《Linux用户管理》PPT课件.ppt

第5章Linux用户管理 教学提示 用户与组管理是保证Linux操作系统被安全使用的重要方面 Linux权限控制机制也是Linux优良特性之一 另外 Ubuntu系统采用sudo工具管理用户的系统使用权限 教学要求 学习完本章后 能够根据需要进行用户与组的管理 采用sudo工具分配用户权限 认识Linux权限控制机制 命令回顾 pwdcdfindlocatels 命令回顾 1 pwd 显示用户所在的位置显示用户所在的位置 root Ubuntu pwd root2 cd 命令用来改变工作目录在使用cd进入某个目录时 用户必须具有对该目录的读权限 1 改变当前所处的目录 如果用户当前处于 root目录 想进入 etc目录 root Ubuntu cd etc注意cd后的空格 2 返回上级目录 root Ubuntu cd 3 回到用户主目录 root Ubuntu cd 命令回顾 3 find 在硬盘上查找文件find是Linux功能最为强大 使用也是较为复杂的命令 Find命令格式 find 匹配条件 1 从根目录开始查找文件名为passwd的文件 root Ubuntu find namepasswd 2 查找 usr目录下前10天访问过的文件 仅第10天这一天 root Ubuntu find usr atime10 命令回顾 3 find 在硬盘上查找文件 3 查找 usr目录下前10天之前访问过的文件 root Ubuntu find usr atime 10 4 查找 usr目录下前10天之后访问过的文件 root Ubuntu find usr atime 10 5 列出当前目录下所有扩展名是 doc 的文件 root Ubuntu find name doc 命令回顾 3 find 在硬盘上查找文件 6 查找目录 etc home下文件大小小于4K的文件 root Ubuntu find etc home size 4Kfind命令可接受的文件尺寸单位有字节 c 块 b 512字节 K k 1024字节 等 命令回顾 4 locate 用来定位文件或目录 同find命令相比较 locate命令是从数据库中查找 而不是每次搜索文件系统 因为是从数据库中查找 locate的速度远远快于find命令 但是 使用locate命令查找的结果仅仅是在当前数据库 结果可能会没有find准确 查找apt conf文件 root Ubuntu locateapt conf注意以find比较查找速度 命令回顾 ls 用来显示用户当前或指定目录的内容在ls命令中还可以使用通配符 这样可以使用户很方便地查找特定形式的文件和目录 如果不指定目录 将显示当前目录的内容 否则显示指定目录的内容 1 输出根目录下文件或目录的详细信息 root Ubuntu ls l 总用量84drwxr xr x2rootroot40962007 05 1905 00第一组二三四五六七 文件属性 inode数 拥有者 所有者组 大小 建立日期 文件 目录名 这个结果提供了许多细节信息 共七组 各组之间使用空格分开 Linux用户管理 Linux是一个多任务 多用户的操作系统 任何一个要使用系统资源的使用者 用户 都必须首先申请一个帐号 然后用这个帐号登录系统 用户的帐号可以帮助系统对使用系统的用户进行跟踪 并控制用户对系统资源的访问 另一方面也可以帮助用户组织文件 并为用户提供安全性的保护 思考 理解用户与帐号的关系 Linux组 组是具有共同用户特征的用户的集合 这与现实生活中的个人与集体是类似的 使用组对Linux系统来说提高系统的灵活性 对于具体的Linux系统管理员来说通过管理组来管理用户 提高了工作效率 Linux用户 Linux下的用户可以分为三类 超级用户 系统用户和普通用户 超级用户 用户名为root 具有一切权限 只有进行系统维护 例如建立用户等 或其它必要情形下才用超级用户登录 以避免系统出现安全问题 系统用户 Linux系统正常工作所必需的内建的用户 主要是为了满足相应的系统进程对文件属主的要求而建立的 系统用户不能用来登录 如bin daemon adm lp等用户 系统用户也称为虚拟用户 普通用户 为了让使用者能够使用Linux系统资源而建立的 我们的大多数用户属于此类 其实Linux并不会直接认识你的 用户名称 它认识的其实以数字表示的 用户ID 每个用户都有一个 用户ID 称为UID 在UbuntuLinux中 