項目3 部署用戶和組群

1、Linux網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)項目項目3 部署用戶和組群部署用戶和組群內(nèi)容項目引入項目引入1需求分析需求分析2知識準備知識準備3項目實施項目實施4小結(jié)小結(jié)6反思與進階反思與進階5項目引入在完成Linux操作系統(tǒng)的基礎(chǔ)上，IT協(xié)會的學生擔任網(wǎng)絡(luò)管理員，基于全院師生權(quán)限的不同，需要為其分發(fā)不同的用戶賬號。Linux作為一個多用戶多任務(wù)的操作系統(tǒng)，用戶和組管理是非常重要的問題，直接關(guān)系系統(tǒng)的安全與穩(wěn)定。那么，作為網(wǎng)絡(luò)管理員，必須了解和掌握如何管理Linux系統(tǒng)中各類用戶和組。需求分析為了區(qū)分不同的用戶，必須了解如何創(chuàng)建用戶，如何創(chuàng)建組群，以及同類用戶劃分到同一個組群中。面對生產(chǎn)中大量的用戶，需要

2、使用腳本來完成批量用戶的創(chuàng)建。知識準備一. Linux用戶和組在Linux下用戶分為三種：超級用戶：擁有對系統(tǒng)的最高管理權(quán)限，默認是root用戶。為了防止root用戶因操作不當對系統(tǒng)造成損壞，建議再建立一個普通帳戶完成日常操作。普通用戶：具有登錄系統(tǒng)的權(quán)限，只能對自己目錄下的文件進行訪問和修改訪問他們擁有或者有權(quán)限執(zhí)行的文件。虛擬用戶：也叫“偽”用戶，這類用戶最大的特點是不能登錄系統(tǒng)，它們的存在主要是方便系統(tǒng)管理，滿足相應(yīng)的系統(tǒng)進程對文件屬主的要求。例如系統(tǒng)默認的bin、adm、nobody用戶等，一般運行的web服務(wù)，默認就是使用的nobody用戶，但是nobody用戶是不能登錄系統(tǒng)的。知識

3、準備二. 用戶配置文件1./etc/passwd文件這個文件記錄了Linux系統(tǒng)中每個用戶的一些基本屬性，并且對所有用戶可讀。/etc/passwd中每一行記錄對應(yīng)一個用戶，每行記錄又被“：”分割為7個域，各域的內(nèi)容如下：用戶名:密碼:用戶標識號:組標識號:注釋性描述:主目錄:默認shell 知識準備二. 用戶配置文件2./etc/shadow由于/etc/passwd文件是所有用戶都可讀的，這樣就導致了用戶的密碼容易出現(xiàn)泄露，為了增強系統(tǒng)的安全性，經(jīng)過加密之后的密碼信息都存放在/etc/shadow中，該文件只有root用戶擁有讀權(quán)限，從而保證了用戶密碼的安全性。在/etc/shadow文件

4、中，每個用戶的信息占用一行，用“：”分隔為9個域。用戶名:加密口令:最后一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:保留字段知識準備三. 用戶管理1.useradd （adduser）語法：useradd（adduser） 選項 用戶名 功能：創(chuàng)建新用戶,該命令只能由root用戶使用。選項選項說明說明-c注釋注釋用戶的注釋信息，該信息被加入到/etc/passwd文件的備注欄-d主目錄主目錄指定用戶的家目錄。系統(tǒng)默認的用戶主目錄為“/home/用戶名”-e有效期限有效期限指定用戶賬戶過期日期。日期格式為MM/DD/YY-f緩沖天數(shù)緩沖天數(shù)設(shè)置帳戶過期多少天后，用戶

