linux课件-Linux系统中组群与用户管理.ppt

2020年1月30日 Linux操作系统基础 Linux系统中组群与用户管理 周围计算机与信息技术学院 课程目标 组群与用户管理概念与用户和组群相关的各种文件和命令用户帐号的创建和管理用户组的创建和管理学习方法 总体概念理解 实验练习 一基本概念 2020年1月30日 用户账号 账户 Linux系统是一个多用户多任务的分时操作系统 任何一个要使用系统资源的用户 都必须首先向系统管理员申请一个账号 然后以这个账号的身份进入系统 账号实质上就是一个用户在系统上的标识 系统依据账号来区分每个用户的文件 进程 任务 给每个用户提供特定的工作环境 如用户的工作目录 shell版本 以及X Windows环境的配置等 使每个用户的工作都能独立不受干扰地进行 2020年1月30日 账号作用可帮助系统管理员跟踪使用系统的用户 限制用户对系统资源的访问 可帮助用户组织文件 并为用户提供安全性保护 安全特性在Linux操作系统中 任何文件都归属于某一特定的用户 而任何用户都隶属于至少一个用户组 用户是否有权限对某文件进行访问 读写以及执行 受到系统严格约束的 正是这种清晰 严谨的用户与用户组管理系统 在很大程度上它保证了Linux系统的安全性 2020年1月30日 用户分类 Linux下的用户可以分为三类 超级用户 系统用户和普通用户 超级用户 root用户是超级用户 root用户的UID和GID都为0系统用户 与系统服务相关的用户 通常时在安装相关的软件包自动创建 一般不需要改其默认配置 普通用户 由超级用户创建 权限有限 Linux中的账户 用户账户 版本不同数值不同 超级用户 UID 0 GID 0普通用户 UID 1000伪用户 0 UID 1000组账户标准组 标准组可以容纳多个用户 若使用标准组 在创建一个新的用户时就要指定他所属于的组 私有组 私有组中只有用户自己 当在创建一个新用户user时 若没有指定他所属于的组 Ubuntu就建立一个和该用户同名的私有组 组群概念 将具有相同特性的用户划为一个组 组群作用 避免手工逐个调整用户权限在同组用户中 实现资源共享增加灵活性 2020年1月30日 用户和组的关系 组是用户的集合 一个标准组可以容纳多个用户 同一个用户可以同属于多个组 这些组可以是私有组 也可以是标准组 当一个用户同属于多个组时 将这些组分为 主组 用户登录系统时的组 附加组 可切换的其他组 二管理用户和组 2020年1月30日 实现用户账号的管理 系统管理员要完成的工作主要有以下几个方面 用户账号的添加 删除与修改控制帐户的登录用户口令的管理用户组的管理 2020年1月30日 添加用户 添加用户账号就是在系统中创建一个新账号 然后为新账号分配惟一的用户标识号 UID 用户组 主目录和登录Shell等资源 等到用户获取了口令 系统管理员为用户分配了用户组 创建了用户主目录 提供了登录Shell资源后 用户就能正常使用系统了 2020年1月30日 字符界面下 管理用户的常用命令 useradd 增加用户passwd 修改口令设置和修改口令删除口令锁定与解锁显示用户帐号的状态usermod 修改用户属性userdel 删除指定的用户帐号su命令 切换用户身份id命令 查看用户UID 2020年1月30日 字符界面下 管理组群的常用命令 groupadd命令 新建组群groupmod命令 修改指定组群的属性groupdel命令 删除组群名 2020年1月30日 Linux使用useradd命令添加用户或更新新创建用户的默认信息 useradd命令的格式如下 useraddoptionusername 使用useradd命令添加用户 出于系统安全考虑 Linux系统中的每一个用户除了有其用户名外 还有其对应的用户口令 因此使用useradd命令增加时 还须用passwd命令为每一位新增加的用户设置口令 之后还可以随时用passwd命令改变自己的口令 passwd命令的格式如下 passwdusername 使用passwd更改口令 使用usermod命令修改用户信息 usermod命令用来修改使用者账号 具体的修改信息和useradd命令所添加的信息一致 usermod命令的格式如下 usermodoptionusername 使用userdel命令删除用户 userdel命令用来删除系统中的用户信息 usermod命令的格式如下 userdeloptionusername 使用groupadd命令创建用户组 groupadd命令可以以指定名称来建立新的用户组 groupadd命令的格式如下 groupaddoptiongroupname 使用groupmod命令修改用户组属性 groupmod命令用来修改用户组信息 groupadd命令的格式如下 groupmodoptiongroupname 使用groupdel命令删除用户组 groupdel命令比较简单 用来删除系统中存在的用户组 使用该命令时必须确认待删除的用户组存在 groupdel命令的格式如下 groupdelgroupname 桌面环境下用户和组群管理 系统管理员不仅可以使用命令行管理用户账号 如果条件允许的话 还能使用GNOME桌面环境中的图形化工具进行管理 