第五章用戶與組群管理5-1用戶管理概述

1、用戶管理的范圍用戶帳號管理組帳號管理用戶/組帳號的權限管理5.1用戶和組文件Linux系統中文件從何而來？文件和程序用戶組創建安裝歸屬于執行繼承、調用UIDGID5.1用戶和組文件Linux繼承了Unix傳統的方法，把全部用戶信息保存為普通的文本文件。用戶可以通過對這些文件的修改來管理用戶和組。文件保護策略有：1.登錄名和登錄密碼2.加密3.設置訪問特權5.1.1用戶賬號文件――passwd

口令文件(/etc/passwd)

該文件用于用戶登錄時校驗用戶的登錄名、加密的口令數據項、用戶ID(UID)、默認的用戶分組ID(GID)、GECOS字段、用戶登錄子目錄以及登錄后使用的shell。該文件的每一行保存一個用戶的資料，而用戶資料的每一個數據項之間采用冒號“：”分隔。jl:x:100:0:Jim

Lane,ECT8-3,,:/staff/ji:/bin/sh5.1.1用戶賬號文件――passwd登錄名注意它的唯一性，它的長度一般不超過32個字符，它們可以包括冒號和換行之外的任何字符。登錄名要區分大小寫。放在/etc/passwd文件的開頭部分的用戶是系統定義的虛擬用戶bin、daemon。(2)加密的口令當編輯/etc/passwd文件來創建一個新賬號時，在加密口令字段的位置要放一個星號(*)。這個星號防止未經授權就使用該賬號，直到設置了真實的口令為止。5.1.1用戶賬號文件――passwd(4)GID

組的ID是一個32位整數。GID0是給root的組保留的。GID1通常指的是名為“bin”的組，GID2指的是“daemon”組。(5)GECOS字段通常用來定義每個用戶的個人信息。(3)UID

是32位無符號整數，它能表示從0到4294967296的值。建議在可能的情況下將站點上的最大UID號限制在32767。root的UID為0。UID在整個機構中應該是唯一的5.1.1用戶賬號文件――passwd(6)用戶的登錄子目錄每個用戶都需要有地方保存自己的配置文件。這個地方就叫做用戶登錄子目錄。要禁止沒有主目錄的用戶登錄，可以把/etc/login.defs中的CREATE_HOME設置為no。(7)登錄shell

用戶上機后運行的shell，此處出現的是默認的shell，大多數情況下是/bin/bash。查

看

/etc/

passwd

的

內

容/etc/passwd是一個簡單的文本文件，以純文本顯示加密口令的做法存在安全隱患。同時，由于/etc/passwd文件是全局可讀的，加密算法公開，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。Linux/Unix廣泛采用了“shadow文件”機制，將加密的口令轉移到/etc/shadow文件里，該文件只為root超級用戶可讀，而同時/etc/passwd文件的密文域顯示一個*，從而最大限度地減少了密文泄漏的機會。5.1.2用戶影子文件――shadowshadow文件的每行是8個冒號分隔的9個域，格式如下：

登錄名；加密后的口令；上次修改口令的時間；兩次修改口令之間的最少天數；兩次修改口令之間的最大天數；若最大天數是99999，則永遠不過期在口令作廢之前多少天，login程序應該開始警告用戶口令即將過期；在達到了最大口令作廢天數之后，登錄賬號作廢之前必須等待的天數賬號過期的天數。若該字段的值為空，則該賬號永遠不過期；保留字段，目前為空。username：passwd：lastchg:min:max:warn:inactive:expire:flag5.1.2用戶影子文件――shadow用戶影子文件――shadow各項詳解?

登錄名?

加密口令?

口令上次更改時距1970年1月1日的天數?

口令更改后不可以更改的天數?

口令更改后必須再更改的天數(有效期)?

口令失效前警告用戶的天數?

口令失效后距賬號被查封的天數?

賬號被封時距1970年1月1日的天數?

