1、“十二五”職業教育國家規劃教材選題立項Red Hat Enterprise Linux 6.4（RHEL6.4）教材附帶的光盤資源Linux網絡操作系統配置與管理教材主編：夏笠芹 課程標準(教學大綱)教學設計方案(教案)PPT電子課件教材習題參考答案模擬試卷及參考答案(4套)IT認證+全國技能大賽資料知識拓展&網絡工程解決方案項目4 用戶與文件權限的管理【職業知識目標】了解:Linux中的用戶和組的分類,用戶登錄Linux系統的過程 熟悉:Linux中用戶和用戶組的配置文件, Linux中文件和目錄的權限類型， 掌握:用戶和用戶組的管理方法，文件和目錄的權限設置方法【職業能力目標】會添加新用戶

2、、用戶組并為用戶設置密碼會設置用戶、用戶組的屬性和刪除用戶、用戶組會向用戶組添加和刪除組成員會設置文件和目錄的一般權限、特殊權限能修改文件和目錄的屬主和屬組會設置新建文件或目錄的默認權限Linux操作系統是一個多用戶的操作系統,它允許多個用戶同時登陸到系統上使用系統資源。系統根據帳戶來區分每個用戶的文件、進程、任務,給每個用戶提供特定的工作環境（如用戶的工作目錄、Shell版本以及X-Window環境的配置等）,使每個用戶的工作都能獨立不受干擾地進行。任何一個要使用系統資源的使用者,都必須首先向系統管理員申請一個用戶賬號,每個用戶賬號都擁有一個惟一的用戶名和相應的口令。用戶在登錄時只有鍵入正確

3、的用戶名和口令后,才能進入系統。對用戶(組)的管理工作主要涉及到用戶(組)賬號的添加、修改和刪除、用戶(組)口令的管理以及為用戶(組)配置訪問系統資源的權限。這些工作是網絡管理員日常最基本的工作任務,也是構建系統安全的最基本的保障。4.1 項目背景4.2 項目知識準備4.2.1 Linux中的用戶和組的分類Linux下的用戶可以分為三類：超級用戶用戶名為root，它具有一切權限，只有進行系統維護(例如：建立用戶等)或其他必要情形下才用超級用戶登錄，以避免系統出現安全問題。系統用戶（偽用戶）是Linux系統正常工作所必需的內建的用戶。主要是為了滿足相應的系統進程對文件屬主的要求而建立的，例如：b

4、in、daemon、adm、lp等用戶。系統用戶不能用來登錄.普通用戶是為了讓使用者能夠使用Linux系統資源而建立的，我們的大多數用戶屬于此類。4.2 項目知識準備4.2.1 Linux中的用戶和組的分類Linux中的組有以下三種：基本組(私有組)：建立賬戶時,若沒有指定賬戶所屬的組,系統會建立一個和用戶名相同的組,這個組就是基本組,基本組只容納一個用戶。當把其他用戶加入到該組中,則基本組就變成了附加組。附加組(公有組)：可以容納多個用戶,組中的用戶都具有組所擁有的權利。系統組：一般加入一些系統用戶。4.2.2 Linux中用戶和用戶組的配置文件每個用戶都有一個UID數值:超級用戶的UID0

5、系統用戶的UID1499普通用戶的UID50060000在Linux中，用戶賬號、密碼、用戶組信息和用戶組密碼均是存放在不同的配置文件中的。文件功能文件名稱用戶賬號文件/etc/passwd用戶密碼文件/etc/shadow用戶組賬號文件/etc/group用戶組密碼文件/etc/gshadow1. 用戶賬號文件/etc/passwdpasswd 是一個文本文件，用于定義系統的用戶賬號，由于所有用戶都對passwd有讀權限，所以該文件中只定義用戶賬號，而不保存口令。passwd文件中：每行定義一個用戶賬號每一行由7個字段的數據組成，字段之間用“：”分隔，其格式如下：賬號名稱：密碼：UID：GI

