《用戶與權(quán)限管理》PPT幻燈片

1、1,RedHat Linux課程,第六章,Linux用戶與權(quán)限管理,2,Vi的三種工作模式 Vi的基本操作 使用Vi進(jìn)行配置文件的編輯,內(nèi)容回顧,3,Vi 的模式,三種模式 命令模式 輸入模式 末行模式,Linux,退出vi,vi file,4,Vi 的模式,命令模式,空白區(qū),5,輸入模式,Vi 的模式,6,末行模式,Vi 的模式,7,Vi 的命令,命令模式下的操作命令 輸入模式下的操作命令 末行模式下的操作命令,8,掌握用戶和組相關(guān)的配置文件 掌握用戶和組管理的方法 日常的管理用戶和組 掌握Linux權(quán)限的表示及設(shè)置 了解Linux文件和目錄安全管理原則,本章目標(biāo),9,用戶管理類命令,用戶管

2、理 組管理 密碼管理 用戶信息查詢,10,引 言,Linux系統(tǒng)是一個(gè)多用戶的時(shí)操作系統(tǒng)，任何一個(gè)要使用系統(tǒng)資源的用戶，都必須首先向系統(tǒng)管理員申請(qǐng)一個(gè)賬號(hào)，然后以這個(gè)賬號(hào)的身份進(jìn)入系統(tǒng)。 用戶的賬號(hào)一方面可以幫助系統(tǒng)管理員對(duì)使用系統(tǒng)的用戶進(jìn)行跟蹤，并控制他們對(duì)系統(tǒng)資源的訪問；另一方面也可以幫助用戶組織文件，并為用戶提供安全性保護(hù)。每個(gè)用戶賬號(hào)都擁有一個(gè)惟一的用戶名和各自的口令。用戶在登錄時(shí)鍵入正確的用戶名和口令后，就能夠進(jìn)入系統(tǒng)和自己的主目錄。 實(shí)現(xiàn)用戶賬號(hào)的管理，要完成的工作主要有如下幾個(gè)方面： 1.用戶賬號(hào)的添加、刪除與修改。 2.用戶口令的管理。 3.用戶組的管理。,11,用戶和組帳號(hào)概

3、述,Linux基于用戶身份對(duì)資源訪問進(jìn)行控制 用戶帳號(hào)： 超級(jí)用戶root 普通用戶 程序用戶 組帳號(hào)： 基本組(私有組) 附加組（公共組） UID和GID： UID（User Identity，用戶標(biāo)識(shí)號(hào)） GID（Group Identify，組標(biāo)識(shí)號(hào)）,12,/etc/passwd 用戶信息文件,用戶帳號(hào)管理,13,用戶帳號(hào)文件 passwd,用于保存用戶的帳號(hào)基本信息 文件位置：/etc/passwd 每一行對(duì)應(yīng)一個(gè)用戶的帳號(hào)記錄,rootlocalhost # tail -2 /etc/passwd sabayon:x:86:86:Sabayon user:/home/sabayon

4、:/sbin/nologin benet:x:500:500:BENET Student User:/home/benet:/bin/bash,字段1：用戶帳號(hào)的名稱 字段2：用戶密碼字串或者密碼占位符“x” 字段3：用戶帳號(hào)的UID號(hào) 字段4：所屬基本組帳號(hào)的GID號(hào) 字段5：用戶全名 字段6：宿主目錄 字段7：登錄Shell信息,14,/etc/passwd,15,用戶UID,UID：用戶獨(dú)一無(wú)二的身份標(biāo)識(shí),16,/etc/shadow 密碼文件,17,用戶帳號(hào)文件 shadow,用于保存密碼字串、密碼有效期等信息 文件位置：/etc/shadow 每一行對(duì)應(yīng)一個(gè)用戶的密碼記錄,rootl

5、ocalhost # tail -2 /etc/shadow sabayon:!:14495:0:99999:7: mary:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:14495:0:99999:7:,字段1：用戶帳號(hào)的名稱 字段2：加密的密碼字串信息 字段3：上次修改密碼的時(shí)間 字段4：指的是兩次修改口令之間所需的最小天數(shù)，0為不作要求 字段5：密碼的最長(zhǎng)有效天數(shù)，默認(rèn)值為99999 字段6：提前多少天警告用戶口令將過(guò)期，默認(rèn)值為7 字段7：在密碼過(guò)期之后多少天禁用此用戶 字段8：帳號(hào)失效時(shí)間，默認(rèn)值為空 字段9：保留字段（未使用）,18,用戶管理命令 usera

