Linux實(shí)用教程(人民郵電出版社)電子教案08

Linux實(shí)用教程第8章用戶和組群賬戶管理用戶賬戶管理8.1組群賬戶管理8.2賬戶相關(guān)文件或目錄8.3用戶和組群維護(hù)命令8.4實(shí)現(xiàn)賬戶安全8.5在Linux系統(tǒng)中，用戶賬戶是登錄系統(tǒng)的唯一憑證，其中root用戶是系統(tǒng)的最高管理者，該用戶的UID是0級(jí)，與用戶和組賬戶相關(guān)的配置文件有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow。在Linux系統(tǒng)中可以使用chage命令管理用戶口令的時(shí)效，防止用戶口令由于長時(shí)間使用而導(dǎo)致泄漏。8.1用戶賬戶管理本節(jié)主要講述Linux系統(tǒng)下用戶賬戶的分類、與用戶賬戶有關(guān)的配置文件/etc/passwd和/etc/shadow以及如何使用“用戶管理器”和字符命令管理用戶賬戶。8.1.1Linux用戶賬戶概述用戶在Linux系統(tǒng)中是分角色的，由于角色不同，每個(gè)用戶的權(quán)限和所能完成的操作任務(wù)也不同。而在實(shí)際的管理工作中，用戶的角色是通過UID（用戶ID號(hào)）來標(biāo)識(shí)的，每個(gè)用戶的UID都是不同的。在Linux系統(tǒng)中主要有root用戶、虛擬用戶和普通用戶這3類用戶。1．root用戶2．虛擬用戶3．普通用戶8.1.2Linux用戶賬戶配置文件談到用戶，就不得不談?dòng)脩艄芾怼⒂脩襞渲梦募约坝脩舨樵兒凸芾淼目刂乒ぞ?。用戶管理主要是通過修改用戶配置文件完成的，使用用戶管理控制工具的最終目的也是為了修改用戶配置文件。/etc/passwd是系統(tǒng)識(shí)別用戶的一個(gè)文件，Linux系統(tǒng)中所有的用戶都記錄在該文件中。1．/etc/passwd文件（1）/etc/passwd文件內(nèi)容（2）用戶UID的概述表8-1 /etc/passwd文件各字段的含義字段含義用戶名也稱為登錄名，在系統(tǒng)內(nèi)用戶名應(yīng)該具有唯一性。在本例中，zhangsan就是用戶名口令存放加密的口令，在本例中看到的是一個(gè)x，其實(shí)口令已被映射到/etc/shadow文件中了用戶標(biāo)識(shí)號(hào)在系統(tǒng)內(nèi)用一個(gè)整數(shù)標(biāo)識(shí)用戶ID號(hào)，每個(gè)用戶的UID都是唯一的，root用戶的UID是0，普通用戶的UID默認(rèn)從500開始，本例中的用戶zhangsan的UID是500組群標(biāo)識(shí)號(hào)在系統(tǒng)內(nèi)用一個(gè)整數(shù)標(biāo)識(shí)用戶所屬的組群的ID號(hào)，每個(gè)組群的GID都是唯一的用戶名全稱用戶名描述，可以不設(shè)置。在本例中，zhangsan用戶的用戶名全稱是“張三”主目錄用戶登錄系統(tǒng)后首先進(jìn)入的目錄，zhangsan用戶的主目錄是/home/zhangsan登錄Shell用戶使用的Shell類型，F(xiàn)edora8系統(tǒng)默認(rèn)使用的Shell是bash表8-2 /etc/shadow文件各字段的含義2．/etc/shadow文件字段含義用戶名這里的用戶名和/etc/passwd中的用戶名是相同的加密口令口令已經(jīng)加密，如果有些用戶在這里顯示的是“!!”，則表示這個(gè)用戶還沒有設(shè)置口令，不能登錄到系統(tǒng)用戶最后一次更改口令的日期從1970年1月1日算起到最后一次修改口令的時(shí)間間隔（天數(shù)）口令允許更換前的天數(shù)如果設(shè)置為0，則禁用此功能。該字段是指用戶可以更改口令的天數(shù)口令需要更換的天數(shù)如果設(shè)置為0，則禁用此功能。該字段是指用戶必須更改口令的天數(shù)口令更換前警告的天數(shù)用戶登錄系統(tǒng)后，系統(tǒng)登錄程序提醒用戶口令將要過期賬戶被取消激活前的天數(shù)表示用戶口令過期多少天后，系統(tǒng)會(huì)禁用此用戶，也就是說系統(tǒng)會(huì)不讓此用戶登錄，也不會(huì)提示用戶過期，是完全禁用的用戶賬戶過期日期指定用戶賬戶禁用的天數(shù)（從1970年的1月1日開始到賬戶被禁用的天數(shù)），如果這個(gè)字段的值為空，賬戶永久可用保留字段目前為空，以備將來Linux系統(tǒng)發(fā)展時(shí)用8.1.3圖形界面下用戶賬戶的設(shè)置1．顯示Linux系統(tǒng)用戶圖8-1“用戶管理器”界面圖8-2“首選項(xiàng)”對(duì)話框

