华信教育资源网第四章用户管理和密码管理UNIX/Linux系统的用户和组与用户和组管理相关的文件用户管理命令组管理命令密码管理机制与管理命令其它与用户身份和位置相关的命令华信教育资源网系统的用户对UNIX/Linux系统的管理与使用是以用户(user)为主体的。自然人要想使用系统,必须以某个已在系统中存在的用户身份登录,且通过密码验证后,才能进入系统,并按权限使用。对于系统中已经存在的用户,可以在图形或字符界面下登录,也可通过网络远程登录。Unix/Linux系统中有两类用户:超级用户和一般用户。超级用户有至高无上的权力,可做任何事情;一般用户只能在给定的权限范围内进行工作,不得越权行事。用户又按实际的需要分成不同的组(group)。同组用户按规定和目的享有某些共同的权限。华信教育资源网在UNIX/Linux系统中每个用户都有一个用户名(username),系统还给每个用户分配了一个用户标识(uid:useridentification)。用户uid是系统辨识用户的唯一标识,而用户名则是用户的外部表示。通过特殊办法可以让不同名的用户具有相同的uid,但建议不要这样做,因为这样会带来潜在问题。用户信息存放在文件/etc/passwd中。用户标识,可用命令id来查询。华信教育资源网用户组系统在创建用户时,为每个用户安排了一个归属组(group)。系统中的每个组都有一个组名(groupname)和一个组标识(gid:groupidentification)。一个组是具有某种联系或关系的用户集合。比方说在某种业务方面,需要把操作某些数据文件或数据库的用户放在一个组中,以实现数据共享或共同操作。用户组信息存放在文件/etc/group中。用户的组标识,也可用命令id来查询。华信教育资源网与用户管理相关的文件与用户管理相关的文件有:/etc/passwd/etc/shadow/etc/group/etc/login.defs/etc/default/useradd用于对用户设置和登录项目进行控制。华信教育资源网/etc/passwd是系统用户数据库文件,它包括系统内所有已经注册用户的信息。该文件是一个文本文件,它的每一行描述一个用户的信息,为由“:”分隔的七个字段。结构为:username:[password]:uid:gid:[comment]:dir:[shell]华信教育资源网结构说明username:[password]:uid:gid:[comment]:dir:[shell]username:用户名,必须以字符开始,不要使用大写字母。password:密码。uid:用户标识号。不同的UNIX系统,该项的取值范围可能不同,在RedHatLinux系统中该项的取值范围在/etc/login.defs文件中定义。一般用户uid满足条件:UID_MIN≤uid≤UID_MAX。gid:组标识号,说明同uid。comment:说明域。一般包括用户详细说明信息,比如用户命名,住址,电话号等。此项内容中不能包含冒号,但可以为空。dir:用户家目录$HOME,即用户登录成功后的工作目录,或当前目录。shell:用户登录成功后所使用的shell程序,也可是用户实用程序。当为空时取系统默认的/bin/sh。华信教育资源网伪用户在/etc/passwd内有很多用户,事实上它包含了系统内的所有用户。用户有很多类型,设置用户也有不同目的。有的是真实用户,可以用来登录系统,而有的则不能,但可以它的身份完成指定的任务。这种不能用于登录的用户被称为伪用户。比如:daemon用于系统服务进程;bin拥有可执行的用户命令文件;uucp被uucp使用;lp被lp或lpd子系统使用。华信教育资源网/etc/shadow是影子密码文件。当系统启用影子密码时用于存放系统内用户的加密后的密码和用户登录控制信息。其结构为:username:password:lastchanged:minimum:maximum::::username:与passwd内容对应的用户名。password:加密后密码。若为空表示无密码,当开头的两个字符为“!!”表示用户被上锁,现在不可使用。lastchanged:从某天(19700101)到上次修改密码时间的间隔天数。minimum:必须修改密码的天数间隔。maximum:新密码的最长有效天数。华信教育资源网/etc/group是组定义文件。它是一个文本文件,每行描述一个组。结构为:groupname:password:gid:userlistgroupname:组名。password:组密码。如果此域为空,则不需要密码。可用gpasswd设置此密码,并由newgrp等命令使用。gid:组标识号。userlist:组成员元,为以逗号分隔的用户名。华信教育资源网/etc/login.defs文件定义了与用户创建和密码管理相关的参数。其内容如下:MAIL_DIR/var/spool/mail#mail目录PASS_MAX_DAYS99999#密码可用的最大天数PASS_MIN_DAYS0#两次修改密码之间的最小天数PASS_MIN_LEN5#密码最小长度PASS_WARN_AGE7#密码到期前给出警告的天数UID_MIN500#自动选择时的最小UIDUID_MAX60000#自动选择时的最大UIDGID_MIN500#自动选择时的最小GIDGID_MAX60000#自动选择时的最磊GIDCREATE_HOMEyes#在创建用户时,创建家目录华信教育资源网其它文件在不同UNIX/Linux系统的实现中,所使用配置与管理文件可能是不同的。