Linux操作系统-总复习-第六章.ppt

1、Linux操作系统,总复习,第六章 帐户管理,6.1账户概述 6.2命令行工具管理帐户 6.3图形用户管理工具,Linux中的账户,用户账户 超级用户：UID=0，GID=0 普通用户：UID=500 伪用户：0UID500 组账户 标准组：标准组可以容纳多个用户，若使用标准组，在创建一个新的用户时就要指定他所属于的组。 私有组：私有组中只有用户自己。当在创建一个新用户user时， 若没有指定他所属于的组，Red Hat 就建立一个和该用户同名的私有组。,用户和组的关系,组是用户的集合。一个标准组可以容纳多个用户。 同一个用户可以同属于多个组，这些组可以是私有组，也可以是标准组。 当一个用户同

2、属于多个组时，将这些组分为： 主组：用户登录系统时的组。 附加组：可切换的其他组。,系统账户文件,用户口令文件/etc/passwd 文件权限：(-rw-r-r-) 用户影子口令文件/etc/shadow 文件权限：(-r-) 组账号文件/etc/group 文件权限： (-rw-r-r-) 组口令文件/etc/gshadow 文件权限：(-r-),/etc/passwd 是系统识别用户的一个文件，做个不恰当的比喻，/etc/passwd 是一个花名册，系统所有的用户都在这里有登录记载； 当我们以beinan 这个账号登录时，系统首先会查阅 /etc/passwd 文件，看是否有beinan

3、这个账号，然后确定beinan的UID，通过UID 来确认用户和身份，如果存在则读取/etc/shadow 影子文件中所对应的beinan的密码；如果密码核实无误则登录系统，读取用户的配置文件；,在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每个段位用:号分割，比如下面是我的系统中的/etc/passwd 的一行: beinan:x:500:500:beinansun:/home/beinan:/bin/bash,/etc/passwd文件,linuxsir:x:501:502:/home/linuxsir:/bin/bash 第一字段：用户名（也被称为登录名）

4、；在上面的例子中，我们看到这两个用户的用户名分别是 beinan 和linuxsir； 第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中； 第三字段：UID ； 第四字段：GID；,第五字段：用户名全称，这是可选的，可以不设置，在beinan这个用户中，用户的全称是beinan sun ；而linuxsir 这个用户是没有设置全称； 第六字段：用户的家目录所在位置；beinan 这个用户是/home/beinan ，而linuxsir 这个用户是/home/linuxsir ； 第七字段：用户所用SHELL 的类型，beinan和linuxsir 都

5、用的是 bash ；所以设置为/bin/bash ；,关于UID,UID 是用户的ID 值，在系统中每个用户的UID的值是唯一的，更确切的说每个用户都要对应一个唯一的UID ，系统管理员应该确保这一规则。 系统用户的UID的值从0开始，是一个正整数，至于最大值可以在/etc/login.defs 可以查到，一般Linux发行版约定为60000； 在Linux 中，root的UID是0，拥有系统最高权限；,/etc/shadow文件是/etc/passwd 的影子文件，这两个文件是对应互补的。 shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息，比如用户的有效期

6、限等；这个文件只有root权限可以读取和操作。,/etc/shadow文件,/etc/group文件,/etc/group 文件是用户组的配置文件，内容包括用户和用户组，并且能显示出用户是归属哪个用户组或哪几个用户组，因为一个用户可以归属一个或多个不同的用户组；同一用户组的用户之间具有相似的特征。,比如我们把某一用户加入到root用户组，那么这个用户就可以浏览root用户家目录的文件，如果root用户把某个文件的读写执行权限开放，root用户组的所有用户都可以修改此文件，如果是可执行的文件（比如脚本），root用户组的用户也是可以执行的； 用户组的特性在系统管理中为系统管理员提供了极大的方便，

7、但安全性也是值得关注的，如某个用户下有对系统管理有最重要的内容，最好让用户拥有独立的用户组，或者是把用户下的文件的权限设置为完全私有；另外root用户组一般不要轻易把普通用户加入进去。,关于GID,GID和UID类似，是一个正整数或0，GID从0开始，GID为0的组让系统付予给root用户组； 系统会预留一些较靠前的GID给系统虚拟用户（也被称为伪装用户）之用；每个系统预留的GID都有所不同，比如Fedora 预留了500个，我们添加新用户组时，用户组是从500开始的；而Slackware 是把前100个GID预留，新添加的用户组是从100开始； 查看系统添加用户组默认的GID范围应该查看 /

8、etc/login.defs 中的 GID_MIN 和GID_MAX值；,/etc/gshadow文件,/etc/gshadow是/etc/group的加密信息文件，比如用户组（Group）管理密码就是存放在这个文件。/etc/gshadow和/etc/group是互补的两个文件。 对于大型服务器，针对很多用户和组，定制一些关系结构比较复杂的权限模型，设置用户组密码是极有必要的。 比如我们不想让一些非用户组成员永久拥有用户组的权限和特性，这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性，这时就要用到用户组密码；,与账户管理相关的其他文件或目录,用户配置文件 /etc/login

