7-Linux用户账号与组账号管理

1、第第7章章 Linux用户账号与组群账号管理用户账号与组群账号管理 用户账户和组群的管理是Linux系统工作中 重要的一部分，而所谓的账号管理是指账 号的添加、删除和修改、账号设置以及权 限（Permissions）授予等问题。其中最困 难的部分并不在于操作与设置的层次，而 是如何建立一套合理又有灵活性的法则来 满足企业的需求，这也是本章将要介绍的 重点。 7.1 Linux系统用户账号的管理系统用户账号的管理 7.1.1 /etc/passwd文件 7.1.2 /etc/shadow文件 7.1.3 用户账号的创建和维护 1、用户帐号：所谓的“用户”可以是实际的人员。 每个用户帐号都包含一个

2、惟一的识别码（User ID,UID）以及组群识别码（Group ID,GID）。 2、组群帐号：所谓的“组群”是一种逻辑性的单 位，主要集合特定的用户，并授予所有组群成员 文件相同的权限，如读取、写入、或运行。 7.1.1 /etc/passwd文件 passwd文件中的记录是按如下方式组群织的： 登录名：口令：用户标识号：组群标识号：用户名：用户主目录：命 令解释程序 1、登录名：即用户帐号，由root或具有相等权限的管理员所指定。 2、密码：系统用口令来验证用户的合法性。 3、用户标识号：Linux中的每个用户帐号都由一个惟一的识别号码，该号码 就称为UID，它是一个数值，最大可达655

3、35。 4、组群标识号：这是当前用户的默认工作组群标识。 5、用户名：User_name包含有关用户的一些信息，如用户的真实姓名、联 系电话和办公室住址等。 6、用户主目录：该字段定义了个人用户的主目录，当用户登录后，他的shell 将把目录作为用户的工作目录。 7、 命令解释程序：Shell是当用户登录系统时运行的程序名称，通常Shell程 序的全路径名为/bin/bash，但是用户可以使用chsh命令来改变自己的登录 Shell。 7.1.1 /etc/passwd文件 列：passwd文件中的两条记录： root:x:0:0:root:/root:/bin/bash go:x:500:5

4、00:/home/go:/bin/bash 第一条记录描述了root账号。可以看到，登录名为root；口令字段为 “x”，表示真实口令被存放在/etc/shadows文件中；UID为0，因为系 统认为UID为0的用户可以不受通常的安全限制；GID也为0，这是惯 例，表示这是root组群。系统中很多文件都属于root账号和root组群； 用户名为root；主目录为/root；默认的shell程序为bash. 第二条记录描述了系统中一个普通的个人用户。其中，登录名为go； 口令字段为“x”；UID为500；GID为500，表明go所在组群在 /etc/group文件中编号为500；用户名字段为空，

5、表示没有为该用户指 定附加的描述信息；用户主目录为/home/go；默认的shell程序为 bash。 7.1.2 /etc/shadow文件 使用Shadow Passwd的功能又下面优点： 将原本/etc/passwd文件中的加密密码移到 /etc/shadow文件中，但该文件仅允许root读取， 所以可提高安全性。 可记录密码改变的时间。 可以设置密码使用的时间，以避免用户的密码 改变过于频繁。 可以使用/etc/login.defs文件来设置安全性策略， 如密码最小长度或密码最短使用时间。 7.1.3 用户账号的创建和维护 1. 以文本模式对用户账号进行创建和维护 2. 以图形界面对用

6、户账号进行创建和维护 以文本模式对用户账号进行创建和维护 1、添加用户账号 对系统而言，创建一个用户账号需要完成以下步骤： 添加一个记录到/etc/passwd文件。 创建用户的主目录。 在用户的主目录中设置用户的默认配置文件 为了提高系统的利用率，并且避免因多个用户共用一个 root账号而造成不必要的系统安全隐患，通常必须为新用 户添加账户。在Linux系统中，添加用户只能由超级用户 来完成，也就是说，只能由root使用useradd/adduser命令 来完成该项工作。 以文本模式对用户账号进行创建和维护 在使用useradd或adduser命令添加用户账号前，建议先使用“finger”命

