RHEL6版-项目4__用户与文件权限的管理

十二五 职业教育国家规划教材选题立项RedHatEnterpriseLinux6 4 RHEL6 4 教材附带的光盘资源 Linux网络操作系统配置与管理 教材主编 夏笠芹 课程标准 教学大纲 教学设计方案 教案 PPT电子课件教材习题参考答案模拟试卷及参考答案 4套 IT认证 全国技能大赛资料知识拓展 网络工程解决方案 项目4用户与文件权限的管理 职业知识目标 了解 Linux中的用户和组的分类 用户登录Linux系统的过程熟悉 Linux中用户和用户组的配置文件 Linux中文件和目录的权限类型 掌握 用户和用户组的管理方法 文件和目录的权限设置方法 职业能力目标 会添加新用户 用户组并为用户设置密码会设置用户 用户组的属性和删除用户 用户组会向用户组添加和删除组成员会设置文件和目录的一般权限 特殊权限能修改文件和目录的属主和属组会设置新建文件或目录的默认权限 Linux操作系统是一个多用户的操作系统 它允许多个用户同时登陆到系统上使用系统资源 系统根据帐户来区分每个用户的文件 进程 任务 给每个用户提供特定的工作环境 如用户的工作目录 Shell版本以及X Window环境的配置等 使每个用户的工作都能独立不受干扰地进行 任何一个要使用系统资源的使用者 都必须首先向系统管理员申请一个用户账号 每个用户账号都拥有一个惟一的用户名和相应的口令 用户在登录时只有键入正确的用户名和口令后 才能进入系统 对用户 组 的管理工作主要涉及到用户 组 账号的添加 修改和删除 用户 组 口令的管理以及为用户 组 配置访问系统资源的权限 这些工作是网络管理员日常最基本的工作任务 也是构建系统安全的最基本的保障 4 1项目背景 4 2项目知识准备 4 2 1Linux中的用户和组的分类Linux下的用户可以分为三类 超级用户 用户名为root 它具有一切权限 只有进行系统维护 例如 建立用户等 或其他必要情形下才用超级用户登录 以避免系统出现安全问题 系统用户 伪用户 是Linux系统正常工作所必需的内建的用户 主要是为了满足相应的系统进程对文件属主的要求而建立的 例如 bin daemon adm lp等用户 系统用户不能用来登录 普通用户 是为了让使用者能够使用Linux系统资源而建立的 我们的大多数用户属于此类 4 2项目知识准备 4 2 1Linux中的用户和组的分类Linux中的组有以下三种 基本组 私有组 建立账户时 若没有指定账户所属的组 系统会建立一个和用户名相同的组 这个组就是基本组 基本组只容纳一个用户 当把其他用户加入到该组中 则基本组就变成了附加组 附加组 公有组 可以容纳多个用户 组中的用户都具有组所拥有的权利 系统组 一般加入一些系统用户 4 2 2Linux中用户和用户组的配置文件 每个用户都有一个UID数值 超级用户的UID 0系统用户的UID 1 499普通用户的UID 500 60000在Linux中 用户账号 密码 用户组信息和用户组密码均是存放在不同的配置文件中的 1 用户账号文件 etc passwdpasswd是一个文本文件 用于定义系统的用户账号 由于所有用户都对passwd有读权限 所以该文件中只定义用户账号 而不保存口令 passwd文件中 每行定义一个用户账号每一行由7个字段的数据组成 字段之间用 分隔 其格式如下 账号名称 密码 UID GID 用户全名 主目录 Shell 4 2 2Linux中用户和用户组的配置文件 passwd文件 4 2 2Linux中用户和用户组的配置文件 字段说明 账号名称 用户登录Linux系统时使用的名称 密码 这里的密码是经过加密后的密码 一般是采用MD5加密方式 而不是真正的密码 若为 x 说明密码经过了shadow的保护UID 用户的标识 是一个数值 用它来区分不同的用户GID 用户所在基本组的标识 是一个数值 用它来区分不同的组 相同的组具有相同的GID 个人资料 可以记录用户的完整姓名 地址 办公室电话 家庭电话等信息 主目录 类似Windows的个人目录 通常是 home username 这里username是用户名 用户执行 cd 命令时当前目录会切换到个人主目录 Shell 定义用户登录后激活的Shell 默认是BashShellpasswd文件中 第一行是root用户 紧接的是系统用户 普通用户通常在文件的尾部 4 2 2Linux中用户和用户组的配置文件 2 用户密码文件 etc shadow每行定义了一个用户信息 行中各字段各字段用 隔开 为提高安全性 用户真实的密码采用MD5加密算法加密后 保存在配置文件中 只有root用户可以读取 Mail用户信息 mail 12259 0 99999 