[高等教育]Linux用户管理.ppt

第5章 Linux用户管理,教学提示：用户与组管理是保证Linux操作系统被安全使用的重要方面，Linux权限控制机制也是Linux优良特性之一，另外，Ubuntu系统采用sudo工具管理用户的系统使用权限。 教学要求：学习完本章后，能够根据需要进行用户与组的管理，采用sudo工具分配用户权限，认识Linux权限控制机制。,命令回顾,pwd cd find locate ls,命令回顾,1. pwd - 显示用户所在的位置 显示用户所在的位置。 rootUbuntu:# pwd /root 2. cd - 命令用来改变工作目录 在使用cd进入某个目录时，用户必须具有对该目录的读权限。 (1) 改变当前所处的目录，如果用户当前处于/root目录，想进入/etc目录。 rootUbuntu:# cd /etc 注意cd后的空格。 （2）返回上级目录。 rootUbuntu:# cd （3）回到用户主目录。 rootUbuntu:/# cd ,命令回顾,3. find - 在硬盘上查找文件 find是Linux功能最为强大，使用也是较为复杂的命令。 Find命令格式：find 匹配条件 （1）从根目录开始查找文件名为passwd的文件。 rootUbuntu:# find / -name passwd （2）查找/usr目录下前10天访问过的文件（仅第10天这一天）。 rootUbuntu:#find /usr atime 10,命令回顾,3. find - 在硬盘上查找文件 （3）查找/usr目录下前10天之前访问过的文件。 rootUbuntu:#find /usr atime +10 （4）查找/usr目录下前10天之后访问过的文件。 rootUbuntu:#find /usr atime -10 （5）列出当前目录下所有扩展名是“doc”的文件。 rootUbuntu:# find -name “*.doc“,命令回顾,3. find - 在硬盘上查找文件 （6）查找目录/etc /home下文件大小小于4K的文件。 rootUbuntu:# find /etc /home size -4K find命令可接受的文件尺寸单位有字节（c），块（b，512字节），K（k，1024字节）等。,命令回顾,4. locate - 用来定位文件或目录。 同find命令相比较，locate命令是从数据库中查找，而不是每次搜索文件系统。因为是从数据库中查找，locate的速度远远快于find命令。但是，使用locate命令查找的结果仅仅是在当前数据库，结果可能会没有find准确。 查找apt.conf文件。 rootUbuntu:#locate apt.conf 注意以find比较查找速度,命令回顾,ls - 用来显示用户当前或指定目录的内容 在ls命令中还可以使用通配符“*”、“？”。这样可以使用户很方便地查找特定形式的文件和目录。如果不指定目录，将显示当前目录的内容，否则显示指定目录的内容。 (1) 输出根目录下文件或目录的详细信息。 rootUbuntu:# ls l /总用量 84 drwxr-xr-x 2 root root 4096 2007-05-19 05:00 第一组 二 三 四 五 六 七 文件属性 inode数拥有者所有者组大小 建立日期 文件/目录名 这个结果提供了许多细节信息，共七组，各组之间使用空格分开。,Linux 用户管理,Linux是一个多任务、多用户的操作系统，任何一个要使用系统资源的使用者（用户），都必须首先申请一个帐号，然后用这个帐号登录系统。用户的帐号可以帮助系统对使用系统的用户进行跟踪，并控制用户对系统资源的访问，另一方面也可以帮助用户组织文件，并为用户提供安全性的保护。 思考：理解用户与帐号的关系？,Linux 组,组是具有共同用户特征的用户的集合，这与现实生活中的个人与集体是类似的。使用组对Linux系统来说提高系统的灵活性，对于具体的Linux系统管理员来说通过管理组来管理用户，提高了工作效率。,Linux用户,Linux下的用户可以分为三类：超级用户、系统用户和普通用户。 超级用户：用户名为root，具有一切权限，只有进行系统维护（例如建立用户等）或其它必要情形下才用超级用户登录，以避免系统出现安全问题。 系统用户：Linux系统正常工作所必需的内建的用户，主要是为了满足相应的系统进程对文件属主的要求而建立的，系统用户不能用来登录，如bin、daemon、adm、lp等用户，系统用户也称为虚拟用户。 普通用户：为了让使用者能够使用Linux系统资源而建立的，我们的大多数用户属于此类。 