圖8-3顯示系統(tǒng)用戶界面2．創(chuàng)建用戶賬戶圖8-4“創(chuàng)建新用戶”對(duì)話框（1）用戶數(shù)據(jù)（2）賬戶信息（3）口令信息（4）組群3．修改用戶賬戶屬性圖8-4“創(chuàng)建新用戶”對(duì)話框

圖8-5“用戶數(shù)據(jù)”選項(xiàng)卡

圖8-6“賬戶信息”選項(xiàng)卡4．刪除用戶賬戶圖8-7“口令信息”選項(xiàng)卡

圖8-8“組群”選項(xiàng)卡圖8-9“用戶刪除確認(rèn)”對(duì)話框8.1.4字符界面下用戶賬戶的設(shè)置在Linux系統(tǒng)字符界面下創(chuàng)建、修改以及刪除用戶賬戶主要使用useradd，usermod和userdel這3個(gè)命令，其結(jié)果與使用“用戶管理器”工具一樣。創(chuàng)建用戶賬戶就是在系統(tǒng)中創(chuàng)建一個(gè)新賬戶，然后為新賬戶分配用戶UID、用戶組群、主目錄和登錄Shell等資源，新創(chuàng)建的用戶賬戶默認(rèn)是被鎖定的，無法使用，需要使用passwd命令設(shè)置密碼以后才能使用。1．創(chuàng)建用戶賬戶使用useradd命令可以在Linux系統(tǒng)下創(chuàng)建用戶賬戶。命令語法：useradd[-uuid[-o]][-g組群名][-G組群名,...][-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-M][-n][-r][-l][用戶名]useradd-D[-g組群名][-bbase][-sshell][-finactive][-eexpire]【例8.1】創(chuàng)建用戶賬戶zhangsan并設(shè)置口令?！纠?.2】對(duì)用戶賬戶設(shè)置口令和不設(shè)置口令的比較?！纠?.3】創(chuàng)建用戶moon，并設(shè)置該用戶UID為510?！纠?.4】創(chuàng)建用戶newuser，并設(shè)置該用戶主目錄為/home/www?！纠?.5】創(chuàng)建用戶pp，并指定該用戶是屬于組群root的成員?！纠?.6】創(chuàng)建用戶abc，并設(shè)置該用戶的Shell類型是/bin/ksh。使用usermod命令能更改用戶的Shell類型、所屬的用戶組群、用戶口令的有效期，還能更改用戶的登錄名。命令語法：usermod[-uuid[-o]][-g組群名][-G組群名,...][-d主目錄[-m]][-sshell][-c注釋][-l新登錄名][-f失效日][-e過期日][-p密碼][-L|-U][用戶名]2．修改用戶賬戶【例8.7】修改用戶zhangsan的主目錄為/home/kkk，并手動(dòng)創(chuàng)建/home/kkk目錄?！纠?.8】修改用戶wangwu的主目錄為/home/opop，并自動(dòng)創(chuàng)建/home/opop目錄?！纠?.9】修改用戶wangwu的登錄名為zhaoliu?！纠?.10】修改用戶zhangsan的用戶名全稱為張三。【例8.11】修改用戶zhangsan在口令過期后20天就禁用該賬號(hào)?！纠?.12】修改用戶sun所屬的組群為root，該組群必須事先存在?！纠?.13】鎖住用戶zhangsan口令，使口令無效。【例8.14】解除用戶zhangsan口令鎖住。【例8.15】修改用戶zhangsan賬號(hào)的過期日期是2008年12月12號(hào)?！纠?.16】修改用戶zhangsan的Shell類型為/bin/ksh。使用userdel命令可以在Linux系統(tǒng)下刪除用戶賬戶。命令語法：userdel[-r][用戶名]【例8.17】刪除用戶lisi?！