《用户和组的管理1》由会员分享,可在线阅读,更多相关《用户和组的管理1(44页珍藏版)》请在金锄头文库上搜索。
1、第4章 用户和组的管理,本章提要,Fedora 8用户管理 Fedora 8 组管理 Linux 是一个多用户的操作系统,Linux系统管理员的关键任务之一是维护用户和组。即使计算机是专供一位用户使用的工作站,一般也需要在计算机中至少维护一个根账户和一个普通账户。本章的内容包括如何利用图形化工具和在命令行界面下完成用户账号、工作组的建立和维护,并正确设置用户权限和安全性问题。利用图形配置工具与使用命令进行用户/用户组管理完成的是同样的工作,不同之处在于图形工具的操作界面友好直观,用户也不必去记忆大量的命令和参数。,用户管理,Linux 是一个多任务、多用户的操作系统,任何一个要使用系统资源的用
2、户(使用者),都必须首先申请一个账号,然后用这个账号登录系统。用户的账号可以帮助系统对使用系统的用户进行跟踪,并控制用户对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性的保护。组是具有共同用户特征的用户的集合,这与现实生活中的个人与集体是类似的。Linux 系统来说,使用组可提高系统的灵活性;对于具体的Linux系统管理员来说,通过管理组来管理用户,提高了工作效率。,Linux 的用户,在Linux系统中,每个用户对应一个帐号。Fedora 8安装完成后,系统本身已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即 root。还有一类用户是系统用户,是Lin
3、ux 系统正常工作所必需的内建用户,主要是为了满足相应的系统进程对文件属主的要求而建立的,如bin、daemon、adm、lp 等用户。系统用户不能用来登录。系统用户也被称为虚拟用户。,用户和组群的基本项目及含义,Linux 用户登录系统的过程,Linux 系统采用纯文本文件来保存账号的各种信息,其中最重要的文件有/etc/passwd、/etc/shadow、/etc/group。Linux 用户登录系统的过程实质上是系统读取和核对这几个文件的过程。具体过程如下: (1) 首先Linux 会出现一个登录系统的画面,提示输入账号,在这里输入账号与密码。 (2) Linux 会先找寻 /etc/
4、passwd 里面是否有这个账号,如果没有则退出登录,如果有,则将该账号对应的UID(User ID)与GID(Group ID)读出来。另外,该账号对应的用户主目录与Shell 设定也一并读出。 (3) 核对密码表。这时Linux 会进入/etc/shadow 找出登录账号与UID 相对应的记录,然后核对一下刚刚输入的密码与此文件的密码是否符合。 (4) 如以上核对都没有问题,用户正式进入系统。,账号文件,与账号有关的文件有/etc/passwd、/etc/shadow 和/etc/group。可以使用vi 或其他编辑器来更改它们,也可以使用专门的命令来更改。账号的管理实际上就是对这几个文件
5、的内容进行添加、修改和删除记录行的操作,不管以哪种形式管理账号,了解这几个文件的内容都十分必要。,/etc/passwd文件,/etc/passwd 帐号文件是账号管理中最重要的一个文件,是一个纯文本文件。每一个注册用户在该文件中都有一个对应的记录行,这一记录行记录了此用户的必要信息。 例如,下面是/etc/passwd 文件的实例。 rootCandy # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologi
6、n adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin pulse:x:499:496:PulseAudio daemon:/:/sbin/nologin User:/var/lib/nfs:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin gdm:x:42:42:/var/gdm:/sbin/nologin Bob:x:500:500:/home/Bob:/bin/bash,passwd文件格式,账号名称:密码:UID:G
7、ID:个人资料:主目录:Shell 每个字段的说明如下: (1) 账号名称:用户登录Linux 系统时使用的名称。 (2) 密码:这里的密码是经过加密后的密码,而不是真正的密码,若为“x”,说明密码已经被移动到shadow 这个加密过后的文件。 (3) UID:用户的标识,是一个数值,Linux 系统内部使用它来区分不同的用户。通常Linux 对于UID 有几个限制,具体如下。 0 为系统管理员,即root 用户,所以新建另一个系统管理员账号时,可以将该账号的UID 改成0 即可。 1500 为保留给系统使用的ID,其实165534 之间的账号并没有不同,也就是除了0 之外,其他的UID 并没
8、有区别,但将500 以下的ID 留给系统作为保留账号是一个好习惯。 50065535 在Fedora中是给一般使用者用的,passwd 文件最后一行的记录Bob用户的UID就是500。 (4) GID:用户所在组的标识,是一个数值,Linux 系统内部使用它来区分不同的组,相同的组具有相同的GID。 (5) 个人资料:可以记录用户的个人信息,如姓名、电话等信息。 (6) 主目录:root 的主目录为/root,所以当root 用户登录之后,当前的目录就是/root;对于其他用户通常是/home/username,这里username 是用户名,用户执行“cd”命令时当前目录会切换到个人主目录,
