单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第三章 系统安全与多任务管理,多用户管理概述,用户帐户管理,组账户管理,文件和目录操作权限设置,多任务管理,第三章 系统安全与多任务管理多用户管理概述,1,3-1linux,多用户概述概述,Linux下的用户,Linux下的用户可以分为三类:超级用户、系统用户和普通用户超级用户的用户名为root,它具有一切权限,只有进行系统维护(例如:建立用户等)或其他必要情形下才用超级用户登录,以避免系统出现安全问题系统用户是Linux系统正常工作所必需的内建的用户,主要是为了满足相应的系统进程对文件属主的要求而建立的,系统用户不能用来登录,例如:bin、daemon、adm、lp等用户而普通用户是为了让使用者能够使用Linux系统资源而建立的,我们的大多数用户属于此类每个用户都有一个数值,称为UID超级用户的UID为0,系统用户的UID一般为1499,普通用户的UID为50060000之间的值3-1linux多用户概述概述Linux下的用户,2,组群概念,组群ID(GID),每一个用户都属于某一个组群(组群的GID类似于用户ID),用组群管理用户的优点,设置组的属性及权限,组中的成员就享有该组同样的权限;,有人员变动时只需改变组的成员即可;,不必去为每个用户设置属性,节省了大量的重复劳动,方便管理用户。
网络用户,几百个或几千个用户,每个用户有资源需求,分类归并成几大类用户,相同类型的组成“组群”,组 名,组群概念网络用户几百个或几千个用户每个用户有资源需求分类归并,3,文件或目录的操作权限,-rw-rw-r-1 Lionheart Lionheart 134 Jun 21 00:18 DEADJ,drwxr-xr-x 5 Lionheart Lionheart 1024 Jun 20 13:00 Desktop,文件或目录的操作权限-rw-rw-r-1 Lionhe,4,账号系统文件,Linux系统采用纯文本文件来保存账号的各种信息,其中最重要的文件有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow因此账号的管理实际上就是对这几个文件的内容进行添加、修改和删除记录行的操作,账号系统文件,5,/etc/passwd,#ls l /etc/passwd,-rw-r-r 1 root root 1640 Oct 14 09:31 /etc/passwd,root:x:0:0:root:/root:/bin/bash,bin:x:1:1:bin:/bin:/sbin/nologin,daemon:x:2:2:daemon:/sbin:/sbin/nologin,hxb:x:500:500:hexianbo:/home/hxb:/bin/bash,/etc/passwd#ls l /etc/passwd,6,账号名称:用户登录Linux系统时使用的名称。
密码:这里的密码是经过加密后的密码(一般是采用MD5加密方式),而不是真正的密码,若为“x”,说明密码经过了shadow的保护,(注:pwconv/pwunconv命令用于设置或取消该项功能),UID:用户的标识,是一个数值,Linux系统内部使用它来区分不同的用户GID:用户所在基本组的标识,是一个数值,Linux系统内部使用它来区分不同的组,相同的组具有相同的GID个人资料:可以记录用户的完整姓名、地址、办公室电话、家庭电话等信息主目录:通常是/home/username,这里username是用户名,用户执行“cd”命令时当前目录会切换到个人主目录Shell:定义用户登录后激活的Shell,默认是Bash Shell,/etc/passwd字段说明,账号名称:用户登录Linux系统时使用的名称/etc/pa,7,/etc/shadow,#ls l /etc/shadow,-r-1 root root 1054 Oct 14 09:31 /etc/shadow,/etc/shadow#ls l /etc/shadow,8,/etc/shadow字段说明,用户名:和/etc/passwd文件中的用户名一致,密码:存放加密后的口令,最后一次修改时间:从1970-1-1起计的天数,最小时间间隔:两次修改口令允许的最小天数,最大时间间隔:口令保持有效的最多天数,警告时间:从系统提前警告到口令正式失效的天数,不活动时间:口令过期多少天后,该账号被禁用,失效时间:指示口令失效的绝对天数(相对于1970-1-1),标志:未使用,另外:密码字段为“*”表示用户被禁止登录,为“!”表示密码未设置,为“!”表示用户被锁定,/etc/shadow字段说明,9,/etc/group,/etc/group,10,/etc/group字段说明,组名:组的名称,如:root、bin等,组的密码:设置加入组的密码,GID:组的标识符,为数值,组成员:组所包含的用户,用户之间用“,”分隔,/etc/gshadow,/etc/group字段说明/etc/gshadow,11,3-2用户账号管理,创建新用户,创建新的用户要完成以下几个工作:,(1)在/etc/passwd(和/etc/shadow)中添加一行新的记录,(2)创建用户的个人主目录,并赋权限,(3)在用户的个人主目录设置默认的配置文件,(4)设置用户的初始口令,命令基本格式,useradd/adduser 参数 用户名,3-2用户账号管理创建新用户,12,参数选项,-c comment:注释行,一般为用户的全名、地址等,-d dir:设置个人主目录,默认值是/home/用户名。