纠?.18】刪除用戶moon，并且在刪除該用戶的同時(shí)一起刪除主目錄。3．刪除用戶賬戶8.2組群賬戶管理本節(jié)主要講述Linux系統(tǒng)下與組群賬戶有關(guān)的配置文件/etc/group和/etc/gshadow以及如何使用“用戶管理器”和字符命令管理組群賬戶。8.2.1Linux組群賬戶配置文件具有某種共同特征的用戶集合就是用戶組群，用戶組群配置文件主要有/etc/group和/etc/gshadow，其中/etc/gshadow是/etc/group的加密信息文件。/etc/group文件是用戶組群的配置文件，內(nèi)容包括用戶和用戶組群，并且能顯示出用戶是歸屬哪個(gè)用戶組群或哪幾個(gè)用戶組群。1．/etc/group文件（1）/etc/group文件內(nèi)容（2）組群GID的概述表8-3 /etc/group文件各字段的含義字段含義組群名用戶組群名稱，如組群名root組群口令存放加密的密碼，在上面示例中我們看到的是一個(gè)x，其實(shí)口令已被映射到/etc/gshadow文件中組群標(biāo)識(shí)號(hào)在系統(tǒng)內(nèi)用一個(gè)整數(shù)標(biāo)識(shí)組群GID，每個(gè)組群的GID都是唯一的，默認(rèn)普通組群的GID從500開始，如root組群GID是0組群成員屬于這個(gè)組群的成員，如root組群的成員有root用戶/etc/gshadow文件中每個(gè)用戶組群都有一條記錄。2．/etc/gshadow文件表8-4 /etc/gshadow文件各字段的含義字段含義組群名組群的名稱組群口令口令已經(jīng)加密，如果有些組群在這里顯示的是“!”，表示這個(gè)組群沒有口令。上面示例中組群shanghai沒有口令，組群beijing已設(shè)置口令組群管理者組群的管理者，有權(quán)在該組群中添加、刪除用戶組群成員屬于該組群的用戶成員列表，如有多個(gè)用戶用“，”分隔。上面示例中beijing組群的成員是ou8.2.2圖形界面下組群賬戶的設(shè)置1．創(chuàng)建組群賬戶圖8-10“創(chuàng)建新組群”對(duì)話框2．修改組群賬戶屬性圖8-11“組群數(shù)據(jù)”選項(xiàng)卡

圖8-12“組群用戶”選項(xiàng)卡3．刪除組群賬戶圖8-13“無法刪除組群”對(duì)話框圖8-14“刪除組群確認(rèn)”對(duì)話框8.2.3字符界面下組群賬戶的設(shè)置在Linux系統(tǒng)字符界面下創(chuàng)建、修改以及刪除組群賬戶主要使用groupadd，groupmod和groupdel這3個(gè)命令，其結(jié)果與使用“用戶管理器”工具一樣。使用groupadd命令可以在Linux系統(tǒng)下創(chuàng)建組群賬戶。命令語法：groupadd[-ggid[-o]][-f][組群名]【例8.19】創(chuàng)建名為china的組群。【例8.20】創(chuàng)建名為ou的組群，并且設(shè)置該組群GID為800。【例8.21】創(chuàng)建名為chinese的系統(tǒng)組群。1．創(chuàng)建組群賬戶使用groupmod命令可以在Linux系統(tǒng)下修改組群賬戶，如組群名稱、GID等。命令語法：groupmod

[-g

<組群識(shí)別碼>

<-o>][-n

<新組群名稱>][組群名稱]【例8.22】將組群ou的GID修改為900?！纠?.23】修改組群ou的新組群名稱為shanghai。2．修改組群賬戶使用useradd命令可以在Linux系統(tǒng)下刪除組群賬戶。命令語法：groupdel

