《第07节Linux账户管理和权限管理课件》由会员分享,可在线阅读,更多相关《第07节Linux账户管理和权限管理课件(58页珍藏版)》请在金锄头文库上搜索。
1、Linux基础 Linux账户管理和权限管理,大理学院数学与计算机学院 硬件教研室 赵贵文,教学目的和要求,理解账户实质 熟悉账户配置文件 学会设置和管理口令 理解Linux系统的权限 学会设置基本操作权限 了解特殊权限的使用,重点内容,账户实质 账户文件 账户设置 权限表示 权限设置,账户概述,什么是用户账户 像Linux这样的多任务多用户系统,往往是一台计算机被多个人同时使用,因此每个用户都有一个惟一的用于登录的用户名以示区分。 然而,对于用户来说除了名字还有许多其他特性。一个账户(account)则用来指定属于一个用户的所有文件、资源以及信息。,账户概述,账户实质 账户实质上就是一个用户
2、在系统上的标识,系统依据账户来区分每个用户的文件、 进程、任务,给每个用户提供特定的工作环境(如用户的工作目录、shell版本、 以及X-Windows环境的配置等),使每个用户的工作都能独立不受干扰地进行。,账户概述,Linux中的账户包括 用户账户 超级用户:UID=0,GID=0 普通用户:UID=500 伪用户:0UID500 组账户 标准组:标准组可以容纳多个用户,若使用标准组, 在创建一个新的用户时就应该指定他所属于的组。 私有组:私有组中只有用户自己。当在创建一个新用户user时, 若没有指定他所属于的组,Red Hat 就建立一个和该用户同名的私有组。,账户概述,用户和组的关系
3、 组是用户的集合。一个标准组可以容纳多个用户。 同一个用户可以同属于多个组,这些组可以是私有组,也可以是标准组。 当一个用户同属于多个组时,将这些组分为: 主组:用户登录系统时的组。 附加组:可切换的其他组。,系统账户文件,用户口令文件/etc/passwd 文件权限:(-rw-r-r-) 用户影子口令文件/etc/shadow 文件权限:(-r-) 组账号文件/etc/group 文件权限: (-rw-r-r-) 组口令文件/etc/gshadow 文件权限:(-r-),Red Hat 的账户管理,默认启用shadow passwords功能。 /etc/passwd文件对任何用户均可读,
4、为了增加系统的安全性, 用户的口令通常用shadow passwords保护。 经过shadow passwords保护的账户密码和相关设置信息保存在/etc/shadow文件里。 /etc/shadow只对root用户可读。 默认使用MD5算法的用户口令。 一般不设置组口令。因为绝大多数应用程序不使用组口令,Red Hat 的账户管理,Red Hat 建议尽量使用私有组来提高系统安全性。 Red Hat 不建议管理员直接编辑修改系统账户文件来维护账户。若用户直接编辑了账户文件, 建议使用账号文件的一致性检测命令。 pwck命令:检测文件“/etc/passwd”和“/etc/shadow”的
5、每行中字段的格式和值是否正确。 grpck命令:检测文件“/etc/group”和“/etc/gshadow”的每行中字段的格式和值是否正确。,与账户管理相关的其他文件或目录,在Linux系统中有几个用来设置新账户的文件、配置文件和子目录,例如,etc/skel子目录里就保存着新用户的初始化文件,新用户的登录子目录被放在/home子目录中,下面是一个路径名列表。 /home 用户自己的登录子目录所在的位置。 /etc/skel 为登录shell保存默认的初始化文件,如.bash-profile和.cshrc等。 /etc/shells 保存登录shell,如BASH和TCSH等。 /etc/p
6、asswd 为用户保存它的口令。 /etc/group 保存用户所属的用户组信息。 可以手工修改这些文件和子目录来设置一个新账户。,使用命令行工具添加用户账号,命令格式:# useradd 常用选项: -g group:指定新用户的主组。 -G group:指定新用户的附加组。 -d directory:指定新用户的自家目录。 -s shell:指定新用户使用的Shell,默认为bash。 -e expire:指定用户的登录失效时间,例如:08/31/2006 -M:不建立新用户的自家目录。,使用命令行工具添加用户账号,操作举例: # useradd user1 # useradd -s /b
7、in/tcsh jason # useradd -g mygroup -e 12/31/2006 user2 # useradd -G staff tom # useradd -G ftpgrp -d /var/ftp2 -s /sbin/nologin -M anftp1,口令设置,使用useradd命令创建用户账户之后需要使用passwd命令设置初始口令 格式:# passwd 举例: 为指定用户设置口令 # passwd jason 修改用户自己的口令 $ passwd,使用命令行工具修改用户账号,命令格式:# usermod 常用选项:选项与useradd命令基本相同。 操作举例: #
8、 usermod -l user2 user1 # usermod -G softgroup jjh # usermod -L user1 # usermod -U user1,使用命令行工具删除用户账号,命令格式:# userdel 常用选项:-r 用于删除用户的宿主目录 操作举例:# userdel user2 # userdel -r user1,使用命令行工具添加组账号,命令格式:# groupadd 常用选项: -r:用于创建系统组账号(GID小于500 ) -g:用于指定GID 操作举例: # groupadd mygroup # groupadd -r sysgroup # gr
