Linux系統(tǒng)與應(yīng)用課件項(xiàng)目三

中國(guó)水利水電出版社項(xiàng)目三

Linux用戶與組群管理【項(xiàng)目導(dǎo)入】Linux操作系統(tǒng)是一個(gè)多用戶多任務(wù)的操作系統(tǒng)，允許多個(gè)用戶同時(shí)登錄到系統(tǒng)，使用系統(tǒng)資源。為了使所有用戶的工作順利進(jìn)行，保護(hù)每個(gè)用戶的文件和進(jìn)程，規(guī)范每個(gè)用戶的權(quán)限，需要區(qū)分不同的用戶，就產(chǎn)生了用戶帳戶和組群。中國(guó)水利水電出版社【知識(shí)目標(biāo)】

了解用戶和組群配置文件掌握Linux下用戶及組群的創(chuàng)建與維護(hù)管理理解文件及目錄權(quán)限的含義掌握權(quán)限的設(shè)置方法中國(guó)水利水電出版社【能力目標(biāo)】

學(xué)會(huì)管理用戶及組群學(xué)會(huì)修改用戶賬戶的屬性掌握文件及目錄權(quán)限的修改方法中國(guó)水利水電出版社3.1用戶與組群的配置3.1.1用戶與組群介紹1.用戶ID與用戶賬號(hào)用戶在登錄Linux主機(jī)的時(shí)候，輸入的是用戶的賬號(hào)。但是其實(shí)Linux主機(jī)并不會(huì)直接識(shí)別用戶的的賬號(hào)，它只能認(rèn)識(shí)用戶ID。Linux上的用戶有三種：超級(jí)用戶（root）、普通用戶和系統(tǒng)用戶。超級(jí)用戶：即root用戶，擁有計(jì)算機(jī)系統(tǒng)的最高權(quán)限。普通用戶：由超級(jí)用戶創(chuàng)建，普通用戶帳戶在系統(tǒng)上的任務(wù)是進(jìn)行普通工作，權(quán)限有限。系統(tǒng)用戶：是與系統(tǒng)服務(wù)相關(guān)的用戶，通常在安裝軟件包時(shí)自動(dòng)創(chuàng)建，一般不需要改變其默認(rèn)設(shè)置。中國(guó)水利水電出版社2./etc/passwd文件用來(lái)存放除了用戶口令之外的用戶帳戶信息。該文件中有七個(gè)字段，各字段之間用：隔開(kāi)，名字及含義如下：用戶名：對(duì)應(yīng)uid。密碼：uid：這就是用戶的識(shí)別碼。GID：組ID。用戶描述：這個(gè)字段用來(lái)解釋賬戶的作用。主目錄：用戶的家目錄。登錄Shell：用于當(dāng)你執(zhí)行命令后，各硬件接口之間的通信。中國(guó)水利水電出版社3./etc/shadow文件用以存放用戶口令，只有超級(jí)用戶才能查看其內(nèi)容。共9個(gè)字段用來(lái)表示用戶屬性信息。從左至右各字段含義如下：用戶名，排列順序和/etc/passwd文件保持一致。34位加密口令，若是“！！”，則表示這個(gè)賬戶無(wú)口令，不能登錄。上次改動(dòng)密碼的日期。密碼不可被改動(dòng)的天數(shù)。密碼需要重新變更的天數(shù)。密碼變更期限快到前的警告期。賬戶失效日期。賬戶取消日期。保留域。中國(guó)水利水電出版社4.用戶組群組是用戶的集合，在系統(tǒng)中組有兩種：私人組群和系統(tǒng)組群。5./etc/group文件用以存放組群帳戶信息，所有用戶都可以查看其內(nèi)容。6./etc/gshadow文件根據(jù)/etc/group文件而產(chǎn)生，用以存放組群口令、管理員等管理信息內(nèi)容，和/etc/shadow文件類(lèi)似，只有超級(jí)用戶才能查看。中國(guó)水利水電出版社3.1.2管理用戶及組群命令1.useradd命令格式：useradd[-uUID][-g私人群組][-G附加群組][-mM]功能：useradd可用來(lái)建立用戶賬號(hào)。例：建立一個(gè)新用戶賬戶jordan，并設(shè)置ID為523。[root@localhost~]#useraddjordan-u523中國(guó)水利水電出版社2.passwd命令格式：passwd[選項(xiàng)][用戶]功能：設(shè)置或修改用戶的密碼。該命令可選參數(shù)如下：-l：暫時(shí)鎖定指定帳戶。-u：解除指定用戶帳號(hào)的鎖定。例：為jordan設(shè)置初始口令。[root@localhost~]#passwdjordan中國(guó)水利水電出版社3.usermod命令格式：usermod[參數(shù)]用戶名功能：修改用戶帳號(hào)的屬性。常用選項(xiàng)如下：-g<群組>：修改用戶所屬的群組。-G<群組>：修改用戶所屬的附加群組。-l<帳號(hào)名稱(chēng)>：修改用戶帳號(hào)名稱(chēng)。-L：鎖定用戶密碼，使密碼無(wú)效。-u<uid>：修改用戶ID。-U：解除密碼鎖定。中國(guó)水利水電出版社4.userdel命令格式：userdel[-r][用戶帳號(hào)]功能：刪除用戶帳號(hào)。5.chage命令格式：chage[選項(xiàng)]username功能：修改帳號(hào)和密碼的有效期限。中國(guó)水利水電出版社6.groupadd命令格式：groupadd[選項(xiàng)][用戶組]功能：增加一個(gè)新的用戶組使用。常用選項(xiàng)：-gGID：指定新用戶組的組標(biāo)識(shí)號(hào)（GID）。例：創(chuàng)建一個(gè)wangkai群組。[root@localhosthome]#groupaddwangkai中國(guó)水利水電出版社7.groupmod命令語(yǔ)法：groupmod[-g<群組識(shí)別碼>][-n<新群組名稱(chēng)>][群組名稱(chēng)]功能：更改群組識(shí)別碼或名稱(chēng)。8.groupdel命令格式：groupdel[群組名稱(chēng)]功能：刪除指定群組。中國(guó)水利水電出版社9.gpasswd命令格式：gpasswd[選項(xiàng)]組帳號(hào)功能：將用戶添加到指定的組，使其稱(chēng)為改組的成員。常用選項(xiàng)：-a：添加用戶到組。-d：從組刪除用戶。-A：為組指定管理員。-M：指定多個(gè)組成員。中國(guó)水利水電出版社10.用戶和組群的維護(hù)命令（1）id命令（2）finger命令（3）chfn命令（4）chsh命令

