Linux系统与网络管理08-用户管理

1、1Linux系统与网络管理第八章 用户管理2用户o 用户n新用户在Linux系统内要有一个帐号和工作环境。n帐号包含了用户名、口令和UID、GID。o 用户名用户名是用户用于登录Linux系统使用的名字，该名字在同一系统上必须唯一，用户名存在/etc/passwd中。o 口令口令对应于用户名的登录密码，存在/etc/shadow中。o UID和和GID决定了该帐号所具有的权限，不同的帐号可以使用同样的UID和GID，则这些帐号具有相同的权限。3用户n 工作环境包括：用户的家目录、用户使用的shell、用户的登录脚本、登入欢迎信息等等。o 用户家目录用户家目录：用户登录成功后所在的目录。里面存放

2、与用户有关的配置文件。用户对家目录具备所有的操作权限。在/etc/passwd中设定。o 用户使用的用户使用的shell：也是由/etc/passwd来指定。o 用户登录的脚本用户登录的脚本：存放于用户的家目录下，默认是从模板/etc/skel目录进行复制（如.bashrc 、.bash_profile等等）o 登入欢迎信息登入欢迎信息：存放在/etc/motd文件中。4用户数据库/etc/passwdo /etc/passwd文件n该文件是所有用户都可读，但只有超级用户可写。n该文件中的每一行用于描述系统中的一个帐号，依次由以下几个字段组成，字段之间用冒号分隔：用户名：口令：用户名：口令：U

3、ID：GID：注释信息：家目录：注释信息：家目录：shell注意：即使该字段为空白，也要用冒号分隔。n口令域是一个“x”，表示密码文件存在于/etc/shadow中，早期的passwd文件直接包含了口令，如果将旧系统的passwd文件移植到新系统，可以使用pwconv命令，把口令从passwd中移到shadow。5用户数据库/etc/passwdn 一般说来，用户的登录名不应该超过八个字符登录名不应该超过八个字符。因为不同的unix操作系统在处理长用户名的时候其方法是不一样的。n 登录的shell不必一定是shell，任何可执行程任何可执行程序都可以序都可以。n passwd文件是普通的文本文

4、件，因此可以手工修改文件中的用户信息。手动修改passwd最好使用vipw命令，避免多人同时修改passwd文件而导致文件被破坏。6用户数据库/etc/shadowo /etc/shadow文件n 将口令从passwd分离到shadow文件是出于安全性的考虑，一定程度上减少了对口令文件字典攻击的可能性。n shadow文件只有超级用户有读取权限。n shadow文件中每一行包含以下几个部分：o 登录名。o 加密过的口令。o 从1970年1月1日起计算，该口令修改后已经过去了多少天。7用户数据库/etc/shadowo 需要再过多少天才能修改这个口令。o 需要再过多少天这个口令必须被修改。o 需

5、要在这个口令失效之前多少天对用户发出提示警告。o 口令失效多少天之后禁用这个账户。o 从1970年1月1日起计算多少天，该帐号将被禁用。o 保留域。o 每个用户的数据占用一行，彼此用冒号冒号隔开。如下面的例子：8用户数据库/etc/groupo /etc/group文件n 在/etc/passwd中包含每个用户缺省的GID，在/etc/group文件中，这个GID被映射到该用户分组的名称以及同一分组中的其他成员。n group文件中每一行的格式如下所示：用户分组名：加过密的分组口令：用户分组名：加过密的分组口令：GID：成员清单：成员清单o 缺省是不带分组口令的，一般情况下组口令是禁用的。如果

6、设置了组口令，则组口令存在于/etc/gshadow中。o 每一个数据域还是以冒号冒号隔开的o 成员清单以逗号逗号分隔的9用户管理增加用户o 增加用户nuseradd命令o 语法：useradd 选项选项 用户名用户名o 默认情况下（不接任何选项），用/etc/defaults/useradd文件指定的缺省值来指定帐号的属性。o 常见选项：n -u uid 用户的UID值 。数字不可为负值。n -g defaultgroup 指定该用户登录使用的群组。n -c comment 该用户的注释说明。n -d home_dir 指定用户的家目录。n -m 用户家目录不在则自动创建。10用户管理增加用

7、户n -k skel_dir 指定用户模板目录，默认是/etc/skel。n -s shell 指定用户使用的shell。n -e expire_date 帐号终止日期。日期的指定格式为YYYY-MM-DD n -f inactive_days 帐号过期几日后永久停权 。值为0时帐号则立刻被停权。值为-1时则关闭此功能，预设值为-1o 修改用户属性nusermod命令o 语法：usermod 选项选项 用户名用户名o 常见选项和上面所述useradd一样。11用户管理修改用户属性n useradd命令o 该命令也可以用来修改用户的默认属性。（即修改/etc/defaults/useradd文件

