6.用戶與權(quán)限管理

1、1RedHat Linux課程第六章Linux用戶與權(quán)限管理2Vi的三種工作模式Vi的基本操作使用Vi進行配置文件的編輯內(nèi)容回顧3Vi 的模式三種模式命令模式輸入模式末行模式Linux退出vivi file末行模式輸入模式轉(zhuǎn)義命令按Esc鍵文本輸入命令執(zhí)行完畢或按Esc鍵命令模式4Vi 的模式命令模式狀態(tài)欄編輯區(qū)空白區(qū)5輸入模式輸入模式標(biāo)志Vi 的模式6末行模式末行模式標(biāo)志Vi 的模式7Vi 的命令命令模式下的操作命令輸入模式下的操作命令末行模式下的操作命令8掌握用戶和組相關(guān)的配置文件掌握用戶和組管理的方法日常的管理用戶和組掌握Linux權(quán)限的表示及設(shè)置了解Linux文件和目錄安全管理原則本章

2、目標(biāo)9用戶管理類命令用戶管理組管理密碼管理用戶信息查詢10引 言Linux系統(tǒng)是一個多用戶的時操作系統(tǒng)，任何一個要使用系統(tǒng)資源的用戶，都必須首先向系統(tǒng)管理員申請一個賬號，然后以這個賬號的身份進入系統(tǒng)。用戶的賬號一方面可以幫助系統(tǒng)管理員對使用系統(tǒng)的用戶進行跟蹤，并控制他們對系統(tǒng)資源的訪問；另一方面也可以幫助用戶組織文件，并為用戶提供安全性保護。每個用戶賬號都擁有一個惟一的用戶名和各自的口令。用戶在登錄時鍵入正確的用戶名和口令后，就能夠進入系統(tǒng)和自己的主目錄。實現(xiàn)用戶賬號的管理，要完成的工作主要有如下幾個方面： 1.用戶賬號的添加、刪除與修改。 2.用戶口令的管理。 3.用戶組的管理。11用戶和組

3、帳號概述Linux基于用戶身份對資源訪問進行控制用戶帳號： 超級用戶root 普通用戶 程序用戶組帳號： 基本組(私有組) 附加組（公共組）UID和GID： UID（User Identity，用戶標(biāo)識號） GID（Group Identify，組標(biāo)識號）12/etc/passwd 用戶信息文件用戶帳號管理13用戶帳號文件 passwd用于保存用戶的帳號基本信息文件位置：/etc/passwd每一行對應(yīng)一個用戶的帳號記錄rootlocalhost # tail -2 /etc/passwdsabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nolo

4、ginbenet:x:500:500:BENET Student User:/home/benet:/bin/bash 字段1：用戶帳號的名稱 字段2：用戶密碼字串或者密碼占位符“x” 字段3：用戶帳號的UID號 字段4：所屬基本組帳號的GID號 字段5：用戶全名 字段6：宿主目錄 字段7：登錄Shell信息14apache:x:48:48:Apache:/var/www:/bin/bash登錄名口令UIDGID別名主目錄登錄Shell /etc/passwd15用戶UID UID用戶名 65535以后外部應(yīng)用程序用戶 50065535普通用戶 1499系統(tǒng)標(biāo)準(zhǔn)用戶 0超級用戶 UID：用戶獨

5、一無二的身份標(biāo)識16/etc/shadow 密碼文件17用戶帳號文件 shadow用于保存密碼字串、密碼有效期等信息文件位置：/etc/shadow每一行對應(yīng)一個用戶的密碼記錄rootlocalhost # tail -2 /etc/shadowsabayon:!:14495:0:99999:7:mary:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:14495:0:99999:7: 字段1：用戶帳號的名稱 字段2：加密的密碼字串信息 字段3：上次修改密碼的時間 字段4：指的是兩次修改口令之間所需的最小天數(shù)，0為不作要求 字段5：密碼的最長有效天數(shù)，默認(rèn)值為99999