超级用户的UID为0 系统用户的UID一般为1 499 普通用户的UID默认为1000 60000之间的值 Linux用户登入系统过程 Linux系统采用纯文本文件来保存账号的各种信息 其中最重要的文件有 etc passwd etc shadow etc group这几个 Linux用户登入系统过程实质是系统读取 核对这几个文件的过程 过程如下 首先Linux会出现一个登录系统的画面提示输入账号 输入账号与密码 Linux接着会先找寻 etc passwd里面是否有这个账号名 如果没有则退出登录 如果有的话则将该账号对应的UID UserID 与GID GroupID 读出来 另外 该账号的对应的用户主目录与shell设定也一并读出 核对密码表 这时Linux会进入 etc shadow里面找出登录账号与UID相对应的 记录 然后核对一下刚刚输入的密码与此文件的密码是否符合 以上核定没有没有问题 用户正式进入系统 思考 为什么帐号文件与密码文件分开 账号文件 对于与帐号有关的文件有 etc passwd etc shadow etc group 我们可以使用vi或其他编辑器来更改它们 也可以使用专门的命令来更改它们 账号的管理实际上就是对这几个文件的内容进行添加 修改和删除记录行的操作 不管以哪种形式管理账号 了解这几个文件的内容十分必要 1 etc passwd 用户帐号文件 etc passwd文件是账号管理中最重要的一个文件 它是一个纯文本文件 每一个注册用户在该文件都有一个对应的记录行 这一记录行记录了此用户的必要信息 1 etc passwd 用户帐号文件例 显示 etc passwd文件 从passwd文件中可以看到 第一行是root用户 紧接的是系统用户 普通用户通常在文件的尾部 passwd文件中的每一行由7个字段的数据组成 字段之间用 分隔 其格式如下 账号名称 密码 UID GID 个人资料 主目录 Shell 账号名称 密码 UID GID 个人资料 主目录 Shell说明如下 账号名称 用户登录Linux系统时使用的名称 密码 这里的密码是经过加密后的密码 而不是真正的密码 若为 x 说明密码已经被移动到shadow这个加密过后的文件 UID 用户的标识 是一个数值 Linux系统内部使用它来区分不同的用户 通常Linux对于UID有几个限制 说明如下 0系统管理员 也即root用户 所以当你要作另一个系统管理员账号时 你可以将该账号的UID改成0即可 1 500保留给系统使用的ID 其实1 65534之间的账号并没有不同 也就是除了0之外 其它的UID并没有不一样 但默认500以下给系统作为保留账号是一个好习惯 1000 65535在UbuntuLinux中给一般使用者用的 注意到没有 passwd最后一行的记录sutdent用户的UID就是1000 账号名称 密码 UID GID 个人资料 主目录 Shell说明如下 GID 用户所在组的标识 是一个数值 Linux系统内部使用它来区分不同的组 相同的组具有相同的GID 个人资料 可以记录用户的个人信息 如姓名 电话等信息 如studnet用户资料为Ubuntu 主目录 对于root的主目录在 root 所以当root登入之后 马上在的所在就是 root里头 对于其他用户通常是 home username 这里username是用户名 用户执行 cd 命令时当前目录会切换到个人主目录 如studnet用户的主目录为 home studnet Shell 定义用户登录后使用的Shell版本 默认是bash 2 etc shadow 用户密码文件任何用户对passwd文件都有读的权限 虽然密码已经经过加密 但还是不能避免有人会获取加密后的密码 为了安全 Linux系统对密码提供了更多一层的保护 即把加密后的密码移动到 etc shadow这个文件中 这个文件只有超级用户能够读取shadow的内容 并且Linux设置了很多的限制参数在 etc shadow里 密码如果经过shadow保护 在 etc passwd文件中 每一记录行的密码字段会变成 x 并且在 etc目录下存在文件shadow 2 etc shadow 用户密码文件例 查看shadow文件的内容 和passwd文件类似 shadow文件中的每行由9个字段组成 格式如下 用户名 密码 最后一次修改时间 最小时间间隔 最大时间间隔 警告时间 不活动时间 失效时间 标志字段 用户名 密码 最后一次修改时间 最小时间间隔 最大时间间隔 