Linux账号管理与ACL权限设置(一)

1、长春大学课程教案用纸教 学 过 程 设 计教学时间复习提问：Bash的主要功能有哪些？如何查看系统中的环境变量？新课引入：管理员工作中，相当重要的一环就是“管理帐号”。因为整个系统都是你管理的，并且所有一般用户的帐号申请都必须要通过你的协助才行，所以我们必须了解一下如何管理好一个服务器主机的帐号。新授内容知识点：1、Linux的帐户与用户组本章主要命令：账号管理： useradd, userdel密码管理与设定：passwd, 使用者身份切换：su, sudo, visudo,查询用户及登录信息： id, finger, w, who, last, lastlog,用户对话:wall, mes

2、g, write, mail账号管理：管理员的工作中，相当重要的一环就是管理账号。使用者的 ID 与群组的 ID ：其实 Linux 并不会直接认识你的账号名称，它认识的其实是你的账号 ID ！1) 怎样登入 Linux 主机呀？当你输入账号与密码之后， Linux 会： 先找寻 /etc/passwd 里面是否有这个账号？如果没有则跳出，如果有的话则将该账号对应的 UID ( User ID )与 GID ( Group ID )读出来，另外，该账号的家目录与 shell 设定也一并读出； 再来则是核对密码表！这时 Linux 会进入 /etc/shadow 里面找出对应的账号与 UID，然

3、后核对一下你刚刚输入的密码与里头的密码是否相符？ 如果一切都 OK 的话，就进入 Shell 控管的阶段！所以，当你要登入你的 Linux 主机的时候，/etc/passwd 与 /etc/shadow 就必须要让系统读取。其实主机并不会认识你的“账号名称”的，它进认识ID(ID就是一组号码)，每个登录的用户至少都会取得两个ID(UID和GID)。那么文件如何判别它的所有者与用户组呢？就是利用UID与GID。每一个文件都会有所谓的UID与GID，当我们有要显示文件属性的需求时，系统会依据/etc/passwd与/etc/group的内容，找到UID/GID对应的账号与组名再显示出来。当用户要使

4、用资源或者运行命令的时候，系统通过UID和GID对应的权限来验证是否有权限使用资源。2) 认识 /etc/passwd 档案与 /etc/shadow 档案账号管理最重要的两个档案就是/etc/passwd 与 /etc/shadow了，这两个档案可以说是 Linux 里头最重要的档案之一了，如果没有这两个档案的话，可是无法登入 Linux 的！ passwd 的构造： 这个档案的构造是这样的：每一行都代表一个账号，有几行就代表有几个账号在你的系统中！不过需要特别留意的是，里头很多账号本来就是系统中必须要的（例如 bin, daemon, adm, nobody 等等），请不要随意的杀掉它。每

5、一行都由6个冒号隔开，都有7个部分，x是密码的占位符，每一个用户都有一个ID，每一个组也都有一个ID，用户的家目录Root用户的UID为0，如果一个用户的UID为0的话，那么这个用户也就变成了管理员，UID1499的用户是系统用户，普通用户的UID从500开始到65535。系统用户是不能登录系统的，默认不创建家目录，每一个用户必须要属于一个组才可以。shadow 的构造：由于 /etc/passwd 并不安全，所以后来发展出将密码移动到 /etc/shadow 这个档案中分隔开来的技术，并且加入了很多的限制参数在 /etc/shadow 里头。root:$1$/30QpE5e$y9N/D0bh

6、6rAACBEz.hqo00:14126:0:99999:7: : 用户名 密码 密码不可被改动天数 最近修改密码日期(1970.1.1算1)在往后是密码需要重新变更的天数(在这个天数内重设你的密码)密码需要更改期限前的警告天数(再过n天密码就要过期了)密码过期后的账号宽限时间(当你登录系统时，系统会强制要求你必须要重新设置密码才能登录继续使用)账号失效日期(账号在此字段规定的日期之后，将无法再使用)认识了账号相关的两个文件/etc/passwd与/etc/shadow之后，那么用户的组配置文件在哪里？此时就需要了解/etc/group与/etc/gshadow。2、账号管理1) userad