6、dd userdel usermod,用戶帳號(hào)管理,19,添加用戶帳號(hào),useradd命令 格式：useradd 選項(xiàng). 用戶名 常用命令選項(xiàng) -u：指定 UID 標(biāo)記號(hào) -d：指定宿主目錄，缺省為 /home/用戶名 -e：指定帳號(hào)失效時(shí)間 -g：指定用戶的基本組名（或UID號(hào)） -G：指定用戶的附加組名（或GID號(hào)） -M：不為用戶建立并初始化宿主目錄 -s：指定用戶的登錄Shell,20,用戶帳號(hào)的初始配置文件,文件來(lái)源 新建用戶帳號(hào)時(shí)，從 /etc/skel 目錄中復(fù)制而來(lái) 主要的用戶初始配置文件 /.bash_profile：用戶每次登錄時(shí)執(zhí)行 /.bashrc：每次進(jìn)入新的Bash

7、環(huán)境時(shí)執(zhí)行 /.bash_logout：用戶每次退出登錄時(shí)執(zhí)行,全局初始配置文件 /etc/bashrc /erc/profile,rootlocalhost # cat /.bashrc alias rm=rm -i alias cp=cp -i alias mv=mv -i ,21,設(shè)置/更改用戶口令,passwd命令 格式：passwd 選項(xiàng). 用戶名 常用命令選項(xiàng) -d：清空用戶的密碼，使之無(wú)需密碼即可登錄 -l：鎖定用戶帳號(hào) -S：查看用戶帳號(hào)的狀態(tài)（是否被鎖定） -u：解鎖用戶帳號(hào),22,修改用戶帳號(hào)的屬性,usermod命令 格式：usermod 選項(xiàng). 用戶名 常用命令選項(xiàng) -

8、l：更改用戶帳號(hào)的登錄名稱 -L：鎖定用戶賬戶 -U：解鎖用戶賬戶 以下選項(xiàng)與useradd命令中的含義相同 -u、-d、-e、-g、-G、-s,23,usermod 選項(xiàng) 用戶名,用戶帳號(hào)管理,usermod -u uid username 修改用戶的UID usermod -g gid username 修改用戶的GID usermod -l newname oldname 修改用戶名 usermod -G groupname username 添加用戶到組 usermod -L username 鎖定用戶 6. usermod -U username 解除鎖定,24,刪除用戶帳號(hào),use

9、rdel命令 格式：userdel -r 用戶名 添加 -r 選項(xiàng)時(shí)，表示連用戶的宿主目錄一并刪除,rootlocalhost # useradd stu01 rootlocalhost # ls -ld /home/stu01/ drwx- 2 stu01 stu01 4096 09-09 12:38 /home/stu01/ rootlocalhost # userdel -r stu01 rootlocalhost # ls -ld /home/stu01/ ls: /home/stu01/: 沒有那個(gè)文件或目錄,刪除用戶帳號(hào)stu01,25,userdel -r username -r

10、 :將該賬號(hào)的 home directory與/var/spool/mail/username一并刪除。,eg: userdel -r sam,用戶帳號(hào)管理,注意：一般而言，如果該賬號(hào)只是暫時(shí)不啟用的話，那么將 /etc/shadow 里頭最后倒數(shù)一個(gè)字段設(shè)定為 0 就可以讓該賬號(hào)無(wú)法使用，但是所有跟該賬號(hào)相關(guān)的數(shù)據(jù)都會(huì)留下來(lái)！使用 userdel 的時(shí)機(jī)通常是你真的確定不要讓該用戶在主機(jī)上面使用任何數(shù)據(jù)了！,26,組帳號(hào)文件 group、gshadow,與用戶帳號(hào)文件相類似 /etc/group：保存組帳號(hào)基本信息 /etc/gshadow：保存組帳號(hào)的密碼信息,rootlocalhost

11、# grep adm /etc/group sys:x:3:root,bin,adm adm:x:4:root,adm,daemon,組帳號(hào)名,組成員列表,27,用戶組管理,/etc/group 用戶組文件,28,用戶組管理,/etc/gshadow 用戶組密碼文件,29,用戶組管理命令 groupadd groupdel groupmod,用戶組管理,30,groupadd -g GID 用戶組 -g GID 指定新用戶組的組標(biāo)識(shí)（GID）,用戶組管理,groupdel 用戶組,groupmod -g GID -n 用戶組 -g GID 為用戶組指定新的組標(biāo)識(shí)號(hào) -n新用戶組 將用戶組的名字

12、改為新名字,例如：將組名為group2修改為group3。 groupmod -n group3 group2,31,添加組帳號(hào),groupadd命令 格式：groupadd -g GID 組帳號(hào)名,rootlocalhost # groupadd -g 1000 market rootlocalhost # tail -1 /etc/group market:x:1000:,添加組帳號(hào)market,32,添加、刪除組成員,gpasswd命令 用途：設(shè)置組帳號(hào)密碼（極少用）、添加/刪除組成員 格式：gpasswd 選項(xiàng). 組帳號(hào)名 常用命令選項(xiàng) -a：向組內(nèi)添加一個(gè)用戶 -d：從組內(nèi)刪除一個(gè)用

