《Linux操作系统基础》课件-项目五：用户权限与系统安全管理

任务描述某公司需要使用Linux操作系统作为服务器操作系统，作为一名网络管理员，为了更好的完成日常管理的工作任务，需要了解Linux多用户多任务的运行机制，用户和组是什么样的关系呢？Linux用户与组的概念Linux用户与组的概念Linux是一个真实的、完整的多用户多任务操作系统，可以在系统上建立多个用户，而多个用户可以在同一时间内登录同一个系统执行各自不同的任务，不同用户具有不同的权限，每个用户是在权限允许的范围内完成不同的任务，linux正是通过这种权限的划分与管理，实现了多用户多任务的运行机制。Linux用户介绍Linux下的用户可以分为三类：超级用户、虚拟用户和普通用户。每个用户都有一个数值，称为UID。超级用户root权限：具有一切权限功能：进行系统维护，管理系统的各项功能，如添加/删除用户、启动/关闭服务进程、开启/禁用硬件设备UID：0Linux用户介绍Linux下的用户可以分为三类：超级用户、虚拟用户和普通用户。每个用户都有一个数值，称为UID。虚拟用户权限：为了满足相应的系统进程对文件属主的要求而建立的，系统用户不能用来登录。功能：Linux系统正常工作所必需的内建的用户，例如：bin、daemon、adm、lp等。UID：1～499（根据版本不同UID上限也不同）Linux用户介绍Linux下的用户可以分为三类：超级用户、虚拟用户和普通用户。每个用户都有一个数值，称为UID。普通用户权限：由管理员赋予的一般权限。功能：由管理员创建的用于日常工作的用户。UID：从500开始（根据版本不同UID起始值也不同）Linux用户与组的概念用户用户组rootxwxmrootxwxm每个用户至少属于一个组，有且只有一个主组，可以有多个附加组；用户组

是用来管理用户，为用户设置权限；Linux用户与组的概念用户和组的关系用户和用户组的对应关系有:一对一、一对多、多对一和多对多；下图展示了以下几种关系:一对一：即一个用户可以存在一个组中，也可以是组中的唯一成员。一对多：即一个用户可以存在多个用户组中。那么此用户具有多个组的共同权限。多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限。多对多：多个用户可以存在多个组中。其实就是上面三个对应关系的扩展。Linux用户与组的概念group用户和组的关系root创建Linux用户任务描述某公司需要使用Linux操作系统作为服务器操作系统，作为一名网络管理员，在系统管理过程中出现了新用户，该如何为用户创建账号，对其进行管理呢？创建Linux用户设计Linux系统的初衷之一就是为了满足多个用户同时工作的需求，因此Linux系统必须具备很好的安全性。安装Linux操作系统时，特别要求设置root管理员密码，这个root管理员就是存在于所有类UNIX系统中的超级用户。它拥有最高的系统所有权。虽然以root管理员的身份工作时不会受到系统的限制，但“能力越大，责任就越大”，因

此一旦使用这个高能的root管理员权限执行了错误的命令可能会直接毁掉整个系统。添加Linux用户-c

comment:

指定一段注释性描述-G

用户组：指定用户所属的附加组使用adduser或useradd

命令创建用户账户时，默认的用户家目录会被存放在/home目录中，默认的Shell解释器为/bin/bash，而且默认会创建一个与该用户同名的基本用户组。语法格式：

useradd[选项]

用户名常用选项：-g

用户组：指定用户所属的用户组-u

用户号：指定该用户的默认UID-d

目录：指定用户的家目录(默认为/home/用户名) -s

shell文件：指定用户的登录Shell添加Linux用户添加Linux用户在系统中添加Linux用户zs，观察添加用户后系统文件有什么变化？在/etc/passwd文件中会看到增加了一行：在home目录下出现zs主目录，zs对/home/zs目录有所有权限，其他用户无任何权限。添加Linux用户在系统中添加Linux用户zs，观察添加用户后系统文件有什么变化？在/etc/group文件中也会增加一行：在/etc/shadow文件中也会增加一行：添加Linux用户利用newusers与chpasswd批量添加用户newusers 用户信息的文本文件chpasswd<密码信息的文本文件 文本文件是已存在应用实例：批量添加a1,a2,a3三个用户，密码都为123456a1:x:520:520::/home/a1:/sbin/basha23:x:5212:5221::/home/a23:/sbin/basha12:123456a3:123456第一步：ttoouucch

