linux用户管理.ppt

《linux用户管理.ppt》由会员分享，可在线阅读，更多相关《linux用户管理.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第5章 Red Hat Linux 9用户管理本章概述本章概述用户管理是Red Hat Linux系统工作中重要的一环，用户管理包括用户与组账号的管理。所谓账号管理是指账号的新增、删除和修改、账号规划以及权限的授予等问题。本章主要阐述了Red Hat Linux 9的账户管理机制，包括用户管理和组管理。在本章的最后介绍了Red Hat Linux 9中常用的用户管理工具。5.1 认识用户和组在Linux系统中，不论是由本机或是远程登录系统，每个系统都必须拥有一个账号，并且对于不同的系统资源拥有不同的使用权限。在Red Hat Linux中系统账号可分为两种类型：（1）用户账号：通常一个操作者拥

2、有一个用户账号，这个操作者可能是一个具体的用户，也可能是应用程序的执行者，比如apache、ftp账号。每个用户都包含一个惟一的识别码，即用户ID（UID，User Identity），以及组识别码，即组ID（GID，Group Identity）。在Linux系统中可以有两种用户账号：管理员root用户和普通用户。（2）组账号：一组用户账号的集合。通过使用组账号，可以设置一组用户对文件具有相同的权限。管理员以组为单位分配对资源的访问权限，例如读取、写入或执行的权限，从而可以节省日常的维护时间。5.1 认识用户和组 1. 标标准用户户在Red Hat Linux 9安装的过程中，系统会自动创建

3、许多用户账号，而这些默认的用户就称为“标准用户”。这些用户账号除了“root”代表超级用户之外，其余账号都是系统账号，也就是应用程序在执行时的身份。需要注意的是，标准账号是操作系统安装时，自动建立的用户启动相应的应用程序，超级用户在向系统添加普通用户的时候，不能和系统中已有的标准用户同名。系统中的部分标准账号见下表。5.1 认识用户和组用户名称用户ID组ID主目录使用的shellroot00/root/bin/bashbin11/bin/sbin/nologindaemon22/sbin/sbin/nologinadm34/var/adm/sbin/nologinlp47/var/spool/

4、lpd/sbin/nologinsync50/sbin/bin/syncshutdown60/sbin/sbin/shutdownhalt70/sbin/sbin/haltmail812/var/spool/mail/sbin/nologinnews913/etc/newsuucp1014/var/spool/uucp/sbin/nologinoperator110/root/sbin/nologinLinux系统的部分标准账号5.1 认识用户和组 2. 2. 标准组标准组在Red Hat Linux 9安装的过程中，系统除了会自动创建默认的用户账号外，也会新增“标准组”账号。同样，除了“ro

5、ot”组是用来组织管理者之外，其余的账号都是提供给应用程序在执行时使用。Red Hat Linux 9的部分标准组见下表。组名称组ID（GID）组成员root0rootbin1root，bin，daemondaemon2root，bin，daemonsys3root，bin，admadm4root，bin，daemontty5disk6rootlp7daemon，lpLinux系统的部分标注组账号5.2 root 账号Linux系统中的root账号通常用于系统的维护和管理，它对Linux操作系统的所有部分具有不受限制的访问权限。值得注意的是，系统真正关心的并不是该账号的用户名，而是该账号的用户

6、ID，即UID。/etc、passwd文件中定义的超级用户UID为0，也就是说，如果某个账号的uid为零，系统将会认为该用户就是超级用户。在Linux中超级用户登录系统的时候，系统不会对该用户进行存取限制和安全性验证，所以超级用户root可以操作任何人的文件或者就像文件的拥有者一样管理文件。5.2 root 账号在大多数版本的Linux中，都不推荐直接使用root账号登录系统。当系统管理员需要从普通用户切换到超级用户时，可使用su或su -命令，然后输入root账号的密码即可，而不用重新登录。例如，使用su命令切换用户：tommyhost tom$ su 在tom账号下使用su命令Passwo