5、帳戶被禁用。如果為-1，用戶賬戶永不過期。-g組組ID或組名或組名指定用戶所屬的主組群。-G組組ID或組名或組名指定用戶所屬的附屬組群列表，多個附屬組之間用逗號隔開-s登錄登錄shell指定用戶登錄后所使用的shell。系統(tǒng)默認為/bin/bash-u用戶用戶ID指定用戶的UID-m主目錄主目錄建立用戶的主目錄，若用戶主目錄不存在則創(chuàng)建它。-M不創(chuàng)建主目錄不創(chuàng)建主目錄不建立用戶的主目錄，知識準備三. 用戶管理例1：以系統(tǒng)默認值創(chuàng)建用戶user1。 rootlocalhost # useradd user1 例2：新建用戶user2，UID為1003，指定其所屬的私有組為user1（user1組

6、的標識符為1001），用戶的主目錄為/home/user2，用戶的Shell為/bin/bash，用戶的密碼為123456，帳戶永不過期。 rootlocalhost # useradd -u 1003 -g 1001 -d /home/user2 -s /bin/bash -p 123456 -f -1 user2rootlocalhost # tail -1 /etc/passwduser2:x:1003:1001:/home/user2:/bin/bashrootlocalhost # tail -1 /etc/shadowuser2:123456:18260:0:99999:7:知識準

7、備三. 用戶管理2. passwd語法：passwd 選項 用戶名 功能：設(shè)置或修改用戶賬戶密碼。超級用戶可以修改自己和普通用戶的密碼，而普通用戶只能修改自己的密碼。選項選項說明說明缺省缺省設(shè)置指定用戶的口令-l用戶鎖定-u用戶解鎖-S顯示帳戶口令的簡短狀態(tài)信息-n指定命令最短修改時間-x指定密碼最長使用時間-w口令要到期前提前警告的天數(shù)-f強迫用戶下次登錄時必須修改口令-d將用戶口令設(shè)置為空，這與未設(shè)置口令的帳戶不同。未設(shè)置口令的帳戶無法登錄系統(tǒng)，而口令為空的帳戶可以。-stdin從標準輸入讀取口令知識準備三. 用戶管理例1：root用戶修改自己的密碼。rootlocalhost # pas

8、swd 例2：root用戶修改user3用戶的密碼。 rootlocalhost # passwd user3例3：禁用user1帳戶。rootlocalhost # passwd -l user1Locking password for user user1. passwd: Success rootlocalhost # tail -1 /etc/shadow查看（被鎖定的用戶密碼欄前面會加上?。ＶR準備三. 用戶管理例4：恢復user1帳戶（解除鎖定）。rootlocalhost # passwd -u user1Unlocking password for user user1. p

9、asswd: Success. 例5：刪除用戶user1的密碼。rootlocalhost # passwd -d user1 Removing password for user user1. passwd: Success rootlocalhost # tail -1 /etc/shadowuser1:17826:0:99999:7:知識準備三. 用戶管理3.chage語法：passwd 選項 用戶名 功能：修改用戶賬戶密碼。選項選項說明說明-l列出帳戶口令屬性的各個數(shù)值 -m指定口令最短存活期-M指定口令最長存活期-w口令要到期前提前警告的天數(shù)-I口令過期后多少天停用帳戶-E用戶帳戶到

10、期作廢的日期-d設(shè)置口令上一次修改的日期知識準備三. 用戶管理例1：設(shè)置user1用戶的最短口令存活期為6天，最長口令存活期為60天，口令到期前5天提醒用戶修改口令。設(shè)置完成后查看各屬性值。rootlocalhost # chage m 6 -M 60 W 5 user1 rootlocalhost # chage l user1知識準備三. 用戶管理4.usermod語法：usermod 選項 用戶名 功能：設(shè)置用戶賬戶屬性。選項選項說明說明-c注釋注釋更改用戶的注釋信息。-d主目錄主目錄更改用戶的家目錄。-e有效期限有效期限更改用戶賬戶過期日期。-f緩沖天數(shù)緩沖天數(shù)設(shè)置帳戶過期多少天后，用

