第六章 用户和用户组的管理.ppt

《第六章 用户和用户组的管理.ppt》由会员分享，可在线阅读，更多相关《第六章 用户和用户组的管理.ppt（33页珍藏版）》请在三一办公上搜索。

1、第六章 用户和用户组的管理,本章学习要求 与用户和用户组相关的配置文件 掌握用户帐号的添加、修改与删除 掌握用户口令的管理 掌握用户组的添加、修改与删除,Linux系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个帐号，然后以这个帐号的身份登录系统。,6.1 相关的配置文件,与用户和用户组相关的主要配置文件有：/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow和/etc/skel目录等。,6.1.1/etc/passwd/etc/passwd是用户帐号文件，它是一个文本文件，用于定义系统的用户帐号。该文

2、件包含了系统的帐户并列出了每个帐户的一些信息，如用户ID、用户组ID、用户主目录等。由于所有用户对/etc/passwd文件都有读的权限，因此该文件只定义了用户的帐号，而没有保存用户的口令信息。,/etc/passwd的每一行都表示系统中一个用户的信息。每行由7个字段组成，各字段之间使用:分隔。,/etc/passwd文件内容中各字段的说明,系统用户的UID值从0开始，是一个正整数或0，至于最大值可以在/etc/login.defs文件中查到（一般Linux发行版约定为UID的最大值为60000）。在Linux系统中，root的UID值为0，他拥有最高的权限。把几个用户设置为同样的UID会造成

3、系统安全的隐患，尤其是设置成root的UID值0。,6.1.2/etc/shadow/etc/shadow是用户帐号的密码文件，它是一个文本文件。该文件与/etc/passwd文件类似，每行定义了一个用户的信息，并由9个字段组成，各字段用:分隔。为了系统的安全性，shadow文件中用户的密码是加密的，并且只有root用户可以访问该文件。,第一字段：用户名。在/etc/shadow文件中的用户名和/etc/passwd文件中的用户名相同。该字段非空。第二字段：密码（已被加密）。若该字段的值为*，表示这个用户不能登录系统；若该字段为!，表示该用户刚被建立，还没有登录的权限；若该字段以一个!开头，表

4、示该用户密码为锁定状态；若该字段以两个!开头，表示该用户不能修改自己的密码。该字段非空。第三字段：上次修改口令的时间。这个时间是从1970年1月1日算起到最近一次修改口令的时间间隔（天数）。用户可以使用passwd工具修改用户的密码，然后再查看/etc/shadow中此字段的变化。该字段非空。,第四字段：两次修改口令间隔最少的天数。如果此值为0，则禁用此功能，也就是说用户必须经过多少天才能修改其口令，此项功能用处不是太大。默认值是/etc/login.defs文件中的PASS_MIN_DAYS项定义的值。第五字段：两次修改口令间隔最多的天数，即有效期。这个增强了管理员管理用户口令的时效性，从而

5、增强了系统的安全性。如果是系统的默认值，在添加用户时由/etc/login.defs文件中的PASS_MAX_DAYS项进行定义。,第六字段：提前多少天警告用户口令将过期。当用户登录系统后，系统登录程序提醒用户口令将要作废。第七字段：在口令过期之后多少天禁用此用户。此字段表示用户口令作废多少天后，系统会禁用此用户，也就是说系统将不再让此用户登录，也不会提示用户过期，是完全禁用。第八字段：用户过期日期。此字段指定了用户作废的天数（从1970年的1月1日开始的天数）。如果这个字段的值为空，用户帐号将永久可用。第九字段：保留字段。,/etc/shadow文件是/etc/passwd的投影文件，但这个

6、文件并不是由/etc/passwd产生，这两个文件应该是对应互补的。/etc/shadow内容包括用户和被加密的密码及其它/etc/passwd不能包括的信息，如用户的有效期限等。/etc/shadow文件只有root用户有操作的权限。,6.1.3/etc/group/etc/group为用户组帐号文件，它是一个文本文件。该文件相对来说比较简单，通过配置该文件，可以看到系统中的用户组、用户所属的组及某个用户组中的成员。用户组（Group）是具有某种共同特征的用户集合。在Linux系统中，用户组分为两种：用户私有组和公有组。私有组只包含一个用户，在创建用户时系统自动创建一个和用户同名的组。公有组