7、rd： 输入root账号密码rootmyhost tom# 进入root账号使用su 命令切换用户：tommyhost tom$ su - 在tom账号下使用su命令Password： 输入root账号密码rootmyhost root# 进入root账号5.2 root 账号需要返回原来的普通用户账号时，直接输入exit命令即可。如果要进入别的普通用户账号，可在su命令后直接加上其他账号，然后输入密码。su和su 命令不同之处在于，su -切换到对应的用户时会将当前的工作目录自动转换到切换后的用户的主目录。输入后，系统将提示输入相应用户的口令，只有输入的口令正确才能完成身份的转换。如果su命

8、令后没有携带用户名，系统默认从当用户切换到超级用户，并提示用户输入超级用户口令。5.3 管理用户账号 5.3.1 Linux的影子密码码体系5.3.1 Linux的影子密码体系在Linux的早期版本中，用户的账号数据，包括用户名、用户ID、组ID、用户的主目录和用户使用的shell等都保存在/etc/passwd文件中。由于该文件对于任何用户都是可读的，因而存在口令安全隐患。在RedHat Linux 9中，为了确保用户的口令安全，在/etc/passwd文件中不再保存用户的口令数据，用户的口令被加密后存放在/etc/shadow文件中，passwd文件仍然保持了所有用户的可读性，而shado

9、w文件只有root账号才可读。这种机制称为影子密码体系。在默认安装RedHat Linux 9的时候，shadow文件中的口令使用MD5加密。5.3 管理用户账号 5.3.1 Linux的影子密码码体系1 1用户账号信息用户账号信息/etc/passwd/etc/passwd通常在Linux中的所有账户信息都记录在/etc/passwd中，该文件的存取属性为644，也就是对所有用户可读，但只用root组中的用户才能修改。在/etc/passwd文件中，每一行都代表一个用户的账号信息，而每个用户的信息都是以“:”来分隔不同的字段记录，其中包含7个字段，见下表。字段1字段2字段3字段4字段5字段6

10、字段7用户名口令UIDGID账号信息主目录登录shellrootx00root/root/bin/bash/etc/passwd中包含的字段5.3 管理用户账号 5.3.1 Linux的影子密码码体系各字段的含义如下： 用户名：是用户登录系统时的登录名，它由root或是具有和root相同权限的管理员指定，每个用户在登陆系统时都必须使用指定的登录名。 口令：即用户的登录系统时使用的密码。通常该字段是一个“x”，表示是一个经过加密处理的口令，加密后的密码给放置在/etc/shadow文件中，且该文件只能被root组的账号访问。如果该字段显示“*”则表示对应账号停用。 UID：每个账号唯一的识别号，

11、最大可谓65535。UID在500之前的账号是提供系统服务使用的，管理员新增的第一个普通用的UID为500，然后依次是501、502以此类推。5.3 管理用户账号 5.3.1 Linux的影子密码码体系 GID：组账号的唯一的识别号。用户组的信息被存放在/etc/group文件中，root组的GID为0。管理员创建的第一个组的GID为500，然后依次是501、502以此类推。 账号信息：主要存放用户的附加信息，如用户名称、电话或该用户的详细说明等。用户可以使用finger命令来查看该字段的内容，还可以利用chfn命令来修改其内容。 主目录：用户登录后直接进入的目录，在默认的状态下，每个用户都有

12、一个主目录。root用户的主目录为/root，管理员创建的用户的主目录通常为/home/，如tom用户主目录为/home/tom。5.3 管理用户账号 5.3.1 Linux的影子密码码体系 登录shell：用户在登录系统时使用的shell，Red Hat Linux 9默认使用的是/bin/bash，用户可以使用chsh命令更改自己的登录shell。如果用户只是系统通过该用户账号获取系统的某种服务，而不希望该用户能够登录Linux工作站，可以将此登录shell修改为/bin/false、/bin/true、/dev/null和/sbin/nologin等其中之一。2. 2. 用户口令文件用户

13、口令文件/etc/shadow/etc/shadow在Linux系统中通常使用影子口令机制（Shadow Password），用户的身份信息被存放在/etc/passwd文件中，用户的口令信息加密后保存在另一个文件/etc/shadow中，并只设置root账号的可读属性，因而大大提高了系统的安全性能。 5.3 管理用户账号 5.3.1 Linux的影子密码码体系在/etc/shadow文件中有9个字段，每个字段使用“：”分隔。其中保存了用户名、加密后的口令等信息。各字段的含义见下表。字 段说 明1用户账号名称，如root2用户加密后的口令。如果该字段的值为“!”和“*”，则表示该用户当前没有密