6、D：用戶全名：主目錄：Shell4.2.2 Linux中用戶和用戶組的配置文件passwd文件4.2.2 Linux中用戶和用戶組的配置文件字段說明：賬號名稱：用戶登錄Linux系統時使用的名稱。密碼：這里的密碼是經過加密后的密碼(一般是采用MD5加密方式)，而不是真正的密碼，若為“x”，說明密碼經過了shadow的保護UID：用戶的標識，是一個數值，用它來區分不同的用戶GID：用戶所在基本組的標識，是一個數值，用它來區分不同的組，相同的組具有相同的GID。個人資料：可以記錄用戶的完整姓名、地址、辦公室電話、家庭電話等信息。主目錄：類似Windows 的個人目錄，通常是/home/userna

7、me，這里username是用戶名，用戶執行“cd”命令時當前目錄會切換到個人主目錄。Shell：定義用戶登錄后激活的Shell，默認是Bash Shellpasswd文件中，第一行是root用戶，緊接的是系統用戶，普通用戶通常在文件的尾部。4.2.2 Linux中用戶和用戶組的配置文件2. 用戶密碼文件/etc/shadow每行定義了一個用戶信息，行中各字段各字段用“：”隔開。為提高安全性，用戶真實的密碼采用MD5加密算法加密后，保存在配置文件中。只有root用戶可以讀取。Mail 用戶信息：mail:*:12259:0:99999:7:username: passwd: lastchg:

8、min: max: warn: inactive: expire: flag4.2.2 Linux中用戶和用戶組的配置文件/etc/shadow文件中的每個記錄用“：”隔開為9個域，每個域的含義分別為：字段含義username登錄名passwd加密口令lastchg上次口令更改時距1970年1月1日的天數min兩次修改口令間隔最少的天數max口令更改后必須再更改的天數(有效期)warn提前多少天警告用戶口令將過期inactive在口令過期后多少天禁用此用戶expire用戶的使用期限，若為空表示無限期flag保留未用，以便以后發展之用4.2.2 Linux中用戶和用戶組的配置文件3. 用戶組賬號

9、文件/etc/group系統中的每一個文件都有一個用戶和一個組的屬主。使用“ls l”命令可以看到每一個文件的屬主和組。系統中的每個組，在/etc/group文件中有一行記錄任何用戶均可以讀取用戶組賬戶信息配置文件。用戶組的真實密碼保存在/etc/gshadow配置文件中。group文件字段說明： 字段說明Groupname組的名字Passwd組的加密口令GID是系統區分不同組的ID，在/etc/passwd域中的GID域是用這個數來指定用戶的缺省組Userlist是用“，”分開的用戶名，列出的是這個組的成員。4.2.2 Linux中用戶和用戶組的配置文件4.2.3 用戶登錄Linux系統的過

10、程 Linux系統采用純文本文件來保存賬號的各種信息,其中最重要的文件有這幾個。Linux用戶登入系統過程實質是系統讀取、核對/etc/passwd、 /etc/shadow、/etc/group等文件的過程。過程如下：首先,Linux會出現一個登錄系統的畫面提示輸入賬號,輸入賬號與密碼；Linux接著會先找尋/etc/passwd里面是否有這個賬號名,如果沒有則退出登錄,如果有的話則將該賬號對應的UID(User ID)與GID(Group ID)讀出來,另外,該賬號的對應的用戶主目錄與shell設定也一并讀出；核對密碼表,這時Linux 會進入/etc/shadow 里面找出登錄賬號與UI

11、D相對應的、記錄,然后核對一下剛剛輸入的密碼與此文件的密碼是否符合；以上核定沒有問題,用戶正式進入系統。 4.2.4 Linux中文件和目錄的權限1文件和目錄的一般權限 4.2.4 Linux中文件和目錄的權限1文件和目錄的一般權限 4.2.4 Linux中文件和目錄的權限2文件和目錄的特殊權限在Linux系統中,用戶對文件或目錄的訪問權限,除了r(讀取)、w(寫入)、x(執行)三種一般權限外,還有SET UID(SUID)、SET GID(SGID)、Sticky Bit(粘滯位)三種特殊權限,用于對文件或目錄進行更加靈活方便的訪問控制。(1)SET UID(SUID) (2)SET GID