7、令来 检查将要添加的用户帐号是否存在，以避免账号名重复而失败。 例：使用“finger”命令来查询现存账号及目前不存在账号的结果： rootns root# finger user01 Login: user01 Name:(null) Directory: /home/user01 Shell: /bin/bash Never logged in. No mail. No Plan. rootns root# finger user02 Finger:user02: no such user. 由以上结果可知，当前系统中已存在名为user01的账号，所以不要再添加该 名称的账号，但是user

8、02的名称尚未被使用，因此可以添加用户user02。 以文本模式对用户账号进行创建和维护 命令useradd的格式如下所示： Useradd 选项 用户登录名 便如，需要创建一个用户账号user02，主目录为/home/user02，登录 时使用bash作为其shell程序。可以使用以下命令： rootns root# useradd -d /home/user02 -s /bin/bash user02 以文本模式对用户账号进行创建和维护 2、修改用户账号 添加用户帐号后，管理员有时需要改变账号的内容，此时 可以使用“usermod”命令来进行账号内容的修改，其实用 方法及参数与userad

9、d命令很相似。 假设要修改先前建立的User02账号信息，同时将用户的备 注文字改为“Vice President”，而且主目录改为/root,则可 以使用下面的命令： rootna1 root# usermod -c “Vice President”-d /root User02 以文本模式对用户账号进行创建和维护 3、删除和停用用户账号删除和停用用户账号 要删除已经存在的用户账号，必须从/etc/passwd文件中 删除此用户的记录项，从/etc/group文件中删除提及的此 用户，并且删除用户的主目录及其他由该用户创建或属于 此用户的文件。这些工作可以使用userdel命令来完成。 例如

10、，可以使用以下命令删除用户账号user01： rootna1 root#userdel user01 以文本模式对用户账号进行创建和维护 4、用户密码管理用户密码管理 若要改变自己的使用密码，只要直接使用passwd命令即可。下面是 使用“passwd”命令来改变自己密码的方法： alicens1 alice$ passwd 不加任何参数 Changing password for user alice Changing password for alice (current) UNIX password： 输入目前密码（显示器不显示密码） New passsrd： 输入新的密码（显示器不显示

11、密码） Retype new password： 再次输入新的密码（显示器不显示密码） Passwrd：all authentication tokens updated successfully. 密码修 改成功 以图形界面对用户账号进行创建和维护 1、添加用户账号 要添加新用户，点击添加 用户按钮。一个如右图所 示的窗口就会出现。在适当 的字段内键入新用户的用户 名和全称。在口令和 确认口令字段内键入口 令。口令必须至少有六个字 符。 以图形界面对用户账号进行创建和维护 2、修改用户账号 要查看某个现存用户的属性，点击用户标签，从用户列表中选择该 用户，然后在按钮菜单中点击属性（或者从下拉

12、菜单中选择行动 = 属性）。一个类似右图的窗口就会出现。 7.2 Linux系统用户组群的管理 7.2.1 组群帐号/etc/group文件 7.2.2 工作组群的管理 在进行账号管理时，使用“组群”为管理的基本 单位。先将需要存入该项资料源的用户加入到同 一个组群，然后在授予组群该资料的访问权限。 这样，每个组群成员都可以拥有该项资源的权限， 管理员也可以节省日常维护的时间。 7.2.1 组群帐号/etc/group文件 类似于/etc/passwd文件，系统中的每个组群都对 应/etc/group文件中一行记录。记录的各字段属性 依次定义如下：组群名：口令：组群标识号：用 户列表。 7.2

13、.1 组群帐号/etc/group文件 下面介绍各个字段的含义。 1、组群名（group_name）：顾名思义，组群名就是工作 组群的名字 2、口令（passwd）：组群的口令，通常都不使用或用 “x”表示。允许不在这个组群中的其他用户用newgrp命令 来访问属于这个组群的资源。 3、 组群标识号（GID）：GID是系统用来区分不同组群 的标识号，它在系统中是惟一的。在/etc/passwd文件中， 用户的组群标识号字段就是用这个数字来指定用户的默认 组群。 4、用户列表（user_list）:用户列表是用“，”分隔的用 户登录名集合，列出了这个组群的所有成员。 7.2.1 组群帐号/etc