14、码，也不能登录系统，这些用户通常是标准账号。其他的用户密码都是经过MD5加密后的内容。另外，用户任何时候都不能通过直接修改该字段的方法，来更变用户口令3由1970年1月1号算起，到最后一次修改密码的时间间隔（以日为单位）4密码自上次修改后，要间隔多少天数后才能再次被修改，如果为0则无限制/etc/shadow中包含的字段5.3 管理用户账号 5.3.1 Linux的影子密码码体系5密码自上次修改后，最多间隔多少天数后密码必须被修改6如果密码有时间限制，那么在过期前多少天向用户发出警告，默认为7天7如果密码设置为必须修改，到期后仍未修改，系统自动关闭账号的天数8从1970年1月1号算起，到账号过

15、期的天数9系统保留，尚未使用使用影子密码机制可以提供以下的优点：（1）将原本/etc/passwd文件中的密码移至/etc/shadow文件中，而shadow文件只允许管理员root账户读取，可以提5.3 管理用户账号 5.3.1 Linux的影子密码码体系高系统的安全性。而且其中的密码是采用MD5算法加密的，root账户也无法直接获得口令的内容，但是root账户可以变更用户密码或停用每个账户。（2）可记录密码变更的时间。（3）可以设置密码使用的时间，以避免用户的密码变更过于频繁。（4）可以使用/etc/login.defs文件来设置密码的安全性原则，例如密码的最小长度或密码最短的使用时间等。

16、 用户管理的工作包括建立一个合法的账号、设置和管理用户的口令、修改账号的属性以及在必要时删除账号。虽然在绝大部分的类UNIX系统中，都支持直接修改/etc/passwd文件来管理账号的信息，但是，如果存在/etc/shadow文件，这种方式便会失效。5.3 管理用户账号 5.3.2 setuid和setgid5.3.2 setuid和setgid用户存储用户信息的/etc/passwd文件只有超级用户才能进行修改，而用于存储用户口令的文件/etc/shadow甚至只有超级用户才可以访问。只有在普通用户执行passwd命令的时候，能够读取和修改/etc/passwd和/etc/shadow文件，

17、才能使普通用户修改自己的口令。为了解决在用户修改口令时，文件系统存取权限矛盾，Linux给/usr/sbin/passwd命令设置了setuid属性。setuid是一种文件的拥有者具备的特殊属性，它使得被设置了setuid位的程序无论被哪个用户启动，都会自动具有文件拥有者的权限，在Linux中典型拥有setuid属性的文件就是/usr/bin/passwd程序，见下图。通常setuid属性只会设置在可执行的文件上，因为尽管理论上可以给不可执行的文件加上setuid属性，但是这样做通常是没有意义的。5.3 管理用户账号 5.3.2 setuid和setgid文件属性中的s占据的位即为setuid

18、位，“s”代表对应的文件被设置了setuid属性，因为passwd程序的拥有者是超级用户root，因此passwd程序执行的时就自动获取了超级用户的权限，所以无论是哪个用户执行了passwd程序都可以修改系统的口令文件。要给一个文件加上setuid属性，可以使用如下的命令：chmod u+s 或chmod 4xxx passwd文件的setuid属性5.3 管理用户账号 5.3.2 setuid和setgid其中，u+s表示给文件的拥有者添加setuid属性，其属性字为4000，xxx代表文件原来的存取属性。setgid与setuid类似，只是setgid是文件归属的组具备的特殊属性，具有se

19、tgid的可执行文件运行时，自动获取文件对应的组权限，因为组权限不像用户权限那样精确，所以使用setgid的程序很少。要给某个文件添加setgid属性，可以命令：chmod g+s 或chmod 2xxx 其中，g+s表示给文件的归属组添加setgid属性，其属性字为2000，xxx代表文件原来的存取属性。setuid和setgid属性都是对正常的Linux安全机制开的后门，原则上，只有在明确的非用不可的功能中才使用它们。特别是，具有超级用户权限的setuid属性的应用程序经常是系统遭受攻击的目标。因此要千万慎用。5.3 管理用户账号 5.3.3 使用命令行管理用户户5.3.3 使用命令行管理