13、戶成員 -M：定義組成員列表，以逗號(hào)分隔,rootlocalhost # gpasswd -a benet market 正在將用戶“benet”加入到“market”組中 rootlocalhost # grep market /etc/group market:x:1000:benet rootlocalhost # gpasswd -M benet,root,adm market rootlocalhost # grep market /etc/group market:x:1000:benet,root,adm,添加組成員benet,定義多個(gè)組成員,rootlocalhost # gr

14、ep market /etc/group market:x:1000:benet,root,adm rootlocalhost # gpasswd -d root market 正在將用戶“root”從“market”組中刪除 rootlocalhost # grep market /etc/group market:x:1000:benet,adm,刪除組成員root,33,刪除組帳號(hào),groupdel命令 格式：groupdel 組帳號(hào)名,rootlocalhost # groupdel market rootlocalhost # grep market /etc/group rootl

15、ocalhost #,刪除組帳號(hào)market,34,用戶和組帳號(hào)查詢,id命令 用途：查詢用戶身份標(biāo)識(shí) 格式：id 用戶名 groups命令 用途:查詢用戶所屬的組 格式：groups 用戶名 finger命令 用途：查詢用戶帳號(hào)的詳細(xì)信息 格式：finger -l 用戶名 users、w 、who命令 用途：查詢已登錄到主機(jī)的用戶信息,35,圖形化的用戶和組管理工具,打開方式 “系統(tǒng)”“管理”“用戶和組群” 按Alt+F2鍵后，運(yùn)行“system-config-users”,36,小結(jié),請(qǐng)思考： 主要有哪兩個(gè)用戶帳號(hào)文件，各有什么作用？ 如何鎖定、解鎖用戶帳號(hào)？ 在添加用戶帳號(hào)時(shí)，如何設(shè)置其

16、失效時(shí)間？ 用戶初始配置文件包括哪些，各有什么作用？ 如何設(shè)置一個(gè)組的多個(gè)用戶成員？,37,手工添加帳戶,先建立所需要的群組（ vi /etc/group ） 建立賬號(hào)的各個(gè)屬性（ vi /etc/passwd ） 將 passwd 與 shadow 同步化 （ /usr/sbin/pwconv ） 建立該賬號(hào)的密碼 （ passwd acount ） 建立使用者家目錄 （ cp -r /etc/skel /home/acount ） 更改家目錄屬性（ chown -R acount：group /home/acount）,38,手工添加test帳戶,39,添加和刪除用戶對(duì)每位Linux系統(tǒng)管

17、理員都是輕而易舉的事，比較棘手的是如果要添加幾十個(gè)、上百個(gè)甚至上千個(gè)用戶時(shí)，我們不太可能還使用useradd一個(gè)一個(gè)地添加，必然要找一種簡(jiǎn)便的創(chuàng)建大量用戶的方法。 問題：如何添加大量用戶？ 1、 vi user.txt 2、newusers user.txt 3、pwunconv 4、vi passwd.txt 5、chpasswd passwd.txt 6、pwconv,思考？,40,文件/目錄的權(quán)限和歸屬,訪問權(quán)限 讀?。涸试S查看文件內(nèi)容、顯示目錄列表 寫入：允許修改文件內(nèi)容，允許在目錄中新建、移動(dòng)、刪除文件或子目錄 可執(zhí)行：允許運(yùn)行程序、切換目錄 歸屬（所有權(quán)） 屬主：擁有該文件或目錄的

18、用戶帳號(hào) 屬組：擁有該文件或目錄的組帳號(hào),41,查看文件/目錄的權(quán)限和歸屬,rootlocalhost # ls -l install.log -rw-r-r- 1 root root 34298 04-02 00:23 install.log,文件類型,屬組,屬主,訪問權(quán)限,42,設(shè)置文件/目錄的權(quán)限,chmod命令 格式1：chmod ugoa +-= rwx 文件或目錄.,u、g、o、a 分別表示 屬主、屬組、其他用戶、所有用戶,+、-、= 分別表示 增加、去除、設(shè)置權(quán)限,對(duì)應(yīng)的權(quán)限字符,3位八進(jìn)制數(shù),格式2：chmod nnn 文件或目錄.,常用命令選項(xiàng) -R：遞歸修改指定目錄下所有文

