用戶與用戶組管理課件

Whatarewords第5章用戶與用戶組管理在Linux操作系統(tǒng)中，任何文件都?xì)w屬于某一特定的用戶，而任何用戶都隸屬于至少一個(gè)用戶組。用戶是否有權(quán)限對(duì)某文件進(jìn)行訪問、讀寫以及執(zhí)行，受到系統(tǒng)嚴(yán)格約束的正是這種清晰、嚴(yán)謹(jǐn)?shù)挠脩襞c用戶組管理系統(tǒng)。在很大程度上它保證了Linux系統(tǒng)的安全性。本章將對(duì)Linux系統(tǒng)中重要的用戶和組管理文件進(jìn)行介紹，并且介紹如何使用命令行以及圖形用戶界面對(duì)用戶和組進(jìn)行管理。5.1用戶和組文件5.1.1用戶賬號(hào)文件——passwd/etc/passwd文件是UNIX安全的關(guān)鍵文件之一。該文件用于用戶登錄時(shí)校驗(yàn)用戶的登錄名、加密的口令數(shù)據(jù)項(xiàng)、用戶ID（UID）、默認(rèn)的用戶組ID（GID）、用戶信息、用戶主目錄以及登錄后使用的shell。域含義username登錄名password加密的用戶口令uid用戶IDgid用戶組IDuserinfo用戶信息home分配給用戶的主目錄shell用戶登錄后將執(zhí)行的shell（若為空格則默認(rèn)為/bin/sh）表5-1 /etc/passwd文件中域的含義用戶的登錄名是用戶用來登錄的識(shí)別，由用戶自行選定，主要由方便用戶記憶或者具有一定含義的字符串組成。所有用戶口令的存放都是加密的，通常采用的是不可逆的加密算法。一般來說，用戶的UID應(yīng)當(dāng)是獨(dú)一無二的，其他用戶不應(yīng)當(dāng)有相同的UID數(shù)值，只有UID等于0時(shí)可以例外。每個(gè)用戶都需要保存專屬于自己的配置文件及其他文檔，以免用戶間相互干擾。當(dāng)用戶登錄進(jìn)入系統(tǒng)時(shí)，會(huì)啟動(dòng)一個(gè)Shell程序，默認(rèn)是bash。5.1.2用戶影子文件——shadowLinux使用不可逆的加密算法（如MD5，SHA1等）來加密口令。和/etc/passwd類似，/etc/shadow文件中每條記錄用冒號(hào)“:”分隔，形成9個(gè)域，格式如下所示：username:password:lastchg:min:max:warn:inactive:expire:flag其中，各個(gè)域的含義如表5-2所示。域含義username用戶登錄名password加密的用戶口令lastchg表示從1970年1月1日起到上次修改口令所經(jīng)過的天數(shù)min表示兩次修改口令之間至少經(jīng)過的天數(shù)max表示口令還會(huì)有效的最大天數(shù)，如果是99999則表示永不過期warn表示口令失效前多少天內(nèi)系統(tǒng)向用戶發(fā)出警告inactive表示禁止登錄前用戶名還有效的天數(shù)expire表示用戶被禁止登錄的時(shí)間flag保留域，暫未使用表5-2 /etc/shadow文件中域的含義/etc/group文件記錄格式如下所示：group_name:group_password:group_id:group_members其中，各個(gè)域的含義如表5-3所示。域含義group_name用戶組名group_password加密后的用戶組口令group_id用戶組ID（GID）group_members以逗號(hào)分隔的成員用戶清單表5-3 /etc/group的域及其含義域含義group_name用戶組名group_password加密后的用戶組口令group_members以逗號(hào)分隔的成員用戶清單表5-4 /etc/gshadow的域及其含義與pwck命令相類似，grpck命令的作用是檢驗(yàn)/etc/group和/etc/gshadow數(shù)據(jù)項(xiàng)中每個(gè)域的格式以及數(shù)據(jù)的正確性，并對(duì)組賬號(hào)文件（/etc/group）及其影子文件（/etc/gshadow）的一致性進(jìn)行校驗(yàn)。如果發(fā)現(xiàn)錯(cuò)誤，該命令將會(huì)提示用戶對(duì)出現(xiàn)錯(cuò)誤的數(shù)據(jù)項(xiàng)進(jìn)行修改或刪除。