第5章Linux用戶管理和系統(tǒng)安全設(shè)置簡(jiǎn)版

1、第第5章章 用戶與組群管理用戶與組群管理Chapter 5 Management of Users and Groups信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬5-1 用戶用戶(user)和組群和組群(group)的基本概念的基本概念 Linux操作系統(tǒng)是一個(gè)真正意義上的多用戶系操作系統(tǒng)是一個(gè)真正意義上的多用戶系統(tǒng)。這意味著多個(gè)用戶可以同時(shí)在同一個(gè)系統(tǒng)上統(tǒng)。這意味著多個(gè)用戶可以同時(shí)在同一個(gè)系統(tǒng)上并行且獨(dú)立地工作。并行且獨(dú)立地工作。這一節(jié)將介紹紅旗這一節(jié)將介紹紅旗Linux環(huán)境下的用戶管理。環(huán)境下的用戶管理。它是它是Linux系統(tǒng)管理的基礎(chǔ)，是系統(tǒng)管理員必須系統(tǒng)管理的基礎(chǔ)，是系統(tǒng)管理員必須要掌握的

2、內(nèi)容。要掌握的內(nèi)容。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬Linux中用戶可以分為三種類型：超級(jí)用中用戶可以分為三種類型：超級(jí)用戶、系統(tǒng)用戶和普通用戶。戶、系統(tǒng)用戶和普通用戶。超級(jí)用戶：又稱超級(jí)用戶：又稱root用戶或根用戶，是最用戶或根用戶，是最高管理權(quán)限的擁有者。高管理權(quán)限的擁有者。“root”是系統(tǒng)默認(rèn)的是系統(tǒng)默認(rèn)的超級(jí)用戶的名稱。在系統(tǒng)安裝的過程中，輸超級(jí)用戶的名稱。在系統(tǒng)安裝的過程中，輸入的根用戶口令就是入的根用戶口令就是root用戶的密碼。在用戶的密碼。在Linux系統(tǒng)中有且只有一個(gè)系統(tǒng)中有且只有一個(gè)root用戶。用戶。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v系統(tǒng)用戶：是指與系統(tǒng)服

3、務(wù)相關(guān)的用戶，通常在安裝軟件包時(shí)自動(dòng)創(chuàng)系統(tǒng)用戶：是指與系統(tǒng)服務(wù)相關(guān)的用戶，通常在安裝軟件包時(shí)自動(dòng)創(chuàng)建。建。v普通用戶：普通用戶：Linux系統(tǒng)可以創(chuàng)建許多普通用戶，并為其指定相應(yīng)的權(quán)限，系統(tǒng)可以創(chuàng)建許多普通用戶，并為其指定相應(yīng)的權(quán)限，使其有限地使用使其有限地使用Linux系統(tǒng)資源。系統(tǒng)資源。v在剛安裝結(jié)束的在剛安裝結(jié)束的Linux系統(tǒng)中，僅有系統(tǒng)中，僅有root用戶，其他的用戶都是由用戶，其他的用戶都是由root用戶創(chuàng)建的。因?yàn)橛脩魟?chuàng)建的。因?yàn)閞oot用戶擁有最高權(quán)限，所以用戶擁有最高權(quán)限，所以root用戶的一個(gè)誤操作用戶的一個(gè)誤操作很可能對(duì)系統(tǒng)或其他普通用戶造成巨大的損失。很可能對(duì)系統(tǒng)或其他

4、普通用戶造成巨大的損失。v因此，建議一般情況下，不要以根用戶登錄，只有在需要做系統(tǒng)維護(hù)因此，建議一般情況下，不要以根用戶登錄，只有在需要做系統(tǒng)維護(hù)和管理等方面工作時(shí)才以和管理等方面工作時(shí)才以root用戶登錄。用戶登錄。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v無論哪種類型的用戶，都必須擁有用戶名和口令。用戶登錄時(shí)無論哪種類型的用戶，都必須擁有用戶名和口令。用戶登錄時(shí)系統(tǒng)將檢驗(yàn)輸入的用戶名和口令。系統(tǒng)將檢驗(yàn)輸入的用戶名和口令。v系統(tǒng)還會(huì)根據(jù)用戶默認(rèn)的信息建立相應(yīng)的工作環(huán)境。系統(tǒng)還會(huì)根據(jù)用戶默認(rèn)的信息建立相應(yīng)的工作環(huán)境。v對(duì)計(jì)算機(jī)來說，處理數(shù)字的速度比處理文字要快得多，所以，對(duì)計(jì)算機(jī)來說，處理數(shù)字的

