《linux账户管理与操作权限》由会员分享,可在线阅读,更多相关《linux账户管理与操作权限(21页珍藏版)》请在金锄头文库上搜索。
1、账户管理与操作权限账户管理与操作权限 l l账户管理配置文件族账户管理配置文件族l l用户的添加和删除用户的添加和删除l l组的添加和删除组的添加和删除l l设置操作权限设置操作权限账户系统文件账户系统文件 l l口令文件口令文件/etc/passwd l l影子口令文件影子口令文件/etc/shadow l l组文件组文件/etc/group /etc/passwd &/etc/shadowl结构:lusername:passwd:UID:GID:fullname:home-dir:shellusername:passwd:last:may:must:warn:expire:reserved
2、与用户管理相关的文件或目录与用户管理相关的文件或目录l l用户配置文件用户配置文件 / /etc/etc/login.defslogin.defs /etc/default/etc/default/useradduseraddl l新用户基本信息新用户基本信息 / /etc/etc/skelskel 如果手工创建,则需复制该目录到用户目如果手工创建,则需复制该目录到用户目录录/etc/default/useraddlGROUP=100 默认组ID是100,在禁止默认的私有组时有用lHOME=/home 用户主目录顶层目录lINACTIVE=-1 当口令到期后,帐号变成非激活,-1表示永远激活l
3、EXPIRE =MM/DD/YY 帐号将被禁止多长时间l注:后两项要确保系统使用shadow口令用户分类(以用户分类(以UID划分)划分)l lrootroot:管理员管理员 uid,giduid,gid=0=0l l普通用户普通用户 uiduid500500l l伪用户伪用户( (pseudo user)pseudo user):无无shell(uid:1-500)shell(uid:1-500) binbin syssys 使用使用 useradd命令添加用户命令添加用户l luseradduseradd g group1 e 12/31/2001 u1 g group1 e 12/31/
4、2001 u1l lpasswd u1passwd u1l l常用参数常用参数 u u:uiduid g g: group group d d:dirdir(用户目录)用户目录) s s:shellshell c c:附加信息附加信息 e e:登录失效时间登录失效时间 MM:不建立用户目录不建立用户目录成为超级用户成为超级用户l把用户ID和组ID改成和root的ID一样(0,0)l但给系统带来安全问题l用以下自动命令检查passwd中的超级用户名l/bin/grep 0:0 /etc/passwd|awk BEGIN FS=: print $1|mail -s date +%D %T root
5、lawk-一个优秀的样式扫描与处理工具 组及其分类组及其分类l l组组 组是若干个用户的逻辑集合。组是若干个用户的逻辑集合。 l l组分为组分为 私有组私有组当在创建一个新用户user时,若没有指定他所属于的组,系统就建立一个和该用户同名的私有组。 标准组标准组 标准组可以容纳多个用户,若使用标准组,在创建一个新的用户时就应该指定他所属于的组。 修改用户账户修改用户账户l l手工修改账户文件手工修改账户文件l l使用使用usermodusermod命令命令 usermodusermod l uu1 d /home/uu1 g gg1 u1 l uu1 d /home/uu1 g gg1 u1
6、将用户将用户u1u1的登录名改为的登录名改为uu1uu1,加入到加入到gg1gg1组中,组中,用户目录改为用户目录改为uu1uu1 注意注意: 1. : 1. 被修改后的家目录必须事先存在被修改后的家目录必须事先存在 2. 2. 修改后要确认并更改家目录的权限修改后要确认并更改家目录的权限 usermodusermod G G softgroupsoftgroup jjhjjh 将用户将用户jjhjjh添加到添加到softgroupsoftgroup标准组中标准组中修改用户帐号修改用户帐号lusermod u UID username修改用户IDl注:在用户主目录中所有文件自动修改所属ID为新
7、ID,而些目录外的文件不会自动修改lusermod d newdir username修改用户主目录lusermod s newshell username修改用户默认shelllusermod e MM/DD/YY username修改帐号截止日期lchsh username 修改用户默认的SHELL禁用和恢复用户账户禁用和恢复用户账户 l l禁用禁用 # # usermodusermod L username L username # passwd l username# passwd l usernamel l恢复恢复 # # usermodusermod U username U us
8、ername # passwd u username# passwd u username禁止用户登录禁止用户登录l一、在/etc/passwd或/etc/shadow中的密码域前加上*或!可暂时禁止某一用户登录l二、在/etc/中创建nologin文件,包含说明原因,可阻止除root的所有用户登录(不适合于远程登录管理)用用userdel删除用户账户删除用户账户l luserdeluserdel r u1 r u1 -r -r:删除用户目录删除用户目录l l分析分析userdeluserdel的过程的过程 从账户文件中移去用户表项从账户文件中移去用户表项 删除用户家目录删除用户家目录组的管理
9、和使用组的管理和使用l lgroupaddgroupadd g 888 group2 g 888 group2 创建一个组创建一个组group2group2,其其GIDGID为为888888l lgroupdelgroupdel group2 group2 删除组删除组group2group2l lgroupmodgroupmod n group2 group22 n group2 group22 修改修改group2group2组名为组名为group22group22组的管理组的管理l设置群组密码l lgpasswdgpasswd option option usergroupusergro
10、up -a:将用户添加入group组-d:将用户从group中删除-r:取消群组密码在用户组间切换在用户组间切换lgroups usernamel查看当前用户属于哪些组lnewgrp groupl切换到某组运行(必须已属此组)用户、组及权限用户、组及权限l l用户只能不受限制的操作自家目录及其子用户只能不受限制的操作自家目录及其子目录下的所有内容目录下的所有内容l l系统中其他目录的访问受到限制系统中其他目录的访问受到限制 同组同组 其他人其他人用户安全用户安全l1、多用户访问安全l2、口令安全l3、安全密码l4、PAM(Pluggable Authentication Modules),l5
11、、限制用户的某些资源访问限制用户的某些资源访问限制用户的某些资源访问l1、内存及CPU使用的限制l/etc/security/limits.confl用户名、组名用开头,或用”*”表示所有用户l“soft”:软限制,”hard”:硬限制,lcpu-占用的处理时间片单位,maxlogins-允许此用户同时登录的个数,nproc-最大进程数,core-内核大小,nofile-最大文件打开数高级用法高级用法l/etc/passwd改变用户的默认登录运行的程序lsudolsudo是可以让普通用户执行某个超级用户执行的程序,如:sudo vi /etc/passwdl所有这些配置项要保存在/etc/sudoers文件中