14、/group文件 在Linux系统中，root和bin都是管理组群。系统中很多文 件都属于这两个组群。 实际的应用中，口令字段是完全没有必要的。事实上，很 多系统没有提供设置组群口令的工具。这是因为要使一个 用户成为多个组群的成员，只需要把用户登录名加入到这 些组群的用户列表字段中。 用户可以使用group命令列出当前用户所属的所有组群的 名称。 7.2.2 工作组群的管理 1、工作组群概述、工作组群概述 设置了组群后，通过将用户划分到各个特 定的组群中，就自动地使用户拥 该工作组 群的权限。 7.2.2 工作组群的管理 2、添加组群账号、添加组群账号 （1）命令行操作 添加组群账户命令：gr

15、oupadd 加组群账号的groupadd命令使用很容易。 只要直接输入命令和组群名称即可。若要 指定组群群识别码（GID），可以使用“-g” 参数。 例：rootns1 root# groupadd -g 600 test 7.2.2 工作组群的管理 2、添加组群账号、添加组群账号 （2）用户管理器 要添加新用户组群，点击添加组群 按 钮。一个类似下图的窗口就会出现。 7.2.2 工作组群的管理 3、修改组群群账号、修改组群群账号 （1）命令行操作 修改组群账户命令：groupmod groupmod命令的格式如下： # groupmod -g 新GID-o -n 7.2.2 工作组群的管理

16、 3、修改组群群账号、修改组群群账号 （2）用户管理器 要查看某一现存组群 的属性，从组群列表 中选择该组群， 然后 在按钮菜单中点击 属性 （或选择下 拉菜单文件 = 属 性）。一个类似右的 窗口就会出现。 7.2.2 工作组群的管理 4、删除组群群账号、删除组群群账号 删除组群命令为groupdel。使用此命令可以 删除不需要的组群。 groupdel命令的格式如下： # groupdel 同样，也可以在/etc/group文件中将对应组 群的记录项删除，从而达到同样的目的。 7.3 添加大量用户 在平时可能管理员需要添加大量用户帐号 的机会并不多，但是在一些比较特殊的情 况下，例如新成立

17、的部门或新学期的新生 帐号，就必须同时建立许多用户帐号。 在处理添加大量用户帐号时，一般使用下 面的步骤： 建立用户信息文件。其中必须包含所需 的数据域位，同时这些字段必须符合 /etc/passwd文件中字段的排列次序。 运行shell script 逐栏读取信息。 将读取的信息依次在/etc/passwd和 /etc/shadow两个文件中建立记录。 1、创建批量用户的命令 newusers命令 格式：newusers 文件名 功能：成批添加用户。把文件内容重新定向添加 到/etc/passwd文件中。 chpasswd命令 格式：chpasswd 文件名 功能：批量更新用户口令。把文件内

18、容重新定向 添加到/etc/shadow文件中。 1、创建批量用户的命令 pwconv命令 格式：pwconv 功能：用于超级用户启用shadow加密。 pwunconv命令 格式：pwunconv 功能：用于超级用户取消shadow加密 2、创建批量用户的步骤 步骤1：编辑用户信息文件 步骤2：运行/usr/sbin/newusers 步骤3：运行/usr/sbin/pwunconv 步骤4：建立密码文件 步骤5：运行/usr/sbin/chpasswd 步骤6：运行/usr/sbin/;wconv 1、编辑用户信息文件 建立大量用户帐号，首先使用任何文件编辑器输入用户信 息，这些用户信息字

19、段必须符合/etc/passwd文件中字段 的排列次序。 例： rootnsl root#vi/root/account.txt student1：x：601：601：/home/student1：/bin/bash student2：x：602：602：/home/student2：/bin/bash student3：x：603：603：/home/student3：/bin/bash student4：x：604：604：/home/student4：/bin/bash 2、运行、运行/usr/sbin/newusers 在/usr/sbin目录中，newusers的主要功能 是以批处理

20、文件来更新或建立用户帐号， 其使用方法很简单。 例： rootnsl root#newusers/root/account.txt 3、运行、运行/usr/sbin/pwunconv /usr/sbin/pwunconv程序表示“password unconvert shadow password”的意思，也 就是说它可以将/etc/shadow产生的shadow 密码译码，然后回写到/etc/passwd中，同 时也将/etc/shadow文件中的密码字段删除， 来取消shadow password的功能。 4、建立密码文件、建立密码文件 按照每个用户名来建立对应的密码表，只是一个 很简单的