6、字段6：提前多少天警告用戶口令將過期，默認(rèn)值為7 字段7：在密碼過期之后多少天禁用此用戶 字段8：帳號失效時間，默認(rèn)值為空 字段9：保留字段（未使用）18用戶管理命令useradduserdelusermod用戶帳號管理19添加用戶帳號useradd命令格式：useradd 選項. 用戶名常用命令選項-u：指定 UID 標(biāo)記號-d：指定宿主目錄，缺省為 /home/用戶名-e：指定帳號失效時間-g：指定用戶的基本組名（或UID號）-G：指定用戶的附加組名（或GID號）-M：不為用戶建立并初始化宿主目錄-s：指定用戶的登錄Shell20用戶帳號的初始配置文件文件來源新建用戶帳號時，從 /etc/

7、skel 目錄中復(fù)制而來主要的用戶初始配置文件/.bash_profile：用戶每次登錄時執(zhí)行/.bashrc：每次進入新的Bash環(huán)境時執(zhí)行/.bash_logout：用戶每次退出登錄時執(zhí)行全局初始配置文件/etc/bashrc/erc/profilerootlocalhost # cat /.bashrcalias rm=rm -ialias cp=cp -ialias mv=mv -i21設(shè)置/更改用戶口令passwd命令格式：passwd 選項. 用戶名常用命令選項-d：清空用戶的密碼，使之無需密碼即可登錄-l：鎖定用戶帳號-S：查看用戶帳號的狀態(tài)（是否被鎖定） -u：解鎖用戶帳號22

8、修改用戶帳號的屬性usermod命令格式：usermod 選項. 用戶名常用命令選項-l：更改用戶帳號的登錄名稱-L：鎖定用戶賬戶-U：解鎖用戶賬戶以下選項與useradd命令中的含義相同 -u、-d、-e、-g、-G、-s23usermod 選項 用戶名 用戶帳號管理usermod -u uid username 修改用戶的UIDusermod -g gid username 修改用戶的GIDusermod -l newname oldname 修改用戶名usermod -G groupname username 添加用戶到組usermod -L username 鎖定用戶6. usermo

9、d -U username 解除鎖定24刪除用戶帳號userdel命令格式：userdel -r 用戶名添加 -r 選項時，表示連用戶的宿主目錄一并刪除rootlocalhost # useradd stu01rootlocalhost # ls -ld /home/stu01/drwx- 2 stu01 stu01 4096 09-09 12:38 /home/stu01/rootlocalhost # userdel -r stu01rootlocalhost # ls -ld /home/stu01/ls: /home/stu01/: 沒有那個文件或目錄刪除用戶帳號stu0125user

10、del -r username-r :將該賬號的home directory與/var/spool/mail/username一并刪除。 eg:userdel -r sam 用戶帳號管理注意：一般而言，如果該賬號只是暫時不啟用的話，那么將 /etc/shadow 里頭最后倒數(shù)一個字段設(shè)定為 0 就可以讓該賬號無法使用，但是所有跟該賬號相關(guān)的數(shù)據(jù)都會留下來！使用 userdel 的時機通常是你真的確定不要讓該用戶在主機上面使用任何數(shù)據(jù)了！26組帳號文件 group、gshadow與用戶帳號文件相類似/etc/group：保存組帳號基本信息/etc/gshadow：保存組帳號的密碼信息rootlo

11、calhost # grep adm /etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon組帳號名 組成員列表27用戶組管理/etc/group 用戶組文件28用戶組管理/etc/gshadow 用戶組密碼文件29用戶組管理命令groupaddgroupdelgroupmod用戶組管理30 groupadd -g GID 用戶組 -g GID 指定新用戶組的組標(biāo)識（GID）用戶組管理groupdel 用戶組groupmod -g GID -n 用戶組-g GID 為用戶組指定新的組標(biāo)識號 -n新用戶組 將用戶組的名字改為新名字例如：將組名為

12、group2修改為group3。 groupmod -n group3 group231添加組帳號groupadd命令格式：groupadd -g GID 組帳號名rootlocalhost # groupadd -g 1000 marketrootlocalhost # tail -1 /etc/groupmarket:x:1000:添加組帳號market32添加、刪除組成員gpasswd命令用途：設(shè)置組帳號密碼（極少用）、添加/刪除組成員格式：gpasswd 選項. 組帳號名常用命令選項-a：向組內(nèi)添加一個用戶-d：從組內(nèi)刪除一個用戶成員-M：定義組成員列表，以逗號分隔rootlocalh

