参考手册第07章帐户管理

1、7.1.1账户实质oLinux操作系统是多用户的操作系统，它多个用户同时登录到系统上，使用系统。o当多个用户同时使用系统时，为了使所有用户的工作都能顺利进行，保护每个用户的文件和进程，也为了系统 自身的安全和稳定，必须建立起一种秩序，使每个用户 的权限都能得到规范。首先需要区分不同的用户，这就产生了用户账户。账户 实质上就是一个用户在系统上的标识，系统依据账户来 区分每个用户的文件、进程、任务，给每个用户提供特定的工作环境。o2014年1月信息工程系-黄振华37.1.2用户和组在Linux系统中，不同类型的用户所具有的权限和所完成的任务也不同。用户的类型通过用户标识符UID来区分，系统中所有的

2、用户UID具有唯一性。Linux系统中的用户包括三种类型Ø超级用户：又称root用户,拥有对系统的最高权限，通过它可以登录到系统，可以操作系统中任何文件和命令。系统用户：也被称之为虚拟用户。与真实用户不同，这类用户是 系统用来执行特定任务的，不具有登录系统的能力，一般不需要 改变其默认设置。普通用户：系统安装后由超级用户创建，能登录系统。ØØ2014年1月信息工程系-黄振华47.1.2用户和组o除了用户账户之外，在Linux下还存在组账户（简称组）。组是用户的集合。在Linux中组有两种类型：私有组和标准组。当创建一个新用户时，未指定所属组，Linux就建立 一个

3、和该用户同名的私有组。此私有组中只包含用户自 己。标准组可以容纳多个用户，若使用标准组，在创建 一个新的用户时就应该指定其所属组。从另一方面讲，同一个用户可以同属于多个组，其登录 后所属的组称为主组，其他的组称为附加组。oo2014年1月信息工程系-黄振华57.1.3Linux环境下的账户系统文件用户账号信息通过用户配置文件/etc/passwd和用户口令文件/etc/shadow来保存。1.用户配置文件/etc/passwd保存除用户口令以外的用户账号信息，所有用户均可查看该文件。某/etc/passwd文件内容如下所示：# cat/etc/passwdroot:x:0:0:root:/ro

4、ot:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin.lenovo:x:500:500:/home/lenovo:/bin/bash/etc/passwd文件中每一行描述一个用户配置信息，通过“：”将 用户的各个属性信息分隔开来，从左到右依次为：用户名、口令、用户ID(UID)、用户所属组的组ID(GID)、全称、用户主目录和 登录Shell。2014年1月信息工程系-黄振华6/etc/passwd文件中各字段的意义2014年1月信息工程系-黄振华7字段说 明用户名这是用户登录系

5、统时使用的用户名，它在系统中是唯一的。口令此字段存放加密的口令。在此文件中的口令是x，这表示用户的口令是被/etc/shadow文件保护的，所有加密的口令以及和口令有关的设置都 保存在/etc/shadow中。用户ID是一个整数，系统内部用它来标识用户。每个用户的UID都是唯一的。root用户的UID是O，从1到999是系统的标准账户。普通用户的UID从1000开始。组ID是一个整数，系统内部用它来标识用户所属的组。每个用户账户在建立好 后都会有一个主组。主组相同的账户其GID相同。用户主目录用于保存该用户的文件，用户登录系统后默认进入的目录。创建用户 时默认的普通用户主目录是/home下与用

6、户同名的目录。全称用户的全称，是用户账号的附加信息，可以为空。命令解释器指示该用户使用的Shell, Linux默认为bash。2用户口令文件/etc/shadow为了提高系统的安全性，Linux将用户口令通过MD5算法进行加密，并移至/etc/shadow文件中保存。此文件仅root用户查看内容，root用户还可以变更口令或停用某个用户帐户，但不能看到口令的内容。shadow文件的内容形式如下： root:$1$UMHcnkVs$WbsUEcstZXKtYvixx34Qi0:13855:0:99999:7: bin:*:13855:0:99999:7:daemon:*:13855:0:999

