用户管理和系统安全设置

1、12021年年7月月20日日 第第9章章 系统管理和监视系统管理和监视 22021年年7月月20日日 9.1 用户管理用户管理 9.2 进程管理进程管理 9.3 系统监视系统监视 9.4 日志查看日志查看 32021年年7月月20日日 用户与账号用户与账号 Linux系统中的用户可以分为三类：系统中的用户可以分为三类：root用用 户、户、系统用户系统用户和普通用户和普通用户。 Linux系统的账号分为两类：系统的账号分为两类： 用户账号用户账号：通常一个操作者拥有一个用户：通常一个操作者拥有一个用户 账号，每个用户账号有唯一的识别号账号，每个用户账号有唯一的识别号UID （User ID）和

2、自己所属组的识别号）和自己所属组的识别号GID （Group ID）。）。 组账号组账号：是一组用户集合的账号。通过使：是一组用户集合的账号。通过使 用组账号，可以设置使一组用户对文件具用组账号，可以设置使一组用户对文件具 有相同的权限。有相同的权限。 42021年年7月月20日日 用户和组的配置文件用户和组的配置文件 用户和组的配置信息保存在以下三个文件用户和组的配置信息保存在以下三个文件 中：中： /etc/passwd /etc/shadow /etc/group /etc/gshadow 52021年年7月月20日日 /etc/passwd文件文件 每一行存储一个用户的账号信息，每一行

3、可以包含如下每一行存储一个用户的账号信息，每一行可以包含如下7个域，个域， 各域之间以冒号各域之间以冒号“ ：”分隔：分隔： 登录名登录名：即用户名。：即用户名。 口令口令： 通常是一个通常是一个“x”，表示口令已被加密，加密后的口，表示口令已被加密，加密后的口 令存储在令存储在/etc/shadow文件中。如果是文件中。如果是“* *”，则表示该账，则表示该账 号已被号已被停用停用。 UID： 每个用户都有一个不同的每个用户都有一个不同的ID，它是一个整数。，它是一个整数。 GID： 用户所属的组的用户所属的组的ID，每个组也都具有不同的，每个组也都具有不同的ID。 用户信息用户信息：用户的

4、个人资料，如用户名、电话、住址等。：用户的个人资料，如用户名、电话、住址等。 主目录主目录：在默认状态下，每个用户都有一个主目录，：在默认状态下，每个用户都有一个主目录，root 用户的主目录是用户的主目录是/root，管理员新建立的用户的主目录默认，管理员新建立的用户的主目录默认 为为/home/ 。 登录登录shell：设置用户在登录时使用的：设置用户在登录时使用的shell，系统默认使用，系统默认使用 /bin/bash。 例如：例如：root ：x ：0 ：0 ：root ：/root ：/bin/bash 62021年年7月月20日日 /etc/shadow 是是根据根据/etc/p

5、asswd文件产生文件产生的，一行存储一个的，一行存储一个 组账号的信息，各域之间以冒号组账号的信息，各域之间以冒号“ ：”分隔：分隔： 用户名。用户名。 加密的口令密文。加密的口令密文。 从从1970年年1 月月1日到上次口令修改日期的天数。日到上次口令修改日期的天数。 口令上次修改后，要过多少天才能再修改。若为口令上次修改后，要过多少天才能再修改。若为0表示表示 没有时间限制。没有时间限制。 如果口令有期限限制，要过期前多少天向用户示警。如果口令有期限限制，要过期前多少天向用户示警。 一般系统默认为一般系统默认为7天。天。 从从1970年年1 月月1日到账号过期的天数，未过期的账号则日到账

6、号过期的天数，未过期的账号则 为空值。为空值。 保留域，未使用保留域，未使用 72021年年7月月20日日 /etc/group /etc/group存储所有组账号的数据，一行表示一存储所有组账号的数据，一行表示一 个组的信息，各域之间以冒号个组的信息，各域之间以冒号“ ：”分隔：分隔： 组名组名 “x”表示加密的组口令，口令的相关信息存储表示加密的组口令，口令的相关信息存储 在在/etc/gshadow文件中，其形式与文件中，其形式与 /etc/shadow相似。相似。 组组ID（GID），系统生成的组），系统生成的组ID小于小于500，管理，管理 员新建的第一个组员新建的第一个组ID为为5