20、用户1 1添加用户账号添加用户账号在RedHat Linux 9中添加用户账号可以使用adduser或useradd命令，因为adduser命令是指向useradd命令的一个链接，因此，这两个命令的使用格式完全一样。useradd命令的使用格式如下：useradd 参数 新建用户账号常用参数和含义见下表。参 数含 义-d 指定用户登录系统时的主目录，如果不使用该参数，系统自动在/home目录下建立与用户名同名目录为主目录useradd命令的参数及含义5.3 管理用户账号 5.3.3 使用命令行管理用户户例5.1 建立jack账号，其主目录为/home/tom、归属于tom组、账号信息为gene

21、ral user、用户shell为/bin/bash、账号有效期到2008年12月1日。命令的执行过程如图所示。-s 设置用户登录系统时使用的shell，默认为/bin/bash-g 指定用户所属的组，该组的GID必须是在/etc/group文件中登记过的，即该组已存在。如果不使用该参数，系统自动建立用户同名的组，并将该用户纳入该组-c 用于指定账号信息字段的内容-u 指定用户的UID-e 指定账号的有效期限，格式为YYYY-MM-DD5.3 管理用户账号 5.3.3 使用命令行管理用户户 rootmyhost root# useradd d /home/tom g 500 -c “gener

22、al user” s /bin/bash e 2008-12-1 jack2 2变更用户口令变更用户口令在Linux系统中，每个用户除了拥有账号外，还应该拥有相应的口令。系统管理员root应该在创建用户账号的时候为每个用户指定一个初始密码，用户利用此密码登录系统后，再自行修改。用户应该选择一个自己容易记忆的口令，同时还应该保证该密码的健壮性。useradd命令示例5.3 管理用户账号 5.3.3 使用命令行管理用户户 由于入侵者可以使用自动化的工具软件多次尝试登录系统，简单的口令很容易被破解，因此，一个健壮性高的口令应该具备以下特点：不包含个人信息，不存在键盘顺序规律，不使用字典中的单词，最好

23、包含非字母符号，长度不小于8位，同时还用方便记忆。在RedHat Linux 9中，超级用户可以使用passwd命令为普通用户设置或修改用户口令。用户也可以直接使用该命令来修改自己的口令，而无需在命令后面使用用户名。该命令的常用格式为：passwd 参数 用户名常用的参数及含义如表所示。5.3 管理用户账号 5.3.3 使用命令行管理用户户例5.2 使用passwd的-stdin参数为例5.1中建立的jack账户设置初始口令。在终端中输入如下命令，结果如图所示。rootmyhost root# passwd jack -stdin参 数含 义-d删除用户口令，此后该用户登录系统是无需口令-l临

24、时锁定用户账号，该账号此后无法登录系统，直到解锁-u解除账号的锁定-stdin在用户设置口令的时候，通常并不显示内容，并且需要用户输入两次口令以便验证两次输入是否一致。使用该参数表示在用户设置口令的时候，显示口令内容，同时只需要用户输入口令一次。passwd命令的参数及含义5.3 管理用户账号 5.3.3 使用命令行管理用户户 例5.3 tom登录系统后，更变自己的口令。命令执行的过程如下图所示。rootmyhost tom# passwdroot账号设置jack用户初始口令tom用户变更自己口令5.3 管理用户账号 5.3.3 使用命令行管理用户户 3 3查看用户信息查看用户信息1) who

25、ami命令该命令用户查看当前系统当前账号的用户名。由于系统管理员通常需要使用多种身份登录系统，例如通常使用普通用户登录系统，然后再以su命令切换到root身份对传统进行管理。这时候就可以使用whoami来查看当前用户的身份。该命令的使用格式如下：whoami2) who命令该命令用于查看当前所有登录系统的用户信息，使用格式如下：who 选项常用的参数及含义如下表所示。5.3 管理用户账号 5.3.3 使用命令行管理用户户 例5.4 使用who命令查看当前登录系统的用户详细信息。在终端中输入如下命令，结果如图所示。rootmyhost root# who uH参 数含 义-m或am I只显示运行