21、文本文件，主要支持稍后的 /usr/sbin/chpasswd命令运行。 例： rootnsl root#vi/root/password.txt student1：lxniegh3 student2：73h8sjk3 student3：pqj37se student4：ka6h9dj7 5、运行、运行/usr/sbin/chpasswd 建立对应的密码表，还需要使用shell script 将密码表中的密码导入到/etc/passwd文件 中，在此使用 /usr/sbin/chpasswd程序。 例： rootns1 root#chpasswd/root/passwd.txt 6、运行、运行

22、/usr/sbin/;wconv 在成功地将密码写入/etc/passwd文件后， 由于所有的密码都是以明文的方式来显示， 所以很容易对安全性产生顾虑。因此，必 须接着运行/usr/sbin/paconv程序，将密码 编码为shadow password,并且写入 /etc/shadow文件 例： rootns1 root#pwconv rootns1 root#cat/etc/passwd Student1: x: 601:601: :/home/student1:/bin/bash Student2: x: 602:602: :/home/student2:/bin/bash Studen

23、t3: x: 603:603: :/home/student3:/bin/bash Student4: x: 604:604: :/home/student4:/bin/bash 7.4 赋予普通用户特殊权限 在Linux系统中，管理员往往不止一人，若 每位管理员都用root身份进行管理工作，根 本无法弄清楚谁该做什么。所以最好的方 式是：管理员（leader）当系统的root，然 后创建一些普通用户，分配一部分系统管 理工作给他们。 现在已经有了可以实现这样的功能命令： sudo命令。 Sudo命令通过维护一个特权到用户名映射 的数据库将特权分配给不同的用户，这些 特权可由数据库中所列的一些

24、不同的命令 来识别。为了获得某一特权项，有资格的 用户只需简单地在命令行输入sudo与命令 名之后，按照提示再次输入口令（用户自 己的口令，不是root用户口令）。 下面以实例来介绍sudo的使用。 例： 管理员需要允许gem用户在主机sun上执行reboot 和shutdown命令，在/etc/sudoers中加入： gem sun=/usr/sbin/reboot，/usr/sbin/shutdown 注意：命令一定要使用绝对路径，以避免其他目 录的同名命令被执行，从而造成安全隐患。 然后保存退出，gem用户想执行reboot命令时， 只要在提示符下运行下列命令： $ sudo /usr/

25、sbin/reboot 输入正确的密码，就可以重启服务器了。 7.5 Linux系统安全管理 7.5.1 安全管理 7.5.2 安全管理组群成 7.5.3 用户口令的管理 7.5.4 用户账号的管理 7.5.5 管理帐号常用的命令 7.5.1 安全管理 1、安全管理、安全管理 Linux系统安全管理包括多个要素，例如，系统安全管理包括多个要素，例如， 普通用户的系统安全、超级用户的系统安普通用户的系统安全、超级用户的系统安 全、文件系统的安全、进程安全以及网络全、文件系统的安全、进程安全以及网络 安全等。只有以上各个要素协调配合才能安全等。只有以上各个要素协调配合才能 真正地保证系统不易受到致

26、命的打击。真正地保证系统不易受到致命的打击。 7.5.1 安全管理 2、安全管理的目标 防止非法操作 数据保护 正确管理用户 保证系统的完整性 记账 系统保护 7.5.2 安全管理组群成 1、物理安全、物理安全 物理安全对于任何计算机都是非常重要的。一般来说，物 理安全应该包括以下方面： 保证放置计算机机房的安全，必要时应添加报警系统。 同时系统提供备份方案，把备份好的软件放置在另一个安 全地点。 保证所有的通信设施都不会被非法人员临听。 钥匙或信用卡识别设备、用户口令钥匙分配、文件保 护，备分域恢复方案等关键文件档资料要保存在安全的位 置。 7.5.2 安全管理组群成 2、普通用户安全管理、

27、普通用户安全管理 Linux系统管理员的职责之一是保证用户资料安全。 其中一部分工作是由用户的管理部门来完成的。 但作为系统管理员，有责任发现和报告系统的安 全问题。 系统管理员可以定期随机抽选一用户，将该用户 的安全检查结果发送给他及其管理部门。此外， 用户的管理部门应该强化安全意识，制定完善的 安全管理规划。 7.5.2 安全管理组群成 3、超级用户安全管理、超级用户安全管理 超级用户在安全管理方面需要注意的事项如下： 在一般情况下最好不使用root账号，应使用su 命令进入普通用户账号。 超级用户不要运行其他用户的程序。 经常改变root口令 精心地设置口令时效 不要把当前工作目录排在P

