Linux系統(tǒng)與網(wǎng)絡(luò)管理08-用戶管理

1、1Linux系統(tǒng)與網(wǎng)絡(luò)管理第八章 用戶管理2用戶o 用戶n新用戶在Linux系統(tǒng)內(nèi)要有一個(gè)帳號(hào)和工作環(huán)境。n帳號(hào)包含了用戶名、口令和UID、GID。o 用戶名用戶名是用戶用于登錄Linux系統(tǒng)使用的名字，該名字在同一系統(tǒng)上必須唯一，用戶名存在/etc/passwd中。o 口令口令對(duì)應(yīng)于用戶名的登錄密碼，存在/etc/shadow中。o UID和和GID決定了該帳號(hào)所具有的權(quán)限，不同的帳號(hào)可以使用同樣的UID和GID，則這些帳號(hào)具有相同的權(quán)限。3用戶n 工作環(huán)境包括：用戶的家目錄、用戶使用的shell、用戶的登錄腳本、登入歡迎信息等等。o 用戶家目錄用戶家目錄：用戶登錄成功后所在的目錄。里面存放

2、與用戶有關(guān)的配置文件。用戶對(duì)家目錄具備所有的操作權(quán)限。在/etc/passwd中設(shè)定。o 用戶使用的用戶使用的shell：也是由/etc/passwd來指定。o 用戶登錄的腳本用戶登錄的腳本：存放于用戶的家目錄下，默認(rèn)是從模板/etc/skel目錄進(jìn)行復(fù)制（如.bashrc 、.bash_profile等等）o 登入歡迎信息登入歡迎信息：存放在/etc/motd文件中。4用戶數(shù)據(jù)庫/etc/passwdo /etc/passwd文件n該文件是所有用戶都可讀，但只有超級(jí)用戶可寫。n該文件中的每一行用于描述系統(tǒng)中的一個(gè)帳號(hào)，依次由以下幾個(gè)字段組成，字段之間用冒號(hào)分隔：用戶名：口令：用戶名：口令：U

3、ID：GID：注釋信息：家目錄：注釋信息：家目錄：shell注意：即使該字段為空白，也要用冒號(hào)分隔。n口令域是一個(gè)“x”，表示密碼文件存在于/etc/shadow中，早期的passwd文件直接包含了口令，如果將舊系統(tǒng)的passwd文件移植到新系統(tǒng)，可以使用pwconv命令，把口令從passwd中移到shadow。5用戶數(shù)據(jù)庫/etc/passwdn 一般說來，用戶的登錄名不應(yīng)該超過八個(gè)字符登錄名不應(yīng)該超過八個(gè)字符。因?yàn)椴煌膗nix操作系統(tǒng)在處理長用戶名的時(shí)候其方法是不一樣的。n 登錄的shell不必一定是shell，任何可執(zhí)行程任何可執(zhí)行程序都可以序都可以。n passwd文件是普通的文本文

4、件，因此可以手工修改文件中的用戶信息。手動(dòng)修改passwd最好使用vipw命令，避免多人同時(shí)修改passwd文件而導(dǎo)致文件被破壞。6用戶數(shù)據(jù)庫/etc/shadowo /etc/shadow文件n 將口令從passwd分離到shadow文件是出于安全性的考慮，一定程度上減少了對(duì)口令文件字典攻擊的可能性。n shadow文件只有超級(jí)用戶有讀取權(quán)限。n shadow文件中每一行包含以下幾個(gè)部分：o 登錄名。o 加密過的口令。o 從1970年1月1日起計(jì)算，該口令修改后已經(jīng)過去了多少天。7用戶數(shù)據(jù)庫/etc/shadowo 需要再過多少天才能修改這個(gè)口令。o 需要再過多少天這個(gè)口令必須被修改。o 需

5、要在這個(gè)口令失效之前多少天對(duì)用戶發(fā)出提示警告。o 口令失效多少天之后禁用這個(gè)賬戶。o 從1970年1月1日起計(jì)算多少天，該帳號(hào)將被禁用。o 保留域。o 每個(gè)用戶的數(shù)據(jù)占用一行，彼此用冒號(hào)冒號(hào)隔開。如下面的例子：8用戶數(shù)據(jù)庫/etc/groupo /etc/group文件n 在/etc/passwd中包含每個(gè)用戶缺省的GID，在/etc/group文件中，這個(gè)GID被映射到該用戶分組的名稱以及同一分組中的其他成員。n group文件中每一行的格式如下所示：用戶分組名：加過密的分組口令：用戶分組名：加過密的分組口令：GID：成員清單：成員清單o 缺省是不帶分組口令的，一般情況下組口令是禁用的。如果