其实 Linux 并不会直接认识你的“用户名称”，它认识的其实以数字表示的“用户 ID”，每个用户都有一个“用户 ID”，称为UID。在Ubuntu Linux中，超级用户的UID为0，系统用户的UID一般为1499，普通用户的UID默认为100060000之间的值。,Linux用户登入系统过程,Linux系统采用纯文本文件来保存账号的各种信息，其中最重要的文件有/etc/passwd、 /etc/shadow、/etc/group这几个。Linux用户登入系统过程实质是系统读取、核对这几个文件的过程。过程如下： 首先Linux会出现一个登录系统的画面提示输入账号，输入账号与密码； Linux 接着会先找寻 /etc/passwd 里面是否有这个账号名，如果没有则退出登录，如果有的话则将该账号对应的 UID ( User ID )与 GID ( Group ID )读出来，另外，该账号的对应的用户主目录与 shell 设定也一并读出； 核对密码表，这时 Linux 会进入 /etc/shadow 里面找出登录账号与 UID相对应的、记录，然后核对一下刚刚输入的密码与此文件的密码是否符合； 以上核定没有没有问题，用户正式进入系统。 思考：为什么帐号文件与密码文件分开？,账号文件,对于与帐号有关的文件有/etc/passwd、/etc/shadow、/etc/group，我们可以使用vi或其他编辑器来更改它们，也可以使用专门的命令来更改它们。账号的管理实际上就是对这几个文件的内容进行添加、修改和删除记录行的操作，不管以哪种形式管理账号，了解这几个文件的内容十分必要。 1 /etc/passwd用户帐号文件 /etc/passwd文件是账号管理中最重要的一个文件，它是一个纯文本文件。每一个注册用户在该文件都有一个对应的记录行，这一记录行记录了此用户的必要信息。,1 /etc/passwd用户帐号文件 例：显示/etc/passwd文件。 从passwd文件中可以看到，第一行是root用户，紧接的是系统用户，普通用户通常在文件的尾部。passwd文件中的每一行由7个字段的数据组成，字段之间用“：”分隔，其格式如下： 账号名称：密码：UID：GID：个人资料：主目录：Shell,账号名称：密码：UID：GID：个人资料：主目录：Shell 说明如下： GID 用户所在组的标识，是一个数值，Linux系统内部使用它来区分不同的组，相同的组具有相同的GID。 个人资料 可以记录用户的个人信息，如姓名、电话等信息（如studnet用户资料为Ubuntu）。 主目录 对于 root 的主目录在 /root ，所以当 root 登入之后，马上在的所在就是 /root 里头；对于其他用户通常是/home/username，这里username是用户名，用户执行“cd”命令时当前目录会切换到个人主目录，如studnet用户的主目录为/home/studnet。 Shell 定义用户登录后使用的Shell版本，默认是bash。,2 /etc/shadow用户密码文件 任何用户对passwd文件都有读的权限，虽然密码已经经过加密，但还是不能避免有人会获取加密后的密码。为了安全，Linux系统对密码提供了更多一层的保护，即把加密后的密码移动到 /etc/shadow 这个文件中，这个文件只有超级用户能够读取shadow的内容，并且Linux设置了很多的限制参数在 /etc/shadow 里。密码如果经过shadow保护，在/etc/passwd文件中，每一记录行的密码字段会变成“x”，并且在/etc目录下存在文件shadow。,2 /etc/shadow用户密码文件 例：查看shadow文件的内容。 和passwd文件类似，shadow文件中的每行由9个字段组成，格式如下： 用户名：密码：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：不活动时间：失效时间：标志字段。,用户名：密码：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：不活动时间：失效时间：标志字段。 说明如下： 最后一次修改时间：表示从1970年1月1日起到上次修改口令所经过的天数。 最小时间间隔：表示两次修改口令之间至少经过的天数。 最大时间间隔：表示口令还会有效的最大天数，如果是99999则表示永不过期。 警告时间：表示口令失效前多少天内系统向用户发出警告。 不活动时间：表示禁止登陆前用户名还有效的天数。 失效时间：表示用户被禁止登陆的时间。 标志字段无意义，未使用。 