警告时间 不活动时间 失效时间 标志字段 说明如下 最后一次修改时间 表示从1970年1月1日起到上次修改口令所经过的天数 最小时间间隔 表示两次修改口令之间至少经过的天数 最大时间间隔 表示口令还会有效的最大天数 如果是99999则表示永不过期 警告时间 表示口令失效前多少天内系统向用户发出警告 不活动时间 表示禁止登陆前用户名还有效的天数 失效时间 表示用户被禁止登陆的时间 标志字段无意义 未使用 安装Linux系统时 系统缺省采用shadow来保护密码 如果安装Linux时未启用shadow 可以使用pwconv命令启用shadow 注意用root用户登录来执行该命令 执行的结果是 etc passwd文件中的密码字段被改为 x 同时产生 etc shadow文件 相反 如果要取消shadow功能 可使用pwunconv命令 不建议这样 在shadow文件中 密码字段为 表示用户被禁止登录 为 表示用户被锁定 useradd 添加用户账号 只有超级用户root才有权使用此命令 使用useradd命令创建新的用户账号后 应利用passwd命令为新用户设置口令 一个类似的命令是adduser 也用来创建用户账号 1 添加student1用户 root Ubuntu useraddstudent1查看用户添加结果 root Ubuntu cat etc passwdroot x 0 0 root root bin bash studnet x 1000 1000 student home studnet bin bashstudnet1 x 1001 1001 student1 home studnet1 bin sh看到没有 用户student1添加成功 同时发现 使用命令useradd添加用户同时添加了许多默认其他设置 比如说用户主目录 Shell版本等 2 修改用户默认设置 很明显在大多少情况下 用户希望修改默认设置以满足实际的要求 比如说 想修改默认Shell版本为使用较多的 bin bash 与添加用户的默认设置有关的文件主要是 etc login defs与 etc default useradd这两个文件 etc login defs文件的参数设置简单如下 etc default useradd文件的参数设置简单如下 在这个文件中 最需要了解的就是SKEL 当建立一个名为testing的账号时 预设的主目录会是 home testing 这个目录 而这个目录的内容就是由 etc skel所复制过去的 所以 当想要让使用者的预设主目录内容更动时 可以直接将要更动的数据写在 etc skel当中 3 采用指定设置添加用户 以上参数可以随意搭配 意义如下 u参数 设置用户的UID为1008 g参数 指定用户所属的用户组 但该用户组必须已经存在 参数采用组名或GID皆可 如 g100与 gusers的意思相同 都是把用户加入到users用户组中 其中users用户组的GID为100 d参数 建立用户目录 如 d home user1就是替用户建立位于 home目录下的用户目录 目录名称为user1 s参数 指定用户环境 如 s bin bash指定bash为该用户的Shell 当然也可指定其他Shell供用户使用 e参数 设置账号的期限 格式为 月 日 年 如 e08 02 06为2006年8月2日 m参数 创建用户是同时创建用户主目录 passwd 修改用户属性 添加完用户后首要文件是修改用户密码 1 root修改用户student1的密码属性 root Ubuntu passwdstudent1EnternewUNIXpassword RetypenewUNIXpassword passwd 已成功更新密码修改用户的密码需要两次输入密码确认 密码是保证系统安全的一个重要措施 在设置密码时 不要使用过于简单的密码 技巧 为了安全 密码最好需要底下几个特性 密码中含有数个特殊字符 例如 及数字键等等 密码长度至少要到6 8个以上才好 没有特殊意义的字母或数字组合 并且夹着很多的特殊字符 2 修改用户自己密码 root Ubuntu passwdEnternewUNIXpassword RetypenewUNIXpassword passwd 已成功更新密码 3 锁定用户账号student1登录 在系统中 有时需要临时禁止某个用户账号登录 root Ubuntu passwd lstudent1查看Linux系统中管理用户账号的系统文件 etc shadow 