9、oupadd -g 888 group2,使用命令行工具修改组账号,格式:# groupmod 常用选项: -g:改变组账号的GID ,组账号名保持不变。 -n:改变组账号名。 操作举例: # groupmod -g 503 mygroup # groupmod -n newgroup mygroup,使用命令行工具删除组账号,命令格式:# groupdel 注意事项: 被删除的组账号必须存在 当有用户使用组账号作为私有组时不能删除 与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除 操作举例: # groupdel mygroup,口令管理,禁用用户账户口令 # passw
10、d -l 查看用户账户口令状态 # passwd -S 恢复用户账户口令 # passwd -u 删除用户账户口令 # passwd -d ,口令时效,口令时效简介 口令时效是系统管理员用来防止机构内不良口令的一种技术。 口令时效意味着过了一段预先设定的时间后(通常是90天), 用户会被提示创建一个新口令。 强制用户在一段时间之后更改口令的机制称为口令时效。 chage命令 命令格式:# chage ,口令时效,Change命令常用选项: -m days:指定用户必须改变口令所间隔的最少天数。如果值为 0,口令就不会过期。 -M days:指定口令有效的最多天数。 当该选项指定的天数加上-d
11、选项指定的天数小于当前的日期,用户在使用该账号前就必须改变口令。 -d days:指定自从1970年1月1日起,口令被改变的天数。 -I days:指定口令过期后,账号被锁前不活跃的天数。 如果值为0,账号在口令过期后就不会被锁。 -E date:指定账号被锁的日期,日期格式为YYYY-MM-DD。 若不用日期,也可以使用自1970年1月1日后经过的天数。 -W days:指定口令过期前要警告用户的天数。 -l:列出指定用户当前的口令时效信息,以确定账号何时过期。,口令时效,操作举例: 用户user1两天内不能更改口令,并且口令最长的存活期为30天, 并在口令过期前5天通知user1。 # c
12、hage -m 2 -M 30 -W 5 user1 查看用户user1当前的口令时效信息。 # chage -l user1,用户管理器配置,如果用户更喜欢使用图形化界面,可使用用户管理器来配置用户和组。 用户管理器允许查看、修改、添加和删除本地用户和组,如图所示。,图 Red Hat用户管理器,添加新用户,要添加新用户,在用户管理器中单击【添加用户】图标按钮。一个如图 所示创建新用户的对话框就会出现。在适当的文本框内输入新用户的用户名和全称。在【口令】和【确认口令】文本框内输入口令。口令必须至少有6个字符。,图 创建新用户,添加新用户,选择一个登录shell。如果不能确定应该选择哪一个sh
13、ell,就接受默认的/bin/bash。默认的主目录是/home/用户名。可以改变为用户创建的主目录,或者通过取消已选中的【创建主目录】复选框来不为用户创建主目录。,修改用户属性,要查看某个现存用户的属性,单击图中的【用户】标签,从用户列表中选择该用户,然后单击【属性】图标按钮,或者从菜单栏选择【文件】|【属性】命令,一个类似图的对话框就会出现。,图 用户属性,修改用户属性,【用户属性】对话框有4个选项卡,其功能如下。 【用户数据】:显示在添加用户时配置的基本用户信息。使用这个选项卡来改变用户全称、口令、主目录或登录 shell。 【账号信息】:如果想让账号到达某一固定日期时过期,选中【启动账
14、户过期】复选框。在提供的文本框内输入日期。选中【用户账号已被锁】复选框来锁住用户账号,从而使用户无法在系统登录。 【口令信息】:这个选项卡显示了用户口令最后一次被改变的日期。要强制用户在一定天数之后改变口令,选中【启动账户过期】复选框。还可以设置允许用户改变口令之前要经过的天数,用户被警告改变口令之前要经过的天数,以及账号变为不活动之前要经过的天数。 【组群】:选择想让用户加入的组以及用户的主要组。,添加新组,要添加新用户组,单击【添加组群】图标按钮。一个类似图的创建新组群窗口就会出现。输入新组的名称来创建。要为新组指定组ID,选中【手工指定组群ID】复选框,然后选择 GID的数值。Red H
15、at Linux 把 低于 500 的组ID 保留给系统组。,单击【确定】按钮来创建组。新组就会出现在组列表中。,图 创建新组,修改组属性,要查看某一现存组的属性,从组列表中选择该组, 然后在按钮菜单中单击【属性】图标按钮,或选择用户管理器菜单【文件】| 【属性】命令。一个类似图的组属性对话框就会出现。 【组群用户】选项卡显示了哪些用户是组的成员。选择其他用户把他们加入到组中,或取消选择用户把他们从组中移除。单击【确定】按钮来修改该组中的用户。,图 组属性,成批添加用户账户,创建脚本addusers,内容为: #!/bin/bash echo -n Give me the name of th
16、e file containing user data. read file1 ! -f $file exit 1 ) while read username2 do useradd $username /dev/null 2 ls -l users -rw-r-r- 1 root root 42 May 2 18:07 users # chmod go-r users # ll users -rw- 1 root root 42 May 2 18:07 users,权限的文字设定法举例,对文件addusers的属主添加执行权限 # ll addusers -rw-r-r- 1 root root 452 May 2 17:44 addusers # chmod u+x addusers # ll addusers -rwxr-r- 1 root root 452 May 2 17:44 addusers,权限的文字设定法举例,对文件addusers1的属主添加执行权限,同时取消组用户和其他用户对文件的读取权限 # l