安装Linux系统时，系统缺省采用shadow来保护密码。 如果安装Linux时未启用shadow，可以使用pwconv命令启用shadow。注意用root用户登录来执行该命令，执行的结果是/etc/passwd文件中的密码字段被改为“x”，同时产生/etc/shadow文件。相反，如果要取消shadow功能，可使用pwunconv命令，不建议这样。 在shadow文件中，密码字段为“*”表示用户被禁止登录，为“！”表示用户被锁定。,useradd添加用户账号,只有超级用户root才有权使用此命令，使用useradd命令创建新的用户账号后，应利用passwd命令为新用户设置口令。一个类似的命令是adduser，也用来创建用户账号。 （1）添加student1用户。 rootUbuntu:# useradd student1 查看用户添加结果。 rootUbuntu:#cat /etc/passwd root:x:0:0:root:/root:/bin/bash studnet:x:1000:1000:student,:/home/ studnet :/bin/bash studnet1:x:1001:1001:student1,:/home/ studnet1 :/bin/sh 看到没有，用户student1添加成功，同时发现，使用命令useradd添加用户同时添加了许多默认其他设置，比如说用户主目录，Shell版本等。,（2）修改用户默认设置。 很明显在大多少情况下，用户希望修改默认设置以满足实际的要求，比如说，想修改默认Shell版本为使用较多的/bin/bash。与添加用户的默认设置有关的文件主要是 /etc/login.defs 与 /etc/default/useradd这两个文件。 /etc/login.defs文件的参数设置简单如下：,/etc/default/useradd文件的参数设置简单如下： 在这个文件中，最需要了解的就是 SKEL ，当建立一个名为 testing 的账号时，预设的主目录会是“ /home/testing ”这个目录，而这个目录的内容就是由 /etc/skel 所 复制过去的。所以，当想要让使用者的预设主目录内容更动时，可以直接将要更动的数据写在 /etc/skel 当中。,（3）采用指定设置添加用户。 以上参数可以随意搭配，意义如下： -u参数：设置用户的UID为1008。 -g参数：指定用户所属的用户组，但该用户组必须已经存在。参数采用组名或GID皆可，如-g 100与-g users的意思相同，都是把用户加入到users用户组中，其中users用户组的GID为100。 -d参数：建立用户目录，如d /home/user1就是替用户建立位于/home目录下的用户目录，目录名称为user1。 -s参数：指定用户环境，如s /bin/bash指定bash为该用户的Shell。当然也可指定其他Shell供用户使用。 -e 参数：设置账号的期限，格式为“月/日/年”如e 08/02/06为2006年8月2日。 -m 参数：创建用户是同时创建用户主目录。,passwd修改用户属性,添加完用户后首要文件是修改用户密码。 （1）root修改用户student1的密码属性。 rootUbuntu:# passwd student1 Enter new UNIX password: Retype new UNIX password: passwd： 已成功更新密码修改用户的密码需要两次输入密码确认。密码是保证系统安全的一个重要措施，在设置密码时，不要使用过于简单的密码。 技巧：为了安全，密码最好需要底下几个特性： 密码中含有数个特殊字符，例如 $#&* 及数字键等等： 密码长度至少要到 6 8 个以上才好； 没有特殊意义的字母或数字组合，并且夹着很多的特殊字符。,（2）修改用户自己密码。 rootUbuntu:# passwd Enter new UNIX password: Retype new UNIX password: passwd：已成功更新密码 （3）锁定用户账号student1登录。 在系统中，有时需要临时禁止某个用户账号登录。 rootUbuntu:# passwd -l student1 查看Linux系统中管理用户账号的系统文件/etc/shadow，可看到其密码域的第一个字符前加了符号“！”（若系统没有密码保护则文件为/etc/passwd）。 rootUbuntu:# cat /etc/shadow student1:!