7、droot test /root # useradd -u UID -g GID -d HOME -mM -s shell username参数说明： -u ：直接给予一个 UID -g ：后面接的那个用户组名是initial group(初始用户组)-G ：后面接的组名是次要用户组(这个账号还可以加入的用户组)-d ：直接将他的家目录指向已经存在的目录（系统不会再建立）-M ：不建立家目录-s ：定义其使用的 shell 范例：root test /root# useradd testing =直接以预设的数据建立一个名为 testing 的账号 root test /root# usera

8、dd -u 720 -g 100 -M -s /bin/bash testing =以自己的设定建立账号范例：#useradd vbird1 /添加一个用户vbird1#ls -l /home#grep vbird1 /etc/passwd /etc/shadow /etc/group可以看到/etc/shadow中密码栏是不可登入的(以!开头)，还需要使用passwd来给予vbird1密码后，才算新增完毕范例：#useradd -g lyan aaa /指定用户的初始组为lyan初始用户组：使用者登入系统，立刻拥有这个群组的相关权限。另一种组为次要用户组。#id -Gn aaa /id命令显

9、示用户以及所属群组的实际与有效ID，-g显示用户所属群组的ID，-G所有组(all group)的ID，-n显示用户所属群组或附加群组的名称。#useradd -G lyan bbb -G:会为bbb创建初始组(主组)bbb，还会将bbb加入lyan组(次要组或称附属组)#id -Gn bbb bbb lyan范例：#useradd -g lyan -d /root vbird2 -g：group组，作为初始组(主组)，系统就不会为vbird2创建一个初始组，而是直接把它加入lyan组里面。#grep vbird2 /etc/passwd /etc/group#useradd -G root

10、vbird3 #grep vbird3 /etc/passwd /etc/group增加三种形式的用户，同时查看相关文件的内容范例：#usermod -G root lyan /先设置好用户的次要组usermod的-G选项后面接次要用户组，修改这个用户能够支持的用户组，修改的是/etc/group#grep lyan /etc/passwd /etc/group /etc/shadow2) passwdroot test /root# passwd username test test /root# passwd /后面没加账号，就是修改自己的密码root test /root# passwd

11、 test /root修改test的密码hanging password for user test New password: =输入密码 BAD PASSWORD: it is based on a dictionary word Retype new password: =再输入一次！ passwd: all authentication tokens updated successfully说明：这个指令可以改使用者的密码，要注意的是，这个指令在 /bin/passwd 中，而账号所存放的地方在 /etc/passwd 中，是不一样的！ 一般使用者的用法是直接输入 passwd 即可；

12、 root 可以使用 passwd username 来替 username 这个账号取一个新的密码！3) usermod使用useradd后，发现某些地方还可以进行细节修改(进行账号相关数据的微调)-L：暂时将使用者的密码冻结-U：将/etc/shadow密码列的!去掉，即解冻#usermod -L student#usermod U student#usermod -d /home/lyan aaa /改变家目录#grep aaa /etc/passwd4) userdelroot test /root # userdel -r username 参数说明：-r ：将该账号的home di

13、rectory与/var/spool/mail/username一并删除！ 范例： root test /root# userdel testing =只有砍掉 /etc/passwd 与 /etc/shadow 的该账号内容； root test /root# userdel -r testing=连该账号的 /home/testing 与 /var/spool/mail/testing 都砍掉！3、用户身份切换1) suroot test /root # su 范例：testtest test$ su Password: =输入 root 的密码 #env |grep root /env显

14、示当前用户的环境变量#exitroottest test# =身份变成 root 了！testtest test$ su - =连环境参数档案都是读取 root 的！ #env |grep root /env显示当前用户的环境变量#exitroottest root# su test =将 root 的身份改为 test ，且不需要输入密码。如果不想要将 root 的密码流出去呢？呵呵！可以使用 sudo 来进行工作。2) sudoroot test /root # sudo -u username command 参数说明： -u ：将身份变成 username 的身份 范例： testte

15、st test$ sudo mkdir /root/testingPassword: =输入 test 自己的密码 roottest test$ sudo -u test touch test If you still have to login, please tell meOr I will do it”回车#mesg#mesg n#mesg y#write rootHi, How are you doing todayNothing.,just say hello to you!Ctrl+d(结束)$mail root -s “hello”I miss youWhen will you come back.（结束）Cc: Enter(这里是所谓的副本，不需要寄给其他人，所以直接按Enter)读信：#mail?Tq /退出课程小结：Linux操作系统上面，关于帐号与用户组，其实记录的是UID/GID的数字而已。用户帐号/用户组与UID/G