7、00，以后依次递增。，以后依次递增。 该组包含的用户账号列表，以逗号分隔。该组包含的用户账号列表，以逗号分隔。 例如：例如：bin：x：1：root，bin，daemon 82021年年7月月20日日 /etc/gshadow 是是根据根据/etc/group文件产生文件产生的，一行存储的，一行存储 一个用户的信息，各域之间以冒号一个用户的信息，各域之间以冒号“ ：” 分隔：分隔： 组账号名。组账号名。 加密的口令密文。加密的口令密文。 组管理员列表，以组管理员列表，以“，”分隔。分隔。 组成员列表，以组成员列表，以“，”分隔。分隔。 92021年年7月月20日日 用户管理用户管理/命令命令

8、增加用户：增加用户： useradd 选项选项 -d ： 指定用户主目录，默认情况下，将会在指定用户主目录，默认情况下，将会在 /home目录下新建一个与用户名相同的用户主目录。目录下新建一个与用户名相同的用户主目录。 -s ： 指定用户登录时使用的指定用户登录时使用的shell，默认，默认 的的shell为为/bin/bash。 -g ： 指定用户归属的组名。默认地，每当创指定用户归属的组名。默认地，每当创 建一个新用户的时候，一个与用户名相同的组就会被建一个新用户的时候，一个与用户名相同的组就会被 创建，而这个用户就是该组的成员。创建，而这个用户就是该组的成员。 -G ： 在在Linux系

9、统中，一个用户可以属于一个系统中，一个用户可以属于一个 组，也可以属于多个组，其中组，也可以属于多个组，其中用户在初始化时属于的用户在初始化时属于的 组称为组称为主组主组。如果要让用户属于其它的组，应该使用。如果要让用户属于其它的组，应该使用 选项选项-G。 -u ： 指定新用户的指定新用户的UID。 102021年年7月月20日日 用户管理用户管理/命令命令 设置和修改用户口令设置和修改用户口令 ：passwd 用户名用户名 只有超级用户可以使用只有超级用户可以使用“passwd 用户名用户名” 修改其他用户的口令，普通用户只能用不修改其他用户的口令，普通用户只能用不 带参数的带参数的pas

10、swd命令修改自己的口令命令修改自己的口令 。 例如：教材例如：教材P157 图图9-1，图，图9-2 112021年年7月月20日日 用户管理用户管理/命令命令 删除用户的命令为删除用户的命令为userdel，该命令的格式，该命令的格式 为：为： userdel 如果系统不要保存该用户创建的文件，可以如果系统不要保存该用户创建的文件，可以 使用带选项的命令：使用带选项的命令： userdel -r 122021年年7月月20日日 用户管理用户管理/命令命令 修改用户属性修改用户属性 usermod g -G -d -s 增加用户组增加用户组 groupadd 删除用户组删除用户组 group

11、del 修改组成员：用修改组成员：用useradd/usermod或直接或直接 编辑编辑/etc/group文件文件，将用户名写到对应的，将用户名写到对应的 组名的后面。组名的后面。 例如：例如：bin：x：1：root，bin，daemon 132021年年7月月20日日 图形界面的用户管理图形界面的用户管理 选择选择“系统系统”“管理管理”“用户和组群用户和组群”或或 在在Shell提示符下键入提示符下键入: system-config-users 142021年年7月月20日日 图形界面的用户管理图形界面的用户管理 选择选择“编辑编辑”“首选项首选项”“首选项首选项”对话框对话框 152

12、021年年7月月20日日 图形界面的用户管理图形界面的用户管理 162021年年7月月20日日 图形界面的用户管理图形界面的用户管理 172021年年7月月20日日 图形界面的用户管理图形界面的用户管理 182021年年7月月20日日 图形界面的用户管理图形界面的用户管理 192021年年7月月20日日 图形界面的用户管理图形界面的用户管理 202021年年7月月20日日 账号管理和查看命令账号管理和查看命令 Whoami ：该命令的功能在于显示用户自该命令的功能在于显示用户自 身的用户名。身的用户名。 who 选项选项：该命令主要用于查看当前在该命令主要用于查看当前在 线的用户情况。线的用户