11、戶帳戶被禁用。-g組組ID或組名或組名指定用戶所屬的主組群。-G組組ID或組名或組名指定用戶所屬的附屬組群列表，多個附屬組之間用逗號隔開-s登錄登錄shell更改用戶登錄后所使用的shell。系統(tǒng)默認為/bin/bash。-u用戶用戶ID更改用戶的UID。-l指定用戶的新名稱。-L鎖定用戶。-U解除用戶賬戶鎖定。知識準備三. 用戶管理例1：修改用戶user1的主目錄為/var/user1，把啟動Shell修改為/bin/tcsh。并查看修改后的結(jié)果rootlocalhost #usermod d / var/user1 s /bin/tcsh user1例2：將user1更名為userroot

12、localhost # usermod -l user user1例3：將user用戶鎖定 rootlocalhost # usermod -L user例4：解除user用戶的鎖定rootlocalhost # usermod -U user知識準備三. 用戶管理5.userdel語法：userdel -r 用戶名功能：刪除用戶賬戶。該命令只能是root賬戶使用，如使用選項-r，一并刪除該賬戶對應(yīng)的主目錄，否則只是刪除此用戶賬戶，如果在新建該用戶時創(chuàng)建了私有組群，而該私有組群當前沒有其他用戶，那么刪除用戶的同時也將刪除這一私有組群。正在使用系統(tǒng)的用戶不能刪除，必須首先終止該用戶所有的進程才能

13、刪除該用戶。 例1：刪除user用戶賬戶及其主目錄 rootlocalhost # userdel -r user知識準備三. 用戶管理6.su語法： su - 用戶名功能：切換用戶。例1：root用戶登錄，切換到用戶user1。rootlocalhost #su user1user1localhost $ pwd/root知識準備三. 用戶管理例2：root用戶登錄，切換到用戶user1，并使用user1的環(huán)境變量。 rootlocalhost #su - user1user1localhost $ pwd /home/user1在本例中使用 “-”選項，因此從shell命令提示符以及pwd

14、命令可知，當前的用戶工作目錄切換為user1用戶的主目錄/home/user1。知識準備三. 用戶管理7.sudo通過su切換用戶時，需要知道預切換用戶的密碼才可以成功執(zhí)行su命令，這就為系統(tǒng)帶來了極大的安全隱患，如果普通用戶想使用管理員才可以使用的命令時,管理員必須要將密碼告訴此用戶，這樣顯然是非常不安全的。sudo命令默認只有root用戶可以使用。在/etc/sudoers中設(shè)置了可執(zhí)行sudo指令的用戶。若其未經(jīng)授權(quán)的用戶企圖使用sudo，則會發(fā)出警告的郵件給管理員。如果希望其他用戶可以使用sudo命令，一般要修/etc/ sudoers”文件。知識準備三. 用戶管理例1：指定用戶use

15、r可以使用root的所有命令。rootlocalhost #vim /etc/sudoers# Allow root to run any commands anywhere root ALL=(ALL) ALLuser ALL=(ALL) ALL保存退出后，切換到user用戶，我們用它創(chuàng)建用戶student：rootlocalhost # su useruserlocalhost root$ sudo -u root /usr/sbin/useradd studentsudo password for user: 用戶使用sudo時，必須先輸入密碼，之后有5分鐘的有效期限，超過期限則必須重新

16、輸入密碼。知識準備三. 用戶管理8.id和finger語法：Id 用戶名語法：Finger 用戶名 功能：查看用戶的信息可。例1：查看用戶user1信息 rootlocalhost # id user1uid=521(user1) gid=521(user1) 組=521(user1)rootlocalhost # finger user1其中，id命令將顯示指定用戶的UID，GID和用戶所屬組的信息，finger命令則顯示指定用戶的主目錄、登錄終端、登錄的shell、郵件、計劃任務(wù)等信息。知識準備四. 批量用戶管理工具1.newusers語法：newusers 功能：成批添加/更新一組賬戶其