7 username passwd lastchg min max warn inactive expire flag 4 2 2Linux中用户和用户组的配置文件 etc shadow文件中的每个记录用 隔开为9个域 每个域的含义分别为 4 2 2Linux中用户和用户组的配置文件 3 用户组账号文件 etc group系统中的每一个文件都有一个用户和一个组的属主 使用 ls l 命令可以看到每一个文件的属主和组 系统中的每个组 在 etc group文件中有一行记录任何用户均可以读取用户组账户信息配置文件 用户组的真实密码保存在 etc gshadow配置文件中 group文件字段说明 4 2 2Linux中用户和用户组的配置文件 4 2 3用户登录Linux系统的过程 Linux系统采用纯文本文件来保存账号的各种信息 其中最重要的文件有这几个 Linux用户登入系统过程实质是系统读取 核对 etc passwd etc shadow etc group等文件的过程 过程如下 首先 Linux会出现一个登录系统的画面提示输入账号 输入账号与密码 Linux接着会先找寻 etc passwd里面是否有这个账号名 如果没有则退出登录 如果有的话则将该账号对应的UID UserID 与GID GroupID 读出来 另外 该账号的对应的用户主目录与shell设定也一并读出 核对密码表 这时Linux会进入 etc shadow里面找出登录账号与UID相对应的 记录 然后核对一下刚刚输入的密码与此文件的密码是否符合 以上核定没有问题 用户正式进入系统 4 2 4Linux中文件和目录的权限 1 文件和目录的一般权限 4 2 4Linux中文件和目录的权限 1 文件和目录的一般权限 4 2 4Linux中文件和目录的权限 2 文件和目录的特殊权限在Linux系统中 用户对文件或目录的访问权限 除了r 读取 w 写入 x 执行 三种一般权限外 还有SETUID SUID SETGID SGID StickyBit 粘滞位 三种特殊权限 用于对文件或目录进行更加灵活方便的访问控制 1 SETUID SUID 2 SETGID SGID 3 StickyBit SBit 粘滞位 4 3项目实施 任务4 1用户的管理1 添加新用户 useradd命令先用root用户登录后 再执行它们 useradd 选项 常用选项 d目录 指定用户主目录 如果此目录不存在 则同时使用 m选项 可以创建主目录 默认值是 home 用户名 eYYYY MM DD 设置账号的失效日期 此日期后用户将不能使用该账号 要启用shadow才能使用此功能 fdays 指定密码到期后多少天永久停止账号 若指定为0 则立即被停权 为 1 则关闭此功能 g用户组 设定用户所属基本组 或使用GID号 该组在指定时必须已存在 G用户组列表 设定用户所属附属组 或使用GID号 各组在指定时已存在 附属组可以有多个 组之间用 分隔开 m 若用户主目录不存在 则创建主目录 在redhat系列中此选项可省 M 不创建用户主目录 p口令 指定用户登录密码 加密的口令 sShell 设置用户登录后启动的Shell 默认是bash u用户号 设置账号的UID 默认是已有用户的最大UID加1 如果同时有 o选项 则可以重复使用其他用户的标识号 应用示例创建一个名为zhangsan的用户 并作为student用户组的成员 useradd gstudentzhangsan tail 1 etc passwd 显示最后1行的内容 zhangsan x 502 500 home zhangyan bin bash该命令做了下面几件事 在 etc passwd和 etc group文件中增添了一行记录 创建新用户的主目录从 etc skel中拷贝文件和目录到用户主目录 让新用户获得其主目录和文件的拥有的权限但是使用了该命令后 新建的用户暂时还无法登录 因为还没有为该用户设置口令 需要再用passwd命令为其设置口令后 才能登录 用户的UID和GID是useradd自动选取的 它是将 etc passwd文件中的UID加1 将etc group文件中的GID加1 增加新用户时 系统将为用户创建一个与用户名相同的组 称为私有组 这一方法是为了能让新用户与其他用户隔离 确保安全性的措施 任务4 1用户的管理 应用示例 useradd s bin shtest1 chsh l显示可使用的shell useradd d hnwy zhang3test2hnwy目录事先存在useradd d data s bin nologin gnobodytest3 任务4 1用户的管理 任务4 1用户的管理 2 