9、.defs /etc/default/useradd 初始用户工作环境目录 /etc/skel,/etc/login.defs配置文件,/etc/login.defs 文件是当创建用户时的一些规划，比如创建用户时，是否需要家目录，UID和GID的范围；用户的期限等等，这个文件是可以通过root来定义的； 查看文件内容： less login.defs,/etc/default/useradd配置文件,通过useradd 添加用户时的规则文件: # useradd defaults fileGROUP=100HOME=/home /把用户家目录建在/home；INACTIVE=-1 /是否启用帐

10、号过期停权，-1表示不启用EXPIRE= /帐号终止日期，不设置表示不启用；SHELL=/bin/bash /所用SHELL的类型；SKEL=/etc/skel / 默认添加用户的家目录默认文件存放位置；也就是说，当我们用adduser添加用户时，用户家目录下的文件，都是从这个目录中复制过去的；,/etc/skel目录,/etc/skel目录一般是存放用户启动文件的目录，这个目录是由root权限控制，当我们添加用户时，这个目录下的文件自动复制到新添加的用户的家目录下； /etc/skel 目录下的文件都是隐藏文件，也就是类似.file格式的；我们可通过修改、添加、删除/etc/skel目录下的

11、文件，来为用户提供一个统一、标准的、默认的用户环境；,6.2使用命令行工具管理帐户,添加用户账号 口令管理与口令时效 修改用户账号 删除用户账号 添加组账号 修改组账号 删除组账号,添加用户账号,使用useradd命令 useradd 不加参数选项，后面直接跟所添加的用户名时，系统会读取添加用户配置文件/etc/login.defs和/etc/default/useradd中所定义的规则添加用户；并向/etc/passwd和/etc/group文件添加用户和用户组记录；当然/etc/passwd和/etc/groups的加密资讯文件也同步生成记录；同时发生的还有系统会自动在/etc/add/d

12、efault中所约定的目录中建用户的家目录，并复制/etc/skel中的文件（包括隐藏文件）到新用户的家目录中；,命令格式：#useradd 常用选项： -g group：指定新用户的主组。 -G group：指定新用户的附加组。 -u uid: 指定用户的ID号。,添加用户账号,操作举例： # useradd user1 # useradd -g mygroup user2 # useradd -G staff tom,useradd D 的使用,useradd 加-D参数后，就是用来改变配置文件/etc/default/useradd的 。 Useradd D的用法： useradd -D

13、 -g group -b base -s shell -f inactive -e expire ,口令设置,使用useradd命令创建用户账户之后需要使用passwd命令设置初始口令 passwd 作为普通用户和超级权限用户都可以运行，但作为普通用户只能更改自己的用户密码，但前提是没有被root用户锁定；如果root用户运行passwd ，可以设置或修改任何用户的密码；,格式：# passwd 选项 常用选项： -d, -delete：删除用户密码，仅能以root 权限操作； -l, -lock：锁住用户无权更改其密码，仅能 通过root权限操作； -u, -unlock：解除锁定；,口令时

14、效,命令格式：# chage 常用选项： -m days：密码可更改的最小天数。为零时代表任何时候都可以更改密码。 -M days：密码保持有效的最大天数。 -W days：用户密码到期前，提前收到警告信息的天数。,口令时效,操作举例： 用户user1两天内不能更改口令，并且口令最长的存活期为30天， 并在口令过期前5天通知user1。 # chage -m 2 -M 30 -W 5 user1,修改用户账号,命令格式：# usermod 常用选项：选项与useradd命令基本相同。 usermod -u uid -g group -G group,. -s shell -c 注释 -l 新名

15、称 usermod不允许你改变正在线上的用户帐号名称。当usermod用来改变userID,必须确认这名user没在电脑上执行任何程序。,操作举例： # usermod -l user2 user1 # usermod -G softgroup jjh,删除用户账号,命令格式：# userdel 常用选项：-r 用于删除用户的宿主目录 操作举例： # userdel user2 # userdel -r user1,添加组账号,命令格式： # groupadd 常用选项： -r：用于创建系统组账号（GID小于500 ） -g：用于指定GID 操作举例： # groupadd mygroup # groupadd -r sysgroup # groupadd -g 888 group2,修改组账号,命令格式： # groupmod 常用选项： -g：改变组账号的GID ，组账号名保持不变。 -n：改变组账号名，GID不变。 操作举例： # groupmod -g 503 mygroup # groupmod -n newgroup mygroup,删除组账号,命令格式：# groupdel 注意事项： 被删除的组账号必须存在 当有用户使用组账号作为私有组时不能删除 与用户名同名的私有组账号在