保留未用username：passwd：lastchg:min:max:warn:inactive:expire:flagshadow文件的每行是8個冒號分隔的9個域，格式如下：5.1.3用戶組賬號文件――group/etc/group文件包含了Linux組的名稱和每個組中的成員列表。例如：wheel：x：10：evi,garth,trent每一行代表了一個組其中包含有四個字段：組名；被加密的口令(已被廢棄，很少使用)；GID；成員列表，彼此用逗號隔開(注意不要加空格)。為了避免與廠商提供的GID發生沖突，一般從GID100開始分配本地組。/etc/group的內容5.1.4組賬號號文件――gshadow組口令與組的其他信息相分離的安全機制，其格式如下：用戶組名:加密的組口令:組成員列表supersun:8kuwngCidEio::liyangsuper,snoppy,desiny5.1.5使用pwck和grpck命令驗證用戶和組文件pwck用來驗證用戶賬號文件和影子文件的一致性，驗證文件中的每個數據項中每個域的格式以及數據的正確性。如果發現錯誤，該命令將會提示用戶對出現錯誤的數據項進行刪除。該命令主要驗證每個數據項是否具有：正確的域數目唯一的用戶名合法的用戶和組標識合法的主要組群合法的主目錄合法的登錄shell。pwck的使用vi/etc/passwd輸入其中沒有的用戶信息pwck/etc/passwd如果數據域的項數正確，只會反映出不存在相關的用戶信息，不會提示用戶刪除該信息如果數據域項數不正確，系統提示用戶進行刪除，用戶確定刪除后該文件驗證才通過。案例一新建一個user1用戶，UID、GID、主目錄均按默認；新建一個user2用戶，UID=800、其余按默認；新建一個user3用戶，默認主目錄為/abc、其余默認；并觀察這三個用戶的信息有什么不同；分別為以上三個用戶設置密碼為123456；把user1用戶改名為u1,UID改為700，主目錄為/test;把u1用戶鎖定，在不同的終端分別登錄user2與u1,并觀察有什么現象；5-2

用戶帳號的管理1、用戶帳號的分類超級用戶（UID=0）普通用戶（500<=UID<max=60000）操作權限受到限制偽用戶（系統用戶）（UID=1—499）：限制本機登錄

2、用戶帳號包含的信息用戶名：口令：UID：用戶唯一標識符GID：用戶組的唯一標識符用戶描述信息：用戶主目錄：用戶登錄的初始目錄SHELL類型：設置SHELL程序的種類3、用戶管理

1）添加新用戶格式：

useradd/adduser[參數]用戶名參數：-uUID //指定用戶的UID值-g組名 //指定用戶所屬的默認組-G組名 //指定用戶附加組-d路徑 //指定用戶主目錄-e時間 //指定用戶帳號有效日期(YYYY-MM-DD)-sshell類型 //指定默認的shell類型-m //建立用戶主目錄-M //不建立用戶主目錄實例：#useraddu2//新建用戶#useradd-gg2u3//新建用戶u3，主要群組為g2#useradd-e2009-08-12u4// 2）設置用戶口令格式：passwd[選項][用戶名]d（delete）//刪除用戶口令-l（lock） //暫時鎖定指定的用戶賬號-u（unlock）//解除指定用戶賬號的鎖定-S（status）//顯示指定用戶賬號的狀態實例：#passwdu2useradd–rtom–c“Tom”–gjerry–s/bin/sh–d/home/JonepasswdtomEnterpassword:passwdtom//設置口令passwd-dtom//刪除用戶口令passwd-ltom//鎖定賬號passwd-utom//解鎖賬號passwd-Stom//顯示賬號 3）刪除用戶格式：

userdel[參數]用戶名參數：

-r //同時刪除用戶主目錄實例：#userdelu2#userdel-ru34）修改用戶信息格式：

usermod[參數]用戶名參數：-l新用戶名當前用戶名 //更改用戶名-d路徑 //更改用戶主目錄-G組名 //修改附加組-L用戶帳號名 //鎖定用戶帳號(不能登錄)-U用戶帳號名 //解鎖用戶帳號實例：#usermod-d/abcu3#usermod-Ggroup2u3#usermod-luser3u3#usermod-Luser1#usermod-Uuser1usermod命令用來修改使用者賬號，具體修改信息和useradd命令所添加的信息一樣。例子usermod–gsuper–u5600jeffery//將用戶jeffery組改為super,用戶id改為5600usermod–lhoney-jone–s/bin/ash–c“honey-jone”jone//將用戶jone改名為honey-jone,登錄的shell改為/bin/ash//用戶描述改為“honey-jone”5）切換用戶身份格式：

su[-][用戶名]實例：#su–//切換到超級用戶#sutom

6）查看用戶的UIDGID和用戶所屬組群的信息格式：

id[用戶名]實例：#idtom案例二建立一個標準的組group1，GID=900；建立一個標準組group2，選項為默認，觀察該組的信息有什么變化；新建用戶ah、xh，再新建一個組group3，把root、u1、user2用戶添加到group1組中，把ah、xh添加到group2組，把group3組改名為g3，GID=1000；查看user2所屬于的組，并記錄；刪除user1組與g3組，觀察有什么情況發生；5-3