26、who命令的用户名、登录终端和登录时间-q或-count只显示用户的登录账号和登录用户的数量-u在登录时间后显示该用户最后一次操作到当前的时间间隔-u或-heading显示列标题who命令的参数及含义5.3 管理用户账号 5.3.3 使用命令行管理用户户 其中，IDLE字段显示为“.”表示该用户前一秒仍然在操作系统。who命令输出的常用标题及含义如下表所示。NAMELINETIMEIDLEPIDCOMMENT用户名用户登录时的终端登录时间用户空闲时间登录进程PID用户网络地址who命令查看登录账号who命令输出的常用标题5.3 管理用户账号 5.3.3 使用命令行管理用户户 3) w命令该命令

27、也可以查看登录当前系统的用户信息。与who命令相比，w命令的功能更强大，它不但可以显示当前有哪些用户登录到系统，还可以显示这些用户正在进行的操作，并给出更加详细和科学的统计数据。 w命令的格式如下：w 选项 用户名如果w命令携带用户名，则只显示指定用户的信息，否则显示当前所有登录用户的信息。其常用参数和含义如表所示。5.3 管理用户账号 5.3.3 使用命令行管理用户户 例5.5 使用w命令查看当前登录系统的用户的详细信息，显示结果如下图所示。参 数含 义-h不显示各列的标题-l显示详细信息列表，此为预设值-s使用短列表，不显示用户登录时间、JCPU和PCPU时间 -u忽略执行程序的名称，以及

28、该程序的PCPU时间who命令的参数及含义w命令查看登录账号信息5.3 管理用户账号 5.3.3 使用命令行管理用户户 w命令输出的常用标题及含义如下表所示。4) finger命令该命令用于查找指定用户，并显示该用户的相关信息。该命令常用格式如下：finger 参数 用户名USERTTYFROMLOGINIDLEJCPUPCPUWHAT用户名用户登录时的终端用户网络地址登录时间用户空闲时间用户终端所有进程占用的时间当前进程占用的时间用户当前执行的命令w命令输出的常用标题5.3 管理用户账号 5.3.3 使用命令行管理用户户 该命令常用的参数有-l，可以显示特定用户的详细信息。finger -l

29、命令的执行结果如下图所示。4 4修改用户信息修改用户信息1) chfn命令该命令用于修改系统中存放的用户信息。这些用户信息包括：用户全名、工作单位、工作电话和家庭电话等。finger l命令执行5.3 管理用户账号 5.3.3 使用命令行管理用户户 在新建一个用户时，通常没有设置用户信息，如果需要可以使用chfn命令设置，这些信息也是finger命令显示的内容，如果chfn命令没有携带任何用户名，表示更改当前登录系统的用户的信息，此时系统会出现一个交互式界面等待用户输入，录入完毕后，信息将被保存到/etc/passwd文件的账号信息字段中。该命令使用格式如下：chfn 用户名例如，修改root

30、账号的信息，如图所示。5.3 管理用户账号 5.3.3 使用命令行管理用户户 2) usermod命令在RedHat Linux 9中，除了在添加用户时指定用户的主目录、登录时的shell和所属的组外，还可以在用户创建后，使用usermod命令来修改用户的这些信息。usermod命令的使用格式如下：chfn命令修改root信息5.3 管理用户账号 5.3.3 使用命令行管理用户户 usermod 选项 用户名常用参数和含义见下表。参 数含 义-d 重新指定用户登录系统时的主目录 -s 设置用户登录系统时使用的shell-g 指定用户主组-G 重新指定用户所属的组名-u 重新指定用户的UID-e

31、 指定账号的有效期限，格式为YYYY-MM-DD-c 用于指定账号信息字段的内容usermod命令的参数及含义5.3 管理用户账号 5.3.3 使用命令行管理用户户 例5.6 将jack用户归于root组（GID为0），主目录指定到/home/jack。命令执行如下图所示。rootmyhost root# usermod G 0 d /home/jack5 5删除用户删除用户为了保证系统的安全，在Linux系统中，如果某个用户账号不再使用，就应该从系统中删除。在Linux系统中可以通过直 usermod命令执行5.3 管理用户账号 5.3.3 使用命令行管理用户户 接删除/etc/passwd

