linux账户管理与操作权限.ppt

1、账户管理与操作权限,账户管理配置文件族 用户的添加和删除 组的添加和删除 设置操作权限,账户系统文件,口令文件 /etc/passwd 影子口令文件 /etc/shadow 组文件 /etc/group,/etc/passwd &/etc/shadow,结构： username:passwd:UID:GID:fullname:home-dir:shel username:passwd:last:may:must:warn:expire:reserved,与用户管理相关的文件或目录,用户配置文件 /etc/login.defs /etc/default/useradd 新用户基本信息 /etc/

2、skel 如果手工创建，则需复制该目录到用户目录,/etc/default/useradd,GROUP=100 默认组ID是100,在禁止默认的私有组时有用 HOME=/home 用户主目录顶层目录 INACTIVE=-1 当口令到期后，帐号变成非激活，-1表示永远激活 EXPIRE =MM/DD/YY 帐号将被禁止多长时间 注：后两项要确保系统使用shadow口令,用户分类（以UID划分）,root：管理员 uid,gid=0 普通用户 uid500 伪用户(pseudo user)：无shell(uid:1-500) bin sys ,使用 useradd命令添加用户,useradd g

3、group1 e 12/31/2001 u1 passwd u1 常用参数 u：uid g： group d：dir（用户目录） s：shell c：附加信息 e：登录失效时间 M：不建立用户目录,成为超级用户,把用户ID和组ID改成和root的ID一样（0,0) 但给系统带来安全问题 用以下自动命令检查passwd中的超级用户名 /bin/grep 0:0 /etc/passwd|awk BEGIN FS=: print $1|mail -s date +%D %T root awk-一个优秀的样式扫描与处理工具,组及其分类,组 组是若干个用户的逻辑集合。 组分为 私有组 当在创建一个新用户

4、user时，若没有指定他所属于的组，系统就建立一个和该用户同名的私有组。 标准组 标准组可以容纳多个用户，若使用标准组，在创建一个新的用户时就应该指定他所属于的组。,修改用户账户,手工修改账户文件 使用usermod命令 usermod l uu1 d /home/uu1 g gg1 u1 将用户u1的登录名改为uu1，加入到gg1组中，用户目录改为uu1 注意: 1. 被修改后的家目录必须事先存在 2. 修改后要确认并更改家目录的权限 usermod G softgroup jjh 将用户jjh添加到softgroup标准组中,修改用户帐号,usermod u UID username 修改

5、用户ID 注：在用户主目录中所有文件自动修改所属ID为新ID，而些目录外的文件不会自动修改 usermod d newdir username 修改用户主目录 usermod s newshell username 修改用户默认shell usermod e MM/DD/YY username 修改帐号截止日期 chsh username 修改用户默认的SHELL,禁用和恢复用户账户,禁用 # usermod L username # passwd l username 恢复 # usermod U username # passwd u username,禁止用户登录,一、在/etc/pas

6、swd或/etc/shadow中的密码域前加上*或!可暂时禁止某一用户登录 二、在/etc/中创建nologin文件，包含说明原因，可阻止除root的所有用户登录(不适合于远程登录管理）,用userdel删除用户账户,userdel r u1 -r：删除用户目录 分析userdel的过程 从账户文件中移去用户表项 删除用户家目录,组的管理和使用,groupadd g 888 group2 创建一个组group2，其GID为888 groupdel group2 删除组group2 groupmod n group2 group22 修改group2组名为group22,组的管理,设置群组密码

7、gpasswd option usergroup -a:将用户添加入group组 -d:将用户从group中删除 -r:取消群组密码,在用户组间切换,groups username 查看当前用户属于哪些组 newgrp group 切换到某组运行(必须已属此组）,用户、组及权限,用户只能不受限制的操作自家目录及其子目录下的所有内容 系统中其他目录的访问受到限制 同组 其他人,用户安全,1、多用户访问安全 2、口令安全 3、安全密码 4、PAM(Pluggable Authentication Modules)， 5、限制用户的某些资源访问,限制用户的某些资源访问,1、内存及CPU使用的限制 /etc/security/limits.conf 用户名、组名用开头，或用”*”表示所有用户 “soft”：软限制，”hard”：硬限制， cpu-占用的处理时间片单位，maxlogins-允许此用户同时登录的个数，nproc-最大进程数,core-内核大小，nofile-最大