用户管理和系统安全设置 第5章.ppt

《用户管理和系统安全设置 第5章.ppt》由会员分享，可在线阅读，更多相关《用户管理和系统安全设置 第5章.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第5章章 用户与组群管理用户与组群管理Chapter 5 Management of Users and Groups信息技术学院信息技术学院 边雪芬边雪芬5-1 用户用户(user)和组群和组群(group)的基本的基本概念概念 Linux操作系统是一个真正意义上的多用户系操作系统是一个真正意义上的多用户系统。这意味着多个用户可以同时在同一个系统上统。这意味着多个用户可以同时在同一个系统上并行且独立地工作。并行且独立地工作。这一节将介绍红旗这一节将介绍红旗Linux环境下的用户管理。环境下的用户管理。它是它是Linux系统管理的基础，是系统管理员必须系统管理的基础，是系统管理员必须要掌握的

2、内容。要掌握的内容。信息技术学院信息技术学院 边雪芬边雪芬Linux中用户可以分为三种类型：超级用中用户可以分为三种类型：超级用户、系统用户和普通用户。户、系统用户和普通用户。超级用户：又称超级用户：又称root用户或根用户，是最用户或根用户，是最高管理权限的拥有者。高管理权限的拥有者。“root”是系统默认的超是系统默认的超级用户的名称。在系统安装的过程中，输入级用户的名称。在系统安装的过程中，输入的根用户口令就是的根用户口令就是root用户的密码。在用户的密码。在Linux系统中有且只有一个系统中有且只有一个root用户。用户。信息技术学院信息技术学院 边雪芬边雪芬v系统用户：是指与系统服

3、务相关的用户，通常在安装软件系统用户：是指与系统服务相关的用户，通常在安装软件包时自动创建。包时自动创建。v普通用户：普通用户：Linux系统可以创建许多普通用户，并为其指系统可以创建许多普通用户，并为其指定相应的权限，使其有限地使用定相应的权限，使其有限地使用Linux系统资源。系统资源。v在刚安装结束的在刚安装结束的Linux系统中，仅有系统中，仅有root用户，其他的用用户，其他的用户都是由户都是由root用户创建的。因为用户创建的。因为root用户拥有最高权限，用户拥有最高权限，所以所以root用户的一个误操作很可能对系统或其他普通用户用户的一个误操作很可能对系统或其他普通用户造成巨大

4、的损失。造成巨大的损失。v因此，建议一般情况下，不要以根用户登录，只有在需要因此，建议一般情况下，不要以根用户登录，只有在需要做系统维护和管理等方面工作时才以做系统维护和管理等方面工作时才以root用户登录。用户登录。信息技术学院信息技术学院 边雪芬边雪芬v无论哪种类型的用户，都必须拥有用户名和口令。用无论哪种类型的用户，都必须拥有用户名和口令。用户登录时系统将检验输入的用户名和口令。户登录时系统将检验输入的用户名和口令。v只有当用户名已存在，而且用户名与口令相匹配时，只有当用户名已存在，而且用户名与口令相匹配时，用户才能进入用户才能进入Linux系统。系统。v系统还会根据用户默认的信息建立相

5、应的工作环境。系统还会根据用户默认的信息建立相应的工作环境。v对计算机来说，处理数字的速度比处理文字要快得多，对计算机来说，处理数字的速度比处理文字要快得多，所以，所以，Linux的内核把用户当作数字对待。的内核把用户当作数字对待。信息技术学院信息技术学院 边雪芬边雪芬v每个用户都用一个独一无二的整数来标识，这个整数就每个用户都用一个独一无二的整数来标识，这个整数就是用户是用户ID或者称或者称UID。v用户名是用户文字化的名称，而用户名是用户文字化的名称，而UID就如同用户的身份就如同用户的身份证号码。证号码。v超级用户的超级用户的UID为，为，1-499的的UID专供给系统用户使用。专供给系

6、统用户使用。从从500开始的开始的UID才是普通用户可以使用的。安装完成才是普通用户可以使用的。安装完成后，用户所建的第一个普通用户的后，用户所建的第一个普通用户的UID默认为默认为500，第，第二个用户默认为二个用户默认为501，并依次类推。，并依次类推。v与用户相关的信息都被存储在与用户相关的信息都被存储在/etc/passwd文件中。文件中。/etc/shadow文件是根据文件是根据/etc/passwd文件产生的，包文件产生的，包含用户的口令信息，值得注意得是只有超级用户才能查含用户的口令信息，值得注意得是只有超级用户才能查看其内容。看其内容。信息技术学院信息技术学院 边雪芬边雪芬vL