$1$RsHiGgoC$8Smk4/kUG.SOtJzudwCXa1:13713:0:99999:7: student2:13713:0:99999:7:,技巧：锁定用户账号student1登录也可修改etc/passwd文件，将该用户的passwd域的第一个字符前加一个号注销这行记录，如要启用时再去掉。 (4) 解除用户账号student1锁定。 rootUbuntu:# passwd u student1,usermod改变用户的属性,（1）修改studnt2的UID为新的值600、所属组为admin 。 rootUbuntu:# usermod u 600 g admin studnet2 改变用户的UID时主目录下所有该用户所拥有的文件或子目录将自动更改UID，但对于主目录之外的文件和目录只能用chown命令手工进行设置。 （2）修改studnt1的用户主目录 。 rootUbuntu:#mkdir /student1 rootUbuntu:# usermod d /student1 studnet1 usermod参数较多，参数作用如下： -l name：更改账户的名称，必须在该用户未登录的情况下才能使用。 -m：把主目录的所有内容移动到新的目录。 -p 密码：修改用户的密码。 -s Shell：修改用户的登录Shell。,chsh改变用户的Shell版本,（1）列出本机上所有能用的 shell 名称。 rootUbuntu:# chsh -l /bin/sh /bin/bash /bin/ash /bin/bsh /bin/csh （2）用户自行改变自己的预设 shell 版本。 rootUbuntu:# chsh -s /bin/csh 使用chsh命令改变用户的Shell，指定的Shell一定要在/etc/shells中存在，否则会导致用户无法登录。,userdel删除用户账号,若不再允许用户登录系统时，可以将用户账号删除。 （1）只删除studnt2登录账号但保留相关目录。 rootUbuntu:# userdel studnet2 只删掉 /etc/passwd 与 /etc/shadow 的与用户student2有关的内容，其它的用户相关信息，比如用户主目录等保留，方便以后再次添加这个用户。 其实更好的方法是使用命令暂停用户登录或者将 /etc/shadow倒数一个字段设定为 0 也可以让该账号无法使用，但是所有跟该账号相关的数据都会留下来。 （2）完全删除studnt1登录账号。 rootUbuntu:# userdel r studnet1 删除账号的同时，将用户主目录及其内部文件同时删除。,Linux 组,Linux的组有私有组、系统组、标准组之分。 私有组：建立账户时，若没有指定账户所属的组，系统会建立一个和用户名相同的组，这个组就是私有组 ，私有组只容纳了一个用户。 标准组：可以容纳多个用户，组中的用户都具有组所拥有的权利。 系统组：是Linux系统自动建立的。 一个用户可以属于多个组，用户所属的组又有基本组和附加组之分。在用户所属组中的第一个组称为基本组，基本组在/etc/passwd文件中指定；其他组为附加组，附加组在/etc/group文件中指定。属于多个组的用户所拥有的权限是它所在的组的权限之和。 与用户一样，用户分组也是由一个惟一的身份来标识的，该标识叫做用户分组ID（GroupID，GID）。用户可以归属于多个用户分组。对某个文件或程序的访问是以它的UID和GID为基础的。一个执行中的程序继承了调用它的用户的权利和访问权限。,Linux系统关于组的信息存放在文件/etc/group中，/etc/gshadow。 （1）/etc/group组帐号文件。 rootUbuntu:#cat /etc/group root:x:0: student:x:1000: 与passwd文件记录类似，的每一行由4个字段的数据组成，字段之间用“：”分隔，其格式如下： 组名称：组密码：GID：组包括的账号名称内容也说明如下： 组名称：就是组的名称； 组密码：通常不需要设定，一般很少使用到组登入，同样的，密码也是被纪录在 /etc/gshadow 。； 组 ID：就是所谓的 GID ； 组成员：组所包含的用户，用户之间用“，”分隔。,如果想要让 student 也属于 lpadmin （打印管理组）这个组的话，修改group文件，添加student到对应组名称后。 例：手动添加用户student到lpadmin组。 rootUbuntu:#cat /etc/group lpadmin：x:113:root,student （2）/etc/gshadow组密码文件。 文件gshadow与gr