为用户账号设置密码 passwd命令Linux的账户必须设置密码后 才能登录系统passwd 账户名 常用选项 d 清空指定用户的口令 这与未设置口令的账户不同 未设置口令的账户无法登录系统 而口令为空的账户可以 f 强迫用户下次登录时必须修改口令 i 口令过期后多少天停用账户 l 锁定 停用 用户账户 n 指定口令的最短存活期 S 显示账户口令的简短状态信息 是否被锁定 u 解锁用户账户 x 指定口令的最长存活期 w 口令要到期前提前警告的天数 如果缺省用户名 则表示修改当前用户的口令 任务4 1用户的管理 2 为用户账号设置密码 passwd命令只有root用户才有权设置指定账户的密码 一般用户只能设置或修改自己账户的密码 如 若要设置zhang3账户的登录密码 则操作命令为 passwdzhang3Changingpasswordforuserlijunjie Newpassword 键入密码Retypenewpassword 重输密码passwd allauthenticationtokensupdatedsuccessfully 3 修改用户账号属性 usermod命令usermod 选项 username常用的选项包括 c d m g G s u以及 o等 这些选项的意义与useradd命令中的选项一样 可以为用户指定新的资源值 另外 还可以使用如下选项 l新用户名 更改账户的名称 必须在该用户未登录的情况下才能使用 L 锁定 暂停 用户账户 使其不能登录使用 U 解锁用户账户 改变用户账户名usermod l新用户名原用户名例如 将用户zhangsan更名为zhang3 usermod lzhangsanzhang3 tail 1 etc passwdzhang3 x 503 503 home lijie bin bash从输出结果可见 用户名已更改为了zhang3 主目录仍为 home zhangsan 若要将其更改为 home zhang3 则命令为 usermod d home zhang3zhang3 任务4 1用户的管理 锁定账户 临时禁止用户登户命令 usermod L要锁定的账户比如 usermod Lzhang3Linux锁定账户 是通过在密码文件shadow的密码字段前加 来标识该用户被锁定 解锁账户命令 usermod U要解锁的账户比如 usermod Uzhang3 任务4 1用户的管理 4 删除用户账号 userdel命令命令 userdel r 账户名 r 在删除该账户的同时 一并删除该账户对应的主目录 比如 userdel rzhang35 用户间切换 su substituteuser 命令 su 用户名 su命令的常见用法是变成跟用户或超级用户 如果发出不带用户名的su命令 则系统提示输入根口令 输入之后则可换为根用户 如果登陆为根用户 则可以用su命令成为系统上任何用户而不需要口令 任务4 1用户的管理 1 创建用户组 groupadd命令命令 groupadd r 用户组名称 gGID 指定新用户组的组标识号 GID 默认值是已有的最大的GID加1 r 创建系统用户组 该类用户组的GID值小于500 无 r参数 则创建普通用户组 其GID值大于或等于500 在前面创建的student用户组 由于是创建的第1个普通用户组 故其GID值为500 举例 创建一个名为sysgroup的系统用户组 则操作命令为 groupadd rsysgroup tail 1 etc groupsysgroup x 101 任务4 2用户组的管理 2 添加 删除组成员 gpasswd命令命令 gpasswd 选项 用户 组 只有root用户和组管理员才能够使用这个 选项 a 把用户加入组 d 把用户从组中删除 M 可同时添加多个用户 A 给组指派管理员 例4 12 将zhang3 li4用户同时加入group1组 并指派zhang3为管理员 root dyzx gpasswd Mzhang3 li4group1 root dyzx tail 1 etc groupgroup1 x 1000 zhang3 li4 root dyzx gpasswd Azhang3group1 任务4 2用户组的管理 3 修改用户组属性 groupmod命令语法 groupmod选项用户组常用选项 gGID 为用户组指定新的组标识号 n新用户组 将用户组的名字改为新名字修改用户组的名称和用户组的GID值 1 改变用户组名称命令 groupmod n新用户组名原用户组名对用户组更名 不会改变其GID的值 比如 将sysgroup用户组更名为teacher用户组 则操作命令为 groupmod nteachersysgroup