5、速度比處理文字要快得多，所以，Linux的內(nèi)核把用戶當(dāng)作數(shù)字對(duì)待。的內(nèi)核把用戶當(dāng)作數(shù)字對(duì)待。 信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v每個(gè)用戶都用一個(gè)整數(shù)來標(biāo)識(shí)，這個(gè)整數(shù)就是用戶每個(gè)用戶都用一個(gè)整數(shù)來標(biāo)識(shí)，這個(gè)整數(shù)就是用戶ID或者稱或者稱UID，而，而UID就如同用戶的身份證號(hào)碼。就如同用戶的身份證號(hào)碼。v超級(jí)用戶的超級(jí)用戶的UID為，為，1-499的的UID專供給系統(tǒng)用戶使用。從專供給系統(tǒng)用戶使用。從500開始的開始的UID才是普通用戶可以使用的。安裝完成后，用戶才是普通用戶可以使用的。安裝完成后，用戶所建的第一個(gè)普通用戶的所建的第一個(gè)普通用戶的UID默認(rèn)為默認(rèn)為500，第二個(gè)用戶默認(rèn)為，第

6、二個(gè)用戶默認(rèn)為501，并依次類推。，并依次類推。v與用戶相關(guān)的信息都被存儲(chǔ)在與用戶相關(guān)的信息都被存儲(chǔ)在/etc/passwd文件中。文件中。/etc/shadow文件是根據(jù)文件是根據(jù)/etc/passwd文件產(chǎn)生的，包含用戶文件產(chǎn)生的，包含用戶的口令信息，只有超級(jí)用戶才能查看其內(nèi)容。的口令信息，只有超級(jí)用戶才能查看其內(nèi)容。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬vLinux將相同特性的用戶邏輯地組織在一起，形成組群。組群將相同特性的用戶邏輯地組織在一起，形成組群。組群賬號(hào)為賬號(hào)為GID（Group ID）。v在組群的支持下，允許用戶在組內(nèi)共享文件。在組群的支持下，允許用戶在組內(nèi)共享文件。v任何一

7、個(gè)用戶都至少屬于一個(gè)組群。任何一個(gè)用戶都至少屬于一個(gè)組群。vLinux系統(tǒng)中任何一個(gè)文件都?xì)w屬于某個(gè)組中的一個(gè)用戶。系統(tǒng)中任何一個(gè)文件都?xì)w屬于某個(gè)組中的一個(gè)用戶。v與組群相關(guān)的信息存儲(chǔ)在文件與組群相關(guān)的信息存儲(chǔ)在文件/etc/group中，中，/etc/gshadow文文件和件和/etc/shadow類似，是根據(jù)類似，是根據(jù)/etc/group文件產(chǎn)生的，用于文件產(chǎn)生的，用于保存加密的組群口令。保存加密的組群口令。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬賬號(hào)賬號(hào) (Accounts)vLinux系統(tǒng)的賬號(hào)分為用戶賬號(hào)和組賬號(hào)兩類：系統(tǒng)的賬號(hào)分為用戶賬號(hào)和組賬號(hào)兩類：用戶賬號(hào)：通常一個(gè)操作者擁有一

8、個(gè)用戶賬號(hào)，每個(gè)用戶賬用戶賬號(hào)：通常一個(gè)操作者擁有一個(gè)用戶賬號(hào)，每個(gè)用戶賬號(hào)有唯一的識(shí)別號(hào)號(hào)有唯一的識(shí)別號(hào)UID（User ID）組賬號(hào)：是一組用戶賬號(hào)的集合。通過使用組賬號(hào)，可以設(shè)組賬號(hào)：是一組用戶賬號(hào)的集合。通過使用組賬號(hào)，可以設(shè)置使一組用戶對(duì)文件具有相同的權(quán)限。組的置使一組用戶對(duì)文件具有相同的權(quán)限。組的賬號(hào)為賬號(hào)為GID（Group ID）。）。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v用戶和組的配置信息保存在以下四個(gè)文件中：用戶和組的配置信息保存在以下四個(gè)文件中： /etc/passwd/etc/shadow/etc/etc/group /etc/gshadow信息技術(shù)學(xué)院信息技術(shù)學(xué)院