32、和/etc/shadow文件中对应行的办法来删除系统账号，但这种方法不利于初学者，更增加了管理员的负担。因此在Linux系统中提供了userdel命令来实现从系统中删除已有账户。该命令的使用格式如下：userdel -r 用户名如果使用参数-r，则表示在删除用户的同时，将该用户的主目录一并删除。6. 6. 在登录的用户间传递消息在登录的用户间传递消息在Linux系统中，提供了几个用于向登录用户发送消息的工具，以便管理员在需要的时候使用这些工具向其他登录用户发送系统消息。5.3 管理用户账号 5.3.3 使用命令行管理用户户 1) mesg命令该命令用于设置终端机的写入权限，即如果mesg使用y

33、参数表示允许其他用户将消息传到自己的终端机界面上。如果mesg使用n参数表示不允许其他用户将消息传到自己的终端机界面上。该命令的使用格式如下：mesg 选项常用参数和含义见下表。参 数含 义y允许其他用户将消息传到自己的终端机界面上n不允许其他用户将消息传到自己的终端机界面上mesg命令的参数及含义5.3 管理用户账号 5.3.3 使用命令行管理用户户 2) wall命令该命令能将消息内容发送给每一个在线的用户，但是该用户的必须首先使用mesg命令允许其他用户将消息传到其终端上。改名的使用格式如下：wall 也可以直接使用wall，然后输入信息，不过信息结束时需加上 EOF (使用键盘键Ctr

34、l+D)。3) write命令该命令可以向指定的用户发送信息。该命令的使用格式如下：write ttyname其中参数ttyname是可选项，当一个用户多次登录系统时，可以选择使用该参数指定其登录的终端。5.3 管理用户账号 5.3.3 使用命令行管理用户户 例5.7 通过write命令向tom用户发送消息。rootmyhost root# write tom然后输入欲发送的消息，然后使用EOF(使用键盘键Ctrl+D)结束消息。如下图所示。write发送消息5.3 管理用户账号 5.3.4 批量建立用户账号户账号5.3.4 批量建立用户账号在Red Hat Linux 9中，提供了newus

35、ers和chpasswd工具用户创建批量用户，以减轻管理员的工作量，并减少错误的发生率。步骤如下：（1）创建用户信息文件。其中按照/etc/passwd文件的字段格式和次序，一行一个用户信息。（2）执行newusers工具，读取用户信息。（3）将读取的信息依次在/etc/passwd和/etc/shadow文件中创建记录，以新建批量用户。以下配合一个实例，来介绍如何使用RedHat Linux 9提供的newusers和chpasswd等工具新建批量用户账号。5.3 管理用户账号 5.3.4 批量建立用户账号户账号1 1创建用户信息文件创建用户信息文件批量创建用户的第一步就是为用户准备信息文件

36、，该用户信息文件必须按照/etc/passwd定义的字段含义和次序来创建。同时，每个用户账号的名称及用户ID都不能相同，而口令字段可以先使用空白，或使用x代替以增加安全性。假设新增用户的信息存放在/root/account.txt文件中，其内容见下图。account.txt用户信息文件5.3 管理用户账号 5.3.4 批量建立用户账号户账号2 2使用使用newusersnewusers工具批量创建用户工具批量创建用户在/usr/sbin/目录下的newusers工具主要的功能就是利用用户信息文件来更新或创建用户账号。在Linux系统中，提供了输入重定向符和来将account.txt文件作为ne

37、wusers工具的输入。newusers工具使用很简单，系统会根据用户信息文件中的数据来新建用户账号，如下图所示。rootmyhost root# newusers /root/account.txt利用newusers工具创建用户5.3 管理用户账号 5.3.4 批量建立用户账号户账号3 3取消影子口令机制取消影子口令机制在Linux系统的/usr/sbin目录下，提供的pwunconv程序能够将/etc/shadow产生的影子口令译码，然后回写到/etc/passwd文件中，同时也将/etc/shadow文件中的口令字段删除，以取消影子口令机制。该命令的执行及执行后/etc/passwd文

38、件和/etc/shadow文件的变化如下图所示。rootmyhost root# pwunconv取消影子口令机制5.3 管理用户账号 5.3.4 批量建立用户账号户账号4 4创建密码文件创建密码文件按照account.txt文件的账号创建对应的口令表文件，该文件仅需两个字段，第一个字段是account.txt文件中的用户名，第二个字段是明文口令，以“：”分隔。这里以新增的/root/password.txt文件为例，其内容如下图所示。 密码文件password.txt5.3 管理用户账号 5.3.4 批量建立用户账号户账号5 5使用使用chpasswdchpasswd工具设置用户口令工具设置