12、(SGID)(3)Sticky Bit(SBit,粘滯位)4.3 項目實施任務4-1 用戶的管理1添加新用戶useradd命令先用root用戶登錄后，再執行它們。 # useradd 選項 常用選項：-d 目錄指定用戶主目錄,如果此目錄不存在,則同時使用-m選項,可以創建主目錄,默認值是/home/用戶名。-e YYYY-MM-DD設置賬號的失效日期,此日期后用戶將不能使用該賬號。要啟用shadow才能使用此功能。-f days指定密碼到期后多少天永久停止賬號,若指定為0,則立即被停權；為-1,則關閉此功能。-g 用戶組設定用戶所屬基本組(或使用GID號),該組在指定時必須已存在。-G 用戶組

13、列表設定用戶所屬附屬組(或使用GID號),各組在指定時已存在,附屬組可以有多個,組之間用“,”分隔開。-m若用戶主目錄不存在,則創建主目錄(在redhat系列中此選項可省)。-M不創建用戶主目錄。-p 口令指定用戶登錄密碼(加密的口令)。-s Shell設置用戶登錄后啟動的Shell,默認是bash。-u 用戶號設置賬號的UID,默認是已有用戶的最大UID加1。如果同時有-o選項,則可以重復使用其他用戶的標識號。 應用示例創建一個名為zhangsan的用戶，并作為student用戶組的成員：#useradd g student zhangsan#tail 1 /etc/passwd #顯示最后

14、1行的內容。 zhangsan:x:502:500:/home/zhangyan:/bin/bash該命令做了下面幾件事：在 /etc/passwd 和/etc/group文件中增添了一行記錄；創建新用戶的主目錄從 /etc/skel中拷貝文件和目錄到用戶主目錄；讓新用戶獲得其主目錄和文件的擁有的權限但是使用了該命令后，新建的用戶暫時還無法登錄，因為還沒有為該用戶設置口令，需要再用 passwd 命令為其設置口令后，才能登錄。用戶的 UID 和 GID 是 useradd 自動選取的，它是將 /etc/passwd 文件中的 UID 加 1，將 etc/group 文件中的 GID 加 1。增

15、加新用戶時，系統將為用戶創建一個與用戶名相同的組，稱為私有組。這一方法是為了能讓新用戶與其他用戶隔離，確保安全性的措施 。任務4-1 用戶的管理 應用示例#useradd s /bin/sh test1# chsh -l 顯示可使用的shell#useradd d /hnwy/zhang3 test2 hnwy目錄事先存在useradd d /data -s /bin/nologin g nobody test3任務4-1 用戶的管理任務4-1 用戶的管理2為用戶賬號設置密碼passwd命令Linux的賬戶必須設置密碼后，才能登錄系統passwd 賬戶名常用選項:-d清空指定用戶的口令。這與未

16、設置口令的賬戶不同,未設置口令的賬戶無法登錄系統,而口令為空的賬戶可以。-f強迫用戶下次登錄時必須修改口令。-i口令過期后多少天停用賬戶。-l鎖定(停用)用戶賬戶。-n指定口令的最短存活期。-S顯示賬戶口令的簡短狀態信息(是否被鎖定)。-u解鎖用戶賬戶。-x指定口令的最長存活期。-w口令要到期前提前警告的天數。如果缺省用戶名,則表示修改當前用戶的口令。任務4-1 用戶的管理2為用戶賬號設置密碼passwd命令只有root用戶才有權設置指定賬戶的密碼，一般用戶只能設置或修改自己賬戶的密碼。如，若要設置zhang3賬戶的登錄密碼，則操作命令為：# passwd zhang3Changing pas

17、sword for user lijunjie.New password: #鍵入密碼Retype new password: #重輸密碼passwd: all authentication tokens updated successfully.3修改用戶賬號屬性usermod命令usermod 選項 username常用的選項包括-c,-d,-m,-g,-G,-s,-u以及-o等,這些選項的意義與useradd命令中的選項一樣,可以為用戶指定新的資源值。另外,還可以使用如下選項:-l 新用戶名更改賬戶的名稱,必須在該用戶未登錄的情況下才能使用。-L鎖定(暫停)用戶賬戶,使其不能登錄使用。-

