Linux操作系统-第六章-帐户管理.ppt

第六章帐户管理 重点内容 账户实质账户文件账户设置 学习目标 理解账户实质熟悉账户配置文件学会设置和管理口令 第六章帐户管理 6 1账户概述6 2命令行工具管理帐户6 3图形用户管理工具 6 1账户概述 账户实质Linux中的账户用户和组的关系帐户管理的内容系统账户文件RedHat账户管理的特性与账户管理相关的其他文件或目录 账户实质 账户实质上就是一个用户在系统上的标识 系统依据账户来区分每个用户的文件 进程 任务 给每个用户提供特定的工作环境 如用户的工作目录 shell版本 以及X Windows环境的配置等 使每个用户的工作都能独立不受干扰地进行 Linux中的账户 用户账户超级用户 UID 0 GID 0普通用户 UID 500伪用户 0 UID 500组账户标准组 标准组可以容纳多个用户 若使用标准组 在创建一个新的用户时就要指定他所属于的组 私有组 私有组中只有用户自己 当在创建一个新用户user时 若没有指定他所属于的组 RedHat就建立一个和该用户同名的私有组 用户和组的关系 组是用户的集合 一个标准组可以容纳多个用户 同一个用户可以同属于多个组 这些组可以是私有组 也可以是标准组 当一个用户同属于多个组时 将这些组分为 主组 用户登录系统时的组 附加组 可切换的其他组 帐户管理的内容 控制帐户的登录维护帐户的基本信息实现帐户 含组帐户 的创建 删除 修改等功能 系统账户文件 用户口令文件 etc passwd文件权限 rw r r 用户影子口令文件 etc shadow文件权限 r 组账号文件 etc group文件权限 rw r r 组口令文件 etc gshadow文件权限 r etc passwd是系统识别用户的一个文件 做个不恰当的比喻 etc passwd是一个花名册 系统所有的用户都在这里有登录记载 当我们以beinan这个账号登录时 系统首先会查阅 etc passwd文件 看是否有beinan这个账号 然后确定beinan的UID 通过UID来确认用户和身份 如果存在则读取 etc shadow影子文件中所对应的beinan的密码 如果密码核实无误则登录系统 读取用户的配置文件 在 etc passwd中 每一行都表示的是一个用户的信息 一行有7个段位 每个段位用 号分割 比如下面是我的系统中的 etc passwd的一行 beinan x 500 500 beinansun home beinan bin bash etc passwd文件 linuxsir x 501 502 home linuxsir bin bash第一字段 用户名 也被称为登录名 在上面的例子中 我们看到这两个用户的用户名分别是beinan和linuxsir 第二字段 口令 在例子中我们看到的是一个x 其实密码已被映射到 etc shadow文件中 第三字段 UID 第四字段 GID 第五字段 用户名全称 这是可选的 可以不设置 在beinan这个用户中 用户的全称是beinansun 而linuxsir这个用户是没有设置全称 第六字段 用户的家目录所在位置 beinan这个用户是 home beinan 而linuxsir这个用户是 home linuxsir 第七字段 用户所用SHELL的类型 beinan和linuxsir都用的是bash 所以设置为 bin bash 关于UID UID是用户的ID值 在系统中每个用户的UID的值是唯一的 更确切的说每个用户都要对应一个唯一的UID 系统管理员应该确保这一规则 系统用户的UID的值从0开始 是一个正整数 至于最大值可以在 etc login defs可以查到 一般Linux发行版约定为60000 在Linux中 root的UID是0 拥有系统最高权限 UID的唯一性关系到系统的安全 比如在 etc passwd中把beinan的UID改为0后 设想会发生什么呢 beinan这个用户会被确认为root用户 beinan这个帐号可以进行所有root的操作 UID是确认用户权限的标识 用户登录系统所处的角色是通过UID来实现的 而非用户名 让几个用户共用一个UID是危险的 比如我们上面所谈到的 把普通用户的UID改为0 和root共用一个UID 这事实上就造成了系统管理权限的混乱 如果我们想用root权限 可以通过su或sudo来实现 切不可随意让一个用户和root分享同一个UID etc shadow文件是 etc passwd的影子文件 这个文件并不由 etc passwd而产生的 这两个文件应该是对应互补的 shadow内容包括用户及被加密的密码以及其它 etc passwd不能包括的信息 比如用户的有效期限等 这个文件只有root权限可以读取和操作 etc shadow文件 etc