tail 1 etc groupteacher x 101 任务4 2用户组的管理 2 重设用户组的GID用户组的GID值可以重新进行设置修改 但不能与已有用户组的GID值重复 对GID进行修改 不会改变用户名的名称 命令 groupmod g新GID用户组名例如 若要将teacher组的GID更改名501 则操作命令为 groupmod g501teacher grepteacher etc group 在 etc group文件中查找并显示含有teacher的行teacher x 501 任务4 2用户组的管理 4 删除组账户 groupdel命令命令 groupdel用户组名比如 groupdelteacher在删除用户组时 被删除的用户组不能是某个账户的私有用户组 否则将无法删除 若要删除 则应先删除引用该私有用户组的账户 然后再删除用户组 任务4 2用户组的管理 任务4 2用户组的管理 5 用户和组账户的信息显示 1 修改文件或目录的权限 chmod changemode 命令格式1 chmod 选项 ugoa rwx 文件或目录 格式2 chmod 选项 nnn文件或目录 只有文件或目录的拥有者或root用户才有更改权 R 可递归设置指定目录下的全部文件权限值的两种表示方法使用3位的八进制数表示 使用字符串表示 任务4 3设置文件和目录的一般权限 例如 myfile txt文件目前的权限为rw r r 若要更改为rw rw r 其命令为 chmod664 home liyang myfile txt 拥有者的权限 所属的组中的用户的权限 其他用户对该文件的权限 644 110 100 100 r r rw 权限值的表示方法1 使用3位的八进制数表示 比如 权限值的表示方法2 使用字符串表示chmod R ugoa rwxst 用户对象 权限符用户对象u 拥有者g 拥有者所属的用户组o 其他用户a 所有的 增加某项权限 去掉某项权限 赋予某项权限 权限符 r w x s若通过r w x s表示方式来更改权限 则只需在chmod命令中表达出权限需要改变的部分即可 该方法可视为是相对修改法 任务4 3设置文件和目录的一般权限 2 修改文件或目录的属主和属组 chown changeowner 命令 修改文件或目录的拥有者chown 选项 新属主 新属组 被改变归属的文件或目录 R 可递归设置指定目录下的全部文件 包括子目录和子目录中的文件 的所属关系 用空格分隔列表中多个文件名或目录名例如 若要设置 var software目录的属主为angel用户和angel用户组 则设置方法为 chownangel angel var software 任务4 3设置文件和目录的一般权限 例如 假设 setup sh文件的权限当前为rw rw r 若要修改为rw r 则更改命令为 chmodg w setup sh chmodo r setup sh若要给其他用户增加读的权限 则命令为 chmodo r setup sh若要同时去掉用户组和其他用户对该文件的读权限 则实现命令为 chmodgo r setup sh若文件拥有者 用户组和其他用户都只赋予读的权限 则实现命令为 chmodugo r setup sh 任务4 3设置文件和目录的一般权限 任务4 4设置文件和目录的特殊权限 为文件或目录添加三种特殊权限同样可以通过chmod命令来实施 使用 u s g s o t 的字符权限模式分别用于添加和移除SUID GUID sticky权限 若使用数字形式的权限模式 可采用 nnnn 格式的四位八进制数字表示 其中 后面三位是一般权限的数字表示 前面第一位则是特殊权限的标志数字 0表示不设置特殊权限 1表示只设置sticky 2表示只设置GUID权限 3表示只设置SGID和sticky权限 4表示只设置SUID权限 5表示只设置SUID和sticky权限 6表示只设置SUID和SGID 7表示同时设置SUID GUID sticky3种权限 例4 20 为mkdir命令对应的命令文件设置SUID权限 使得普通用户在根目录下能够使用mkdir命令创建目录 例4 21 在目录上面运用sticky权限 使得仅root用户和文件的拥有者才能删除该目录中的文件 其他用户不能删除 任务4 5设置新建文件或目录的默认权限 在Linux系统中 当用户创建一个新的文件或目录时 系统都会为新建的文件或目录分配默认的权限 该默认权限并不是继承了上级目录的权限 而是与umask值 称为权限掩码 有关 其具体关系是 新建文件的默认权限 0666 umask值新建目录的默认权限 0777 umask值 例4 22 分别查看 修改root用户和普通用户当前默认