9、如Bob用户的主目录为/home/Bob。 (7) Shell:定义用户登录后使用的Shell 版本,默认是bash。,/etc/shadow,/etc/shadow为用户密码文件。任何用户对passwd 文件都有读的权限,虽然密码已经经过加密,但还是不能避免有人会获取加密后的密码。为了安全起见,Linux 系统对密码提供了更多一层的保护,即把加密后的密码移动到/etc/shadow 文件中,只有超级用户能够读取shadow 文件的内容,并且Linux在 /etc/shadow 文件中设置了很多的限制参数。经过shadow 的保护,/etc/passwd 文件中每一记录行的密码字段会变成“x”
10、,并且在/etc 目录下多出文件shadow。下面是shadow 文件的实例。 rootCandy # cat /etc/passwd root:$1$5Q1l2HdK$6BLlVJsWPOt/bi1rcKq0o/:13954:0:99999:7: bin:*:13954:0:99999:7:,shadow文件格式说明,(1) 最后一次修改时间:表示从1970 年1 月1 日起到上次修改密码所经过的天数。 (2) 最小时间间隔:表示两次修改密码之间至少经过的天数。 (3) 最大时间间隔:表示密码还会有效的最大天数,如果是99999,则表示永不过期。 (4) 警告时间:表示密码失效前多少天内系统
11、向用户发出警告。 (5) 不活动时间:表示禁止登录前用户名还有效的天数。 (6) 失效时间:表示用户被禁止登录的时间。 (7) 标志字段:无意义,未使用。 在shadow 文件中,密码字段为“*”表示用户被禁止登录,为“!”表示用户被锁定。安装Linux 系统时,系统默认采用shadow 来保护密码。 如果安装Linux 时未启用shadow,可以使用pwconv 命令启用shadow。注意,用root 用户登录来执行该命令,执行的结果是/etc/passwd 文件中的密码字段被改为“x”,同时产生/etc/shadow 文件。相反,如果要取消shadow 功能,可使用pwunconv 命令,
12、但不建议这样做。,命令行方式管理用户,useradd useradd用于添加用户。只有超级用户root 才有权使用此命令。使用useradd 命令创建新的用户账号后,应利用passwd 命令为新用户设置密码。一个类似的命令是adduser,也用来创建用户账号。 1) 添加Alice用户 rootCandy # useradd Alice Alice:x:501:501:/home/Alice:/bin/bash 用户Alice添加成功,同时发现,使用命令useradd 添加用户的同时还添加了许多其他默认设置,如用户主目录和Shell 版本等。,修改用户默认设置,很明显在大多数情况下,用户希望修
13、改默认设置,以满足实际的要求。比如说,想修改默认Shell 版本为使用较多的/bin/bash。与添加用户的默认设置有关的文件主要是/etc/login.defs 与 /etc/default/useradd 文件。 (1) /etc/login.defs 文件 (2) /etc/default/useradd 文件,passwd,1)修改用户密码 通过 passwd 命令可以完成为新建用户设立口令。例如,超级用户要设置或改变用户 newuser 的口令时,可使用命令: passwd newuser 系统会提示输入新的口令,新口令需要输入两次。出于安全的原因,键入口令时不会在屏幕上回显出来。当
14、用户使用不带参数的 passwd 命令时,可以修改自己的口令。 如,修改用户Jim的密码属性的命令如下: rootCandy # passwd Jim 也可以用如下命令直接修改自己的密码: BobCandy # passwd,passwd(续),2)锁定用户帐号 在系统中,有时需要临时禁止某个用户账号登录。如下命令用于锁定用户账号Jim,使其无法登录。 rootCandy # passwd -l Jim 查看Linux 系统中管理用户账号的系统文件/etc/shadow,可看到其密码域的第一个字符前加了符号“!”(若系统没有密码保护则文件为/etc/passwd)。 rootCandy # c
15、at /etc/shadow 当然,也可修改etc/passwd 文件来锁定用户账号Jim,在该用户的passwd 域的第一个字符前加一个号注销这行记录,如要启用时再去掉。 3)解除用户账号Jim的锁定。 rootCandy # passwd u Jim 4)删除用户的密码 rootCandy # passwd d Alice Removing password for user Alice. passwd: Success 该命令删除了用户Alice的密码。,usermod,usermod用于改变用户的属性。 1) 修改Alice的UID为新的值600、所属组为admin。 rootCand
16、y # usermod u 600 g admin Alice 改变用户的UID 时,主目录下所有该用户所拥有的文件或子目录将自动更改其UID,但对于主目录之外的文件和目录只能用chown 命令手工进行设置。 2) 修改Alice的用户主目录。 rootCandy # mkdir /Alice rootCandy # usermod d /Alice Alice usermod 参数较多,其具体作用说明如下: -l name:更改账户的名称,必须在该用户未登录的情况下才能使用。 -m:把主目录的所有内容移动到新的目录。 -p 密码:修改用户的密码。 -s Shell:修改用户的登录Shell。,chsh,chsh用于改变用户的Shell 版本 1) 列出本机上所有能用的Shell 名称。 rootCandy # chsh -l /bin/sh /bin/bash /sbin/nologin /bin/zsh 2