18、U解鎖用戶賬戶。 改變用戶賬戶名usermod l 新用戶名 原用戶名例如，將用戶zhangsan更名為zhang3,#usermod l zhangsan zhang3#tail 1 /etc/passwd zhang3:x:503:503:/home/lijie:/bin/bash從輸出結果可見，用戶名已更改為了zhang3。主目錄仍為/home/zhangsan，若要將其更改為/home/zhang3，則命令為：#usermod d /home/zhang3 zhang3任務4-1 用戶的管理 鎖定賬戶臨時禁止用戶登戶命令：usermod L 要鎖定的賬戶比如：usermod L zha

19、ng3Linux鎖定賬戶，是通過在密碼文件shadow的密碼字段前加“！”來標識該用戶被鎖定。 解鎖賬戶命令：usermod U 要解鎖的賬戶比如：usermod U zhang3 任務4-1 用戶的管理4刪除用戶賬號userdel命令命令： userdel -r 賬戶名-r在刪除該賬戶的同時，一并刪除該賬戶對應的主目錄。比如：userdel r zhang35用戶間切換su(substitute user)命令# su 用戶名 su命令的常見用法是變成跟用戶或超級用戶，如果發出不帶用戶名的su命令，則系統提示輸入根口令，輸入之后則可換為根用戶。如果登陸為根用戶，則可以用su命令成為系統上任何

20、用戶而不需要口令。任務4-1 用戶的管理1創建用戶組groupadd命令命令：groupadd -r 用戶組名稱-g GID指定新用戶組的組標識號(GID),默認值是已有的最大的GID加1。-r創建系統用戶組，該類用戶組的GID值小于500；無-r參數，則創建普通用戶組，其GID值大于或等于500。在前面創建的student用戶組，由于是創建的第1個普通用戶組，故其GID值為500。舉例：創建一個名為sysgroup的系統用戶組，則操作命令為：# groupadd -r sysgroup# tail -1 /etc/groupsysgroup:x:101:任務4-2 用戶組的管理2添加/刪除組

21、成員gpasswd命令命令：gpasswd 選項 用戶 組只有root用戶和組管理員才能夠使用這個。選項：-a把用戶加入組-d把用戶從組中刪除。-M可同時添加多個用戶-A給組指派管理員。【例4-12】將zhang3、li4用戶同時加入group1組,并指派zhang3為管理員。rootdyzx # gpasswd -M zhang3,li4 group1rootdyzx # tail -1 /etc/groupgroup1:x:1000:zhang3,li4rootdyzx # gpasswd -A zhang3 group1任務4-2 用戶組的管理3修改用戶組屬性groupmod命令語法:

22、groupmod 選項 用戶組常用選項:-g GID為用戶組指定新的組標識號。-n 新用戶組將用戶組的名字改為新名字修改用戶組的名稱和用戶組的GID值。 （1）改變用戶組名稱命令： groupmod -n 新用戶組名 原用戶組名 對用戶組更名，不會改變其GID的值。 比如：將sysgroup用戶組更名為teacher用戶組，則操作命令為：# groupmod -n teacher sysgroup # tail -1 /etc/group teacher:x:101: 任務4-2 用戶組的管理（2）重設用戶組的GID用戶組的GID值可以重新進行設置修改，但不能與已有用戶組的GID值重復。對GI

23、D進行修改，不會改變用戶名的名稱。命令：groupmod -g 新GID 用戶組名例如，若要將teacher組的GID更改名501，則操作命令為：# groupmod -g 501 teacher# grep teacher /etc/group #在/etc/group文件中查找并顯示含有teacher的行teacher:x:501:任務4-2 用戶組的管理4刪除組賬戶groupdel命令命令：groupdel 用戶組名比如：groupdel teacher在刪除用戶組時，被刪除的用戶組不能是某個賬戶的私有用戶組，否則將無法刪除，若要刪除，則應先刪除引用該私有用戶組的賬戶，然后再刪除用戶組。