28、ATH路径表的前面， 以避免“特洛伊木马”的入侵。 7.5.2 安全管理组群成 不要未退出系统就离开终端。 建义将登录名root改成其他名称。 注意检查不寻常的系统使用情况。 保持系统文件安全的完整性。 将磁盘的备份存放在安全的地方。 确保所有登录账号都有用户口令 启动记账系统。 7.5.3 用户口令的管理 1、设置好的用户口令 一个好的用户口令至少有6个字符。口令中 不要包含个人信息，如生日、名字、门牌 号码等。用户口令中最好有一些非字母 （即数字、标点等）字符，最好便于记忆。 7.5.3 用户口令的管理 2、用户口令管理策略 设置好的用户口令并不意味着用户口令系 统的安全，它只能使入侵者不

29、能直截了当 地闯入系统内。只有采用正确的用户口令 管理策略，才能保证用户口令不会困为人 为因素泄密。 7.5.3 用户口令的管理 3、用户口令时效 由于用户口令的安全性随着时间的推而变 弱，所以，经常改变用户口令有利于系统 安全。Liunx提供了设置用户口令的时效机 制，系统管理员可以通过修改/etc/shadow 文件实现。 如下例： 7.5.3 用户口令的管理 root：dJUQfur62wzeA：11289：0：99999：7： 从上面的示例可以看到，对于root用户，加密口令为 dJUQfur62wzeA，最后一次修改口令的时间距1970年1月 1日有11289天，即2000年11月7

30、日。第四个字段为0，表 示用户可以随时修改口令。第五个字段表示用户需在 99999天后修改口令，也就是说无需修改口令。当我们将 这行记录改为： root：dJUQfur62wzeA：11289：0：91：7：10： 这表示用户可以随时修改口令，但必须至少在91天内修改 一次；如果在84（91-7）天内不修改口令，系统将通知用 户修改。如果不修改，则在101（91+10）天后，停用该 用户账号。 7.5.3 用户口令的管理 4、安全的用户口令操作 多数情况下，用户口令丢失都与用户误操作有关。为保证 用户口令安全必须注意以下问题： 不要将用户口令写下来。 用户在输入口令时，应避免多人使用同一个账号

31、。 保证用户一人一个口令，以避免多个使用同一个账号。 不要重复使用同一口令。 不要在不同系统上使用同一口令。 不要通过网络或MODEM来传送口令。 7.5.4 用户账号的管理 Linux的每个用户对系统的安全都负有责任。 保证系统有一个安全的/etc/passwd文件是十分必 要的，维护该文件时应注意以下问题： 尽量避免直接修改/etc/passwd 文件。 在用户可以容忍的情况下，尽量使用比较复杂 的用户账号名。 尽量将passwd文件中UID号为0的人数限制在 一到两个人内。 保证passwd文件中没有口令相同的用户账号。 7.5.4 用户账号的管理 保证passwd文件中每个用户的口令字

32、段不为空。 注意系统特殊用户使用的shell字段，保证他们使 用专用程序，而非一般用户的shell。 除非在必要的情况下，最好不要使用组群口令。 最好先为新用户提供rsh（restricted shell），让 他们在受限的环境中使用系统。 当一个账号长时间不用时，可通过记账机制发现 该账号，并将该账号停用。 7.5.5 管理帐号常用的命令 1、显示自身的用户名、显示自身的用户名whoami 因为有时可以在Linux系统中更换身份，通常是以一般的用 户身份登录，如果需要设置系统的某些内容，再以su命令 切换到管理员的身份。 直接输入”whosmi”命令可以显示当前登录的用户名，其作 用与“id-un”命令相同。 rootns1 root#whoami root rootnsl root# id un root 7.5.5 管理帐号常用的命令 2、显示当前所有登录用户信息、显示当前所有登录用户信息w 运行“w”命令可以显示当前所有登录用户的信息， 如用户名、登录时间、登录位置、系统启动到目前 的时间以及过去1、5、10min内系