（5）whoami命令（6）su命令中國(guó)水利水電出版社3.1.3用戶管理器的使用中國(guó)水利水電出版社任務(wù)3-1：在圖形界面下添加用戶和組群1.任務(wù)描述某高校配置Linux操作系統(tǒng)，需要在該系統(tǒng)上添加三個(gè)賬戶user1、user2、user3，為了便于管理，還需要將這三個(gè)用戶添加students群組中。2.操作步驟中國(guó)水利水電出版社中國(guó)水利水電出版社3.2文件權(quán)限管理3.2.1文件權(quán)限的含義1.訪問(wèn)權(quán)限讀取權(quán)限（read）：瀏覽文件/目錄中內(nèi)容的權(quán)限。寫(xiě)入權(quán)限（write）：對(duì)文件而言是修改文件內(nèi)容的權(quán)限；對(duì)目錄而言是刪除、添加和重命名目錄內(nèi)文件的權(quán)限。執(zhí)行權(quán)限（execute）：對(duì)可執(zhí)行文件而言是允許執(zhí)行的權(quán)限；而對(duì)目錄來(lái)講是進(jìn)入目錄的權(quán)限。 中國(guó)水利水電出版社2.與文件權(quán)限相關(guān)的用戶分類(lèi)文件所有者（Owner）：建立文件或目錄的用戶。同組用戶（Group）：文件所屬組群中的所有用戶。其它用戶（Other）：既不是文件所有者，又不是同組用戶的其他所有用戶。中國(guó)水利水電出版社3.訪問(wèn)權(quán)限的表示法字母表示數(shù)字表示權(quán)限含義---0無(wú)任何權(quán)限--x1可執(zhí)行（eXecute）-w-2可寫(xiě)（Write)-wx3可寫(xiě)和可執(zhí)行r--4只讀（Read）r-x5只讀和可執(zhí)行rw-6可讀和可寫(xiě)rwx7可讀、可寫(xiě)和可執(zhí)行中國(guó)水利水電出版社3.2.2修改文件權(quán)限的shell命令1.chmod命令格式：chmod[參數(shù)][模式]文件功能：用于改變文件或目錄的訪問(wèn)權(quán)限，用它控制文件或目錄的訪問(wèn)權(quán)限。模式分為數(shù)字模式和功能模式。數(shù)字模式為一組三位數(shù)字，如755、644等。中國(guó)水利水電出版社功能模式可由以下三部分組成。（1）對(duì)象u：用戶。g：群組。o：其他用戶。a：所有的用戶及群組。（2）操作符＋：增加權(quán)限。－：刪除權(quán)限。＝：賦予給定權(quán)限。（3）權(quán)限r(nóng)(read)：讀取權(quán)限。w(write)：寫(xiě)入權(quán)限。x(execute)：執(zhí)行權(quán)限。例：針對(duì)helen用戶的2015文件增加所有用戶對(duì)文件的執(zhí)行權(quán)限。[root@localhosthelen]#chmoda+x2015//使用功能模式增加所有用戶的執(zhí)行權(quán)限中國(guó)水利水電出版社2.chown命令格式：