puwfilfeil.etx.ttxt第二步：

vii

upfwilfei.ltex.txt第三步：cnhepwaussewrds

<upfiwlef.tilxet.txt课堂训练某软件开发公司

要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组，负责A项目的开发；开发人员小刘和小王组成一个小组，负责B项目的开发；要求：系统管理员为这四名开发人员分别建立用户账号信息，并设置用户的所在组；创建与管理Linux用户组某公司使用Linux作为服务器操作系统，作为一名网络管理员，如何对公司的各部门分组，并将工作人员分配到不同的组中，确保公司系统的正常运行呢？创建Linux用户组为了能够更加高效地指派系统中各个用户的权限，在工作中常常会把几个用户加入到同一个组里面，这样便可以针对一类用户统一安排权限。groupadd命令：用来添加用户组语法格式：groupadd

[选项]

群组名创建Linux用户组常用选项-g

指定新组的GID，默认值是已有的最大的GID加1-r建立一个系统专用组，则分配一个1～999的GID管理Linux用户组groupmod命令：用于修改组的属性语法格式：groupmod

[选项]

群组名常用选项：-g GID：指定组新的GID-n nam：更改组的名字为name管理Linux用户组gpasswd命令：用于把用户添入组或从组中删除语法格式：gpasswd

[选项]

群组名常用选项：-a 用户名:把用户加入组-d 用户名:把用户从组中删除删除Linux用户组groupdel命令：删除指定名称的用户组帐号语法格式：groupdel 群组名需要从系统上删除群组时，可用groupdel指令来完成这项工作。倘若该群组中仍包括某些用户，则必须先删除这些用户后，方能删除群组。某软件开发公司

要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组，负责A项目的开发；开发人员小刘和小王组成一个小组，负责B项目的开发；系统管理员要为这四名开发人员分别建立用户账号，并创建组将工作人员按工作职责添加到相应的组；课堂训练Linux用户与组的文件任务描述某公司需要使用Linux操作系统作为服务器操作系统，作为一名网络管理员，为了便于对用户管理，必须需要熟悉系统中的文件，那么，在Linux系统中有哪些文件呢？Linux用户与组的相关文件/etc/passwd：用户的配置文件/etc/shadow：用户的密码文件/etc/group：用户组文件/etc/gshadow：组的密码文件passwd文件介绍/etc/passwd

文件每一行表示一个用户的信息；一行有7个段位；段位间用:号分割。账号名称

密码

UID

GID 说明信息 主目录 Shell第一字段：用户名（也被称为登录名）第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow文件中第三字段：UID

；用户ID第四字段：GID；用户组的IDpasswd文件介绍/etc/passwd

文件每一行表示一个用户的信息；一行有7个段位；段位间用:号分割。账号名称

密码

UID

GID 说明信息 主目录 Shell第五字段：用户名全称，这是可选的第六字段：用户的家目录所在位置；root

这个用户的家目录是/root第七字段：用户所用SHELL

的类型，root用的是

bash；所以设置为/bin/bashshadow文件介绍可以看到任何用户对它都有读的权限。为了保证系统的正常运行和安全，Linux系统对密码提供了更多一层的保护，即把加密后的密码重定向到另一个文件/etc/shadow。在/etc/passwd文件中，有一个字段是用来存放经过加密的密码。我们先来看一下passwd文件的权限:shadow文件介绍Shadow文件一共有9个字段来表示跟密码有关的部分，字段间用“：”来分隔。用户名：密码：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：不活动时间：