shadow的权限不能随便改为其它用户可读 这样做是危险的 如果您发现这个文件的权限变成了其它用户组或用户可读了 要进行检查 以防系统安全问题的发生 如果我们以普通用户查看这个文件时 应该什么也查看不到 提示是权限不够 more etc shadow etc shadow 权限不够 etc shadow文件的内容包括9个段位 每个段位之间用 号分割 beinan 1 VE Mq2XfEQ9JP8GKF8gH7PB1 13072 0 99999 7 第一字段 用户名 用户名和 etc passwd是相同的 第二字段 密码 已被加密 如果是有些用户在这段是x 表示这个用户不能登录到系统 这个字段是非空的 第三字段 上次修改口令的时间 这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔 天数 第四字段 两次修改口令间隔最少的天数 如果设置为0 则禁用此功能 默认值是通过 etc login defs文件定义中获取 PASS MIN DAYS中有定义 第五字段 两次修改口令间隔最多的天数 这个能增强管理员管理用户口令的时效性 应该说在增强了系统的安全性 如果是系统默认值 是在添加用户时由 etc login defs文件定义中获取 在PASS MAX DAYS中定义 第六字段 提前多少天警告用户口令将过期 当用户登录系统后 系统登录程序提醒用户口令将要作废 如果是系统默认值 是在添加用户时由 etc login defs文件定义中获取 在PASS WARN AGE中定义 第七字段 在口令过期之后多少天禁用此用户 第八字段 用户过期日期 此字段指定了用户作废的天数 从1970年的1月1日开始的天数 如果这个字段的值为空 帐号永久可用 第九字段 保留字段 目前为空 以备将来Linux发展之用 etc group文件 etc group文件是用户组的配置文件 内容包括用户和用户组 并且能显示出用户是归属哪个用户组或哪几个用户组 因为一个用户可以归属一个或多个不同的用户组 同一用户组的用户之间具有相似的特征 比如我们把某一用户加入到root用户组 那么这个用户就可以浏览root用户家目录的文件 如果root用户把某个文件的读写执行权限开放 root用户组的所有用户都可以修改此文件 如果是可执行的文件 比如脚本 root用户组的用户也是可以执行的 用户组的特性在系统管理中为系统管理员提供了极大的方便 但安全性也是值得关注的 如某个用户下有对系统管理有最重要的内容 最好让用户拥有独立的用户组 或者是把用户下的文件的权限设置为完全私有 另外root用户组一般不要轻易把普通用户加入进去 etc group的内容包括用户组 Group 用户组口令 GID及该用户组所包含的用户 User 每个用户组一条记录 格式如下 group name passwd GID user list在 etc group中的每条记录分四个字段 第一字段 用户组名称 第二字段 用户组密码 第三字段 GID第四字段 用户列表 每个用户之间用 号分割 本字段可以为空 如果字段为空表示用户组为GID的用户名 关于GID GID和UID类似 是一个正整数或0 GID从0开始 GID为0的组让系统付予给root用户组 系统会预留一些较靠前的GID给系统虚拟用户 也被称为伪装用户 之用 每个系统预留的GID都有所不同 比如Fedora预留了500个 我们添加新用户组时 用户组是从500开始的 而Slackware是把前100个GID预留 新添加的用户组是从100开始 查看系统添加用户组默认的GID范围应该查看 etc login defs中的GID MIN和GID MAX值 etc gshadow文件 etc gshadow是 etc group的加密信息文件 比如用户组 Group 管理密码就是存放在这个文件 etc gshadow和 etc group是互补的两个文件 对于大型服务器 针对很多用户和组 定制一些关系结构比较复杂的权限模型 设置用户组密码是极有必要的 比如我们不想让一些非用户组成员永久拥有用户组的权限和特性 这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性 这时就要用到用户组密码 etc gshadow格式如下 每个用户组独占一行 groupname password admin admin member member 第一字段 用户组第二字段 用户组密码 这个段可以是空的或 如果是空的或有 表示没有密码 第三字段 用户组管理者 这个字段也可为空 如果有多个用户组管理者 用 号分割 第四字段 组成员 如果有多个成员 用 号分割 RedHat账户管理的特性 默认启用shadowpasswords功能 etc passwd文件对任何用户均可读 