chown[選項(xiàng)][所有者][：[組群]]文件功能：通過(guò)chown改變文件的擁有者和群組。例：將test文件的所有者和所屬組群設(shè)置為helen用戶和helen組群。[root@localhosthelen]#chownhelen：helentest

中國(guó)水利水電出版社3.chgrp命令格式：chgrp[選項(xiàng)]組群文件（目錄）功能：改變文件（目錄）的所屬組群。例：將letter文件的所屬組群由helen改為root。[root@localhosthelen]#chgrprootletter中國(guó)水利水電出版社3.2.3設(shè)置文件特殊權(quán)限在Linux中除了常見(jiàn)rwx即讀、寫(xiě)、執(zhí)行的權(quán)限外，還有三個(gè)特殊權(quán)限，分別為suid、sgid、stickkey。1．SetUIDs或S（SUID，SetUID）：作用是讓普通用戶擁有root用戶的權(quán)限，可執(zhí)行只有root才能執(zhí)行的程序。例：設(shè)置shutdown的suid，使得普通用戶可以執(zhí)行該命令關(guān)閉系統(tǒng)。[root@localhosttmp]#chmod4755/sbin/shutdown//設(shè)置suid中國(guó)水利水電出版社2．SetGIDs或S（SGID，SetGID）：設(shè)置在可執(zhí)行文件上，其效果與SUID相同，普通用戶組成員可以執(zhí)行“只有root組成員才能執(zhí)行的”可執(zhí)行文件。例：設(shè)置沒(méi)有SGID標(biāo)志的/home/helen/tmpdir具有此權(quán)限。[root@localhosthelen]#chmod2755tmpdir[root@localhosthelen]#ll|greptmpdirdrwxr-sr-x.2rootroot40968月1909：29tmpdir中國(guó)水利水電出版社3．StickyBit（SBIT）粘貼位，用于限制用戶對(duì)共享資源的修改、刪除權(quán)限。帶有sticky屬性的目錄，其下面的文件及子目錄只能被其所有者或root用戶修改和刪除，其他用戶不能刪除或修改。例3：設(shè)置沒(méi)有sbit位的目錄/home/helen/sticktest具有SBIT位，且所有用戶對(duì)該目錄具有寫(xiě)權(quán)限。[root@localhosthelen]#ls-ldsticktestdrwxr-xr-x.2rootroot40968月1909：58sticktest[root@localhosthelen]#chmod1777sticktest中國(guó)水利水電出版社3.2.4訪問(wèn)控制列表1.ACL定義ACL是由一系列的AccessEntry所組成的。它有以下幾個(gè)類(lèi)型：（1）ACL_USER_OBJ：文件（夾）所有者的權(quán)限。（2）ACL_USER：定義了額外的用戶可以對(duì)此文件或文件夾的權(quán)限。（3）ACL_GROUP_OBJ：文件（夾）所屬組的權(quán)限。（4）ACL_GROUP：定義了額外的組可以對(duì)此文件或文件夾擁有的權(quán)限。（5）ACL_MASK：定義了ACL_USER，ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限。（6）ACL_OTHER：其它用戶的權(quán)限。中國(guó)水利水電出版社2.ACL命令（1）getfacl命令格式：getfacl[選項(xiàng)][文件]功能：取得文件或目錄的ACL設(shè)置信息。例：查看/home/xiaohua目錄的ACL權(quán)限。[root@localhosthelen]#getfacl/home/xiaohuagetfacl：Removingleading'/'fromabsolutepathnames#file：home/xiaohua//定義目錄名#owner：xiaohua//定義所有者#group：xiaohua//定義所屬組群user：：rwx//定義目錄所有者的權(quán)限group：：---//定義目錄屬組的權(quán)限other：：---//定義其他用戶對(duì)目錄的權(quán)限中國(guó)水利水電出版社（2）setfacl命令格式：setfacl[參數(shù)][文件]功能：設(shè)置文件或目錄的ACL設(shè)置信息。例：設(shè)置helen對(duì)/home/xiaohua目錄具有rwx權(quán)限。[root@localhosthelen]#setfacl-mu：helen：rwx/home/xiaohua/中國(guó)水利水電出版社