13、ost # gpasswd -a benet market正在將用戶“benet”加入到“market”組中rootlocalhost # grep market /etc/groupmarket:x:1000:benetrootlocalhost # gpasswd -M benet,root,adm marketrootlocalhost # grep market /etc/groupmarket:x:1000:benet,root,adm添加組成員benet定義多個組成員rootlocalhost # grep market /etc/groupmarket:x:1000:benet,

14、root,admrootlocalhost # gpasswd -d root market正在將用戶“root”從“market”組中刪除rootlocalhost # grep market /etc/groupmarket:x:1000:benet,adm刪除組成員root33刪除組帳號groupdel命令格式：groupdel 組帳號名rootlocalhost # groupdel marketrootlocalhost # grep market /etc/grouprootlocalhost #刪除組帳號market34用戶和組帳號查詢id命令用途：查詢用戶身份標(biāo)識格式：id 用

15、戶名groups命令用途:查詢用戶所屬的組格式：groups 用戶名finger命令用途：查詢用戶帳號的詳細(xì)信息格式：finger -l 用戶名users、w 、who命令用途：查詢已登錄到主機的用戶信息35圖形化的用戶和組管理工具打開方式“系統(tǒng)”“管理”“用戶和組群” 按Alt+F2鍵后，運行“system-config-users” 36小結(jié)請思考：主要有哪兩個用戶帳號文件，各有什么作用？如何鎖定、解鎖用戶帳號？在添加用戶帳號時，如何設(shè)置其失效時間？用戶初始配置文件包括哪些，各有什么作用？如何設(shè)置一個組的多個用戶成員？37手工添加帳戶先建立所需要的群組（ vi /etc/group ） 建

16、立賬號的各個屬性（ vi /etc/passwd ） 將 passwd 與 shadow 同步化 （ /usr/sbin/pwconv ） 建立該賬號的密碼 （ passwd acount ） 建立使用者家目錄 （ cp -r /etc/skel /home/acount ） 更改家目錄屬性（ chown -R acount：group /home/acount） 38建立新的群組 test ，設(shè)其 GID 為 520 root test /root # vi /etc/group -略 test:x:520:test =新增群組，且群組的人為 test ，GID 為 520 建立 test

17、的各個屬性 root test /root # vi /etc/passwd -略 test:x:520:520:testing account:/home/test:/bin/bash =建立各個屬性 同步化 /etc/passwd 與 /etc/shadow root test /root # pwconv =將 passwd 的資料轉(zhuǎn)入 /etc/shadow 中！ 建立密碼 root test /root # passwd test =建立使用者 test 密碼 Changing password for user test New password: Retype new passw

18、ord: passwd: all authentication tokens updated successfully 建立家目錄并轉(zhuǎn)化家目錄的擁有者 root test /root # cp -r /etc/skel /home/test root test /root # chown -R test:test /home/test手工添加test帳戶39添加和刪除用戶對每位Linux系統(tǒng)管理員都是輕而易舉的事，比較棘手的是如果要添加幾十個、上百個甚至上千個用戶時，我們不太可能還使用useradd一個一個地添加，必然要找一種簡便的創(chuàng)建大量用戶的方法。問題：如何添加大量用戶？1、 vi use

19、r.txt2、newusers user.txt3、pwunconv4、vi passwd.txt5、chpasswd passwd.txt6、pwconv思考？40文件/目錄的權(quán)限和歸屬訪問權(quán)限讀取：允許查看文件內(nèi)容、顯示目錄列表寫入：允許修改文件內(nèi)容，允許在目錄中新建、移動、刪除文件或子目錄可執(zhí)行：允許運行程序、切換目錄歸屬（所有權(quán)）屬主：擁有該文件或目錄的用戶帳號屬組：擁有該文件或目錄的組帳號41查看文件/目錄的權(quán)限和歸屬rw-r-r-420400400644權(quán)限項讀寫執(zhí)行讀寫執(zhí)行讀寫執(zhí)行字符表示rwxrwxrwx數(shù)字表示421421421權(quán)限分配文件所有者文件所屬組其他用戶 rootl

20、ocalhost # ls -l install.log -rw-r-r- 1 root root 34298 04-02 00:23 install.log文件類型屬組屬主訪問權(quán)限42設(shè)置文件/目錄的權(quán)限chmod命令格式1：chmod ugoa +-= rwx 文件或目錄. u、g、o、a 分別表示屬主、屬組、其他用戶、所有用戶 +、-、= 分別表示增加、去除、設(shè)置權(quán)限對應(yīng)的權(quán)限字符3位八進制數(shù)格式2：chmod nnn 文件或目錄.常用命令選項-R：遞歸修改指定目錄下所有文件、子目錄的權(quán)限43chmod a-x temprw- rw- rw- 收回所有用戶的執(zhí)行權(quán)限chmod og-w