7、99:7:o2014年1月信息工程系-黄振华8/etc/shadow文件各字段的含义2014年1月信息工程系-黄振华9字段序号含义1用户名，其排列顺序与/etc/passwd 一致234 位加密口令。如为“!”，表示该用户无口令，不能登录。3从1970 年1 月1 日起到上次修改口令日期的间隔天数。对于无口令的用户账号而言，是指从1970 年1 月1 日起到创建该用户账号的间隔天数。4口令自上次修改后，要隔多少天才能再次修改。若为0 则表示没有时间限制。5口令自上次修改后，要隔多少天才能再次修改。若为99999 则表示用户口令未设置为必须修改。6提前多少天警告用户口令将过期。默认为7 天。7在

8、口令过期之后多少天禁用此账号。8从1970 年1 月1 日起到用户账号过期的间隔天数。9保留字段3.用户组配置文件/etc/group保存所有用户组账号的信息，所有用户均可查看其内容。 以下是一个/etc/group文件的范例：# cat/etc/grouproot:x:0:rootbin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon.lenovo:x:500:/etc/group文件中的每一行内容描述了一个用户组的信息，用“：”分成四个字段，从左到右依次为：用户组名，组口令， 组ID和组成员列表，其中口令字段的内容总是以“x”来填充。2014年

9、1月信息工程系-黄振华10/etc/group文件中各字段的意义2014年1月信息工程系-黄振华11字段说 明组名该组的名称组口令用户组口令，由于安全性，已不使用该字段保存口令，用“x”占位GID组的识别号，和UID类似，每个组都有独有的识别号，不同组的GID不会相同组成员属于这个组的成员4、用户组口令文件/etc/gshadow/etc/gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以。o下面是一个/etc/gshadow文件的例子：# cat/etc/gshadowroot:rootbin:root,bin,daemon daemon:root,bin,da

10、emon sys:root,bin,admadm:root,adm,daemon2014年1月信息工程系-黄振华12/etc/gshadow文件中各字段的意义2014年1月信息工程系-黄振华13字段说 明组名用户组名称，该字段与group文件中的组名称对应组口令用户组口令，该字段用于保存已加密的口令组的管理员账号组的管理员账号，管理员对该组添加删除账号组成员属于该组的用户成员列表，列表中多个用户间用“，” 分隔o 7.1账户管理概述o 7.2 使用账户管理命令o 7.3o 7.4口令管理和口令时效用户切换和用户状态命令2014年1月信息工程系-黄振华147.2.1组管理1.创建用户组使用use

11、radd命令创建新用户时，如不指定“-g”选项，将会同时创建一个同名的用户组，并将新用 户归入该用户组中。如果要创建其他用户组，可以使用groupadd命令，其使用方法为：oogroupadd选项用户组名o 该命令只能由root用户使用。其中的主要选项有：o -g组ID用指定的GID号创建用户组。2014年1月信息工程系-黄振华15【例】新建一个名为staff的用户组，GID号为520。# groupadd-g520staffo 利用groupadd命令新建用户组时如果不指定GID，则其GID由系统指定。o groupadd命令的执行结果将在/etc/group文件和/etc/gshadow文

12、件中增加一行该用户组的。2014年1月信息工程系-黄振华162.修改用户组的属性用户组创建后，根据需要可对用户组的相关属性进行修改，主要包括对用户组的名称和GID的修改。用户组属性的修改可使用groupmod命令来实现，其使用方法为：groupmod选项用户组名该命令只能由root用户使用。主要选项有：-g-n组ID组名指定用户组的GID号。指定用户组的名称。【例】将staff用户组改名为worker，GID改为530。# group -n worker -g 530 staff2014年1月信息工程系-黄振华173.删除系统已存在的组账号oGroupdel命令格式如下：groupdel GR