为了增加系统的安全性 用户的口令通常用shadowpasswords保护 经过shadowpasswords保护的账户密码和相关设置信息保存在 etc shadow文件里 etc shadow只对root用户可读 默认使用MD5算法的用户口令 一般不设置组口令 因为绝大多数应用程序不使用组口令 RedHat建议尽量使用私有组来提高系统安全性 RedHat账户管理的特性 RedHat不建议管理员直接编辑修改系统账户文件来维护账户 若用户直接编辑了账户文件 建议使用账号文件的一致性检测命令 pwck命令 检测文件 etc passwd 和 etc shadow 的每行中字段的格式和值是否正确 grpck命令 检测文件 etc group 和 etc gshadow 的每行中字段的格式和值是否正确 与账户管理相关的其他文件或目录 用户配置文件 etc login defs etc default useradd初始用户工作环境目录 etc skel etc login defs配置文件 etc login defs文件是当创建用户时的一些规划 比如创建用户时 是否需要家目录 UID和GID的范围 用户的期限等等 这个文件是可以通过root来定义的 查看文件内容 lesslogin defs etc default useradd配置文件 通过useradd添加用户时的规则文件 useradddefaultsfileGROUP 100HOME home 把用户家目录建在 home INACTIVE 1 是否启用帐号过期停权 1表示不启用EXPIRE 帐号终止日期 不设置表示不启用 SHELL bin bash 所用SHELL的类型 SKEL etc skel 默认添加用户的目录默认文件存放位置 也就是说 当我们用adduser添加用户时 用户家目录下的文件 都是从这个目录中复制过去的 etc skel目录 etc skel目录一般是存放用户启动文件的目录 这个目录是由root权限控制 当我们添加用户时 这个目录下的文件自动复制到新添加的用户的家目录下 etc skel目录下的文件都是隐藏文件 也就是类似 file格式的 我们可通过修改 添加 删除 etc skel目录下的文件 来为用户提供一个统一 标准的 默认的用户环境 查看内容 ls la etc skel etc skel目录下的文件 一般是我们用useradd和adduser命令添加用户 user 时 系统自动复制到新添加用户 user 的家目录下 如果我们通过修改 etc passwd来添加用户时 我们可以自己创建用户的家目录 然后把 etc skel下的文件复制到用户的家目录下 然后要用chown来改变新用户家目录的属主 6 2使用命令行工具管理帐户 添加用户账号口令管理与口令时效修改用户账号删除用户账号添加组账号修改组账号删除组账号 添加用户账号 使用useradd命令useradd不加参数选项 后面直接跟所添加的用户名时 系统会读取添加用户配置文件 etc login defs和 etc default useradd中所定义的规则添加用户 并向 etc passwd和 etc group文件添加用户和用户组记录 当然 etc passwd和 etc groups的加密资讯文件也同步生成记录 同时发生的还有系统会自动在 etc add default中所约定的目录中建用户的家目录 并复制 etc skel中的文件 包括隐藏文件 到新用户的家目录中 命令格式 useradd 常用选项 ccomment 新帐号password档的说明栏 ggroup 指定新用户的主组 Ggroup 指定新用户的附加组 ddirectory 指定新用户的家目录 sshell 指定新用户使用的Shell 默认为bash eexpire 指定用户的登录失效时间 例如 12 31 2008 M 不建立新用户的自家目录 添加用户账号 操作举例 useradduser1 useradd s bin tcshjason useradd gmygroup e12 31 2008user2 useradd Gstafftom useradd Gftpgrp d var ftp2 s sbin nologin Manftp1 useradd cChinaCpu d opt longcpu Glinuxsir root beinan s bin tcshlongcpu useradd D的使用 useradd加 D参数后 就是用来改变配置文件 etc default useradd的 useradd D ggroup bbase sshell finactive eexpire 使用 D选项时 其后可用选项为 bdefault home注 定义用户所属目录的前一个目录 