失效时间：标志字段说明shadow文件介绍用户名：和/etc/passwd文件中相对应的用户名。密码：存放加密后的口令(密码)。密码字段为“*”表示用户被禁止登录，为“！！”表示密码未设置，为“！”表示用户被锁定。最后一次修改时间：用户最后一次修改口令的时间(从1970-1-1起计的天数)。最小时间间隔：两次修改口令允许的最小天数。shadow文件介绍最大时间间隔：口令保持有效的最多天数，即多少天后必须修改口令。警告时间：从系统提前警告到口令正式失效的天数。不活动时间：口令过期多少天后，该账号被禁用。失效时间：指示口令失效的绝对天数(从1970-1-1开始计算)。标志字段说明：未使用。group文件介绍Linux系统关于组的信息存放在文件/etc/group中,Linux的组有私有组、系统组、标准组之分。私有组：建立账户时，若没有指定账户所属的组，系统会建立一个组名和用户名相同的组，这个组就是私有组，这个组只容纳了一个用户。标准组：可以容纳多个用户，组中的用户都具有组所拥有的权利。系统组：Linux系统正常运行所必需的，安装Linux系统或添加新的软件包会自动建立系统组。group文件介绍Linux系统关于组的信息存放在文件/etc/group中,Linux的组有私有组、系统组、标准组之分。组群名：组群密码（一般为空，用x占位）：GID：组群成员列表gshadow文件介绍组群名：加密后的组群密码：组管理员：组成员列表课堂训练请观察你的Linux系统中有几个系统用户？他们都有密码么？如果没有密码，这些用户是禁用还是什么状态？任务描述假如某公司使用Linux作为服务器操作系统，而你作为一名网络管理员，用户之间的切换总是避免不了的，那么在切换过程中如何保证用户和系统的安全呢？su与sudo命令su命令su的全称是switch

user（切换用户），可以解决切换用户身份的需求，使得当前用户在不退出登录的情况下，顺畅地切换到其他用户，有两种使用方法：su

和su

-Su命令：使用su切换用户后，当前的环境还是加载切换之前那个用户的环境变量以及各种设置，比如从root管理员切换至普通用户tom。su命令su-命令使用su

-

切换用户后，意味着完全切换到新的用户，即把环境变量信息也变更为新用户的相应信息，而不保留原始的信息。

当从root管理员切换到普通用户时是不需要密码验证的，而从普通用户切换成root管理员就需要进行密码验证了。Sudo命令sudo命令的作用是使普通用户可以临时以root用户的身份和权限执行系统命令，这样既可保证普通用户能够完成特定的工作，也可以避免泄露root管理员密码。sudo服务是通过修改配置文件（/etc/sudoers）来提供集中的用户管理、权限与主机等设置，root用户可以通过Vi sudoers来修改这个配置文件。在保证普通用户完成相应工作的前提下，尽可能少地赋予额外的权限。Sudo命令配置文件/etc/sudoers说明为用户配置sudo权限语法格式：[用户名][被管理主机的IP]=([可以使用的身份]) [NOPASSWD:][授权的命令][被管理主机的IP]、[可以使用的身份]、[授权的命令]都可以使用ALL来表示不受限制；添加[NOPASSWD:]选项可以使用户在使用sudo权限时不需要输入密码；[授权的命令]要使用绝对路径，多条命令之间可用逗号（，）分隔；某软件开发公司

要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组，负责A项目的开发；开发人员小刘和小王组成一个小组，负责B项目的开发；为普通用户提升权限，如果只想让用户小李使用cat命令，应该如何对sudo服务进行设置？每次使用sudo命令都需要输入密码进行验证，如果不想输入密码，应该如何设置？课后训练任务描述文件与目录的权限某公司需要使用Linux操作系统作为服务器操作系统，作为一名网络管理员，如何根据工作需要对系统文件设置权限，以保证系统的安全。文件/目录的所有者和所在组在Linux中的每个用户必须属于一个组，不能独立于组外，在Linux中每个文件有所有者、所在组、其他组的概念。文件或目录的所有者一般就是创建者，谁创建了文件，自然就是该文件的所有者。查看文件的所有者和所在组：ls -ahl 文件或目录文件/目录的所有者和所在组例：创建一个组police，再创建一个用户tom，然后使用tom来创建一个文件，查看文件的情况。文件的权限写 执行 读 写 执行 读 写 执行xrwxrwx1421421指文件或目录的权限权限项 读字符表示 r w数字表示 4 2权限分配 文件所有者 文件所属组 其他用户每个文件都有默认的权限，但不一定合理，如何去修改文件的权限使其符合用户的需求？修改文件的权限chmod命令：用于修改文件或目录的权限，每个文件都有两个用户可以修改：所有者和root第一种方式：+、-、=变更权限命令格式：chmod文件名权限的操作[+-=][rwx]权限的内容[ugoa]权限的对象修改文件的权限修改前修改后修改文件的权限r=4 w=2 x=1第二种方式：通过数字变更权限chmod 权限值 文件目录名修改前权限值700修改后权限值777某软件开发公司

