《linux课件 第3章 用户和组管理》由会员分享,可在线阅读,更多相关《linux课件 第3章 用户和组管理(12页珍藏版)》请在金锄头文库上搜索。
1、第3章 用户和组管理Linux是个多用户多任务的分时操作系统,所有一个要使用系统资源的用户都必须先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面能帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也能帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和用户密码。用户在登录时键入正确的用户名和密码后,才能进入系统和自己的主目录。实现用户账号的管理,要完成的工作主要有如下几个方面:a.用户账号的添加、删除和修改。b.用户密码的管理。c.用户组的管理。3.1 用户和组文件在linux系统中每个用户都拥有一个唯一的标示符,称
2、为用户ID(UID),每个用户对应一个帐号。Linux系统把具有相似属性的多个用户分配到一个称为用户分组的组中,每个用户至少属于一个组。安装完系统后,已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即root。用户分组是由系统管理员建立的,一个用户分组内包含若干个用户,一个用户也可以归属于不同的分组。用户分组也有一个唯一的标示符,称为分组ID(GID)。对某个文件的访问都是以文件的用户ID和分组ID为基础的。同时根据用户和分组信息可以控制如何授权用户访问系统,以及允许访问后用户可以进行的操作权限。用户的权限可以被定义为普通用户或超级用户,超级用户也被称为根用户。普通用户只能访
3、问自己的文件和其他有权限执行的文件,而超级用户权限最大,可以访问系统的全部文件并执行任何操作。一般系统管理员使用的是超级用户root,有了这个账号,管理员可以突破系统的一切限制,方便地维护系统。普通用户也可以用su命令使自己转变为超级用户。系统的这种安全机制有效地防止了普通用户对系统的破坏。例如存放于/dev目录下的设备文件分别对应于硬盘驱动器、打印机、光盘驱动器等硬件设备,系统通过对这些文件设置用户访问权限,使得普通用户无法通过覆盖硬盘而破坏整个系统,从而保护了系统。在Linux中可以利用用户配置文件,以及用户查询和管理的控制工具来进行用户管理,用户管理主要通过修改用户配置文件完成。用户管理
4、控制工具最终的目的也是为了修改用户配置文件,所以在进行用户管理的时候,直接修改用户配置文件同样可以达到用户管理的目的。与用户相关的系统配置文件主要有/etc/passwd和/etc/shadow,其中/etc/shadow是用户信息的加密文件,比如用户的密码、密码的加密保存等;/etc/passwd和/etc/shadow文件是互补的,下面对这两个文件进行介绍。3.1.1 用户帐号文件/etc/passwd是系统识别用户的一个文件,用来保存用户的帐号数据等信息,又被称为密码文件或密码文件。系统所有的用户都在此文件中有记载。例如当用户以zhang这个帐号登录时,系统首先会查阅/etc/passw
5、d文件,看是否有zhang这个帐号,然后确定zhang的UID,通过UID来确认用户和身份。如果存在则读取/etc/shadow影子文件中所对应的zhang的密码,如果密码核实无误则登录系统,读取用户的配置文件。用户登录进入系统后都有一个属于自己的操作环境,可以执行cat命令查看完整的系统帐号文件。假设当前用超级用户身份登录,执行下列命令:#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologinadm:x:2:2:daemon:/sbin:/sbin/nologinlp:x:4:7:lp:/v
6、ar/spool/lpd:/sbin/nologinzhang:x:500:500:/home/zhang:/bin/bash在/etc/passwd中,每一行都表示的是一个用户的信息,一行有7个段位,每个段位用“:”号分割,其格式如下:username:password:User ID:Group ID:comment:home directory:shell字段含义如下:1username 用户名,它唯一地标识了一个用户帐号,用户在登录时使用的就是它。通常长度不超过8个字符,并且由大小写字母和/或数字组成。用户名中不能有冒号,因为冒号在这里是分隔符。为了兼容起见,在创建用户时,用户名中最好
7、不要包含点字符“.”,并且不使用连字符“-”和加号“+”打头。2password 该帐号的密码,passwd文件中存放的密码是经过加密处理的。目前许多Linux系统都使用了shadow技术,把真正的加密后的用户密码字存放到/etc/shadow文件中,而在/etc/passwd文件的密码字段中只存放一个特别的字符,例如“x”或“*”。Linux的加密算法很严密,其中的密码几乎是不可能被破解的。盗用帐号的人一般都借助专门的黑客程序,构造出无数个密码,然后使用同样的加密算法将其加密,再和本字段进行比较,如果相同的话,就代表构造出的密码是正确的。因此,建议不要使用生日、常用单词等作为密码,它们在黑客
8、程序面前几乎是不堪一击的。特别是对那些直接连入较大网络的系统来说,系统安全性显得尤为重要。3User ID 用户识别码,简称UID。Linux系统内部使用UID来标识用户,而不是用户名。UID是一个整数,用户的UID互不相同。一般情况下UID和用户名是一一对应的。如果几个用户名对应的用户标识号是相同的,系统内部将把他们视为同一个用户,不过他们能有不同的密码、不同的主目录及不同的登录Shell等。通常用户标识号的取值范围是065535。0是终极用户root的标识号,199由系统保留,作为管理账号,普通用户的标识号从100开始。在Linux系统中,这个界限是500。4Group ID 用户组识别码