24、 任務4-2 用戶組的管理任務4-2 用戶組的管理5用戶和組賬戶的信息顯示 命令格式作用users|w|who顯示當前用戶信息(三條命令)finger -l 用戶名顯示當前用戶或指定用戶的用戶名、終端、登錄時間及個人信息id 用戶名顯示當前用戶或指定用戶的ID,以及所屬組的IDgroups 用戶名顯示當前用戶或指定用戶所屬組賬號的信息1修改文件或目錄的權限chmod(change mode)命令格式1：chmod -選項 ugoa +-= rwx 文件或目錄. 格式2：chmod -選項 nnn 文件或目錄.只有文件或目錄的擁有者或root用戶才有更改權-R可遞歸設置指定目錄下的全部文件權限值

25、的兩種表示方法使用3位的八進制數表示：使用字符串表示任務4-3 設置文件和目錄的一般權限例如：myfile.txt文件目前的權限為rw-r-r-，若要更改為rw-rw-r-，其命令為：# chmod 664 / home / liyang / myfile.txtrwx表示的權限二進制數表示權限的八進制數表示權限含義-0000無任何權限-x0011可執行-w-0102可寫-wx0113可寫和可執行r-1004可讀r-x1015可讀和可執行rw-1106可讀和可寫rwx1117可讀可寫和可執行擁有者的權限所屬的組中的用戶的權限其他用戶對該文件的權限644110100100r-r-rw-權限值的表

26、示方法1使用3位的八進制數表示：比如：權限值的表示方法2使用字符串表示chmod -Rugoa+-=rwxst 用戶對象+|-|=權限符 用戶對象u擁有者 g擁有者所屬的用戶組o其他用戶 a所有的+增加某項權限 - 去掉某項權限=賦予某項權限。權限符r、w、x、s若通過r、w、x、s表示方式來更改權限，則只需在chmod命令中表達出權限需要改變的部分即可，該方法可視為是相對修改法。任務4-3 設置文件和目錄的一般權限2修改文件或目錄的屬主和屬組chown(change owner)命令 修改文件或目錄的擁有者chown -選項 新屬主:新屬組 被改變歸屬的文件或目錄-R可遞歸設置指定目錄下的全

27、部文件（包括子目錄和子目錄中的文件）的所屬關系。用空格分隔列表中多個文件名或目錄名例如：若要設置/var/software目錄的屬主為angel用戶和angel用戶組，則設置方法為：# chown angel.angel /var/software任務4-3 設置文件和目錄的一般權限例如：假設/setup.sh文件的權限當前為rw-rw-r-，若要修改為rw-r-，則更改命令為：#chmod g-w /setup.sh#chmod o-r /setup.sh若要給其他用戶增加讀的權限，則命令為：chmod o+r /setup.sh若要同時去掉用戶組和其他用戶對該文件的讀權限，則實現命令為：c

28、hmod go-r /setup.sh若文件擁有者、用戶組和其他用戶都只賦予讀的權限，則實現命令為：chmod ugo=r /setup.sh任務4-3 設置文件和目錄的一般權限任務4-4 設置文件和目錄的特殊權限為文件或目錄添加三種特殊權限同樣可以通過chmod命令來實施,使用“us”、“gs”、“ot”的字符權限模式分別用于添加和移除SUID、GUID、sticky權限。若使用數字形式的權限模式,可采用“nnnn”格式的四位八進制數字表示,其中,后面三位是一般權限的數字表示,前面第一位則是特殊權限的標志數字,0表示不設置特殊權限、1表示只設置sticky、2表示只設置GUID權限、3表示只

29、設置SGID和sticky權限、4表示只設置SUID權限、5表示只設置SUID和sticky權限、6表示只設置SUID和SGID、7表示同時設置SUID、GUID、sticky3種權限。【例4-20】為mkdir命令對應的命令文件設置SUID權限,使得普通用戶在根目錄下能夠使用mkdir命令創建目錄。【例4-21】在目錄上面運用sticky權限,使得僅root用戶和文件的擁有者才能刪除該目錄中的文件,其他用戶不能刪除。任務4-5 設置新建文件或目錄的默認權限在Linux系統中,當用戶創建一個新的文件或目錄時,系統都會為新建的文件或目錄分配默認的權限,該默認權限并不是繼承了上級目錄的權限,而是與umask值(稱為權限掩碼)有關,其具體關系是：新建文件的默認權限