《linux操作系统》课件 第 5 章 管理 Linux 用户组、用户及权限

Linux用户组、用户及权限管理0104Linux用户管理规则与约定05Linux用户组管理总结与展望0203Linux文件权限管理目录CONTENTS01Linux用户管理01Linux用户按角色分为超级用户（如root）、普通用户和虚拟用户（如apache）。超级用户拥有最高权限，普通用户只能访问和修改自己目录下的文件，虚拟用户用于运行特定服务，但不能登录系统。02/etc/passwd文件存储用户信息，每行代表一个用户，字段包括用户名、密码占位符、UID、GID、备注信息、主目录和登录Shell。密码数据存储在/etc/shadow文件中，包含加密密码和密码限制参数。用户角色分类用户信息文件使用useradd创建用户，passwd设置用户密码，usermod修改用户属性，userdel删除用户。例如，useradd-c"ChenCheng"-d/home/cc01-mchencheng创建用户并设置主目录。使用su切换用户，id查看用户身份信息。su-lchencheng切换用户并加载目标用户配置文件。用户管理命令03用户类型与角色创建与删除用户创建用户时，指定用户名、主目录和用户组。例如，useradd-u1010-d/home/lucyLucy创建用户Lucy并设置UID和主目录。删除用户时，使用userdel-rf用户名删除用户及其主目录。修改用户属性修改用户属性，如注释信息、主目录和用户组。例如，usermod-c"ChenCheng"-d/home/cc01-mchencheng修改用户chencheng的注释和主目录。锁定和解锁用户账户，使用usermod-L和usermod-U。用户密码管理设置和修改用户密码，使用passwd用户名。例如，passwdchencheng修改用户chencheng的密码。删除用户密码，使用passwd-d用户名。例如，passwd-dchencheng删除用户chencheng的密码。用户管理实践02Linux用户组管理01用户组定义用户组是具有相同特性的用户的逻辑集合，用于管理用户权限。每个用户都有一个基本用户组和多个附加用户组。02用户组分类用户组分为基本组（私有组）、系统用户组和附加组（公共组）。基本组与用户同名，系统用户组包含系统用户，附加组可包含多个用户。03用户组配置文件/etc/group文件记录用户组信息，字段包括组名、密码占位符、GID和附加组用户列表。/etc/gshadow文件存储用户组密码信息。用户组概念与分类01使用groupadd创建用户组，groupdel删除用户组。例如，groupaddasset01创建用户组asset01。删除用户组时，确保没有用户使用该组作为初始用户组。02使用groupmod修改用户组属性，如组名和GID。例如，groupmod-nnewgroupoldgroup修改用户组名称。创建与删除用户组修改用户组属性使用chgrp改变文件或目录的用户组。例如，chgrpasset01/test/proj/asset01将目录asset01的用户组更改为asset01。变更文件用户组03用户组管理命令0102创建用户组为公司销售部创建组名为sale的用户组，groupaddsale。为公司财务部创建组名为fi的用户组，groupaddfi。添加用户到用户组将用户添加到用户组，使用usermod-aG组名用户名。例如，usermod-aGasset01lilei将用户lilei添加到用户组asset01。为不同部门的用户分配到相应的用户组，确保权限管理的灵活性和安全性。用户组管理实践03Linux文件权限管理文件权限分为读（r）、写（w）和执行（x）三种。目录权限包括读、写和执行权限，分别对应浏览目录、修改目录结构和进入目录的权限。权限分类权限可以用符号（如rwx）或数字（如755）表示。数字表示法中，4表示读权限，2表示写权限，1表示执行权限。权限表示每个文件有属主、属组和其他用户三种权限。属主通常是文件创建者，属组是文件所属的用户组，其他用户是除属主和属组之外的用户。文件权限与用户关系权限类型与表示权限设置使用chmod设置文件或目录的权限。可以使用符号法（如chmodu+x文件名）或数字法（如chmod755文件名）。例如，chmod770/test/proj/asset01设置目录asset01的权限，使属主和属组具有读写执行权限，其他用户无权限。权限提升使用sudo命令允许普通用户以root用户的身份执行特定命令。例如，sudo-uroot命令以root用户身份执行命令。权限管理命令为项目组目录设置权限，确保只有项目组成员可以访问和修改文件。例如，chmod770/test/proj/asset01设置目录权限。01验证权限配置是否成功，使用组内和组外用户分别访问目录。组内用户可以正常访问，组外用户访问时会提示权限拒绝。02使用ACL（访问控制列表）为特定用户或用户组设置额外的权限。例如，setfacl-mu:cc01:w文件名为用户cc01添加写权限。03设置目录权限验证权限配置使用ACL精准控制权限权限管理实践04规则与约定用户名应由小写字母、数字和下划线组成，长度在2~32个字符之间，避免使用系统保留的关键字。用户命名规则01组名由1~32个字符组成，可使用字母、数字、下划线、短划线和点号，首字符不能是数字，避免使用系统保留的组名。用户组命名规则02用户与用户组命名规则最小权限原则为每个用户或用户组分配完成其任务所需的最小权限，避免赋予过多权限，减少安全风险。权限分离将系统管理和维护任务分解为多个角色，为每个角色分配不同权限，防止某个角色被恶意利用。谨慎修改权限修改目录或文件权限前，了解其作用和影响，避免随意更改系统目录和关键文件的权限。权限管理原则强口令原则用户设置强口令，长度至少8位，禁用弱口令和字典口令，每90天修改一次密码。root用户管理原则避免使用root用户执行日常任务，使用sudo进行特权提升，减少使用root用户带来的风险。服务账户原则建立服务账户，通常具有不可登录Shell，确保系统安全。账户密码管理原则记录所有对目录和文件权限的更改，监控潜在的异常活动