6、設(shè)置了組口令，則組口令存在于/etc/gshadow中。o 每一個(gè)數(shù)據(jù)域還是以冒號(hào)冒號(hào)隔開的o 成員清單以逗號(hào)逗號(hào)分隔的9用戶管理增加用戶o 增加用戶nuseradd命令o 語法：useradd 選項(xiàng)選項(xiàng) 用戶名用戶名o 默認(rèn)情況下（不接任何選項(xiàng)），用/etc/defaults/useradd文件指定的缺省值來指定帳號(hào)的屬性。o 常見選項(xiàng)：n -u uid 用戶的UID值 。數(shù)字不可為負(fù)值。n -g defaultgroup 指定該用戶登錄使用的群組。n -c comment 該用戶的注釋說明。n -d home_dir 指定用戶的家目錄。n -m 用戶家目錄不在則自動(dòng)創(chuàng)建。10用戶管理增加用

7、戶n -k skel_dir 指定用戶模板目錄，默認(rèn)是/etc/skel。n -s shell 指定用戶使用的shell。n -e expire_date 帳號(hào)終止日期。日期的指定格式為YYYY-MM-DD n -f inactive_days 帳號(hào)過期幾日后永久停權(quán) 。值為0時(shí)帳號(hào)則立刻被停權(quán)。值為-1時(shí)則關(guān)閉此功能，預(yù)設(shè)值為-1o 修改用戶屬性nusermod命令o 語法：usermod 選項(xiàng)選項(xiàng) 用戶名用戶名o 常見選項(xiàng)和上面所述useradd一樣。11用戶管理修改用戶屬性n useradd命令o 該命令也可以用來修改用戶的默認(rèn)屬性。（即修改/etc/defaults/useradd文件

8、）o 語法：useradd -D 選項(xiàng)選項(xiàng)o 常見選項(xiàng):n -b home_dir 修改默認(rèn)的用戶家目錄n -e expire_date 修改默認(rèn)帳號(hào)的終止時(shí)間n -f inactive_days 修改默認(rèn)帳號(hào)過期后幾天停權(quán)n -g defaultgroup 修改默認(rèn)帳號(hào)的組n -s shell 修改默認(rèn)帳號(hào)的shell12用戶管理修改用戶屬性n chage命令o 功能：用于改變用戶口令的期限o 語法：chage 選項(xiàng)選項(xiàng) 用戶名用戶名o 默認(rèn)情況下（不接任何選項(xiàng)），是通過交互式的提示進(jìn)行各項(xiàng)的設(shè)定。o 常用選項(xiàng)：n -m mindays：口令最小有效時(shí)間n -M maxdays：口令最長有效

9、時(shí)間n -w warn：口令失效前幾天開始警告n -I inactive：口令失效后幾天禁用該用戶n -E expiredate：指定帳號(hào)禁用的時(shí)間，可以直接用數(shù)字表示從1970年1月1日以來的天數(shù)，也可以指定日期，如11/14/08或2008/11/1413用戶管理刪除用戶o 刪除用戶n userdel命令o 功能：用于刪除一個(gè)用戶o 語法：userdel -r 用戶名用戶名o 選項(xiàng)-r可以用于清除用戶的家目錄。o 注意：注意：刪除用戶時(shí)如果保留了該用戶在系統(tǒng)上的文件，則需要把該用戶遺留的文件收集到一個(gè)專用目錄，并設(shè)置好訪問權(quán)限，否則會(huì)帶來安全隱患。因?yàn)樵賱?chuàng)建新用戶時(shí)，會(huì)使得新用戶使用了已刪

10、除用戶的UID，可以訪問到任何沒有刪除的、屬于已刪除用戶的文件。14用戶管理增加組、刪除組o 增加組n groupadd命令o 功能：用于添加一個(gè)新組o 語法：groupadd 選項(xiàng)選項(xiàng) 組名組名o 常用選項(xiàng)：n -g gid：指定增加組的gido 刪除組n groupdel命令o 功能：用于刪除一個(gè)組o 語法：groupdel 組名組名15用戶管理修改組屬性o 修改組屬性n gpasswd命令o 功能：group的管理工具，主要用于組成員的編輯。o 語法：gpasswd 選項(xiàng)選項(xiàng) 組名組名o 默認(rèn)情況下（不接任何選項(xiàng)）是設(shè)置組的口令，前面已經(jīng)提過，組口令在現(xiàn)在的系統(tǒng)中沒什么作用了。o 常用選