21、temprw- r- r- 收回屬組用戶和其他用戶的寫權(quán)限 chmod g+w tempchmod u+x tempchmod go+x temprw- rw- r- 賦予屬組用戶寫權(quán)限r(nóng)wx rw- r- 賦予文件屬主執(zhí)行權(quán)限r(nóng)wx rwx r-x 賦予屬組用戶和其他用戶執(zhí)行權(quán)限權(quán)限表示方法temp : rwxrwxrwx44數(shù)字表示法 chmod n1n2n3 filename 參數(shù)說明: 1. r 對應(yīng)數(shù)值4, w 對應(yīng)數(shù)值2, x 對應(yīng)數(shù)值1 2. rwx合起來就是4+2+1=7,即上邊表示為n1 3. rwxrwxrwx表權(quán)限全開放的文件,數(shù)值777權(quán)限表示方法45例如當(dāng)屬性為 -r

22、wxrwx- 則是： owner = rwx = 4+2+1 = 7 group = rwx = 4+2+1 = 7 others = - = 0+0+0 = 0例如：要將屬性變成-rwxr-xr- -rwxr-xr 4+2+14+0+14+0+0=754 所以輸入： chmod 754 filename 數(shù)字權(quán)限表示方法46設(shè)置文件/目錄的歸屬chown命令格式：chown 屬主 文件或目錄 chown :屬組 文件或目錄 chown 屬主:屬組 文件或目錄常用命令選項-R：遞歸修改指定目錄下所有文件、子目錄的歸屬47特殊權(quán)限,s位,t位SET位權(quán)限主要用途： 為可執(zhí)行（有 x 權(quán)限的）文件

23、設(shè)置，權(quán)限字符為“s” 其他用戶執(zhí)行該文件時，將擁有屬主或?qū)俳M用戶的權(quán)限s位只能加在文件的所有者或組的x位上s位代表當(dāng)用戶執(zhí)行該文件時,以文件的所有者或文件的組的權(quán)限來執(zhí)行該文件(這時不需要看用戶對該文件的身份)SET位權(quán)限類型： SUID：表示對屬主用戶增加SET位權(quán)限 SGID：表示對屬組內(nèi)的用戶增加SET位權(quán)限r(nóng)ootlocalhost # ls -l /usr/bin/passwd-rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd普通用戶以root用戶的身份，間接更新了shadow文件中自己的密碼應(yīng)用示例：/usr/bin/p

24、asswd48使用附加權(quán)限粘滯位權(quán)限（Sticky）主要用途： 為公共目錄（例如，權(quán)限為777的）設(shè)置，權(quán)限字符為“t” 用戶不能刪除該目錄中其他用戶的文件應(yīng)用示例：/tmp、/var/tmprootlocalhost # ls -ld /tmp /var/tmpdrwxrwxrwt 8 root root 4096 09-09 15:07 /tmpdrwxrwxrwt 2 root root 4096 09-09 07:00 /var/tmp粘滯位標(biāo)記字符49使用附加權(quán)限設(shè)置SET位、粘滯位權(quán)限使用權(quán)限字符 chmod ugs 可執(zhí)行文件. chmod ot 目錄名.使用權(quán)限數(shù)字： chmod mnnn 可執(zhí)行文件. m為4時，對應(yīng)SUID，2對應(yīng)SGID，1對應(yīng)粘滯位，可疊加50實驗案例：用戶和文件權(quán)限管理需求描述建立用戶目錄 創(chuàng)建目錄/tech/benet、/tech/accp，分別用于不同項目組添加組帳號 添加組帳號benet、accp，GID號分別設(shè)置為1001、1002 為技術(shù)部添加組帳號tech，GID號設(shè)置為200添加用戶帳號 benet組的4個用戶：jerry、kylin、tsengia、obama其中的kylin用戶帳號在2009年8月31日后失效 accp組的2個用戶：handy、cucci其中的cucci用戶帳號的登錄Shell設(shè)置為“/bin/k