39、用户口令在创建对应的密码表文件后，需要使用工具chpasswd程序将密码文件中的口令导入/etc/passwd文件。该工具通过利用管道符，使得密码表文件/root/password.txt作为输入，其用法如下图所示。rootmyhost root# chpasswd /root/password.txt向/etc/passwd文件导入口令5.3 管理用户账号 5.3.4 批量建立用户账号户账号该工具执行成功是没有任何信息，此时再次查看/etc/passwd文件时，发现其中的口令已经被更改。这说明对应的密码表文件中的口令已经被导入了。为了确保系统口令的安全性，接着应该恢复系统的影子口令机制。6

40、6重设影子口令机制重设影子口令机制在成功地将用户口令写入/etc/passwd文件之后，就应该启用系统的影子口令机制，以增强系统的安全性能。在这一步骤可以使用/usr/sbin/pwconv工具，将密码进行MD5加密后，写入/etc/shadow文件中。在执行/usr/sbin/pwconv程序后，原来出现在/etc/passwd文件中的密码会使用“x”记号取代。该命令执行的过程见下图。rootmyhost root# pwconv5.3 管理用户账号 5.3.4 批量建立用户账号户账号完成第六步后，就可以利用新建的账户登录系统了。使用上述的方法在向系统新增大量用户的时候是非常有效的。如果能够

41、配合shell脚本使用上面的工具，就可以大大降低管理员在批量创建用户时的工作负担，同时也能防止由于管理员的过失而导致的错误，增进系统的日常维护能力。重设影子口令5.4 管理用户组 5.4.1理解组账号组账号信息文件/etc/group在Linux中通常将已有的用户账号归属于某个组，这样在进行账号管理时，就可以组为基本单位，然后再授予组对某些资源的存取权限，此后，该组中的所有成员都可以拥有对该资源同样的存取权限，管理员也可以节省日常维护的时间。5.4.1理解组账号信息文件/etc/group在RedHat Linux 9中，所有的组账号信息被放置在/etc/group文件中，和/etc/pass

42、wd文件类似，/etc/group文件的每一行都代表一个组，并且每个字段使用“：”进行分隔，各字段的含义如下表所示。 5.4 管理用户组 5.4.1理解组账号组账号信息文件/etc/group字 段说 明1组账号名称2组账号口令，通常不使用，并以“x”填充3组ID（GID），系统内置的组，其GID在500以内，管理员建立的组从500开始，依次是500、5014属于该组的用户列表，每个用户使用“，”区隔/etc/group中包含的字段和用户影子口令机制类似，/etc/group文件也包含了一个对应的/etc/gshadow文件，用来提升其口令的安全性。如果系统中启用了/etc/gshadow文件

43、，那么直接利用/etc/group文件创建组账号的方法就会失败，因而必须使用稍后介绍的专用工具。5.4 管理用户组 5.4.2 使用命令行方式管理组组5.4.2 使用命令行方式管理组1. groupadd1. groupadd命令命令该命令用于向系统新增一个组，新增的组账号在默认的情况下最小从500开始。通常的情况下，其命令格式如下：groupadd 选项 组名groupadd工具无需使用参数，但在某些特殊情况下，需要使用如下表所示的参数。参 数含 义-g 指定组GID号-r添加一个系统组，即GID小于499的组groupadd命令的参数及含义5.4 管理用户组 5.4.2 使用命令行方式管理

44、组组例5.7 向系统新增一个系统组testg组，其GID为480。具体操作如下，完成后用使用tail命令查看详细情况，过程如下图所示。rootmyhost root# groupadd g 480 testg新增testg组2. groupmod2. groupmod命令命令管理员有时候可能需要更改组账号的内容，此时可以使用groupmod命令。其命令格式如下：5.4 管理用户组 5.4.2 使用命令行方式管理组组groupmod 选项 组名常用参数和含义如下表所示。groupmod命令的参数及含义参 数含 义-g 重新指定组GID号-o重复使用组GID号-n 重设组账号名称例5.8 将tes