[組群名稱]【例8.24】刪除組群shanghai。3．刪除組群賬戶8.3賬戶相關(guān)文件或目錄在創(chuàng)建、修改和刪除賬戶時(shí)，涉及到眾多的相關(guān)文件和目錄，如/etc/skel目錄、/etc/login.defs文件和/etc/default/useradd文件。下面分別進(jìn)行介紹。8.3.1/etc/skel目錄/etc/skel目錄是存放用戶啟動(dòng)文件的目錄，這個(gè)目錄由root用戶管理，當(dāng)管理員創(chuàng)建新用戶時(shí)，這個(gè)目錄下的文件會(huì)自動(dòng)復(fù)制到新創(chuàng)建的用戶的主目錄下。/etc/skel目錄下的文件都是隱藏文件，也就是類似“.file”格式的，可以通過添加、修改和刪除/etc/skel目錄下的文件，來為用戶提供一個(gè)統(tǒng)一、標(biāo)準(zhǔn)和默認(rèn)的用戶環(huán)境。8.3.2/etc/login.defs配置文件/etc/login.defs文件規(guī)定了創(chuàng)建新用戶時(shí)的一些默認(rèn)設(shè)置，比如創(chuàng)建用戶時(shí)是否需要主目錄、UID和GID的范圍、用戶賬戶口令的期限等，這個(gè)文件可以通過root用戶來修改。8.3.3/etc/default/useradd文件/etc/default/useradd文件是在使用useradd命令創(chuàng)建用戶賬戶時(shí)的規(guī)則文件。8.4用戶和組群維護(hù)命令在日常工作中經(jīng)常需要對(duì)Linux系統(tǒng)用戶和組群賬戶進(jìn)行維護(hù)和管理，下面就介紹這些維護(hù)命令。8.4.1賬戶維護(hù)命令在平時(shí)的工作中對(duì)賬戶進(jìn)行維護(hù)主要用到passwd，gpasswd，chfn，chsh，su，pwck以及newgrp等眾多命令。使用passwd命令可以設(shè)置或修改用戶的口令，普通用戶和超級(jí)權(quán)限用戶都可以運(yùn)行passwd。普通用戶只能更改自己的用戶口令，root用戶可以設(shè)置或修改任何用戶的口令。如果passwd命令后面不接任何選項(xiàng)或用戶名，則表示修改當(dāng)前用戶的口令。命令語法：passwd[選項(xiàng)][用戶名]1．passwd命令【例8.25】設(shè)置用戶it的口令。【例8.26】設(shè)置當(dāng)前用戶的口令?！纠?.27】鎖住用戶it的口令?！纠?.28】解鎖用戶it口令?！纠?.29】刪除用戶it的口令。使用gpasswd命令可以設(shè)置一個(gè)組群的組群密碼，或是在組群中添加、刪除用戶。命令語法：gpasswd[-r|-R][組群名]gpasswd[選項(xiàng)][用戶名][組群名]2．gpasswd【例8.30】把用戶it添加到kk組群中。【例8.31】從kk組群中刪除用戶it。【例8.32】設(shè)置kk組群的口令?！纠?.33】取消kk組群密碼。使用chfn命令可以更改用戶全名、辦公室地址、電話等信息。命令語法：chfn[-ffull-name][-ooffice][-poffice-phone][-hhome-phone][-u][-v][用戶名]3．chfn命令【例8.34】更改用戶newuser的信息?！纠?.35】設(shè)置用戶it的辦公地址是財(cái)務(wù)室。【例8.36】設(shè)置用戶it的用戶名全稱為挨梯。使用chsh命令可以更改用戶賬戶的Shell類型。命令語法：chsh[-sShell類型][-l][用戶名]【例8.37】列出當(dāng)前系統(tǒng)中所有支持的Shell類型。【例8.38】更改用戶wangwu所用的Shell類型為/bin/sh?！纠?.39】更改當(dāng)前用戶wangwu的Shell類型為/bin/bash。4．chsh命令使用su命令可以切換到其他用戶賬戶進(jìn)行登錄。命令語法：su[選項(xiàng)][用戶]【例8.40】從用戶root切換到用戶it登錄系統(tǒng)。【例8.41】從用戶it切換到用戶root登錄系統(tǒng)。5．su命令使用pwck命令可以校驗(yàn)用戶配置文件/etc/passwd和/etc/shadow內(nèi)容是否合法和完整。命令語法：pwck【例8.42】檢驗(yàn)用戶配置文件/etc/passwd和/etc/shadow文件內(nèi)容是否合法和完整。6．pwck命令使用newgrp命令可以讓用戶賬戶以另一個(gè)組群的身份進(jìn)行登錄。命令語法：newgrp[組群名]【例8.43】將用戶ab以組群ou的身份登錄系統(tǒng)。7．newgrp命令8.4.2賬戶信息顯示在平時(shí)的工作中要顯示賬戶的信息主要用到finger，groups，id，w以及who等眾多命令。使用finger命令可以顯示用戶賬戶的信息。命令語法：finger[選項(xiàng)][用戶名]【例8.44】顯示所有用戶的登錄信息?！纠?.45】顯示用戶newuser的信息。1．finger命令使用groups命令可以顯示指定用戶賬戶的組群成員身份。命令語法：groups[用戶名]【例8.46】查看用戶ab是屬于哪些組群的成員。2．groups命令使用id命令可以顯示用戶的ID以及該用戶所屬組群的GID。命令語法：id[選項(xiàng)][用戶名]【例8.47】查詢用戶ab的UID、GID以及歸屬組群的情況?！纠?.48】顯示用戶ab所屬主組群的GID。【例8.49】顯示用戶ab所屬組群的GID。【例8.50】顯示用戶ab的UID。3．id命令使用w命令可以詳細(xì)查詢已登錄當(dāng)前計(jì)算機(jī)的用戶。命令語法：w【例8.51】顯示已登錄當(dāng)前計(jì)算機(jī)的用戶詳細(xì)信息。4．w命令使用who命令可以顯示已登錄當(dāng)前計(jì)算機(jī)用戶的簡(jiǎn)單信息。命令語法：who