相关的文件有创建用户的默认信息文件/etc/default/useradd和目录/dev/skel、组影子密码文件/etc/gshadow及其它相关的配置文件。/etc/default/useradd是创建用户的默认属性参考值,而/dev/skel是一个框架目录,当新用户创建后要将其内的文件和目录复制到新用户的家目录,并重新设置用户主、用户组和权限,以作为新用户从不同界面登录的默认配置。华信教育资源网用户管理命令用户管理命令用户删除(userdel)密码管理华信教育资源网用户管理命令用于用户管理的命令有useradd用于用户创建,usermod用于用户属性修改和userdel用户删除。华信教育资源网增加用户(useradd)功能:创建新用户用法:useradd[-ccomment][-dhome_dir][-eexpire_date][-finactive_days][-ggroup][-Ggroup1,group2,…][[-m][-kskel_dir]|-M][-n][-o][-r][-sshell][-uuid]useruseradd–D[-gdefault_group][-bdefault_home][-edefault_expire_date][-fdefault_inactive][-sdefault_shell]华信教育资源网参数-ccomment:新用户注释信息。不含“:”和回车的长度512的字符串-dhome_dir:新用户家目录。-D:显示新创建用户时的参数默认值,或为新用户设置新的参数默认值-eexpire_date:以MM/DD/YYYY格式设置帐号到期日-finactive_days:密码到期后,直到帐号永久停止使用时所经过的天数,默认为-1,表示不启用该选项-ggroup:设置新用户所属的基本组-Ggroup1,group2,…:将新用户添加到由逗号分隔的组列表中,一个用户可同时归属多个组-m:创建用户家目录,并将框架目录的默认配置文件复制到该目录中-M:创建新用户,但不创建用户家目录-n:关闭创建新用户时,组名与用户名相同的RedhatLinux特点-o:允许使用-uuid指定一个与已经存在用户相同的uid。即允许不同名的用户具有相同的uid-r:此为RedhatLinux新增选项,用于创建系统用户-sshell:指定用户登录shell,若不指定则采用系统默认shell:/bin/bash-uuid:为用户指定uid。若不指定系统将自动分配一个。若uid已经被使用,则必须与-o配合使用华信教育资源网关于创建用户的说明若不带选项运行useradd,比如useraddnewuser,则使用缺省方式创建newuser。若在创建用户时没有创建家目录,则为保证newuser创建后可以登录还必须手工创建newuser的家目录,并修改家目录归属关系和存取权限。创建用户时,是否创建用户家目录,取决于/etc/login.defs中变量CREATE_HOME的值。也可使用-m参数强制创建。若未指定密码,则在一切准备好后,还必须经超级用户为新建用户设置或修改密码后才能正常登录和使用。华信教育资源网创建用户示例1)以缺省方式创建用户#useraddtest12)以非缺省方式创建用户#useradd–d/usr/mytest–mmytest#创建一个名为mytest的用户,且为其创建家目录/usr/mytest,而非默认的/home/mytest华信教育资源网用户删除(userdel)功能:删除用户用法:userdel[-r]user参数:选项-r的作用是,在删除用户时也同时删除用户的家目录。华信教育资源网关于用户删除有以下说明对于系统中不再使用的用户帐号,应尽早的删除它,因为多余用户的存在可能是安全的隐患。在有的高级别的UNIX系统里,用户一旦创建,是不能从系统中删除的,用户的uid也不能被再重新使用,但可以通过过期或锁定的办法将它闲置起来;对于已经登录的用户或有属于该用户程序在运行的用户来说,删除可能失败;一般情况下删除用户时只删除/etc/passwd,/etc/shadow,/etc/group及相关文件中的与该用户相关的内容,而不删除用户的家目录,因为用户家目录中可能存放重要数据。对用户家目录的删除应由用户或经确认后由管理员来进行;若要在删除用户时同时删除用户家目录,可使用-r选项。华信教育资源网功能:修改用户属性用法:usermod[-ccomment][-ddir[-m]][-eexpire_date][-finactive_days][-ggroup][-Ggroup1,group2,…][-lnewname][-sshell][-uuid[-o]][-L|-U]name参数:usermod的多数选项与useradd相同,新的选项有:-lnewname:设置新用户名,将用户名由原来的user变为newname;-L:将用户密码上锁,