13、OUP其中：GROUP为要删除的组账户名o例如：删除leaders组# groupdel leaders2014年1月信息工程系-黄振华187.2.2用户管理1.创建新用户在Linux中，创建或添加新用户用useradd命令来实现，其使用格式为：useradd选项用户名useradd命令只能由root用户使用。选项用于设置用户账号参数。2014年1月信息工程系-黄振华19useradd主要选项说明2014年1月信息工程系-黄振华20选 项说明-c注释-d主目录设置对用户的注释信息，该信息被加入到/etc/passwd文件的备注栏中。指定用户的主目录。系统默认的用户主目录为“/home/用户名”

14、。-e有效期限-f缓冲天数-g组ID或组名指定用户账号过期日期。日期格式为MM/DD/YY。指定口令过期后多久将关闭此账号。指定用户所属的主要组。系统默认创建一个与用户同名的私有用户组。-G组ID或组名指定用户所属的附加组，多个附加组之间用逗号分隔。-s登录shell指定用户登录后所使用的shell。系统默认为/bin/bash。-u用户ID指定用户的UID。举例：o1. 创建一个新用户newuser，同咐创建用户自家目录# useradd newuser2. 创建一个新用户tom，同时加入staff附加组中# useradd -G staff tom3. 创建一个新用户webmaster，不

15、创建用户自家目录， 指定登录目录/www，同时加入apache附加组中# useradd -d /www -M -G apache webmasteroo2014年1月信息工程系-黄振华212.设置用户账号属性对于已创建好的账户，可使用usermod命令来设置和修改账户的各项属性，包括登录名、主目录、用户组、登录Shell等信息。usermod命令的用法为：usermod选项用户名该命令只能由root用户使用。命令的选项及功能大部分与新建用户时所使用的选项相同，另外新增的选项主要有：-l-L-U新用户名指定用户的新名称锁定用户账户解除用户账户锁定2014年1月信息工程系-黄振华22举例o1.#

16、 2.# 3.# 4.#将newuser2添加到组staff中usermod -G staff newuser2修改newuser2的用户名为newuser1 usermod -l newuser1 newuser2 锁定账号newuser1usermod -L newuser1解除对newuser1的锁定usermod -U newuser1ooo2014年1月信息工程系-黄振华233.删除用户账号要删除指定的用户账号，可使用userdel命令来实现，其用法为：userdel-r用户名该命令只能由root用户使用。若使用“-r”选项，则在删除该账号的同时，一并删除该账号对应的主目录，否则只删

17、除此用户账号。2014年1月信息工程系-黄振华24举例：o1. 删除用户webmaster# userdel webmaster2. 删除用户newuser1，同时删除其主目录o#userdel-rnewuser12014年1月信息工程系-黄振华25o 7.1o 7.2账户管理概述使用账户管理命令o 7.3 口令管理和口令时效o 7.4用户切换和用户状态命令2014年1月信息工程系-黄振华267.3.1使用passwd命令管理口令1.设置或修改用户口令在Linux中对于新创建的用户，在没有设置口令的情况下， 账户是处于锁定状态的，此时用户账户将无法登录系统。用 户口令管理包括用户口令的设置、修

18、改、删除、锁定、等操作，可使用passwd命令来实现。其用法为：passwd选项用户名2014年1月信息工程系-黄振华27选项说明-d-d删除口令。仅管理员才能使用。-k设置只有在口令过期失效后方能更新。-l锁定用户账户。-u解除已锁定账户。-S列出口令的状态信息。(大写）o 1. 在输令时，屏幕上回显。口令的选取至少用六个字符，最好大小写字母和数字及特殊字符搭配使用，尽量不要用英文单词作口令。o 2. 只有管理员账户( root)可以更改其他用户的口令，普通用户只能更改的口令，且在更改口令之前，系统会要求用户输入现在的口令。o 3. 超级用户也可以使用不带任何参数的passwd命令修改的口令

19、。2014年1月信息工程系-黄振华28举例：o1. 创建新用户jason，显示口令状态，为其设置口令# useradd Jason# passwdJason LK # passwd ChangingNew UNIX-S jason2007-12-14 0 99999 7 -1 (Password locked.) jasonpassword for user jason.password:Retype new UNIX password:passwd: all authentication tokens updated successfully.2014年1月信息工程系-黄振华29o2. 用户