13、情况。 w命令命令 ：用于显示登录到系统的用户情况用于显示登录到系统的用户情况 finger ：该命令可用于查找和显示用户信该命令可用于查找和显示用户信 息，并在查找后显示指定账号的相关信息。息，并在查找后显示指定账号的相关信息。 Chfn：命令能够改变系统存储的用户信息。命令能够改变系统存储的用户信息。 su 用户名用户名 ：用于切换用户身份用于切换用户身份 212021年年7月月20日日 账号管理和查看命令账号管理和查看命令 例如例如: obgobglinux obg1$ finger obg Login: obg Name: (null) Directory: /home/obg1 Sh

14、ell: /bin/bash On since Mon Nov 22 21:29 (CST) on pts/0 from 192.168.1.3 No mail. No Plan. 222021年年7月月20日日 账号管理和查看命令账号管理和查看命令 例如：例如：newobglinux new $ chfn Changing finger information for new. Name : masenger Office : jkx Office Phone : 2276302 Home Phone : 2121212 Finger information changed 232021年年

15、7月月20日日 文件权限管理文件权限管理 Linux/Unix 的文件访问权限分为三级：的文件访问权限分为三级： 文件主（文件主（user） 同组用户（同组用户（group） 其他用户（其他用户（others） 访问权限规定三种访问文件或目录的方式：访问权限规定三种访问文件或目录的方式： 读（读（r） 写（写（w） 可执行或查找（可执行或查找（x） 242021年年7月月20日日 文件权限管理文件权限管理 rwx rwx rwx user group others 一个普通文件一个普通文件 r : 可以查看文件内容可以查看文件内容 w : 可以修改文件内容可以修改文件内容 x : 可以执行文件

16、可以执行文件 一个目录（文件夹）一个目录（文件夹） r : 可以查看文件夹下的文件可以查看文件夹下的文件 w : 可以在文件夹下创建和删除文件可以在文件夹下创建和删除文件 x : 可以进入文件夹或者访问文件夹下的文件可以进入文件夹或者访问文件夹下的文件 252021年年7月月20日日 文件权限管理文件权限管理 更改文件所有者命令更改文件所有者命令chown chown 选项选项 user:group . 例例1：将目录：将目录/usr/mengqc及其下面的及其下面的 所有文件、子目录的文件主改变成所有文件、子目录的文件主改变成liu。 chown -R liu /usr/mengqc 例例2

17、：把文件：把文件chap1.txt的拥有者改为的拥有者改为 longkey，同时所属组改为，同时所属组改为root组。组。 chown longkey：root chap1.txt 262021年年7月月20日日 文件权限管理文件权限管理 更改文件访问权限命令更改文件访问权限命令chmod chmod 选项选项 . mode：ugoa+- =rwxX, u（user）表示文件的所有者）表示文件的所有者 g（group）表示文件的所属组）表示文件的所属组 o（others）表示其他用户）表示其他用户 a（all）代表所有用户（即）代表所有用户（即u+g+o） r 表示读权限表示读权限 w 表示写

18、权限表示写权限 x 表示执行权限表示执行权限 272021年年7月月20日日 文件权限管理文件权限管理 例例1：将文件：将文件ex1的权限改为所有用户对其的权限改为所有用户对其 都有执行权限。都有执行权限。 chmod a+x ex1 例例2：将文件：将文件ex1的权限重新设置为文件主的权限重新设置为文件主 可以读和执行，组用户可以执行，其他用可以读和执行，组用户可以执行，其他用 户无权访问。户无权访问。 chmod u=r，ug=x ex1 282021年年7月月20日日 文件权限管理文件权限管理 更改文件访问权限命令更改文件访问权限命令chmod chmod 选项选项 . 其中其中mode

19、也可以也可以用数字来表示权限用数字来表示权限： chmod abc file a,b,c各为一个各为一个数字数字，分别表示，分别表示User、 Group、及、及Other的权限。的权限。 用三位二进制数表示其用三位二进制数表示其rwx权限，权限，000111 对应设置位，对应设置位，r为为100、w为为010、x为为001， 转换为十进制，读、写、执行权限依次对转换为十进制，读、写、执行权限依次对 应应4、2、1。 权限是关于可读（权限是关于可读（r）、可写）、可写(w)、可执行、可执行(r) 三个属性设置值的和。三个属性设置值的和。 292021年年7月月20日日 文件权限管理文件权限管理