用户名称会附加在default home后面用来建立新用户的目录 edefault expire date注 用户帐号停止日期 fdefault inactive注 帐号过期几日后停权 gdefault group注 新帐号起始用户组名或ID 用户组名须为现有存在的名称 用户组ID也须为现有存在的用户组 sdefault shell注 用户登入后使用的shell名称 往后新加入的帐号都将使用此shell 如不指定任何参数 useradd显示目前预设的值 useradd D我想把添加用户时的默认SHELL bin bash改为 bin tcsh 则应该用下面的命令 useradd D s bin tcsh 口令设置 使用useradd命令创建用户账户之后需要使用passwd命令设置初始口令passwd作为普通用户和超级权限用户都可以运行 但作为普通用户只能更改自己的用户密码 但前提是没有被root用户锁定 如果root用户运行passwd 可以设置或修改任何用户的密码 格式 passwd 选项 常用选项 d delete 删除用户密码 仅能以root权限操作 l lock 锁住用户无权更改其密码 仅能通过root权限操作 u unlock 解除锁定 S status 查询用户的密码状态 仅能root用户操作 比如我们让某个用户不能修改密码 可以用 l参数来锁定 passwd lbeinan subeinan passwd passwd dbeinan 清除密码 passwd Sbeinan 查看状态 口令时效 口令时效简介口令时效是系统管理员用来防止系统内不良口令的一种技术 口令时效意味着过了一段预先设定的时间后 通常是90天 用户会被提示创建一个新口令 强制用户在一段时间之后更改口令的机制称为口令时效 口令时效 命令格式 chage 常用选项 mdays 指定用户必须改变口令所间隔的最少天数 如果值为0 口令就不会过期 Mdays 指定口令有效的最多天数 当该选项指定的天数加上 d选项指定的天数小于当前的日期 用户在使用该账号前就必须改变口令 ddays 指定自从1970年1月1日起 口令被改变的天数 Idays 指定口令过期后 账号被锁前不活跃的天数 如果值为0 账号在口令过期后就不会被锁 Edate 指定账号被锁的日期 日期格式为YYYY MM DD 若不用日期 也可以使用自1970年1月1日后经过的天数 Wdays 指定口令过期前要警告用户的天数 l 列出指定用户当前的口令时效信息 以确定账号何时过期 口令时效 操作举例 用户user1两天内不能更改口令 并且口令最长的存活期为30天 并在口令过期前5天通知user1 chage m2 M30 W5user1查看用户user1当前的口令时效信息 chage luser1 修改用户账号 命令格式 usermod 常用选项 选项与useradd命令基本相同 usermod uuid o ggroup Ggroup d主目录 m sshell c注释 l新名称 f失效日 e过期日 p密码 L U 用户名usermod不允许你改变正在线上的用户帐号名称 当usermod用来改变userID 必须确认这名user没在电脑上执行任何程序 操作举例 usermod luser2user1 usermod Gsoftgroupjjh usermod Luser1 usermod Uuser1 usermod d opt linuxfish m lfishlinux Ulinuxfishusermod最好不要用它来改用户的密码 因为他在 etc shadow中显示的是明口令 修改用户的口令最好用passwd userinfo图形界面的修改工具 userinfo系统普通用户都能调用 但都是修改当前操作用户的 是通过点鼠标完成的 多点几下就可以了 root localhost userinfo 删除用户账号 命令格式 userdel 常用选项 r用于删除用户的宿主目录操作举例 userdeluser2 userdel ruser1 添加组账号 命令格式 groupadd 常用选项 r 用于创建系统组账号 GID小于500 g 用于指定GID操作举例 groupaddmygroup groupadd rsysgroup groupadd g888group2 修改组账号 命令格式 groupmod 常用选项 g 改变组账号的GID 组账号名保持不变 n 改变组账号名 操作举例 groupmod g503mygroup groupmod nnewgroupmygroup 删除组账号 命令格式 groupdel注意事项 被删除的组账号必须存在当有用户使用组账号作为私有组时不能删除与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除操作举例 