用户“root”从“market”组中删除[root@localhost~]#grepmarket/etc/groupmarket:x:1000:benet,adm删除组成员root33删除组帐号•groupdel命令–格式：groupdel组帐号名[root@localhost~]#groupdelmarket[root@localhost~]#grepmarket/etc/group[root@localhost~]#删除组帐号market34用户和组帐号查询•id命令–用途：查询用户身份标识–格式：id[用户名]•groups命令–用途:查询用户所属的组–格式：groups[用户名]•finger命令–用途：查询用户帐号的详细信息–格式：finger[-l][用户名]•users、w、who命令–用途：查询已登录到主机的用户信息35图形化的用户和组管理工具•打开方式–“系统”“管理”“用户和组群”–按Alt+F2键后，运行“system-config-users”36小结•请思考：–主要有哪两个用户帐号文件，各有什么作用？–如何锁定、解锁用户帐号？–在添加用户帐号时，如何设置其失效时间？–用户初始配置文件包括哪些，各有什么作用？–如何设置一个组的多个用户成员？37手工添加帐户先建立所需要的群组（vi/etc/group）建立账号的各个属性（vi/etc/passwd）将passwd与shadow同步化（/usr/sbin/pwconv）建立该账号的密码（passwdacount）建立使用者家目录（cp-r/etc/skel/home/acount）更改家目录属性（chown-Racount：group/home/acount）38建立新的群组test，设其GID为520[root@test/root]#vi/etc/group----略test:x:520:test==新增群组，且群组的人为test，GID为520建立test的各个属性[root@test/root]#vi/etc/passwd----略test:x:520:520:testingaccount:/home/test:/bin/bash==建立各个属性同步化/etc/passwd与/etc/shadow[root@test/root]#pwconv==将passwd的资料转入/etc/shadow中！建立密码[root@test/root]#passwd