9、邊雪芬邊雪芬1.用戶信息：用戶信息：/etc/passwd文件文件v每一行存儲(chǔ)一個(gè)用戶的賬號(hào)信息，包含如下域，之間以冒號(hào)分隔：每一行存儲(chǔ)一個(gè)用戶的賬號(hào)信息，包含如下域，之間以冒號(hào)分隔： 登錄名：即用戶賬號(hào)登錄名：即用戶賬號(hào) 口令：通常是一個(gè)口令：通常是一個(gè)“x”，表示口令已被加密，加密后的口令存儲(chǔ)在，表示口令已被加密，加密后的口令存儲(chǔ)在/etc/shadow文件中。如果是文件中。如果是“*”，則表示該賬號(hào)已被停用。，則表示該賬號(hào)已被停用。1.UID：每個(gè)用戶賬號(hào)都有一個(gè)不同的：每個(gè)用戶賬號(hào)都有一個(gè)不同的ID，它是一個(gè)整數(shù)。，它是一個(gè)整數(shù)。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬 GIDGID：用

10、戶所屬的組的：用戶所屬的組的IDID，每個(gè)組也都具有不同的，每個(gè)組也都具有不同的IDID。 用戶信息：這是賬號(hào)附加的信息，如用戶名、電話、住址等，用戶信息：這是賬號(hào)附加的信息，如用戶名、電話、住址等，可以使用命令可以使用命令fingerfinger和和chfnchfn查詢和修改這些信息。查詢和修改這些信息。 主目錄：在默認(rèn)狀態(tài)下，每個(gè)用戶都有一個(gè)主目錄，主目錄：在默認(rèn)狀態(tài)下，每個(gè)用戶都有一個(gè)主目錄，rootroot用用戶的主目錄是戶的主目錄是/root/root，管理員新建立的用戶的主目錄默認(rèn)為，管理員新建立的用戶的主目錄默認(rèn)為/home/home/ 。 登錄登錄shellshell：設(shè)置用戶

11、在登錄時(shí)使用的：設(shè)置用戶在登錄時(shí)使用的shellshell，系統(tǒng)默認(rèn)使用，系統(tǒng)默認(rèn)使用/bin/bash/bin/bash。 例如：例如：rootroot：x x：0 0：0 0：rootroot：/root/root：/bin/bash/bin/bash信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v是根據(jù)是根據(jù)/etc/passwd文件產(chǎn)生的，一行存儲(chǔ)一個(gè)用戶的信息，各域之間以冒號(hào)文件產(chǎn)生的，一行存儲(chǔ)一個(gè)用戶的信息，各域之間以冒號(hào)分隔：分隔： 用戶名用戶名 34位加密口令位加密口令 從從1970年年1 月月1日到上次口令修改日期的間隔天數(shù)。日到上次口令修改日期的間隔天數(shù)。 口令上次修改后，要過多少

12、天才能再修改。若為口令上次修改后，要過多少天才能再修改。若為0表示沒有時(shí)間限制。表示沒有時(shí)間限制。 口令上次修改后，多少天之內(nèi)必須再次修改。若為口令上次修改后，多少天之內(nèi)必須再次修改。若為99999則表示用戶口令則表示用戶口令未設(shè)置為必須修改。未設(shè)置為必須修改。 如果口令有期限限制，要在過期多少天前向用戶示警。一般系統(tǒng)默認(rèn)為如果口令有期限限制，要在過期多少天前向用戶示警。一般系統(tǒng)默認(rèn)為7天。天。 若口令設(shè)置為必須修改，而達(dá)到期限后仍未修改，系統(tǒng)將推遲關(guān)閉帳號(hào)的若口令設(shè)置為必須修改，而達(dá)到期限后仍未修改，系統(tǒng)將推遲關(guān)閉帳號(hào)的天數(shù)天數(shù) 從從1970年年1 月月1日到賬號(hào)過期的間隔天數(shù)，未過期的賬號(hào)