45、tg组更名为troot，其GID变更为0，具体操作如下，操作完成后使用more命令查看结果，如下图所示。rootmyhost root# groupmod g 0 o n troot testg5.4 管理用户组 5.4.2 使用命令行方式管理组组groupmod命令示例3. groupdel3. groupdel命令命令在向系统创建用户账号的时候，系统会自动创建与该账号同名的组，但是在删除该用户账号的时候，系统并不会自动删除该组，因此需要系统管理员手动删除该组账号。groupdel命令提供了删除特定组账号的工具，该命令无需任何参数。其使用格式如下：groupdel 5.4.3 使用图形界面管

46、理用户和组在前面的章节中，介绍了使用命令工具管理系统的用户账号和组账号，在RedHat Linux 9中，同时提供了基于图形界面的用户管理工具“RedHat用户管理器”。单击“主菜单”“系统设置”“用户和组群”菜单项，打开“Red Hat用户管理器”窗口，如图所示。在该窗口中存在两个选项卡，一个是“用户”选项卡，用于用户管理，另一个是“组群”选项卡，用于组群管理。“Red Hat用户管理器”窗口5.4.3 使用图形界面管理用户和组1. 1. 新增用户账号新增用户账号切换到“用户”选项卡，单击工具栏中的“添加用户”工具按钮，弹出“创建新用户”对话框，如图1所示。在此窗口中，除了需要填写新增的用户

47、账号名称外，还可以设置账号的全称、口令、登录shell和主目录等信息。在默认情况下，系统会自动为新增的用户账号建立一个同名的私人组群。如果不希望这样，就可以取消“为该用户创建私人组群”前的复选框，单击“确定”按钮即可创建新用户。如果要将其添加到群组中，可以选中该用户，然后单击“属性”按钮，在弹出的“用户属性”对话框中选择“组群”选项卡，从“选择用户将加入的组群”列表中选择需要加入的组，这里选择root组，如图2所示，单击“确定”按钮即可。5.4.3 使用图形界面管理用户和组图2 将test用户加入root组图1 新增用户test 5.4.3 使用图形界面管理用户和组2. 2. 修改用户信息修改

48、用户信息从“用户”选项卡中选择需要修改属性的用户，然后单击“属性”按钮，弹出“用户属性”对话框，如下图所示。在“用户数据”选项卡中可以修改“用户名”、“全程”、“口令”、“主目录”和“登录shell”等数据；在“账号信息”选项卡中可以更变用户的账户过期时间；在“口令信息”选项卡提供了用户口令的各种时间信息；在“组群”选项卡中可以变更用户所属的组信息。“用户属性”对话框5.4.3 使用图形界面管理用户和组3. 3. 删除用户删除用户从主窗口用户选项中选择需要删除的用户，然后单击“删除”按钮，即可完成。5.4管理用户组 5.4.1组账号信息文件/etc/group在Red Hat Linux 9中

49、，所有的组账号信息都被放置在/etc/group文件中。和/etc/passwd文件类似，/etc/group文件中的每一行都代表一个组，并且各个字段之间使用“：”进行分隔。/etc/group/文件的部分内容如图所示.5.4管理用户组 5.4.2使用命令行方式管理组了解了Linux中组账号信息的管理机制后，就可以使用Linux提供的组管理工具来进行Linux组账号的管理了。1.groupadd1.groupadd命令命令该命令用于向系统新增一个组，新增的组账号在默认的情况下从500开始。其命令格式如下：groupadd 参数 组名2.groupmod2.groupmod命令命令管理员有时可能

50、需要更改组账号的内容，此时可以使用groupmod命令，其格式如下：groupmod 参数 组名3.groupdel3.groupdel命令命令在创建用户账号的同时，系统会自动创建与该账号同名的组，但是在删除该用户账号时，系统并不会自动删除该组，因此需要系统管理员手动删除该组账号。可以使用groupdel命令删除特定组账号，该命令无须任何参数，其格式如下：groupdel 5.4管理用户组 5.4.3使用图形界面管理组同使用图形界面管理用户一样，也可以使用基于图形界面的管理工具“Red Hat用户管理器”管理组。1.1.新建组账号新建组账号在“Red Hat用户管理器”窗口中切换到“组群”选项