[-Himqsw][--version][am

i][記錄文件]【例8.52】顯示已登錄當(dāng)前計(jì)算機(jī)用戶的簡(jiǎn)單信息。5．who命令8.5實(shí)現(xiàn)賬戶安全在Linux系統(tǒng)中可以使用chage命令管理用戶口令的時(shí)效，防止用戶口令由于長時(shí)間使用而導(dǎo)致泄漏，或是被黑客破解口令而受到攻擊。命令語法：chage[選項(xiàng)][用戶名]表8-5 chage命令選項(xiàng)含義含義選項(xiàng)描述兩次改變密碼之間相距的最小天數(shù)-mdays指定用戶必須改變口令所間隔的最少天數(shù)。如果值為0，口令碼就不會(huì)過期兩次改變密碼之間相距的最大天數(shù)-Mdays指定口令有效的最多天數(shù)。當(dāng)該選項(xiàng)指定的天數(shù)加上“-d”選項(xiàng)指定的天數(shù)小于當(dāng)前的日期，用戶在使用該賬戶前就必須改變口令最近一次密碼修改時(shí)間-ddays指定自從1970年1月1日起，口令被改變的天數(shù)密碼失效時(shí)間-Idays指定口令過期后，賬戶被鎖前不活躍的天數(shù)。如果值為0，賬戶在口令過期后就不會(huì)被鎖賬戶過期時(shí)間-Edate指定賬戶被鎖的日期，日期格式為YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后經(jīng)過的天數(shù)在密碼過期之前警告的天數(shù)-Wdays指定口令過期前要警告用戶的天數(shù)【例8.53】設(shè)置用戶shanghai兩次改變密碼之間相距的最小天數(shù)為2天。【例8.54】設(shè)置用戶shanghai兩次改變密碼之間相距的最大天數(shù)為10天?！纠?.55】設(shè)置用戶shanghai在密碼過期之前警告的天數(shù)為1天?！纠?.56】設(shè)置用戶shanghai密碼失效時(shí)間為10天?！纠?.57】設(shè)置用戶shanghai賬戶過期時(shí)間為2008-10-10。【例8.58】顯示用戶shanghai當(dāng)前口令失效的信息?！纠?.59】用交互式的方式設(shè)置用戶beijing的口令時(shí)效。小結(jié)用戶在Linux系統(tǒng)中是分角色的，由于角色不同，每個(gè)