組帳號管理1、組的分類私用組：創建用戶時自動創建的組標準組：可以包含多個用戶的組2、組的信息組名：組的標識符號口令GID：組的唯一標識符組的成員3．組帳號的管理

1）建立組格式：

groupadd[參數]組名參數：-gGID //指定新建組的GID值-r //建立偽用戶組（1--499）實例：#groupaddg2#groupadd–rg3例子：

groupadd–g5400testbed//創建一個gid為5400組名為testbed的用戶組2）刪除組格式：

groupdel組名實例：groupdelg33）修改組的信息格式：

groupmod[參數]組名參數：

-n新組名原組名 //修改組的名稱

-gGID //修改組的GID實例：#groupmod-ngroup1g1#groupmod-g860g2groupmod-ntestbed-newtestbed

//將組testbed的名稱改為testbed-new

groupmod-g5404testbed-new

//將組testbed-new的gid改為5404groupmod–g5405–ntestbed-oldtestbed-new//將組testbed-new的gid改為5405,名稱改為testbed-old4）添加/刪除組成員格式：

gpasswd[參數]用戶名組名參數：-a用戶名 //向指定組添加用戶-d用戶名 //從指定組中刪除用戶實例：#gpasswd-au1root#gpasswd-du1root5）顯示用戶所屬組格式：

groups[用戶名]實例：#groups（顯示當前用戶所屬組)#groupsroot（顯示root用戶的所屬組）使用RedHat用戶管理器管理用戶和組啟動RedHat用戶管理器兩種方法：一種通過shell，使用如下命令：

redhat-config-users第二種方法是通過圖形界面來啟動用戶管理器。

【開始】|【系統設置】|【用戶和組群】菜單項。

圖形界面用戶管理器修改用戶屬性修改帳號信息修改口令信息修改組群添加組群案例三用root用戶登錄，在根目錄下新建一目錄test，設置文件的權限，當用戶u1登錄時，能進入到/test目錄之中，并能建立屬于u1用戶的文件；當用戶xh登錄時，只能進入到/test目錄中，但不能建立屬于xh用戶的文件；以root身份登錄，在test目錄下新建一個文件ff與目錄dd，觀察新建文件及目錄的權限，進行一定的設置，讓新建的目錄具有寫與執行的權限；進行設置，把文件ff和目錄dd的所屬用戶變為ah用戶；同時把目錄dd的權限設具有讀、寫、執行的權限；利用ah用戶登錄，來觀察對dd的操作情況；5-4

權限管理

1、文件權限定義：是一種限制用戶對文件操作的規則RedHatLinux9.0系統中文件訪問權限通常分為三類：讀：r或4寫：w或2執行：x或1權限名稱對文件的含義對目錄的含義讀讀取文件內容檢查目錄內容寫修改文件內容改變目錄內容,在目錄中建立子目錄和新文件執行執行文件可以使用cd命令進入目錄2、權限值的表示方法

(1)

8進制數字表示

r：4 w：2 x：1rw：6rx：5wx：3rwx：7

0：代表沒有權限(2)字符表示方法

r--：只讀 -w-：寫

--x：執行rw-：讀寫

-wx：寫和執行 r-x：讀和執行

rwx：讀寫執行---：無權限3、權限設置的方法

（1）chmod功能：設置用戶的文件操作權限格式：格式一：chmod[操作對象][操作符][權限]文件名（稱為字符設定法）命令中各選項的含義為：(1)操作對象

u表示“用戶（user）”，即文件或目錄的所有者。

g表示“同組（group）用戶”，即與文件屬主有相同組ID的所有用戶。

o表示“其他（others）用戶”。

a表示“所有（all）用戶”。它是系統默認值。(2)操作符號+添加某個權限。-取消某個權限。=設置唯一權限。(3)所表示的權限可用下述字母的任意組合r可讀。w可寫。x可執行。實例：

#chmodo+w/home/abc.txt#chmodu-w/home/abc.txt#chmodg-rx/home/abc.txt#chmodo=rx/home/abc.txt格式二：chmod[權限值]文件名（稱為數字設定法）權限值：上述八進制表示法數字屬性的格式應為3個從0到7的八進制數，其順序是（u）（g）（o）②三位8進制數字

實例：