《账户管理和权限管》PPT课件

账户管理和权限管理,账户实质账户文件账户设置权限表示权限设置,5.1账户概述,账户实质上就是一个用户在系统上的标识，系统依据账户来区分每个用户的文件、进程、任务，给每个用户提供特定的工作环境（如用户的工作目录、shell版本、以及X-Windows环境的配置等），使每个用户的工作都能独立不受干扰地进行。Linux中的账户包括用户账户超级用户：UID=0，GID=0普通用户：UID=500伪用户：0UID500组账户标准组：标准组可以容纳多个用户，若使用标准组，在创建一个新的用户时就应该指定他所属于的组。私有组：私有组中只有用户自己。当在创建一个新用户user时，若没有指定他所属于的组，RedHat就建立一个和该用户同名的私有组。,用户和组的关系,为方便用户管理和用户间的交流，设立了组。每个用户都属于某个或某些组，每个组包含若干用户。组是用户的集合。一个标准组可以容纳多个用户。同一个用户可以同属于多个组，这些组可以是私有组，也可以是标准组。当一个用户同属于多个组时，将这些组分为：主组：用户登录系统时的组。附加组：可切换的其他组。,有关用户和组的信息存放在：/etc/passwd/etc/group文件中。用户的口令信息存放在/etc/shadow文件中。,用户帐号文件,/etc/passwd,root:x:0:0:root:/root:/bin/bashmysql:x:27:27:MySQLServer:/var/lib/mysql:/bin/bashfmh:x:500:500:fmh:/home/fmh:/bin/bashuser:x:501:501:user:/home/user:/bin/bashpasswd文件中所有条目都有如下形式用户名:密码:UID:GID:用户信息:根目录:用户登录shell,UID是分配给用户的唯一编号，编号范围从032767，100以下的编号用于特殊的系统账号，如uucp,news,mail等，root的UID为0。如果希望暂时禁止用户登录，可以将shell字段改为/bin/false，或者在停用账户前加上#，或锁定账户即可。,/etc/group,root:x:0:rootadm:x:4:root,adm,daemonfmh:x:500:users:x:501:/etc/group文件具有以下形式：组名:密码:GID:该组中的用户默认情况下，新增的用户都属于自身的私有组,/etc/shadow,root:$1$ldijdka93dkj:11749:0:99999:7:fmh:$1$djd29jd;jkjk:11752:0:99999:7:/etc/shadow条目具有以下格式：用户名:加密后的密码:密码最后一次被修改的日期(从1970年1月1日到该天的天数):从上一次修改密码到下一次允许修改要经历的天数:经过多少天用户必须重新设置密码的天数:密码到期前提醒用户修改密码的天数:密码到期后经过多少天将账户关闭的天数:账号到期日:保留,5.2使用命令管理用户,使用命令管理用户的操作，主要是创建用户，修改用户，删除用户等操作。是深受广的程序员喜欢的一种操作方式。1创建用户账户命令useradd2修改用户账户属性命令usermod3删除用户账户命令userdel4维护用户口令的命令passwd5设置密码期限的命令chage,用户管理命令,useraddoption用户名常用选项：-ccomment指定用户的资料-ddir设置用户目录-ggroup设置用户的所属组-uUID设置用户的Userid-sshell设置用户登录的shell,示例：useradduser1useraddd/home/usertempuser2useraddu505guser1wang,编辑/etc/passwd，定义用户名、UID、GID、根目录和针对该用户的shell运行mkdir为用户创建根目录将初始化文件从/etc/skel复制到用户的根目录下改变用户根目录和目录下文件的所有权chownrwang:users/home/wang,命令：passwdoption用户名说明：输入passwd命令后，系统要求用户输入原口令，正确后，再要求输入（两次）新口令。口令要求至少有6个字符.,参数：-d删除密码。本参数仅有系统管理者才能使用。-l锁住密码。-S列出密码的相关信息。本参数仅有系统管理者才能使用。-u解开已上锁的帐号。,改变用户口令,修改用户账号,命令:usermod说明：usermod可用来修改用户帐号的各项设定。常用选项：-d修改用户登入时的目录。-g修改用户所属的群组。-G修改用户所属的附加群组。-l修改用户帐号名称。-L锁定用户密码，使密码无效。-s修改用户登入後所使用的shell。-u修改用户ID。-U解除密码锁定。操作举例：#usermod-luser2user1#usermod-Gsoftgroupjjh#usermod-Luser1#usermod-Uuser1,删除用户账号,命令：userdel常用选项：-r用于删除用户的宿主目录操作举例：#userdeluser2#userdel-ruser1注意：删除账户时要一并把该账户所占资源回收。如该用户的目录，邮箱，定时运行的程序等。,查找并显示用户信息,finger-lmsp帐号名称.说明：finger指令会去查找，并显示指定帐号的用户相关信息，包括本地与远端主机的用户皆可，帐号名称没有大小写的差别。单独执行finger指令，它会显示本地主机现在所有的用户的登陆信息，包括帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。参数：-l列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，还有计划文件和方案文件内容。-m排除查找用户的真实姓名。