Linux用户与组管理.ppt

第14章Linux用户与组管理,Linux操作系统中，用户是活动的主体，可以直接操作和控制系统文件以及资源。因此，管理好系统中的用户成为系统管理员保证系统安全必须认真完成的首要工作。在Linux操作系统中，任意一个文件和程序都归属于一个特定的“用户”。任意一个用户都由一个惟一的身份来标识，这个标识就叫做用户ID（UID）。并且，系统中的任意一个用户也至少需要属于一个“用户分组”。用户分组同样是由一个惟一的身份来标识的，该标识叫做用户分组ID（GID）。用户可以同时在多个用户分组下，一个正在运行中的程序继承了调用它的用户的权利和访问权限。,14.1用户文件和组文件,在Linux操作系统中，采用了UNIX的方法，把全部的用户信息保存为普通的文本文件。用户可以修改这些文件来管理用户和组。本节将对这些文件的结构进行详细地介绍。,14.1.1用户账户文件passwd,/etc/passwd文件是Linux系统下起安全作用的文件之一。这个文件的主要功能是校验用户的登录名、加密的口令数据项、用户ID（UID）、默认的用户分组ID（GID）、用户信息、用户登录子目录以及登录后使用的shell。这个文件的每一行保存一个用户的资料，而用户资料的每一个数据项采用冒号“：”分隔。如下所示：LOGNAME：PASSWORD：UID：GID：USERINFO：HOME：SHELL在上面的信息行中，每行的前面两项是登录名和加密后的口令，后面两项是UID和GID。后面的一项是系统管理员写入的该用户的信息，最后两项是两个路径名：一个是分配给用户的HOME目录，另一个是用户登录后将执行的shell（若为空格则默认为/bin/sh）。下面是一个实际的系统用户的例子：smartchen:x:500:500:smartchen:/home/smartchen:/bin/bash该用户的基本信息为：登录名：smartchen；加密的口令表示：x；UID：500；GID：500；用户信息：smartchen；HOME目录：/home/Smartchen；登录后执行的shell：/bin/bash。,14.1.2用户影子文件shadow,在前面小节中已经介绍过，Linux使用不可逆的加密算法来加密口令，黑客无法直接得到明文。但是，/etc/passwd文件是全局可读的，如果恶意用户获取了/etc/passwd文件，便极有可能破解口令。而且，现在黑客对账号文件进行字典攻击的成功率越来越高，速度越来越快。因此，针对这种安全问题，Linux广泛采用了“shadow（影子）文件”机制，将加密的口令转移到/etc/shadow文件里，这个文件只为root超级用户可读。同时，/etc/passwd文件的密文域显示为一个x，从而最大限度地减少了密文泄露的机会。/etc/shadow文件的每行有9个数据项，每个数据项用冒号隔开，格式如下：username:passwd:lastchg:min:max:warn:inactive:expire:flag上面各选项的含义分别如下：username：用户的登录名；passwd：加密的用户口令；lastchg：表示从1970年1月1日起到上次修改口令所经过的天数；min：表示两次修改口令之间至少经过的天数；max：表示口令还会有效的最大天数，如果是99999则表示永不过期；warn：表示口令失效前多少天内系统向用户发出警告；inactive：表示禁止登录前用户名还有效的天数；expire：表示用户被禁止登录的时间；flag：保留域，暂未使用。,14.1.3用户组账号文件/etc/group,在Linux中，/etc/passwd文件中包含着每个用户默认的分组ID（GID）信息。而在/etc/group文件中，这个GID被映射到该用户分组的名称以及同一分组中的其他成员中去。/etc/group文件含有关于小组的信息，/etc/passwd中的每个GID在文件中都有相应的入口项。在入口项中，列出了小组名和小组中的用户。/etc/group文件中控制了小组的许可权限，但是，这并不是必须的。因为系统用UID、GID来决定文件存取权限，即使/etc/group文件不存在于系统中，具有相同的GID用户也可以用小组的存取许可权限共享文件。如果/etc/group文件入口项的第二个域为非空（通常用x表示），则将被认为是加密口令。/etc/group文件中每一行的内容如下所示：用户分组名。加过密的用户分组口令。用户分组ID号（GID）。以逗号分隔的成员用户清单。,14.1.4组账号文件/etc/gshadow,组账号文件的主要功能是为了加强组口令的安全性。所采取的安全机制是，将组口令与组的其他信息相分离。其具体的格式如下所示：用户组名加密的组口令组成员列表,14.1.5使用pwck和grpck命令验证用户和组文件,从前面的内容中可以看出，用户以及组账号文件在Linux系统中都是非常重要的文件。对于系统验证用户和组具有重要意义。一旦上述文件发生错误，将会对系统造成很大影响。因此，Linux系统提供了pwck和grpck这两个命令来分别验证用户以及组文件，从而保证这两个文件的一致性和正确性。pwck命令的主要作用是验证用户账号文件（/etc/passwd）和影子文件（/etc/shadow）的一致性。它验证文件各个数据项中每个域的格式以及其数据的正确性。当遇到错误信息，该命令将会提示用户对出现错误的数据项进行删除。pwck命令主要验证每个数据项是否含有下列信息：正确的域数目；惟一的用户名；合法的用户和组标识；合法的主要组群；合法的主目录；合法的登录shell。,14.2管理用户和用户组,在Linux中，用户可以使用图形用户界面方式来管理用户和用户组。这种管理方式简单、直观，用户比较容易掌握，下面将对该方式进行详细地介绍。在Linux系统中，有两种方法可以启动RedHat的用户管理器（RedHatUserManager）。第一种是通过在shell下使用redhat-config-users命令来启动，如下命令所示：#redhat-config-users,14.3命令行界面下的用户和组管理,前面讲述了在Linux系统中，用户和组管理需要用到的比较重要的几个文件。这些文件包含了用户和组的所有重要信息。下面将介绍如何通过命令行方式来进行用户和组的管理操作。14.3.1使用useradd命令添加用户14.3.2使用usermod命令修改用户信息14.3.3使用userdel命令删除用户14.3.4使用groupadd命令创建用户组14.3.5使用groupmod命令修改用户组属性14.3.6使用groupdel命令删除用户组,14.4小结,本章介绍了如何对用户及用户组文件进行管