9、,简称GID。不同的用户可以属于同一个用户组,享有该用户组共有的权限。与UID类似,GID唯一地标识了一个用户组。5comment 这是给用户帐号做的注解,它一般是用户真实姓名、电话号码、住址等,当然也可以是空的。这个字段并没有什么实际的用途。在不同的Linux系统中,这个字段的格式并没有统一。在许多Linux系统中,这个字段存放的是一段任意的注释性描述文字,用做finger命令的输出。6home directory 主目录,系统为每个用户配置的单独使用环境,即用户登录系统后最初所在的目录,用户的文件都放置在此目录下。一般来说,root帐号的主目录是/root,其他帐号的家目录都在/home目
10、录下,并且和用户名同名。各用户对自己的主目录有读、写、执行(搜索)权限,其他用户对此目录的访问权限则根据具体情况设置。7login command 用户登录后,要启动一个进程,负责将用户的操作传给内核,这个进程是用户登录到系统后运行的命令解释器或某个特定的命令,即Shell。Shell是用户和Linux系统之间的接口。Linux的Shell有许多种,每种都有不同的特点。系统管理员能根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell,那么系统使用sh为默认的登录Shell,即这个字段的值为/bin/sh。用户的登录Shell也能指定为某个特定的程序(此程序不是个命令解释器)。利
11、用这一特点,能限制用户只能运行指定的应用程序,在该应用程序运行结束后,用户就自动退出了系统。有些Linux系统需求只有那些在系统中登记了的程序才能出目前这个字段中。系统中有一类用户称为伪用户(psuedo users),这些用户在/etc/passwd文件中也占有一条记录,不过不能登录,因为他们的登录Shell为空。他们的存在主要是方便系统管理,满足相应的系统进程对文件属主的需求。常见的伪用户有bin(拥有可执行的用户命令文件)、sys(拥有系统文件)、adm(拥有帐户文件)等。除了上面列出的伪用户外,更有许多标准的伪用户,例如:audit,cron,mail,usenet等,他们也都各自为相
12、关的进程和文件所需要。由于/etc/passwd文件是所有用户都可读的,如果用户的密码太简单或规律比较明显的话,一台普通的计算机就能够非常容易地将他破解,因此对安全性需求较高的Linux系统都把加密后的密码字分离出来,独立存放在一个文件中,这个文件是/etc/shadow文件。只有终极用户才拥有该文件读权限,这就确保了用户密码的安全性。在以上字段中,用户的登录名是用户自己选定的,主要是方便记忆,可以是字母、数字组成的字符串,区分大小写。用户的密码在此文件不会显示,因为用户的密码是加密存放的,一般采用的是不可逆的加密算法。当用户登录输入密码后,系统会对用户输入的密码进行加密,再把加密的密码与机器
13、中存放的用户密码进行比较。如果这两个加密数据匹配,则允许用户进入系统。在/etc/passwd文件中,UID字段信息业非常重要。UID是用户的ID值,在系统中每个用户的UID的值是唯一的,更确切地说每个用户都要对应一个唯一的UID,系统管理员应该确保这一规则。系统用户的UID值从0开始,是一个正整数。UID的最大值可以在文件/etc/login.gefs中查到,一般linux发行版约定为60000。在Linux中,root的UID是0,拥有系统最高权限。UID是确认用户权限的标识,用户登录系统所处的角色是通过UID来实现的,而非用户名。让几个用户共用一个UID是危险的,比如把普通用户的UID改
14、为0,和root共用一个UID,这就造成了系统管理权限的混乱。一般情况下,每个Linux的发行版本都会预留一定的UID和GID给系统虚拟用户占用,虚拟用户一般是系统安装时就有的,是为了完成系统任务所必需的用户,但虚拟用户是不能登录系统的,比如ftp、nobody、adm、rpm、bin、shutdown等。每一个用户都需要保存自己的配置文件,保存的位置即用户登录子目录,在这个子目录中,用户不仅可以保存自己的配置文件,还可以保存自己日常工作中的各种文件。出于一致性的考虑,一般都把用户登录子目录安排在/home下,名称为用户登录使用的用户名。用户可以在账号文件中更改用户登录子目录。3.1.2 用户
15、影子文件Linux使用了不可逆算法来加密登录密码,所以黑客从密文得不到明文。但由于/etc/passwd文件是任何用户都有权限读取和修改的,所以用户密码很容易被黑客盗取。针对这种安全问题,许多Linux的发行版本引入了影子文件/etc/shadow来提高密码的安全性。使用影子文件是将用户的加密密码从/etc/passwd中移出,保存在只有超级用户root才有权限读取的/etc/shadow中,/etc/passwd中的密码域显示一个“X”。/etc/shadow文件是/etc/passwd的影子文件,这个文件并不由/etc/passwd产生的,这两个文件是对应互补的。Shadow内容包括用户、
16、被加密的密码,以及其他/etc/passwd不能包括的信息,比如用户的有效期限等。/etc/shadow文件的内容包括9个字段,每个字段之间用“:”号分割。用户可以键入命令“cat /etc/shadow”来查看影子文件的内容,如下所示。#cat /etc/shadow |moreroot:$6$M9sgi327sdggd62hjH5Fdsrthjk&68fgdsd43$hgk&jgdsf2kjbjhghfhgh5jfds6ffd768h%jggh(khhhvh%hgYgg6kjUgff.:14997:0:99999:7:bin:*:14790:0:99999:7:daemon:*:17790:0:99999:7:lp:*:14790:0:99999:7:zhang:*:$6$fg7DUHGggrtjrsuutc548hxdsah