-s列出该用户的帐号名称，真实姓名，登入终端机，闲置时间，登入时间以及地址和电话。-p列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell，登入时间，转信地址，电子邮件状态，但不显示该用户的计划文件和方案文件内容。,口令时效,强制用户在一段时间之后更改口令的机制称为口令时效。chage命令命令格式：#chage常用选项：-mdays：指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。-Mdays：指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期，用户在使用该账号前就必须改变口令。-ddays：指定自从1970年1月1日起，口令被改变的天数。-Idays：指定口令过期后，账号被锁前不活跃的天数。如果值为0，账号在口令过期后就不会被锁。-Edate：指定账号被锁的日期，日期格式为YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。-Wdays：指定口令过期前要警告用户的天数。-l：列出指定用户当前的口令时效信息，以确定账号何时过期。,操作举例：用户user1两天内不能更改口令，并且口令最长的存活期为30天，并在口令过期前5天通知user1。#chage-m2-M30-W5user1查看用户user1当前的口令时效信息。#chage-luser1,5.3使用命令管理用户组,1创建用户组账户命令groupadd2更改用户组账户属性命令groupmod3管理用户组中用户的命令gpasswd4删除组账户的命令groupdel,19,创建新组,命令：groupadd-gGID-rmygroup常用选项：-r：用于创建系统组账号（GID小于500）-g：用于指定GID操作举例：#groupaddmygroup#groupadd-rsysgroup#groupadd-g888group2,修改组账号,命令：groupmod常用选项：-g：改变组账号的GID，组账号名保持不变。-n：改变组账号名。操作举例：#groupmod-g503mygroup#groupmod-nnewgroupmygroup,管理组用户,命令：gpasswd只有root和组管理员能够改变组的成员：操作举例：把student1加入student组gpasswdastudent1student把student1退出student组gpasswddstudent1student把student的管理员指派给yzgpasswdAyzstudent,删除组账号,命令格式：#groupdel注意事项：被删除的组账号必须存在当有用户使用组账号作为私有组时不能删除与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除操作举例：#groupdelmygroup,启动用户管理器该管理器是图形界面的应用程序，需要先进入图形界面，点击“系统管理用户和组群”，或在虚拟终端窗口中输入下面的命令:system-config-users,5.4用户管理器管理用户,用户管理器中各项含义如表所示。,5.5操作权限概述,Linux是多用户的操作系统，允许多个用户同时在系统上登录和工作。为了确保系统和用户的安全，Linux采取了很多的安全措施。通过用户的代号（UID）来确定每个用户在登录系统后都做了些什么，也可以用来区别不同用户所建立的文件或目录。Linux文件系统安全模型是通过给系统中的文件赋予三个属性来起作用的，这三个赋予每个文件的属性称为所有者、组和访问权限。Linux下每一个文件必须严格地属于一个用户和一个组。,使用Linux系统资源的四类人员,在Linux中，将使用系统资源的人员分为四类：超级用户文件或目录的属主属主的同组人其他人员由于超级用户具有操作Linux系统的一切权限，所以不用指定超级用户对文件和目录的访问权限。对于其他三类用户都要指定对文件和目录的访问权限。用户只能不受限制的操作自家目录及其子目录下的所有文件。对系统中其他目录的访问受到同组和其他人的访问限制。,查看文件和目录的权限,使用如下命令查看权限$ls-l常见的权限字符串及其含义p146B9-10字符数值说明-rw-600只有属主才有读取和写入的权限。-rw-r-r-644只有属主才有读取和写入的权限；同组人和其他人只有读取的权限。-rwx-700只有属主才有读取、写入、和执行的权限。-rwxr-xr-x755属主有读取、写入、和执行的权限；同组人和其他人只有读取和执行的权限。-rwx-x-x711属主有读取、写入、和执行权限；同组人和其他人只有执行权限。-rw-rw-rw-666每个人都能够读取和写入文件。-rwxrwxrwx777每个人都能够读取、写入、和执行。drwx-700只有属主能在目录中读取、写入。drwxr-xr-x755每个人都能够读取目录，但是其中的内容却只能被属主改变。,权限的文字设定法,chmodugoa+-=rwxugo人员标识属主（u）,同组（g）,其他人（o）,所有的人员（a）设定方法+：增加权限,-：删除权限=：分配权限，同时删除旧的权限权限字符r（读）,w（写）,x（执行）,u（和属主的权限相同）g（和所属组用户的权限相同）,o（和其他用户的权限相同）操作举例：对文件addusers1的属主添加执行权限，同时取消组用户和其他用户对文件的读取权限#lladdusers-rw-r-r-1rootroot399May218:14addusers1#chmodu+x,go-raddusers1#lladdusers1-rwx-1rootroot399May218:14addusers1,权限的数值设定法,chmod命令的数值设定法格式chmodn1n2n3n1n2n3其中n1代表属主的权限，n2代表组用户的权限，n3代表其他用户的权限n1、n2、n3选项都是8进制数字，其意义如下：p148B9-14操作举例：取消组用户和其他用户对文件users1的一切权限#llusers1-rw-r-r-1rootroot24May218:15users1#chmod600users1#llusers1-rw-1rootroot24May218:15users1,更改属主和组,chown命令功能：更改属主和组。