20、jason要更改的口令，可以这样操作：$ passwdChanging password Changing passwordfor user jason.for jason(current) UNIX password:New password:Retype new password: passwd: all authentication$tokensupdated successfully2014年1月信息工程系-黄振华30o3. 超级用户可以使用如下命令进行用户口令管理，例如：# passwdjason PS-S jason2007-12-15#显示口令状态0 99999 7 -1 (Pa

21、sswordset, MD5crypt.)# passwd-l jason#锁定用户jasonuser Jason.Locking password forpasswd: Success# passwdjason LK # passwd-S jason2007-12-15-u jason#显示口令状态0 99999 7 -1 (Passwordlocked.)#解除对用户jason的锁定Unlocking passwordpasswd: Success.for user jason# passwdjason PS-S jason2007-12-15#显示口令状态0 99999 7 -1 (Pa

22、ssword set,MD5crypt.)2014年1月信息工程系-黄振华312014年1月信息工程系-黄振华32# passwd -d jason#清空jason的口令Removing password for user jason. passwd: Success# passwd -S jason#显示口令状态jason NP 2007-12-15 0 99999 7 -1 (Empty password.) # passwd jason#重新设置用户jason的口令Changing password for user jason.New UNIX password:Retype new

23、UNIX password:passwd: all authentication tokens updated successfully. # passwd -S jason#显示口令状态jason PS 2007-12-15 0 99999 7 -1 (Password set, MD5 crypt.)7.3.2口令时效o目前已有更强大的硬件大大地缩短了利用自动运行的程序来猜测口令的时间。口令时效是系统管理员用来防止机构内不良口令的一种o技术。防止口令被的方法就是要经常地改变口令。o口令时效意味着过了一段预先设定的时间后，用户会被提示创建一个新口令。它所根据的理论是，如果用户被强制定期改变口

24、令，某o个破译的口令对者来说就只有有限的利用机会。这种用来强制用户在一段时间之后更改口令的机制称为口令时效。2014年1月信息工程系-黄振华337.3.2口令时效o1、设置新添用户的口令时效通过编辑/etc/login.defs，可以指定几个参数，来设置口 令时效的默认设定：#Password aging controls：PASS_MAX_DAYSum number ofdays a password may be used.days allowed between passwordPASS_MIN_DAYS Minimum number of changes.#PASS_MIN_LEN M

25、inimumPASS_WARN_AGE Number expires.acceptablepassword length.of days warning given before a passwordPASS_MAX_DAYS PASS_MIN_DAYS PASS_MIN_LEN PASS_WARN_AGE999990572014年1月信息工程系-黄振华34PASS_MAX_DAYS：设定在多少天后要求用户修改口令。默认口令时效的天数为99999，即关闭了口令时效。更明智的设定一般是60天（每2）强制更改一次口令。PASS_MIN_DAYS：设定在本次口令修改后，下次令之前所需的最少天数。PA

26、SS_MIN_LEN：设定口令的最小字符数。更改口PASS_WARN_AGE：设定在口令失效前多少天开始通知用户更改口令（一般在用户刚刚登陆系统时就会收到警告通知）2014年1月信息工程系-黄振华35o也可以编辑/etc/default/useradd文件中INACTIVE和EXPIRE的设置#The number of days after a password expires until the account is permanently disabledINACTIVE=-1# #The default expire dateEXPIRE=INACTIVE：指明在口令失效后多久时间内，

27、如果口令没有进行更改，则将 账户更改为失效状态。默认值为-1，即关闭了口令时效。更明智的设定一般是60天（每2）强制更改一次口令。EXPIRE：设置所有新用户设定一个口令失效的明确时间（具体格式为“YYYY-MM-DD”）。2014年1月信息工程系-黄振华36o2、设置已存在用户的口令时效对系统已存在用户设置口令时效是通过chage命令来管理的。chage命令的格式是：ochage选项用户登录名2014年1月信息工程系-黄振华372014年1月信息工程系-黄振华38选项说明-m days指定用户必须改变口令所间隔的最少天数。如果值为0，口令就过期。( PASS_MIN_DAYS)-M days