17、中，用戶文件存放的是用戶的信息，其格式與 /etc/passwd 一致。2.chpasswd 語法：chpasswd 功能：批量更新用戶密碼的工具，把一個文件內(nèi)容定向添加到passwd文件里。密碼文件每一行的格式：username:passwordusername必須是系統(tǒng)上已存在的用戶知識準備四. 批量用戶管理工具3.pwunconv執(zhí)行該命令關(guān)閉用戶的投影密碼，它會把密碼從shadow文件內(nèi)回存到passwd文件內(nèi)。4.pwconv開啟用戶投影密碼的功能。知識準備四. 批量用戶管理工具例1：批量創(chuàng)建用戶實例(1)創(chuàng)建用戶信息文件。rootlocalhost # vim userlistro

18、otlocalhost # cat userlist auser1:x:1001:1001:/home/user1:/bin/bashauser2:x:1002:1002:/home/user2:/bin/bashauser3:x:1003:1003:/home/user3:/bin/bashauser4:x:1004:1004:/home/user4:/bin/bash知識準備四. 批量用戶管理工具(2)創(chuàng)建用戶密碼文件。rootlocalhost # vim passwdlistrootlocalhost # cat passwdlist auser1:123456auser2:12345

19、6auser3:123456auser4:123456知識準備四. 批量用戶管理工具(3)用newusers批量添加無密碼用戶。rootlocalhost # newusers userlist(4)關(guān)閉用戶投影密碼。rootlocalhost # pwunconv(5)批量修改密碼。rootlocalhost # chpasswd passwdlist(6)開啟用戶投影密碼，將密碼映射到 /etc/shadow文件中。rootlocalhost # pwconv(7)查看用戶信息文件/etc/passwd。(8)查看用戶密碼信息文件/etc/shadow。知識準備五. 用戶組配置文件1./e

20、tc/group文件 用戶組的配置文件，/etc/group文件內(nèi)容為： rootlocalhost # vim /etc/group root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm adm:x:4:root,adm,daemon 每一行代表一個用戶組的信息，采用“：”分隔為4個域： 組名:口令:組標識號:組內(nèi)用戶列表 知識準備五. 用戶組配置文件2./etc/gshadow文件用戶組密碼管理文件，該文件只有root用戶可以讀取。/etc/gshadow文件內(nèi)容為： ro

21、otlocalhost # vim /etc/gshadow root:root bin:root,bin,daemon daemon:root,bin,daemon sys:root,bin,adm adm:root,adm,daemon 與/etc/group文件類似，每一行代表一個用戶組的信息，采用“：”分隔為4個域： 組名:密碼:管理員:組內(nèi)用戶列表 知識準備六. 組群管理1.groupadd或者addgroup語法：groupadd 選項 用戶組 功能：創(chuàng)建用戶組。該命令只能由root用戶創(chuàng)建。-g :用于指定創(chuàng)建組的GID。例1：創(chuàng)建一個名為group用戶組，其中組的ID為1003

22、，并查看。rootlocalhost # groupadd -g 1003 grouprootlocalhost #tail -1 /etc/group利用groupadd命令新建用戶組時，如果不指定GID，則GID由系統(tǒng)指定，默認從1000開始。groupadd命令的執(zhí)行結(jié)果將在/etc/group文件和/etc/gshadow文件中增加一行該用戶組的記錄。知識準備六. 組群管理2.groupmod語法： groupmod 選項 用戶組名 功能：修改用戶組的屬性。該命令只能由root用戶創(chuàng)建。用戶組創(chuàng)建后，根據(jù)需要可以對用戶組的相關(guān)屬性進行修改，主要包括對用戶組的名稱和GID修改。-g 組I

23、D： 用于修改組的ID -n 組名： 修改組名 -o ： 強制接受更改的組的GID為重復的號碼 例1：將用戶組group改名為group1，GID改為1002rootlocalhost # groupmod -n group1 -g 1002 group用戶組的名稱及其GID在修改時不能與已有的用戶組名稱或GID重復，對GID修改，不會改變用戶組的名稱，同時對用戶組的名稱修改也不會修改用戶組的GID。知識準備六. 組群管理3.groupdel語法：groupdel 用戶組名 功能：刪除用戶組。該命令只能由root用戶使用，在刪除指定用戶組之前必須保證該用戶組不是任何用戶的主組群，否則首先刪除那