11、項(xiàng)：n -a user：添加一個(gè)用戶到指定組中n -d user：從指定組中刪除一個(gè)用戶n groupmod命令o 功能：用于修改組的GID和組名16用戶管理修改組屬性o 語法：groupmod 選項(xiàng)選項(xiàng) 組名組名o 常用選項(xiàng)：n -g gid：修改指定組的GIDn -n group_name：修改指定組的組名n usermod命令o 該命令也可以用來編輯組的成員。o 用法為：usermod -G 組組1,組組2，. 用戶用戶名名o 說明：這樣可以使用戶加入到指定的組中，列表中未列出的組若包含該用戶，則自動(dòng)將該用戶從該組中移出。17用戶管理修改組屬性思考：思考：假設(shè)假設(shè)/etc/group中包

12、含如下信息：中包含如下信息：NBA：x：501：Iverson，KobeRockets：x：502：McGrady，ArtestCBA：x：503：Yao，Yi1）現(xiàn)在要求在）現(xiàn)在要求在NBA組中增加用戶組中增加用戶Yao，Yi，在，在Rockets組中增加組中增加用戶用戶Yao，用兩種方法實(shí)現(xiàn)（，用兩種方法實(shí)現(xiàn)（gpasswd和和usermod）。）。2）把）把CBA的的GID改為改為666，CBA組名改為組名改為China答案：答案：1）方法一：）方法一：gpasswd -a Yao NBA gpasswd -a Yi NBA gpasswd -a Yao Rockets 方法二：方法二：

13、usermod -G NBA，Rockets，CBA Yao usermod -G NBA，CBA Yi2）groupmod -g 666 CBA groupmod -n China CBA18用戶的環(huán)境o 用戶的環(huán)境n系統(tǒng)環(huán)境文件系統(tǒng)環(huán)境文件：/etc/profile和/etc/bashrc，由系統(tǒng)管理員維護(hù)；n用戶環(huán)境文件用戶環(huán)境文件：家目錄下的.bash_profile和.bashrc，由用戶自己進(jìn)行維護(hù)。n大多數(shù)環(huán)境變量即便是系統(tǒng)環(huán)境文件中已設(shè)置了，可以到用戶環(huán)境文件中重新設(shè)置。n查看當(dāng)前變量的設(shè)置用不帶選項(xiàng)的set命令。n查看在當(dāng)前環(huán)境下定義的，已經(jīng)輸出了的設(shè)置，用env命令。19用

14、戶的安全性o 口令的安全n選擇強(qiáng)口令o 不使用正常的英文單詞或用戶名字o 使用字母（大小寫混合）和數(shù)字o 使用特殊符號(hào)n使用口令時(shí)限的功能，定期修改口令o root帳號(hào)的安全n盡可能不要給普通用戶root帳號(hào)，如果普通用戶需要執(zhí)行某些超級(jí)用戶才能執(zhí)行的命令，可以采用以下兩種方式：o 設(shè)置SUID或SGIDo 使用sudo20用戶的安全性n盡量不要用root帳號(hào)直接進(jìn)行遠(yuǎn)程登錄（telnet），應(yīng)用普通用戶登錄后，用su切換到超級(jí)用戶。o 盡量不要?jiǎng)?chuàng)建匿名帳號(hào)（無口令）o 設(shè)置好umasknumask是通過8進(jìn)制數(shù)666減去后所描述的權(quán)限，默認(rèn)為022，即缺省權(quán)限為644。n系統(tǒng)的umask在系

15、統(tǒng)環(huán)境文件系統(tǒng)環(huán)境文件設(shè)置，用戶可以用戶環(huán)境用戶環(huán)境文件文件重新設(shè)置。o 設(shè)置警告信息（day信息）n修改/etc/motd文件，警告入侵者21登錄進(jìn)Linuxo 使用gettyngetty程序是傳統(tǒng)的用于啟動(dòng)登錄進(jìn)程的程序。o 它設(shè)置終端的線速率（波特率），并發(fā)出登錄的提示符。o 它使用mingetty程序，一個(gè)用于虛擬控制臺(tái)的最小的getty程序。nmingetty程序用于設(shè)置終端的特征，允許login程序打出提示符，然后接收用戶名和口令。nmingetty由init運(yùn)行，一旦init啟動(dòng)，它就讀取/etc/inittab，根據(jù)配置產(chǎn)生所有運(yùn)行級(jí)別所需要的mingetty。nmingetty調(diào)用login，登錄成功后，login又調(diào)用一個(gè)shell。22登錄進(jìn)Linuxo 登錄缺省值n 登錄缺省值在/etc/login.defs里定義。n