13、則為空值。日到賬號(hào)過期的間隔天數(shù)，未過期的賬號(hào)則為空值。 保留域，未使用保留域，未使用2.用戶口令信息用戶口令信息:/etc/shadow信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬v/etc/group存儲(chǔ)所有組賬號(hào)的數(shù)據(jù)，一行表示一個(gè)組的信存儲(chǔ)所有組賬號(hào)的數(shù)據(jù)，一行表示一個(gè)組的信息，各域之間以冒號(hào)分隔，包括：息，各域之間以冒號(hào)分隔，包括： 組名組名 x表示加密的組口令，口令的相關(guān)信息存儲(chǔ)在表示加密的組口令，口令的相關(guān)信息存儲(chǔ)在/etc/gshadow文件中，其形式與文件中，其形式與/etc/shadow相似。相似。 組組ID（GID），系統(tǒng)生成的組），系統(tǒng)生

14、成的組ID小于小于500，管理員新建，管理員新建的第一個(gè)組的第一個(gè)組ID為為500，以后依次遞增。，以后依次遞增。 該組包含的用戶賬號(hào)列表，以逗號(hào)分隔。該組包含的用戶賬號(hào)列表，以逗號(hào)分隔。例如：例如：bin：x：1：root，bin，daemon3.組信息組信息:/etc/group信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬4.組口令信息組口令信息:/etc/gshadow信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬 增加用戶：增加用戶： adduser 選項(xiàng)選項(xiàng) -d ：指定用戶主目錄，默認(rèn)情況下，將會(huì)在：指定用戶主目錄，默認(rèn)情況下，將會(huì)在/home目錄下新建一個(gè)與用戶名相同的用戶主目錄。目錄下新建一

15、個(gè)與用戶名相同的用戶主目錄。 -s ：指定用戶登錄時(shí)使用的：指定用戶登錄時(shí)使用的shell，默認(rèn)的，默認(rèn)的shell為為/bin/bash。 5-2 管理用戶和組群的管理用戶和組群的shell命令命令5-2-1管理用戶的管理用戶的shell命令命令信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬-g ：指定用戶歸屬的組名。默認(rèn)地，每當(dāng)創(chuàng)建一：指定用戶歸屬的組名。默認(rèn)地，每當(dāng)創(chuàng)建一個(gè)新用戶的時(shí)候，一個(gè)與用戶名相同的組就會(huì)被創(chuàng)建，個(gè)新用戶的時(shí)候，一個(gè)與用戶名相同的組就會(huì)被創(chuàng)建，而這個(gè)用戶就是該組的成員。而這個(gè)用戶就是該組的成員。 -G ：在：在Linux系統(tǒng)中，一個(gè)用戶可以屬于一個(gè)組，系統(tǒng)中，一個(gè)用戶可以屬

16、于一個(gè)組，也可以屬于多個(gè)組，其中用戶在初始化時(shí)屬于的組稱為也可以屬于多個(gè)組，其中用戶在初始化時(shí)屬于的組稱為主組。如果要讓用戶屬于其它的組，應(yīng)該使用選項(xiàng)主組。如果要讓用戶屬于其它的組，應(yīng)該使用選項(xiàng)-G。-u ：指定新用戶的：指定新用戶的UID。信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬 設(shè)置和修改口令設(shè)置和修改口令 ：passwd 用戶名用戶名v只有超級(jí)用戶可以使用只有超級(jí)用戶可以使用“passwd 用戶名用戶名”修改其他用戶的修改其他用戶的口令，普通用戶只能用不帶參數(shù)的口令，普通用戶只能用不帶參數(shù)的passwd命令修改自己命令修改自己的口令的口令 信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬 刪除用戶的