用户管理器管理用户创建新用户修改用户属性删除用户管理组群添加新组修改组属性删除组群 2020年1月30日 三用户和组相关的系统文件 2020年1月30日 系统文件 用户文件 etc passwd文件权限 rw r r 用户影子口令文件 etc shadow文件权限 r 组账号文件 etc group文件权限 rw r r 组口令文件 etc gshadow文件权限 r 用户文件 etc passwd文件是Linux安全的关键文件之一 该文件用于用户登录时校验用户的登录名 加密的口令数据项 用户ID UID 默认的用户组ID GID 用户信息 用户主目录以及登录后使用的shell etc passwd是系统识别用户的一个文件 比喻来说 etc passwd是一个花名册 系统所有的用户都在这里有登录记载 当我们以student这个账号登录时 系统首先会查阅 etc passwd文件 看是否有student这个账号 然后确定student的UID 通过UID来确认用户和身份 如果存在则读取 etc shadow影子文件中所对应的student的密码 如果密码核实无误则登录系统 读取用户的配置文件 关于UID UID是用户的ID值 在系统中每个用户的UID的值是唯一的 更确切的说每个用户都要对应一个唯一的UID 系统管理员应该确保这一规则 系统用户的UID的值从0开始 是一个正整数 至于最大值可以在 etc login defs可以查到 一般Linux发行版约定为60000 在Linux中 root的UID是0 拥有系统最高权限 etc passwd文件的每一行保存一个用户的资料 而用户数据按域以冒号 分隔 格式如下所示 username password uid gid userinfo home shell etc passwd文件中域的含义 用户的登录名是用户用来登录的识别 由用户自行选定 主要由方便用户记忆或者具有一定含义的字符串组成 所有用户口令的存放都是加密的 通常采用的是不可逆的加密算法 一般来说 用户的UID应当是独一无二的 其他用户不应当有相同的UID数值 只有UID等于0时可以例外 每个用户都需要保存专属于自己的配置文件及其他文档 以免用户间相互干扰 当用户登录进入系统时 会启动一个Shell程序 默认是bash 用户影子文件 Linux使用不可逆的加密算法 如MD5 SHA1等 来加密口令 和 etc passwd类似 etc shadow文件中每条记录用冒号 分隔 形成9个域 格式如下所示 username password lastchg min max warn inactive expire flag etc shadow文件中域的含义 用户组文件 etc group文件是用户组的配置文件 内容包括用户和用户组 并且能显示出用户是归属哪个用户组或哪几个用户组 因为一个用户可以归属一个或多个不同的用户组 同一用户组的用户之间具有相似的特征 etc passwd文件中包含着每个用户的用户组ID GID etc group文件对用户组的许可权限的控制并不是必要的 这是因为Linux系统用来自于 etc passwd文件的UID GID来决定文件存取权限 用户组可以像用户一样拥有口令 比如我们把某一用户加入到root用户组 那么这个用户就可以浏览root用户家目录的文件 如果root用户把某个文件的读写执行权限开放 root用户组的所有用户都可以修改此文件 如果是可执行的文件 比如脚本 root用户组的用户也是可以执行的 用户组的特性在系统管理中为系统管理员提供了极大的方便 但安全性也是值得关注的 如某个用户下有对系统管理有最重要的内容 最好让用户拥有独立的用户组 或者是把用户下的文件的权限设置为完全私有 另外root用户组一般不要轻易把普通用户加入进去 etc group文件记录格式如下所示 group name group password group id group members etc group的域及其含义 关于GID GID和UID类似 是一个正整数或0 GID从0开始 GID为0的组让系统付予给root用户组 系统会预留一些较靠前的GID给系统虚拟用户 也被称为伪装用户 之用 每个系统预留的GID都有所不同 比如Ubuntu预留了1000个 我们添加新用户组时 用户组是从1000开始的查看系统添加用户组默认的GID范围应该查看 etc login defs中的GID MIN和GID MAX值 etc gshadow文件 etc gshadow是 etc group的加密信息文件 比如用户组 Group 管理密码就是存放在这个文件 etc gshadow和 etc group是互补的两个文件 对于大型服务器 针对很多用户和组 定制一些关系结构比较复杂的权限模型 设置用户组密码是极有必要的 比如我们不想让一些非用户组成员永久拥有用户组的权限和特性 这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性 这时就要用到用户组密码 etc gshadow的域及其含义 四用户和组相关的状态命令 2020年1月30日 whoami命令用于显示当前用户的名称 users命令用于查询登录主机的用户工具 