e YYYY-MM-DD:设置账号的有效日期,此日期后用户将不能使用该账号要启用shadow才能使用此功能f days:指定密码到期后多少天永久停止账号,要求启用shadow功能g group:设定用户的所属基本组,group必须是存在的组名或组的GID,-G group:设定用户的所属附属组,group必须是存在的组名或组的GID,附属组可以有多个,组之间用“,”分隔开,-s Shell:设置用户登录后启动的Shell,默认是Bash Shell,-u UID:设置账号的UID,默认是已有用户的最大UID加1,参数选项,13,例如:,#useradd user1,#useradd-g user1 d/home/us2dir user2,注:使用useradd建立新用户时,新建的用户有一定的默认设置,该设置来自/etc/default/useradd文件,可通过修改该文件内容改变默认设置,例如:,14,修改用户的属性,修改用户的密码,(1)passwd 用户名修改用户的密码,例,rootlocalhost root#passwd,rootlocalhost root#passwd root,rootlocalhost root#passwd user1,注:只有超级用户才可修改其他用户的密码,(2),passwd-d 用户名删除用户的密码,例如:,rootlocalhost root#passwd d user1,修改用户的属性,15,修改用户的Shell设置,chsh-s Shell名 用户名,例子:,rootlocalhost root#chsh user1,Changing Shell for user2.,New Shell/bin/bash:/bin/csh,Shell changed,rootlocalhost root#chsh s csh user1,修改用户的Shell设置,16,改变用户的属性,usermod 参数 用户名,参数选项:,-c comment:改变用户的注释,如:全名、地址等,-d dir:改变用户的主目录,-e YYYY-MM-DD:修改用户的有效日期,。
f days:在密码到期的days天后停止使用账户,-g GID或组名:修改用户的所属基本组,-G GID或组名:修改用户的所属附加组,组之间用“,”分隔,-l name:更改账户的名称m:把主目录的所有内容移动到新的目录,-p 密码:修改用户的密码,-s Shell:修改用户的登录Shell,-u UID:改变用户的UID为新的值,例子:,rootlocalhost root#usermod-d/home/user2 -m user2,改变用户的属性,17,禁用和恢复用户账户,暂停用户,passwd-l 用户名,例如:rootlocalhost root#passwd l user1,恢复用户,passwd u 用户名,例如:rootlocalhost root#passwd u user1,查看用户状态,passwd S 用户名,用户身份转换,su-s shell-c command-用户账号,例1:user1localhost user1$su,例2:rootlocalhost root#su user1,例3:user1localhost user1$su c df,注-用于切换工作环境,sudo命令用于部分授权,禁用和恢复用户账户,18,用户删除,userdel 参数 用户名,参数选项:,-r:删除用户时将用户主目录下的所有内容一并删除,同时删除用户的邮箱(在/var/spool/mail下),例如:,rootlocalhost root#userdel-r user1,查看登录用户,查看已登录系统的所有用户(who),查看本终端登录的用户名称(whoami),查看登录用户及运行程序情况(w),查看曾登录的用户(last),用户运行环境的设置,/etc/profile,/etc/bashrc,/.bash_profile,/.bashrc,用户删除,19,3-3组账号管理,组的添加,命令格式:groupadd 参数 组名,参数选项:,-g GID:指定新组的GID,默认值是已有的最大GID加1,-r:建立一个系统专用组,分配一个1499的GID,例如:,rootlocalhost root#groupadd-g 1000 group1,组属性修改,groupmod,命令格式:groupmod 参数 组名,参数选项:,-g GID:指定组新的GID,-n name:更改组的名字为name,例如:rootlocalhost root#groupmod g 1001 n group2 group1,3-3组账号管理组的添加,20,gpasswd,命令格式:gpasswd 参数 用户名 组名,参数选项:,-a:将用户加入到组中,-d:将用户从组中删除,-r:取消组密码,-A:将指定用户作为组管理员,不带参数,仅修改组密码,例如:,rootlocalhost root#gpasswd group1,Changing the password for group group1,New Password:,Re-enter new password:,rootlocalhost root#gpasswd-a user1 group1,rootlocalhost root#gpasswd-d user1 group1,gpasswd,21,组删除,命令格式:groupdel 组名,例如:,rootlocalhost root#,groupdel,group1,注:与用户同名的私有组不能用此命令删除,该户随同用户删除时一并进行,显示用户所属的组,groups 用户名,显示用户的UID、GID、组等信息,Id options 用户名,显示用户的UID、GID、组等信息,参数:,-g:显示用户基本组的GID,-G:显示用户附属组的GID,-u:显示UID。
n:以字符形式而不是数字形式显示UID和GID,组删除,22,3-4文件权限操作,文件和目录的访问权限,文件的访问权限,读权限(r):只允许用户读内。