格式：#chown-R参数-R：表示对目录及其子目录进行递归设置。举例：将文件users1的属主改成osmond#chmodosmondusers1将文件users1的组改成staff#chmod.staffusers1将文件users的属主和组都改成osmond#chownosmond.osmondusers将mydir目录及其子目录下的所有文件或目录的属主和组都改成osmond#chownRosmond.osmondmydir,三种特殊权限简介,SUID当一个设置了SUID位的可执行文件被执行时，该文件将以所有者的身份运行，也就是说无论谁来执行这个文件，他都有文件所有者的特权。如果所有者是root的话，那么执行人就有超级用户的特权了。SGID当一个设置了SGID位的可执行文件运行时，该文件将具有所属组的特权，任意存取整个组所能使用的系统资源。若一个目录设置了SGID，则所有被复制到这个目录下的文件，其所属的组都会被重设为和这个目录一样，除非在复制文件时加上-p（preserve，保留文件属性）的参数，才能保留原来所属的群组设置。sticky-bit对一个文件设置了sticky-bit之后，尽管其他用户有写权限，也必须由属主执行删除、移动等操作。对一个目录设置了sticky-bit之后，存放在该目录的文件仅准许其属主执行删除、移动等操作。,特殊权限实例,SUID的典型例子是passwd程序#ll/usr/bin/passwd-r-s-x-x1rootroot16336Feb142003/usr/bin/passwd设置了sticky-bit的典型例子是系统临时文件目录/tmp#ll-d/tmpdrwxrwxrwt4rootroot4096May308:20/tmp,特殊权限的文字表示,SUID和SGID用s表示；Sticky-bit用t表示SUID是占用属主的x位置来表示SGID是占用组的x位置来表示Sticky-bit是占用其他人的x位置来表示的在表示上有大小写之分假若同时设置执行权限和SUID、SGID与Sticky，权限标识字符是小写的形式倘若关闭执行的权限，则标识字符会变成大写例如：-rwsr-sr-t1rootroot9Aug1921:47showme-rwSr-Sr-T1rootroot9Aug1921:47showme-rwsr-Sr-T1rootroot9Aug1921:47showme-rwsr-Sr-t1rootroot9Aug1921:47showme-rwsr-sr-T1rootroot9Aug1921:47showme,设置特殊权限举例,为程序/usr/bin/myapp添加SUID权限#chmodu+s/usr/bin/myapp为目录/home/groupspace添加SGID权限#chmodg+s/home/groupspace为目录/home/share添加sticky权限#chmodo+t/home/share为程序/usr/bin/myapp添加SUID权限#chmod4755/usr/bin/myapp为目录/home/groupspace添加SGID权限#chmod2755/home/groupspace为目录/home/share添加sticky权限#chmod1755/home/share,用户和组其它命令,whoami：用于显示当前用户的名称。groups：用于显示指定用户所属的组，如未指定用户则显示当前用户所属的组。id：用于显示用户当前的uid、gid和用户所属的组列表。newgrp：用于转换用户的当前组到指定的附加组，用户必须属于该组才可以进行。,赋予用户特殊权限,su-：用于转换当前用户到指定的用户账号，若不指定用户名则转换当前用户到root。若使用参数“-”则在转换当前用户的同时转换用户工作环境。(需要知道密码),sudo:授权许可使用例：sudovi/etc/passwdSudo特点：1.sudo能够限制指定用户在指定主机上运行某些命令。2.sudo可以提供日志，忠实地记录每个用户使用sudo做了些什么，并且能将日志传到中心主机或者日志服务器。3.sudo为系统管理员提供配置文件，允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。4.sudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后，用户获得了一张默认存活期为5分钟的“入场券”（默认值可以在编译的时候改变）。超时以后，用户必须重新输入密码。,配置sudo配置sudo必须通过编辑/etc/sudoers文件，而且只有超级用户才可以修改它，还必须使用visudo编辑。之所以使用visudo有两个原因，一是它能够防止两个用户同时修改它；二是它也能进行有限的语法检查。所以，即使只有你一个超级用户，你也最好用visudo来检查一下语法。,/etc/sudoers,/etc/sudoers文件中每行算一个规则，前面带有#号可以当作是说明的内容，并不执行；如果规则很长，一行列不下时，可以用号来续行，这样看来一个规则也可以拥有多个行；/etc/sudoers的规则可分为两类；一类是别名定义，另一类是授权规则；别名定义并不是必须的，但授权规则是必须的；,/etc/sudoers,忽略空行和注释行(以“#”开头)任选的