任務(wù)3-2：基本權(quán)限及特殊權(quán)限的應(yīng)用1.任務(wù)描述設(shè)系統(tǒng)中有兩個(gè)用戶賬號(hào)，分別是wangkai與wangguan，這兩個(gè)人除了在以自己名為群組名的私人群組中之外還共同加入了一個(gè)名為project的群組。請(qǐng)以傳統(tǒng)權(quán)限和SGID的功能設(shè)置，使得這兩個(gè)用戶共同擁有/srv/programe/目錄的開(kāi)發(fā)權(quán)，且該目錄不許其他人進(jìn)入查閱。中國(guó)水利水電出版社2.操作步驟（1）首先添加這兩個(gè)賬號(hào)的相關(guān)信息，如下所示：[root@localhost~]#groupaddproject[root@localhost~]#useradd–Gprojectwangkai[root@localhost~]#useradd–Gprojectwangguan[root@localhost~]#idwangkaiuid=501(wangkai)gid=502(wangkai)groups=502(wangkai)，501(project)[root@localhost~]#idwangguanuid=502(wangguan)gid=502(wangguan)groups=503(wangguan)，501(project)中國(guó)水利水電出版社（2）然后建立所需要開(kāi)發(fā)的項(xiàng)目目錄。[root@localhost~]#mkdir/srv/programe[root@localhost~]#ll–d/srv/programedrwxr-xr-x2rootroot4096june2823：22/srv/programe（3）設(shè)置該目錄的群組應(yīng)為project，權(quán)限應(yīng)為770:[root@localhost~]#chgrpproject/srv/programe[root@localhost~]#chmod770/srv/programe[root@localhost~]#ll–d/srv/programedrwxrwx---2rootproject4096june2823：25/srv/programe中國(guó)水利水電出版社（4）分別用wangkai、wangguan及其他用戶jack建立文件進(jìn)行測(cè)試。[root@localhost~]#suwangkai[wangkai@localhost~]#cd/srv/programe[wangkai@localhost~]#touchtest[wangkai@localhost~]#exit[root@localhost~]#suwangguan[wangguan@localhost~]#cd/srv/programe[wangguan@localhostprograme]$touchtest2[wangguan@localhostprograme]$su