8、）o 语法：useradd -D 选项选项o 常见选项:n -b home_dir 修改默认的用户家目录n -e expire_date 修改默认帐号的终止时间n -f inactive_days 修改默认帐号过期后几天停权n -g defaultgroup 修改默认帐号的组n -s shell 修改默认帐号的shell12用户管理修改用户属性n chage命令o 功能：用于改变用户口令的期限o 语法：chage 选项选项 用户名用户名o 默认情况下（不接任何选项），是通过交互式的提示进行各项的设定。o 常用选项：n -m mindays：口令最小有效时间n -M maxdays：口令最长有效

9、时间n -w warn：口令失效前几天开始警告n -I inactive：口令失效后几天禁用该用户n -E expiredate：指定帐号禁用的时间，可以直接用数字表示从1970年1月1日以来的天数，也可以指定日期，如11/14/08或2008/11/1413用户管理删除用户o 删除用户n userdel命令o 功能：用于删除一个用户o 语法：userdel -r 用户名用户名o 选项-r可以用于清除用户的家目录。o 注意：注意：删除用户时如果保留了该用户在系统上的文件，则需要把该用户遗留的文件收集到一个专用目录，并设置好访问权限，否则会带来安全隐患。因为再创建新用户时，会使得新用户使用了已删

10、除用户的UID，可以访问到任何没有删除的、属于已删除用户的文件。14用户管理增加组、删除组o 增加组n groupadd命令o 功能：用于添加一个新组o 语法：groupadd 选项选项 组名组名o 常用选项：n -g gid：指定增加组的gido 删除组n groupdel命令o 功能：用于删除一个组o 语法：groupdel 组名组名15用户管理修改组属性o 修改组属性n gpasswd命令o 功能：group的管理工具，主要用于组成员的编辑。o 语法：gpasswd 选项选项 组名组名o 默认情况下（不接任何选项）是设置组的口令，前面已经提过，组口令在现在的系统中没什么作用了。o 常用选

11、项：n -a user：添加一个用户到指定组中n -d user：从指定组中删除一个用户n groupmod命令o 功能：用于修改组的GID和组名16用户管理修改组属性o 语法：groupmod 选项选项 组名组名o 常用选项：n -g gid：修改指定组的GIDn -n group_name：修改指定组的组名n usermod命令o 该命令也可以用来编辑组的成员。o 用法为：usermod -G 组组1,组组2，. 用户用户名名o 说明：这样可以使用户加入到指定的组中，列表中未列出的组若包含该用户，则自动将该用户从该组中移出。17用户管理修改组属性思考：思考：假设假设/etc/group中包

12、含如下信息：中包含如下信息：NBA：x：501：Iverson，KobeRockets：x：502：McGrady，ArtestCBA：x：503：Yao，Yi1）现在要求在）现在要求在NBA组中增加用户组中增加用户Yao，Yi，在，在Rockets组中增加组中增加用户用户Yao，用两种方法实现（，用两种方法实现（gpasswd和和usermod）。）。2）把）把CBA的的GID改为改为666，CBA组名改为组名改为China答案：答案：1）方法一：）方法一：gpasswd -a Yao NBA gpasswd -a Yi NBA gpasswd -a Yao Rockets 方法二：方法二：

13、usermod -G NBA，Rockets，CBA Yao usermod -G NBA，CBA Yi2）groupmod -g 666 CBA groupmod -n China CBA18用户的环境o 用户的环境n系统环境文件系统环境文件：/etc/profile和/etc/bashrc，由系统管理员维护；n用户环境文件用户环境文件：家目录下的.bash_profile和.bashrc，由用户自己进行维护。n大多数环境变量即便是系统环境文件中已设置了，可以到用户环境文件中重新设置。n查看当前变量的设置用不带选项的set命令。n查看在当前环境下定义的，已经输出了的设置，用env命令。19用

14、户的安全性o 口令的安全n选择强口令o 不使用正常的英文单词或用户名字o 使用字母（大小写混合）和数字o 使用特殊符号n使用口令时限的功能，定期修改口令o root帐号的安全n尽可能不要给普通用户root帐号，如果普通用户需要执行某些超级用户才能执行的命令，可以采用以下两种方式：o 设置SUID或SGIDo 使用sudo20用户的安全性n尽量不要用root帐号直接进行远程登录（telnet），应用普通用户登录后，用su切换到超级用户。o 尽量不要创建匿名帐号（无口令）o 设置好umasknumask是通过8进制数666减去后所描述的权限，默认为022，即缺省权限为644。n系统的umask在系

15、统环境文件系统环境文件设置，用户可以用户环境用户环境文件文件重新设置。o 设置警告信息（day信息）n修改/etc/motd文件，警告入侵者21登录进Linuxo 使用gettyngetty程序是传统的用于启动登录进程的程序。o 它设置终端的线速率（波特率），并发出登录的提示符。o 它使用mingetty程序，一个用于虚拟控制台的最小的getty程序。nmingetty程序用于设置终端的特征，允许login程序打出提示符，然后接收用户名和口令。nmingetty由init运行，一旦init启动，它就读取/etc/inittab，根据配置产生所有运行级别所需要的mingetty。nmingetty调用login，登录成功后，login又调用一个shell。22登录进Linuxo 登录缺省值n 登录缺省值在/etc/login.defs里定义。n