28、指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期，用户在使用该账号前就必须改变口令。( PASS_MAX_DAYS)-d days指定自从1970年1月1日起，口令被改变的天数。-I days指定口令过期后，账号被锁前不活跃的天数。如果值为0，账号在口令过期后就被锁。-E date指定账号被锁的日期，日期格式为YYYY-MM-DD。若不用日期， 也可以使用自1970年1月1日后经过的天数。-W days指定口令过期前要警告用户的天数。(PASS_WARN_AGE)-l列出指定用户当前的口令时效信息，以确定账号何时过期。2014年1月信息工程系-黄振华39举例：o1

29、. 要求用户jason两天内不能更改口令，并且口令最长的存活期为30天，并在口令过期前5天通知jason。# chage -m 2 -M 30 -W 5 jasono2. 可以使用如下命令查看用户jason当前的口令时效信息。# chage -l jasonLast password change:Dec 15,2007Password expires:Jan 14,2008Password inactive:neverAccount expires:neverMinimum number of days between password changes2um number of days b

30、etween password changes30number of days of warning before password expires 5o3. 也可以使用chage <用户名> 进入交互模式修改用户的口令时效。4. 使用chage命令实质上是修改口令文件/etc/shadow 中的与口令时效相关的字段值。oo5.chage命令仅仅适用于本地系统账户。2014年1月信息工程系-黄振华40o 7.1o 7.2o 7.3账户管理概述使用账户管理命令 口令管理和口令时效o 7.4 用户切换和用户状态命令2014年1月信息工程系-黄振华417.4.0理解su和sudo的不同o

31、 系统管理员应该养成良好的习惯：以一个普通用户登录系统进行不同操作，当需要超级用户进行系统管理时再切换超级用户执行系统管理命令。有如下两种方式：o su：直接切换为超级用户普通用户要切换为超级用户必须知道超级用户的口令，适用于系统中只有单个系统管理员的情况。2014年1月信息工程系-黄振华42ooosudo直接使用sudo命令前缀执行系统管理命令。执行系统管理命令时无需知道超级用户的口令，使用普通用户的口令即可。o由于执行系统管理命令时无需知晓超级用户口令，所以适用于系统中有多个系统管理员的情况，因为这样泄露超级用户口令。当然系统只有单个系统管理员时也可以使用。2014年1月信息工程系-黄振华

32、43sudo具有以下特点：oosudo能够限制指定用户在指定主机上运行某些命令。sudo可以提供日志，忠实地每个用户使用sudo做了些什么，并且能将日志传到中心主机或者日志服务器。osudo为系统管理员提供配置文件，系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。sudo使用时间戳文件来完成类似“检票”的系统。当用o户执行sudo并且输入后，用户获得了一张默认存活期为5分钟的“入场券”（默认值可以在编译的时候改变）。超时以后，用户必须重新输入。2014年1月信息工程系-黄振华447.4.1suosu用于切换当前用户到指定的用户账号，命令的格式如 下：

33、su -|-p -c command其中：username-：在切换当前用户时切换用户工作环境。-p：在切换当前用户时不切换用户工作环境，即保持当前用户工作环境,此为缺省值。-c command：以指定的用户执行命令command。username：要切换的用户，缺省为root。root用户切换为普通用户时不需要输令，普通用户切换到其它用户时需要输入被转换用户的口令，切换之后拥有该用户的 权限、环境变量、工作目录等。用exit命令返回原用户。2014年1月信息工程系-黄振华457.4.2sudoosudo命令的格式sudo -V | -h | -k | -l |-vsudo -Hb -u us