5.2使用命令行方式管理用戶和組5.2.1使用useradd命令添加用戶Linux使用useradd命令添加用戶或更新新創(chuàng)建用戶的默認(rèn)信息。默認(rèn)信息包括前文所述的用戶賬號(hào)文件所存儲(chǔ)的用戶相關(guān)信息。useradd命令的格式如下：useraddoptionusernameW命令當(dāng)前活動(dòng)的用戶列表出于系統(tǒng)安全考慮，Linux系統(tǒng)中的每一個(gè)用戶除了有其用戶名外，還有其對(duì)應(yīng)的用戶口令。因此使用useradd命令增加時(shí)，還須用passwd命令為每一位新增加的用戶設(shè)置口令。之后還可以隨時(shí)用passwd命令改變自己的口令。passwd命令的格式如下：passwdusername5.2.3使用userdel命令刪除用戶userdel命令用來刪除系統(tǒng)中的用戶信息。usermod命令的格式如下：userdeloptionusername5.2.4使用groupadd命令創(chuàng)建用戶組groupadd命令可以以指定名稱來建立新的用戶組。groupadd命令的格式如下：groupaddoptiongroupname5.2.5使用groupmod命令修改用戶組屬性groupmod命令用來修改用戶組信息。groupadd命令的格式如下：groupmodoptiongroupname5.2.6使用groupdel命令刪除用戶組groupdel命令比較簡單，用來刪除系統(tǒng)中存在的用戶組。使用該命令時(shí)必須確認(rèn)待刪除的用戶組存在。groupdel命令的格式如下。groupdelgroupname再將hahauser1.2.3密碼修改為123456此時(shí)系統(tǒng)中有8個(gè)在線用戶。CTRL+ALT+F1==》root圖形界面CTRL+ALT+F2~6==》字符界面（以前就打開過）CTRL+ALT+F7==》hahauser1圖形界面CTRL+ALT+F8==》hahauser2圖形界面5.3使用RedHat用戶管理器管理用戶和組5.3.1啟動(dòng)RedHat用戶管理器在Linux系統(tǒng)中，有兩種方法可以啟動(dòng)RedHat的用戶管理器（RedHatUserManager）。（1）第一種方法是通過在shell下使用redhat-config-users命令來啟動(dòng)，命令所示如下：[root@localhostroot]#redhat-config-users（2）第二種方法是通過使用圖形界面來啟動(dòng)用戶管理器，操作方法為（以GNOME界面為例）單擊【開始】|【系統(tǒng)設(shè)置】|【用戶和組群】菜單項(xiàng)，Linux顯示RedHat用戶管理器界面，如圖5-1所示。圖5-1啟動(dòng)RedHat用戶管理器5.3.2創(chuàng)建用戶啟動(dòng)RedHat用戶管理器后，就可以方便地進(jìn)行添加用戶的操作。將用戶管理器切換到【用戶】標(biāo)簽頁，可以查看系統(tǒng)已經(jīng)創(chuàng)建的用戶的基本信息，包括用戶名、用戶ID、主要組群（即用戶組）、全稱、登錄shell和主目錄，如圖5-2所示。

圖5-2RedHat用戶管理器界面

圖5-3創(chuàng)建用戶對(duì)話框圖5-4用戶創(chuàng)建成功5.3.3修改用戶屬性通過使用RedHat用戶管理器，不但可以創(chuàng)建用戶，而且可以方便地修改系統(tǒng)已有用戶的各個(gè)相關(guān)屬性。

圖5-5修改用戶數(shù)據(jù)圖5-6修改賬號(hào)信息

圖5-7修改用戶口令信息示意圖

圖5-8修改用戶組群設(shè)置示意圖5.3.4創(chuàng)建用戶組和創(chuàng)建用戶一樣，使用RedHat用戶管理器也可以方便地進(jìn)行添加用戶組的操作。將用戶管理器切換到【組群】標(biāo)簽頁，可以查看系統(tǒng)已經(jīng)創(chuàng)建的用戶組基本信息（包括組群名、組群ID、組群成員），如圖5-9所示。圖5-9查看已創(chuàng)建用戶組群

圖5-10創(chuàng)建新組群示意圖5.3.5修改用戶組屬性