who命令该命令主要用于查看当前在线上的用户情况 这个命令非常有用 比如 系统管理员希望监视每个登录的用户此时此刻的所作所为 就可以使用who命令 who命令的语法格式如下 who 选项 常用选项 m和 whoami 的作用一样 显示运行该程序的用户名 q count只显示用户的登录帐号和登录用户的数量 该选项优先级高于其他任何选项 who命令输出常用标题标题说明NAME用户登录帐号LINE用户登录使用终端TIME用户登录时间IDLE用户空闲时间 即未进行操作的时间PID用户登录shell的进程IDCOMMNET用户网络地址 w命令该命令也用于显示登录到系统的用户情况 但是与who不同的是 w命令功能更加强大 它不但可以显示有谁登录到系统 还可以显示出这些用户当前正在进行的工作 并且统计数据相对who命令来说更加详细和科学 可以认为w命令就是who命令的一个增强版 语法格式如下 w husfV user groups命令格式 groups 用于显示指定用户所属的组 如未指定用户则显示当前用户所属的组id命令用于显示用户当前的uid gid和用户所属的组列表 finger命令finger工具侧重于用户信息的查询 查询的内容包括用户名 家目录 用户真实的名字 办公地址 办公电话 也包括登录终端 写状态 空闭时间等 su命令 用于转换当前用户到指定的用户账号 若不指定用户名则转换当前用户到root 若使用参数 则在转换当前用户的同时转换用户工作环境 newgrp命令 用于转换用户的当前组到指定的附加组 用户必须属于该组才可以进行 通过修改用户和用户组配置文件的办法来添加用户 修改 etc passwd 添加用户记录按格式约定来添加新的用户记录 值得注意的是 不能让UID重复 然后执行pwconv 让 etc passwd和 etc shadow同步 pwconv 实验练习 2020年1月30日 初始设置root密码 2020年1月30日 Ubuntu默认的用户并不是root 我们可以通过操作来使用root这个超级管理员帐号 以获得更大的权限 先打开终端 然后执行下面的语句 sudopasswdroot就可以修改超级管理员root的密码 之后就可以使用su命令切换到root用户来执行某些更高权限的操作 以root身份登录 2020年1月30日 root 超级管理员帐号打开终端 然后执行下面的语句 su按照提示输入root的密码 就可以切换到root用户来执行某些更高权限的操作 添加用户账号 要让用户使用系统就必须给其添加一个账号 在命令行下添加账号的语法如下 useradd选项用户名以下举例说明添加账号的方法 创建一个用户名为peter的账号 给其分配一个主目录 home peter manuseradd 查看命令用法 用q退出 useradd mpeter 删除用户账号 如果一个用户的账号不再使用 可以从系统中删除 删除用户账号就是将 etc passwd等系统文件中的该用户记录删除 必要时还删除用户的主目录 删除一个已有的用户账号的命令语法如下 userdel选项用户名例如要删除用户账号peter及其主目录 可以运行以下命令 userdel rpeter此命令删除用户账号peter 删除 etc passwd etc shadow etc group等文件中的记录 同时删除用户peter的主目录 修改用户账号 修改用户账号就是根据实际情况更改用户的有关属性 如用户标识号 主目录 用户组 登录Shell等 修改已有用户信息的命令语法如下 usermod选项用户名练习 manusermod usermod cfirstpeterpeter 为用户添加注释 usermod Grootstudent 把student加入root组中 管理用户口令 用户管理的一项重要内容是用户口令的管理 用户账号刚创建时没有口令 被系统锁定 无法使用 必须为其指定口令后才可以使用 即使是指定空口令 超级用户可以为自己和其他用户指定口令 普通用户只能修改自己的口令 修改用户口令的命令语法如下 passwd选项用户名passwd 管理用户组 每个用户都必须属于一个用户组 系统可以对一个用户组中的所有用户进行集中管理 不同Linux系统对用户组的规定有所不同 如Ubuntu下的用户属于与其同名的用户组 这个用户组在创建用户时同时创建 用户组的管理涉及用户组的添加 删除和修改 组的添加 删除和修改实际上就是对 etc group文件的记录更新 添加用户组 在命令行下添加用户组的语法如下 groupadd选项用户组以下举例说明添加用户组的方法 添加用户组studgroup groupaddstudgroup 修改用户组 修改用户组就是根据实际情况更改用户组的有关属性 如用户组标识号 组名等 修改已有用户组信息的命令语法 groupmod选项用户组例如要修改用户组studgroup的标识号 可以运行以下命令 groupmod g1002studgroup此命令将组studgroup的组标识号修改为1002 例如要修改用户组studgroup的标识号和组名 可以运行以下命令 groupmod g10000 nstudgroup1studgroup此命令将组studgroup的标识号改为1000