34、ername | #uid -i | -s |<command>-V：显示版本信息，并。 -h：显示帮助信息。-l：显示当前用户（执行sudo的使用者）的权限，只有在/etc/sudoers里的用户才能使用该选项。-v：延长有效期限5分钟。-k：将会强迫使用者在下一次执行sudo时问有超过5分钟）。（不论有没2014年1月信息工程系-黄振华462014年1月信息工程系-黄振华47-H：将环境变数中的$HOME指定为要变更的使用者家目录（如不加-u参数就是/root）。-b：在执行指令。-u username | #uid：以指定的用户作为新的。省略此参数表示以root的执行指令。-

35、i：模拟一个新用户的初始Shell。-s：执行环境变量$SHELL所指定的shell，或是/etc/passwd里所指定的mand：为以新用户要执行令。7.4.2ido查看用户帐号信息使用id或finger命令，其使用基本方法为：id用户名finger用户名其中id命令将显示指定用户的UID、GID和用户所属组的信息。finger命令则显示指定用户的主目录、登录终端、登 录Shell、邮件、计划任务等信息。缺省用户名时显示当前用户的相关信息。2014年1月信息工程系-黄振华482014年1月信息工程系-黄振华49【例】查看用户student的主目录及登录相关信息。# fing

36、er studentLogin: studentName:(null)Directory: /home/studentShell:/bin/bashOn since Mon Dec 31 10:02 (CST) on tty3On since Mon Dec 31 10:05 (CST) on tty4 3 hours 29 minutes idleNo mail.No Plan.本章小结：oLinux系统中的用户包括3种类型：超级用户、系统用户和普通用户。用户的帐号信息通过用户配置文件/etc/passwd 和用户口令文件/etc/shadow来保存。oLinux用户组分为两种类型：系统组和

37、私有组。用户组的帐 号信息通过用户组配置文件/etc/group和用户组口令文件/etc/gshadow来保存。o/etc/skel目录存放用来初始化用户主目录的配置文件。/etc/login.defs文件用于在创建用户时进行，如是否需要创建用户主目录、用户的UID和GID的范围、用户的期 限，等等。useradd：用于创建新用户passwd：用于管理用户口令usermod：用于设置用户帐号属性userdel：用于删除用户帐号finger：用于查看用户帐号信息groupadd：用于创建新用户组groupmod：用于修改用户组的属性groupdel：用于删除用户组帐号本章实训：2014年1月信息

38、工程系-黄振华51o1、用root用户登录系统，查看用户账/etc/passwd和口令文件/etc/shadow的内容，注意观察其格式、各账户所使用的Shell、UID、GID等属性信息。o2、创建一个名为frank的用户账号，然后查看新建账户在passwd文件中的内容，注意查看该账户对应的主目录。查看/home目录，是否自动创建了一个与用户名相同的目录，该目录即为该用户的主目录，当用户登录系统后，当前目录即为该目录。查看/etc/group文件内容，是否也创建了一个名为frank的用户组。若在创建用户时，不创建该用户组，则应使用什么命令选项？o3、设置frank用户的口令为“frank123

39、45#”，并在/etc/shadow文件中查看口令字段的内容。然后切换到另一虚拟终端，用frank账号登录系统，看能否正常登录，并观察提示符为“#”还是“$”，最后返回root用户登录的虚拟终端。o 4、增加用户radar，指定其主目录为/home/radar2；增加用户john，指定其UID为550，属于frank组；修改radar，使其UID 为530。本章实训：2014年1月信息工程系-黄振华52o5、给用户radar设置一个口令，然后在别一虚拟终端上进行登录。返回原终端，锁定radar用户口令，观察/etc/shadow文件内容，然后在另一虚拟终端上进行登录。返回原终端，对radar用户口令，观察/etc/shadow文件内容，然后在另一虚拟终端上进行登录。返回原终端，删除radar用户口令，观察/etc/shadow文件内容，然后在另一虚拟终端上进行登录。o6、创建一个名为ftpmanager的普通用户组，然后创建一个名为webftp的用户，并将该用户添加到ftpmanager用户组中。用group webftp命令查看webftp所隶属的用户组。o7、将ftpmanager组改名为mygroup，然后将frank用户添加到mygoup用户组中。用g