20、 例如：例如： 若要若要rwx属性，二进制数表示为属性，二进制数表示为： 111 ， 则八进制数为则八进制数为： 4+2+1=7 若要若要rw- 属性，二进制数表示为属性，二进制数表示为： 110 ，则八，则八 进制数为进制数为： 4+2=6 若要若要r-x 属性，二进制数表示为属性，二进制数表示为： 101 ，则八，则八 进制数为进制数为： 4+1=5 缺省的文件权限：缺省的文件权限： /etc/passwd rw- r- r- 644 /etc/shadow r- - - 400 302021年年7月月20日日 文件权限管理文件权限管理 例如：对于文件例如：对于文件chap1.txt 用户

21、用户 user group others 权限权限 rwx rw- r- 二进制二进制 111 110 100 4+2+1 4+2+0 4+0+0 八进制八进制 7 6 4 chmod 764 chap1.txt 等同于等同于 chmod u=rwx,g=rw,o=r chap1.txt 312021年年7月月20日日 文件权限管理文件权限管理 改变文件或目录的所属组改变文件或目录的所属组命令命令chgrp chgrp 选项选项 说明：如果用户不是该文件的文件主或超说明：如果用户不是该文件的文件主或超 级用户，则不能改变该文件或目录的所属级用户，则不能改变该文件或目录的所属 组。组。chown

22、可以同时改变文件拥有者和所可以同时改变文件拥有者和所 属组，属组，chgrp只具有改变所属组的功能。只具有改变所属组的功能。 参数选项：参数选项： -R 递归式地改变指定目录及其下面的所递归式地改变指定目录及其下面的所 有子目录和文件的用户组。有子目录和文件的用户组。 322021年年7月月20日日 文件权限管理文件权限管理 例例1：将文件：将文件“chap1.txt”的所属组改为的所属组改为 root组。组。 chgrp root chap1.txt 例例2：将：将/usr/mengqc及其子目录下的所及其子目录下的所 有文件的用户组改为有文件的用户组改为mengxin。 chgrp -R

23、mengxin /usr/mengqc 332021年年7月月20日日 进程管理进程管理/进程的概念进程的概念 Linux系统上所有运行的任务都可以称之为系统上所有运行的任务都可以称之为 一个进程。每个用户任务、每个系统管理一个进程。每个用户任务、每个系统管理 任务都可以称之为进程。进程是一个程序任务都可以称之为进程。进程是一个程序 的运行。的运行。 Linux用用分时管理分时管理的方法使所有的进程共享的方法使所有的进程共享 系统资源。系统资源。 342021年年7月月20日日 进程的概念进程的概念 Linux操作系统包括三种不同类型的进程，操作系统包括三种不同类型的进程， 每种进程都有自己的

24、特点和属性：每种进程都有自己的特点和属性： 交互进程交互进程: 由由shell启动的进程。启动的进程。 批处理进程批处理进程: 这种进程和终端没有联系，这种进程和终端没有联系， 是一个进程序列。是一个进程序列。 守护进程守护进程: （Daemon，也称为，也称为精灵进程精灵进程） 在后台持续运行的进程。在后台持续运行的进程。 352021年年7月月20日日 启动进程启动进程/手工启动手工启动 手工启动手工启动 前台启动前台启动 : 一般地，用户键入一个命令，一般地，用户键入一个命令， 就已经启动了一个前台的进程。就已经启动了一个前台的进程。 后台启动后台启动 : 对于非常耗时进程，可以让进对于

25、非常耗时进程，可以让进 程在后台运行。从后台启动进程其实就是程在后台运行。从后台启动进程其实就是 在命令结尾加上一个在命令结尾加上一个“&”号号 。 362021年年7月月20日日 启动进程启动进程/调度启动调度启动 调度启动调度启动 1）at命令命令 : 在指定时刻执行命令序列在指定时刻执行命令序列 在在shell提示符下输入提示符下输入”at 时间时间”，回车，回车 后可以在之后的后可以在之后的at提示符下输入任务指提示符下输入任务指 令，每一行输入一个命令，所有命令都令，每一行输入一个命令，所有命令都 输入完毕后按输入完毕后按Ctrl+d存盘退出存盘退出 。 将各个命令将各个命令写入写入