24、些以此用戶組為主組群的用戶才能刪除這個用戶組。 例1：刪除用戶組group1 rootlocalhost # groupdel group1知識準備六. 組群管理4.gpasswd語法：gpasswd 選項 用戶名 用戶組名 功能：將用戶添加到指定組，使其成為該用戶組的成員或從用戶組中移除某用戶，設(shè)置用戶組管理員。該命令只有root用戶和組管理員才能夠使用。 -a： 添加用戶到用戶組 -d： 從用戶組中移除用戶 -r： 取消組的密碼 -A： 給組指派管理員 例1：創(chuàng)建一個名為的group用戶組。將dxx用戶添加到group用戶組中去，并設(shè)置用戶user為組群管理員rootlocalhost #

25、groupadd grouprootlocalhost # gpasswd -a dxx grouprootlocalhost # gpasswdA user group知識準備六. 組群管理5.newgrp newgrp命令用于轉(zhuǎn)換用戶的當前組到指定的主組群，對于沒有設(shè)置組群密碼的組群賬戶，只有組群的成員才可以使用newgrp命令改變主組群身份到該組群。如果組群設(shè)置了密碼，他組群的用戶只要擁有組群密碼也可以改變主組群身份到該組群。例1：顯示當前用戶的gidrootlocalhost # iduid=0(root) gid=0(root) 組=0(root)查看系統(tǒng)存在的組群rootlocal

26、host # tail -3 /etc/groupuser:x:525:student:x:526:知識準備六. 組群管理更改root用戶的主組群，并查看rootlocalhost # newgrp studentrootlocalhost # iduid=0(root) gid=526(student) 組=0(root),526(student) 恢復用戶root的主組群為/rootrootlocalhost # newgrprootlocalhost # iduid=0(root) gid=0(root) 組=0(root),526(student) 知識準備七. 桌面環(huán)境下管理用戶和組

27、群1.用戶管理“應(yīng)用程序”“雜項”“用戶和組群”知識準備七. 桌面環(huán)境下管理用戶和組群添加用戶知識準備七. 桌面環(huán)境下管理用戶和組群2.組群管理項目實施用戶和組群管理實例1.創(chuàng)建一個新用戶user1。rootlocalhost # useradd user12.創(chuàng)建一個新組staff。rootlocalhost #groupadd staff3.創(chuàng)建一個新用戶tom, 同時加入staff附加組中。 rootlocalhost # useradd -G staff tom4.創(chuàng)建一個新用戶user2, 指定登錄主目錄/www,不創(chuàng)建用戶宿主目錄。rootlocalhost # mkdir /ww

28、w; useradd -d /www -M user25.將user1用戶修改為user3,宿主目錄改為/home/user。rootlocalhost #usermod -l user3 -d /home/user user1項目實施用戶和組群管理實例6.刪除用戶user3,同時刪除其家目錄。rootlocalhost # userdel -r user3注意：如果/home/user還屬于其他用戶的主目錄，就不會被刪除。7.顯示用戶當前的uid、gid和用戶所屬的組列表。rootlocalhost #id8.切換當前用戶到tom 。rootlocalhost #su tom9.顯示用戶當前的uid、gid和用戶所屬的組列表。user1localhost $id注意：此時普通用戶所在的絕對路徑一定要是自己的家目錄。項目實施用戶和組群管理實例10.創(chuàng)建一個新文件，并查看其用戶和組。user1localhost $ touch aauser1localhost $ll aa11.切換用戶的當前組到指定的附加組staff。user1localhost $newgrp staff12.顯示用戶當前的uid、gid和用戶所屬的組列表。user1localhost $id13.創(chuàng)建一個新文件