7、可以包含多个用户。,注：在Linux系统中，当一个用户属于多个用户组时，某个用户的权限只能是当前所属组的权限，而不是多个组权限的累加。,/etc/group文件中各字段的说明,6.1.4/etc/gshadow/etc/gshadow文件用于定义用户组的口令、用户组管理员等信息，它是一个文本文件，并且该文件只有root用户可以读取。,/etc/gshadow文件中各字段的说明,6.1.5/etc/skel目录/etc/skel目录为初始化用户的主目录，该目录下存放有与用户相关的配置文件。一般来说，每个用户都有自己的主目录，用户登录成功后就处于自己的主目录。当创建用户时，系统会为新用户创建主目录

8、并在其主目录下建立一份/etc/skel目录下所有文件（.bash_logout、.bash_profile、.bashrc）的拷贝，以初始化用户的主目录。,6.1.6/etc/sudoers,6.1.7/etc/login.defs/etc/login.defs文件是系统在创建用户时的一些规则，如创建用户时是否需要创建用户的主目录、UID和GID的范围、用户密码的有效期、用户密码的最短长度、UMASK值等。,6.1.8/etc/default/useradd/etc/default/useradd文件是添加用户时的规则文件。该文件内容如下：#useradd defaults fileGROU

9、P=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skel,其中HOME的值为创建用户时，用户主目录的位置在/home目录中；INACTIVE为是否启用帐户过期，-1为不启用；EXPIRE的值为帐号终止日期，日期格式为YYYY-MM-DD，不设置表示不启用帐号过期；SHELL的值为使用shell的类型；SKEL的值为添加用户时用户主目录中的文件的存放位置，即使用useradd或adduser添加用户时，用户主目录下的文件都是/etc/skel目录下文件的拷贝。,6.2 用户的管理 用户管理主要包括用户的添加、修改、删除及用户密码

10、的设置等。,6.2.1 添加用户 添加用户的命令为useradd或adduser。useradd/adduser命令执行时，读取/etc/login.defs和/etc/default/useradd中所定义的规则创建用户，并向/etc/passwd和/etc/group文件中添加用户和用户组记录，/etc/passwd和/etc/gshadow文件也同步生成记录，同时发生的还有系统会自动在/etc/add/default中所约定的目录中建立用户的主目录，并复制/etc/skel中的文件到新用户的主目录中。,useradd或adduser命令的语法格式如下：useradd options LO

11、GINadduser options LOGINLOGIN为添加的用户名称。,useradd/adduser常用选项如下：-g,-gid GROUP 以GROUP名称或数字做为用户登录起始用户组（group）。用户组名必须是系统中现有存在的名称，用户组数字也必须是现有存在的用户组。预设的用户组值为100，该值在/etc/default/login.defs中有定义。,添加用户myback，并将他加入sysbackup用户组。使用命令如下：rootlocalhost home#useradd-g sysbackup myback,6.2.2 修改用户 使用useradd/adduser工具添加用

12、户帐号后，有时需要对帐号做一些修改操作，如临时锁定帐号。其语法格式和常用选项如下：usermod options LOGIN-g,-gid GROUP 更新用户新的起始登录用户组，用户组名必须在系统中已存在。,-L,-lock 锁定用户密码。执行该选项后，会在/etc/shadow文件中指定用户的密码字段前添加一个字符“!”。-U,-unlock 解锁用户密码。-l,-login NEW_LOGIN 变更用户登录系统的名称为NEW_LOGIN，用户的主目录名也会变为NEW_LGOIN，而其它信息不会改变。,将系统中的用户名pubs，修改为pub。使用命令如下：rootlocalhost hom

13、e#usermod-l pub pubs锁定用户pub，使其不能登录系统。使用命令如下：rootlocalhost home#usermod-L pub解锁用户pub，恢复登录。使用命令如下：rootlocalhost home#usermod-U pub,6.2.3 删除用户 userdel为删除指定用户的命令。其语法格式如下：userdel-r name userdel使用很简单，常用的参数选项为-r，表示在删除用户的同时，将用户的主目录及本地邮件存储的目录或文件也一并删除。因此，在删除用户时，若要使用-r参数，请先备份指定用户主目录及邮件存储的目录或文件内容。删除用户pub，并将其主目录