26、shell脚本脚本中，然后使用中，然后使用 下面格式设置在指定时间执行下面格式设置在指定时间执行shell脚本脚本 中的命令：中的命令：at 时间时间 f 脚本文件脚本文件 372021年年7月月20日日 启动进程启动进程/调度启动调度启动 at命令的写法非常灵活命令的写法非常灵活 例例1：指定在今天下午：指定在今天下午6:30执行某命令。假设执行某命令。假设 现在时间是现在时间是2011年年3月月25日下午日下午15:30，其命，其命 令格式如下：令格式如下： at 6:30pm at 18:30 at 18:30 today at now + 3 hours at now + 180 mi

27、nutes at 18:30 25.3.11 at 18:30 3/25/11 at 18:30 Mar 25 382021年年7月月20日日 启动进程启动进程/调度启动调度启动 常用常用at指令指令 at： 安排延时任务安排延时任务 atq： 查询当前的等待任务查询当前的等待任务 atrm： 删除等待任务删除等待任务 batch：以一个低优先级延时执行任务，：以一个低优先级延时执行任务， 在资源比较空闲的时候执行命令在资源比较空闲的时候执行命令 392021年年7月月20日日 启动进程启动进程/调度启动调度启动 /cron命令命令 cron命令在系统启动时由一个命令在系统启动时由一个shel

28、l脚本自动启动，脚本自动启动， 进入后台。进入后台。 cron启动启动后搜索后搜索/var/spool/cron目录，寻找以目录，寻找以 /etc/passwd文件中的用户名命名的文件中的用户名命名的crontab文件，文件， 被找到的这种文件将载入内存。被找到的这种文件将载入内存。 如果没有如果没有crontab文件，就转入文件，就转入“休眠休眠”状态，释状态，释 放系统资源。放系统资源。 cron每分钟每分钟“醒醒”过来一次，查看当前是否有需过来一次，查看当前是否有需 要运行的命令。要运行的命令。 如果发现某个用户设置了如果发现某个用户设置了crontab文件，它将以该文件，它将以该 用户

29、的身份去运行文件中指定的命令。命令执行用户的身份去运行文件中指定的命令。命令执行 结束后，任何输出都将作为邮件发送给结束后，任何输出都将作为邮件发送给crontab的的 所有者，或者所有者，或者/etc/crontab文件中文件中MAILTO环境变环境变 量中指定的用户。量中指定的用户。 402021年年7月月20日日 启动进程启动进程/调度启动调度启动 /cron命令命令 crontab文件文件 用户把要执行的命令序列放到用户把要执行的命令序列放到crontab文件中文件中 以获得执行。每个用户都可以有自己的以获得执行。每个用户都可以有自己的 crontab文件。文件。 crontab命令命

30、令 : 用于安装、删除或者列出用于用于安装、删除或者列出用于 驱动驱动cron后台进程的后台进程的crontab文件文件 : crontab -u crontab文件格式文件格式 例如：例如：59 23 * * * tar czvf lhy.tar.gz /home/lhy 412021年年7月月20日日 进程管理命令进程管理命令 进程查看命令进程查看命令 ps ps 选项选项 主要选项的含义如下：主要选项的含义如下： -e：显示所有进程；：显示所有进程； -h：不显示标题；：不显示标题； -l ：采用详细的格式来显示进程；：采用详细的格式来显示进程； -a：显示所有终端上的进程，包括其他用：显示所有终端上的进程，包括其他用 户的进程；户的进程； -r ：只显示当前终端上正在运行的进程；：只显示当前终端上正在运行的进程； -x：显示所有进程，不以终端来区分；：显示所有进程，不以终端来区分； -u：以用户为主的格式来显示进程；：以用户为主的格式来显示进程； 422021年年7月月20日日 进程管理命令进程管理命令 删除进程命令删除进程命令kill kill -s | -p -a . kill -l 信号信号 选项的含义如下：选项的含义如下： -s：指定需要送出的信号。既可以是信号：指定需要送出的信号。既可以是信号 名也可以是信号名对应的数字。名也可以是信号名对应的数字。 -p：