groupdelmygroup 用户和组状态命令 1 whoami命令用于显示当前用户的名称 2 users命令用于查询登录主机的用户工具 3 who命令该命令主要用于查看当前在线上的用户情况 这个命令非常有用 比如 系统管理员希望监视每个登录的用户此时此刻的所作所为 就可以使用who命令 who命令的语法格式如下 who 选项 常用选项 m和 whoami 的作用一样 显示运行该程序的用户名 q count只显示用户的登录帐号和登录用户的数量 该选项优先级高于其他任何选项 s忽略 主要是用于和其他版本的who命令兼容 i u idle在登录时间后面显示该用户最后一次对系统进行操作至今的时间 也就是常说的 发呆 时间 其中 符号代表该用户在前1秒仍然处于活动状态 old 则表示该用户空闲已经超过了24小时 H heading显示一行列标题 who命令输出常用标题标题说明NAME用户登录帐号LINE用户登录使用终端TIME用户登录时间IDLE用户空闲时间 即未进行操作的时间PID用户登录shell的进程IDCOMMNET用户网络地址 4 w命令该命令也用于显示登录到系统的用户情况 但是与who不同的是 w命令功能更加强大 它不但可以显示有谁登录到系统 还可以显示出这些用户当前正在进行的工作 并且统计数据相对who命令来说更加详细和科学 可以认为w命令就是who命令的一个增强版 语法格式如下 w husfV user w命令的显示项目按以下顺序排列 当前时间 系统启动到现在的时间 登录用户的数目 系统在最近1秒 5秒和15秒的平均负载 然后是每个用户的各项数据 项目显示顺序如下 登录帐号 终端名称 远程主机名 登录时间 空闲时间 JCPU PCPU 当前正在运行进程的命令行 其中JCPU时间指的是和该终端 tty 连接的所有进程占用的时间 这个时间里并不包括过去的后台作业时间 但却包括当前正在运行的后台作业所占用的时间 而PCPU时间则是指当前进程 即在WHAT项中显示的进程 所占用的时间 下面介绍该命令的具体用法和参数 下面对参数进行说明 h不显示标题 u当列出当前进程和CPU时间时忽略用户名 这主要是用于执行su命令后的情况 s使用短模式 不显示登录时间 JCPU和PCPU时间 f切换显示FROM项 也就是远程主机名项 默认值是不显示远程主机名 当然系统管理员可以对源文件作一些修改使得显示该项成为默认值 V显示版本信息 User只显示指定用户的相关情况 5 groups命令格式 groups 用于显示指定用户所属的组 如未指定用户则显示当前用户所属的组6 id命令用于显示用户当前的uid gid和用户所属的组列表 7 finger命令finger工具侧重于用户信息的查询 查询的内容包括用户名 家目录 用户真实的名字 办公地址 办公电话 也包括登录终端 写状态 空闭时间等 格式 finger 参数选项 用户名 l采用长格式 默认 显示由 s选项所包含的所有信息 以及主目录 办公地址 办公电话 登录SHELL 邮件状态 plan project和 forward m禁止对用户真实名字进行匹配 p把 plan和 project文件中的内容省略 s显示短格式 用户名 真实名字 在哪个终端登录 写状态 空闲时间 登录时间 办公地点 办公电话等 例子 finger finger s 等价命令 finger l su 用于转换当前用户到指定的用户账号 若不指定用户名则转换当前用户到root 若使用参数 则在转换当前用户的同时转换用户工作环境 newgrp 用于转换用户的当前组到指定的附加组 用户必须属于该组才可以进行 通过修改用户 User 和用户组 Group 配置文件的办法来添加用户 1 修改 etc passwd 添加用户记录我们按 etc passwd的格式的约定来添加新的用户记录 当然您要让一个用户失效 可以删除您想要删除的用户记录 值得注意的是 不能让UID重复 我们打开 etc passwd 在最下面加一行lanhaitun x 508 508 home lanhaitun bin bash然后执行pwconv 让 etc passwd和 etc shadow同步 pwconv 2 修改 etc group首先 我们得查看是否有lanhaitun用户组 以及GID508是否被其它用户组占用 more etc group greplanhaitun more etc group grep508 没有被占用 所以我们要添加lanhaitun的记录到 etc grouplanhaitun x 508 运行grpconv来同步 etc group和 etc gshadow内容 可以通过查看 etc gshadow的内容变化确认是不是添加组成功了 grpconv 3 创建用户的家目录 并把用户启动文件也复