14、及邮件存储目录一并删除。使用命令如下：rootlocalhost home#userdel-r pub,6.2.4 设置密码 添加用户后，该用户还暂时不能登录系统，因为还没有设置该用户登录系统的密码。在实际操作时，用户有时也需要修改自己或其他用户的密码，而usermod修改用户的密码时，是以明文方式存放。修改或设置用户的密码使用passwd工具。该工具的命令语法格式和常用选项如下：passwd OPTION accountName-l,-lock 锁定用户并使用户无权更改自己的密码（但可以使用su命令切换用户）。该选项仅能通过root权限来操作。,-l,-lock 锁定用户并使用户无权更改自己

15、的密码（但可以使用su命令切换用户）。该选项仅能通过root权限来操作。,passwd若不带任何参数，表示修改或设置当前用户的密码。使用useradd添加新用户后，应以root权限运行passwd来设置新用户的密码。,6.2.5 设置用户信息 Linux系统中还提供了一个设置用户信息的工具chfn。该工具可以设置用户的全名、办公室电话及地址等。该工具的语法格式如下：chfn-f full-name-o office-p office-phone-h home-phone-u-v username 若chfn不带任何参数，则设置当前用户的信息。在shell提示符下输入chfn后回车，用户根据系统

16、的提示即可设置当前用户的信息，如用户的全名、办公室的地址、办公室的电话、家庭电话等。,6.3 用户组的管理 用户组的管理主要包括用户组的添加、修改、删除及用户组成员的配置等。6.3.1 添加用户组 groupadd命令用于添加用户组帐号。该命令的语法格式选项如下：groupadd-g gid-o-r-f group6.3.2 修改用户组 groupmod命令是用来更改用户组的GID或名称。该命令的语法格式及常用选项如下：groupmod-g gid-o-n name group,-g gid 修改指定用户组帐号的GID值。GID值不可以为负值，也不可以与系统中已有的GID值重复，除非使用-o选

17、项。-n name 更变用户组的名称。更改用户组backup的名称为backup1，使用命令如下：rootlocalhost home#groupmod-g 515-n backup1 backup,6.3.3 删除用户组 groupdel命令用于删除指定的用户组帐号。若该用户组中有成员，则必须先将该用户组中的成员使用命令gpasswd从该组中删除，才能删除该用户组。该命令的语法格式如下：groupdel group-name 删除系统中的用户组backup1。使用命令如下：rootlocalhost home#groupdel backup1,6.3.4 组成员的维护 gpasswd工具可以

18、把用户添加到用户组、删除用户组成员、设置用户密码等。该命令的语法格式如下：gpasswd options user group,gpasswd的常用选项如下：-a 将用户添加到用户组，使之成为用户组的成员。-d 从用户组中删除用户，即删除用户组中的成员。-A 设置用户组管理员，使他有权对该组添加、删除成员。将pubs用户加入用户组backup1。使用命令如下：rootlocalhost home#gpasswd-a pubs backup1将pubs用户成为用户组backup1的组管理员。使用命令如下：rootlocalhost home#gpasswd-A pubs backup1设置用户组

19、backup1的密码。使用命令如下：rootlocalhost home#gpasswd backup1,用户组密码的作用是非本用户组的用户切换到本用户组身份时，可以通过密码保证安全性；如果没有设置用户组的密码，则只有属于本用户组的用户才能切换到本用户组的身份。,6.4 查看用户及用户组的信息 通过查看用户和用户组的配置文件（如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）可以查看用户和用户组的信息。除此之外，用户还可以通过一些工具来查看用户和用户组的信息，如id、whoami和groups。,6.4.1 id命令 id命令用于显示用户或当前用

20、户的UID、GID及用户所属的用户组列表等。该命令的语法格式及常用选项如下：id OPTION USERNAME-g,-group 显示用户所属用户组的GID值。-G,-groups 显示用户所属组和附加组的GID值，即显示所有含有指定用户的用户组的GID值。-n,-name 显示用户所属组的名称。该选项不能单独使用，一般与-g、-G或-u配合使用。-u,-user 显示指定用户的UID值。,显示所有包含pubs用户的用户组的名称。使用命令如下：rootlocalhost home#id-nG pubs id命令一般用在shell的编程环境中，用于判断当前登录的用户是否为root用户。,6.4.2 whoami命令 whoami命令用于显示当前用户的名称，该命令与id-un等价。6.4.3 groups命令 groups命令用于显示指定用户所属的用户组。若未指定用户，则显示当前用户所属的用户组。该命令与id-Gn等价,表6-4 本章命令,