17、命令為刪除用戶的命令為userdel 命令格式為：命令格式為：userdel 刪除用戶并且刪除為這些用戶生成的刪除用戶并且刪除為這些用戶生成的/home/文文件，可以使用帶選項(xiàng)的命令：件，可以使用帶選項(xiàng)的命令：userdel -r 修改用戶屬性的命令為修改用戶屬性的命令為usermodusermod g -G -d -s 信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬 切換用戶命令：切換用戶命令：suv格式：su - 用戶名v注意：1、普通用戶向超級(jí)用戶切換不用寫用戶名。2、使用-選項(xiàng)，可以使用戶目錄也切換到自己的主目錄下。 id命令命令v格式：id 用戶名v 功能：察看用戶的id、uid信息。信息技

18、術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬1.增加用戶組增加用戶組 groupadd 選項(xiàng)選項(xiàng) 2.刪除用戶組刪除用戶組 groupdel 3.修改用戶組修改用戶組 1).groupmod 選項(xiàng)選項(xiàng) 2).直接編輯直接編輯/etc/group文件，將用戶名寫到對(duì)應(yīng)的組名文件，將用戶名寫到對(duì)應(yīng)的組名的后面。的后面。v選項(xiàng)說明：選項(xiàng)說明：-g 組群組群ID： 指定組群的指定組群的ID -n組群名：組群名： 指定組群的新名字指定組群的新名字5-2-2 管理組的管理組的shell命令命令信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬系統(tǒng)管理員有時(shí)需要批量新建多個(gè)用戶，這可以通系統(tǒng)管理員有時(shí)需要批量新建多個(gè)用戶，這可以通

19、過預(yù)先編寫的用戶信息文件和口令文件，利用過預(yù)先編寫的用戶信息文件和口令文件，利用newusers等命令實(shí)現(xiàn)。等命令實(shí)現(xiàn)。步驟：步驟：1.編輯用戶信息編輯用戶信息用戶信息必須符合用戶信息必須符合/etc/passwd文件的格式，即：每文件的格式，即：每一行為一個(gè)用戶的信息，字段排列的順序也必須跟一行為一個(gè)用戶的信息，字段排列的順序也必須跟/etc/passwd完全相同。完全相同。每個(gè)用戶帳號(hào)和每個(gè)用戶帳號(hào)和uid必須各不相同，口令字段部分輸必須各不相同，口令字段部分輸入入“x”。5-2-3 批量新建多個(gè)用戶批量新建多個(gè)用戶信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬例如：例如：vi student.t

20、xts01:x:701:701:/home/s01:/bin/bashs02:x:702:702:/home/s02:/bin/bashs03:x:703:703:/home/s03:/bin/bashs04:x:704:704:/home/s04:/bin/bashs05:x:705:705:/home/s05:/bin/bashs06:x:706:706:/home/s06:/bin/bashs07:x:707:707:/home/s07:/bin/bashs08:x:708:708:/home/s08:/bin/bash信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬2.創(chuàng)建用戶口令文件創(chuàng)建用戶口

21、令文件用戶口令文件的每一行內(nèi)容為一個(gè)用戶帳號(hào)的信息，用戶口令文件的每一行內(nèi)容為一個(gè)用戶帳號(hào)的信息，用戶名與用戶信息文件的內(nèi)容相對(duì)應(yīng)。用戶名與用戶信息文件的內(nèi)容相對(duì)應(yīng)。例如：例如：vi password.txts01:1111111s02:2222222s03:3333333s04:4444444s05:5555555s06:6666666s07:7777777s08:8888888信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬3.利用利用newusers命令批量創(chuàng)建用戶帳號(hào)命令批量創(chuàng)建用戶帳號(hào)只有超級(jí)用戶才有這個(gè)權(quán)限。只有超級(jí)用戶才有這個(gè)權(quán)限。查看：查看：#cd home#ls#vi /etc/passwd創(chuàng)建：創(chuàng)建：#newusers student.txt查看：查看：#vi /etc/passwd#ls信息技術(shù)學(xué)院信息技術(shù)學(xué)院 邊雪芬邊雪芬4.利用利用pwunconv命令暫時(shí)取消命令暫時(shí)取消shadow加密加密為了使用戶口令文件中的命令可用，必須先取為了使用戶口令文件中的命令可用，必須先取消原有消原有shadow加密。超級(jí)用戶可以利