可看到其密码域的第一个字符前加了符号 若系统没有密码保护则文件为 etc passwd root Ubuntu cat etc shadow student1 1 RsHiGgoC 8Smk4 kUG SOtJzudwCXa1 13713 0 99999 7 student2 13713 0 99999 7 技巧 锁定用户账号student1登录也可修改 etc passwd文件 将该用户的passwd域的第一个字符前加一个 号注销这行记录 如要启用时再去掉 4 解除用户账号student1锁定 root Ubuntu passwd ustudent1 usermod 改变用户的属性 1 修改studnt2的UID为新的值600 所属组为admin root Ubuntu usermod u600 gadminstudnet2改变用户的UID时主目录下所有该用户所拥有的文件或子目录将自动更改UID 但对于主目录之外的文件和目录只能用chown命令手工进行设置 2 修改studnt1的用户主目录 root Ubuntu mkdir student1root Ubuntu usermod d student1studnet1usermod参数较多 参数作用如下 lname 更改账户的名称 必须在该用户未登录的情况下才能使用 m 把主目录的所有内容移动到新的目录 p密码 修改用户的密码 sShell 修改用户的登录Shell chsh 改变用户的Shell版本 1 列出本机上所有能用的shell名称 root Ubuntu chsh l bin sh bin bash bin ash bin bsh bin csh 2 用户自行改变自己的预设shell版本 root Ubuntu chsh s bin csh使用chsh命令改变用户的Shell 指定的Shell一定要在 etc shells中存在 否则会导致用户无法登录 userdel 删除用户账号 若不再允许用户登录系统时 可以将用户账号删除 1 只删除studnt2登录账号但保留相关目录 root Ubuntu userdelstudnet2只删掉 etc passwd与 etc shadow的与用户student2有关的内容 其它的用户相关信息 比如用户主目录等保留 方便以后再次添加这个用户 其实更好的方法是使用命令暂停用户登录或者将 etc shadow倒数一个字段设定为0也可以让该账号无法使用 但是所有跟该账号相关的数据都会留下来 2 完全删除studnt1登录账号 root Ubuntu userdel rstudnet1删除账号的同时 将用户主目录及其内部文件同时删除 Linux组 Linux的组有私有组 系统组 标准组之分 私有组 建立账户时 若没有指定账户所属的组 系统会建立一个和用户名相同的组 这个组就是私有组 私有组只容纳了一个用户 标准组 可以容纳多个用户 组中的用户都具有组所拥有的权利 系统组 是Linux系统自动建立的 一个用户可以属于多个组 用户所属的组又有基本组和附加组之分 在用户所属组中的第一个组称为基本组 基本组在 etc passwd文件中指定 其他组为附加组 附加组在 etc group文件中指定 属于多个组的用户所拥有的权限是它所在的组的权限之和 与用户一样 用户分组也是由一个惟一的身份来标识的 该标识叫做用户分组ID GroupID GID 用户可以归属于多个用户分组 对某个文件或程序的访问是以它的UID和GID为基础的 一个执行中的程序继承了调用它的用户的权利和访问权限 Linux系统关于组的信息存放在文件 etc group中 etc gshadow 1 etc group 组帐号文件 root Ubuntu cat etc grouproot x 0 student x 1000 与passwd文件记录类似 的每一行由4个字段的数据组成 字段之间用 分隔 其格式如下 组名称 组密码 GID 组包括的账号名称内容也说明如下 组名称 就是组的名称 组密码 通常不需要设定 一般很少使用到组登入 同样的 密码也是被纪录在 etc gshadow 组ID 就是所谓的GID 组成员 组所包含的用户 用户之间用 分隔 如果想要让student也属于lpadmin 打印管理组 这个组的话 修改group文件 添加student到对应组名称后 例 手动添加用户student到lpadmin组 root Ubuntu cat etc group lpadmin x 113 root stu