19、件、子目錄的權(quán)限,43,chmod a-x temp,rw- rw- rw- 收回所有用戶的執(zhí)行權(quán)限,chmod og-w temp,rw- r- r- 收回屬組用戶和其他用戶的寫權(quán)限,chmod g+w temp,chmod u+x temp,chmod go+x temp,rw- rw- r- 賦予屬組用戶寫權(quán)限,rwx rw- r- 賦予文件屬主執(zhí)行權(quán)限,rwx rwx r-x 賦予屬組用戶和其他用戶執(zhí)行權(quán)限,權(quán)限表示方法,temp : rwxrwxrwx,44,數(shù)字表示法 chmod n1n2n3 filename 參數(shù)說(shuō)明: 1. r 對(duì)應(yīng)數(shù)值4, w 對(duì)應(yīng)數(shù)值2, x 對(duì)應(yīng)數(shù)值1

20、2. rwx合起來(lái)就是4+2+1=7,即上邊表示為n1 3. rwxrwxrwx表權(quán)限全開放的文件,數(shù)值777,權(quán)限表示方法,45,例如當(dāng)屬性為 -rwxrwx- 則是： owner = rwx = 4+2+1 = 7 group = rwx = 4+2+1 = 7 others = - = 0+0+0 = 0 例如：要將屬性變成-rwxr-xr- -rwxr-xr 4+2+14+0+14+0+0=754 所以輸入： chmod 754 filename,數(shù)字權(quán)限表示方法,46,設(shè)置文件/目錄的歸屬,chown命令 格式：chown 屬主 文件或目錄 chown :屬組 文件或目錄 chown

21、 屬主:屬組 文件或目錄 常用命令選項(xiàng) -R：遞歸修改指定目錄下所有文件、子目錄的歸屬,47,特殊權(quán)限,s位,t位,SET位權(quán)限 主要用途： 為可執(zhí)行（有 x 權(quán)限的）文件設(shè)置，權(quán)限字符為“s” 其他用戶執(zhí)行該文件時(shí)，將擁有屬主或?qū)俳M用戶的權(quán)限 s位只能加在文件的所有者或組的x位上 s位代表當(dāng)用戶執(zhí)行該文件時(shí),以文件的所有者或文件的組的權(quán)限來(lái)執(zhí)行該文件(這時(shí)不需要看用戶對(duì)該文件的身份) SET位權(quán)限類型： SUID：表示對(duì)屬主用戶增加SET位權(quán)限 SGID：表示對(duì)屬組內(nèi)的用戶增加SET位權(quán)限,rootlocalhost # ls -l /usr/bin/passwd -rwsr-xr-x 1

22、root root 19876 2006-07-17 /usr/bin/passwd,普通用戶以root用戶的身份，間接更新了shadow文件中自己的密碼,應(yīng)用示例：/usr/bin/passwd,48,使用附加權(quán)限,粘滯位權(quán)限（Sticky） 主要用途： 為公共目錄（例如，權(quán)限為777的）設(shè)置，權(quán)限字符為“t” 用戶不能刪除該目錄中其他用戶的文件 應(yīng)用示例：/tmp、/var/tmp,rootlocalhost # ls -ld /tmp /var/tmp drwxrwxrwt 8 root root 4096 09-09 15:07 /tmp drwxrwxrwt 2 root root

23、4096 09-09 07:00 /var/tmp,粘滯位標(biāo)記字符,49,使用附加權(quán)限,設(shè)置SET位、粘滯位權(quán)限 使用權(quán)限字符 chmod ugs 可執(zhí)行文件. chmod ot 目錄名. 使用權(quán)限數(shù)字： chmod mnnn 可執(zhí)行文件. m為4時(shí)，對(duì)應(yīng)SUID，2對(duì)應(yīng)SGID，1對(duì)應(yīng)粘滯位，可疊加,50,實(shí)驗(yàn)案例：用戶和文件權(quán)限管理,需求描述 建立用戶目錄 創(chuàng)建目錄/tech/benet、/tech/accp，分別用于不同項(xiàng)目組 添加組帳號(hào) 添加組帳號(hào)benet、accp，GID號(hào)分別設(shè)置為1001、1002 為技術(shù)部添加組帳號(hào)tech，GID號(hào)設(shè)置為200 添加用戶帳號(hào) benet組的4個(gè)用戶：jerry、kylin、tsengia、obama 其中的kylin用戶帳號(hào)在2009年8月31日后失效 accp組的2個(gè)用戶：handy、cucci 其中的cucci用戶帳號(hào)的登錄Shell設(shè)置為“/bin/ksh” 上述所有的用戶帳號(hào)均要求加入到tech組內(nèi),51,實(shí)驗(yàn)案例：用戶和文件權(quán)限管理,需求描述 設(shè)置目錄權(quán)限及歸屬 “/tech”目錄的屬組設(shè)為tech，