要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组，负责A项目的开发；开发人员小刘和小王组成一个小组，负责B项目的开发；系统管理员要为这四名开发人员分别建立用户账号，并满足以下要求：建立目录/pro_a，该目录里面的文件只能由小张和小李两人读取、增加、删除、修改以及执行，其他用户不能对该目录进行任何的访问操作。建立目录/pro_b，该目录里面的文件只能由小刘和小王两人读取、增加、删除、修改以及执行，其他用户不能对该目录进行任何的访问操作。建立目录/project，该目录里面的文件只能由小刘、小王、小张和小李四人读取、增加、删除、修改以及执行，其他用户只可以该目录进行只读的访问操作。课后训练修改文件所有者和所属组任务描述假如某公司使用Linux作为服务器操作系统，作为一名网络管理员，为了保证系统的安全，如何对文件的所有者和所属组进行修改呢？chown命令：用于设置文件的所有者命令格式：chown 用户名

文件chown

用户名：所在组 文件常用选项：-R 如果是目录，则使其下所有子文件或目录递归生效修改文件的所有者练习使用root创建一个apple.txt文件，然后将其所有者修改成tom修改文件的所有者chgrp命令：用于设置文件的所在组命令格式：chgrp 所属组 文件名常用选项：-R 如果是目录，则使其下所有子文件或目录递归生效修改文件的所在组例使用root将apple.txt文件的所在组修改成police。修改文件的所在组某软件开发公司

要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组，负责A项目的开发；开发人员小刘和小王组成一个小组，负责B项目的开发；现在公司要进行项目的交接工作，并满足以下要求：将项目A移交给项目组B负责，小李作为负责人负责该项目；现在将项目B移交给公司完成，小王作为负责人负责该项目。课后训练任务描述who和last命令假如某公司使用Linux作为服务器操作系统，而你作为一名网络管理员，应该了解一段时间内哪些用户登录过系统，当前系统中哪些用户正在登录，以及每个登录用户的执行情况。who

命令只能显示当前登陆的用户信息，但无法知晓每个用户正在执行的命令。命令格式：who [选项] [file]说明：who

命令默认是通过

/var/run/utmp

文件来获取登陆用户信息，但如果通过

file

指定另一个文件，则

who

命令将不再默认读取

/var/run/utmp

文件，而是读取该指定文件来获取信息。who命令【例

】显示系统最新启动日期，以及每个用户的登陆详情、终端状态。等同于who

-s用户名登陆终端登陆时间who命令有关

who

命令常用选项及含义选项含义-a列出所有信息，相当于所有选项。-b列出系统最近启动的时间日期。-l列出所有可登陆的终端信息。-m仅列出关于当前终端的信息，who

-m

命令等同于

who

am

i。-q列出在本地系统上的用户和用户数的清单。-r显示当前系统的运行级别。-s仅显示名称、线路和时间字段信息，这是

who

命令的默认选项。有关

who

命令常用选项及含义选项含义-u显示当前每个用户的用户名、登陆终端、登陆时间、线路活动和进程标识。-T或

-w显示

tty

终端的状态，“+”表示对任何人可写，“-”表示仅对root

用户或所有者可写，“？”表示遇到线路故障。w

命令查看服务器上目前已登录的用户信息，还可以知道每个用户执行任务的情况。w

命令的格式：w [选项] [用户名]如果

w

命令后跟

[用户名]，则表示只显示此用户的信息。who和last命令w

命令的选项及含义选项 含义-h 不显示输出信息的标题-l 用长格式输出-s 用短格式输出，不显示登陆时间，JCPU

和

PCPU