7、inux将相同特性的用户逻辑地组织在一起，形成组将相同特性的用户逻辑地组织在一起，形成组群。群。v在组群的支持下，允许用户在组内共享文件。在组群的支持下，允许用户在组内共享文件。v任何一个用户都至少属于一个组群。任何一个用户都至少属于一个组群。vLinux系统中每一个文件都有一个用户和一个组的属系统中每一个文件都有一个用户和一个组的属主，也就是说系统中任何一个文件都归属于某个组中主，也就是说系统中任何一个文件都归属于某个组中的一个用户。的一个用户。v与组群相关的信息存储在文件与组群相关的信息存储在文件/etc/group中，中，/etc/gshadow文件和文件和/etc/shadow类似，是

8、根据类似，是根据/etc/group文件产生的，用于保存加密的组群口令。文件产生的，用于保存加密的组群口令。信息技术学院信息技术学院 边雪芬边雪芬账号账号(Accounts)vLinux系统的账号分为用户账号和组账号两类：系统的账号分为用户账号和组账号两类：v用户账号：通常一个操作者拥有一个用户账号，每个用户账号：通常一个操作者拥有一个用户账号，每个用户账号有唯一的识别号用户账号有唯一的识别号UID（User ID）和自己所属）和自己所属组的识别号组的识别号GID（Group ID）。）。vLinux系统中可以有三类用户账号：系统用户、超级系统中可以有三类用户账号：系统用户、超级用户（用户（r

9、oot用户）和普通用户。用户）和普通用户。v组账号：是一组用户账号的集合。通过使用组账号，组账号：是一组用户账号的集合。通过使用组账号，可以设置使一组用户对文件具有相同的权限。可以设置使一组用户对文件具有相同的权限。信息技术学院信息技术学院 边雪芬边雪芬v用户和组的配置信息保存在以下四个文件中：/etc/passwd/etc/shadow/etc/etc/group/etc/gshadow信息技术学院信息技术学院 边雪芬边雪芬1.用户信息：用户信息：/etc/passwd文件文件v每一行存储一个用户的账号信息，每一行可以包含如下每一行存储一个用户的账号信息，每一行可以包含如下域，各域之间以冒号

10、分隔：域，各域之间以冒号分隔：1.登录名：即用户账号登录名：即用户账号2.口令：通常是一个口令：通常是一个“x”，表示口令已被加密，加密后，表示口令已被加密，加密后的口令存储在的口令存储在/etc/shadow文件中。如果是文件中。如果是“*”，则，则表示该账号已被停用。表示该账号已被停用。3.UID：每个用户账号都有一个不同的：每个用户账号都有一个不同的ID，它是一个整，它是一个整数。数。信息技术学院信息技术学院 边雪芬边雪芬4.GID：用户所属的组的：用户所属的组的ID，每个组也都具有不同的，每个组也都具有不同的ID。5.用户信息：这是账号附加的信息，如用户名、电话、住用户信息：这是账号附

11、加的信息，如用户名、电话、住址等，可以使用命令址等，可以使用命令finger和和chfn查询和修改这些信息。查询和修改这些信息。6.主目录：在默认状态下，每个用户都有一个主目录，主目录：在默认状态下，每个用户都有一个主目录，root用户的主目录是用户的主目录是/root，管理员新建立的用户的主目，管理员新建立的用户的主目录默认为录默认为/home/。7.登录登录shell：设置用户在登录时使用的：设置用户在登录时使用的shell，系统默认，系统默认使用使用/bin/bash。例如：例如：root：x：0：0：root：/root：/bin/bash 信息技术学院信息技术学院 边雪芬边雪芬信息技

12、术学院信息技术学院 边雪芬边雪芬v是根据是根据/etc/passwd文件产生的，一行存储一个用户的信息，各域之间以冒号文件产生的，一行存储一个用户的信息，各域之间以冒号分隔：分隔：1.用户名用户名2.34位加密口令位加密口令3.从从1970年年1 月月1日到上次口令修改日期的间隔天数。日到上次口令修改日期的间隔天数。4.口令上次修改后，要过多少天才能再修改。若为口令上次修改后，要过多少天才能再修改。若为0表示没有时间限制。表示没有时间限制。5.口令上次修改后，多少天之内必须再次修改。若为口令上次修改后，多少天之内必须再次修改。若为99999则表示用户口令则表示用户口令未设置为必须修改。未设置为

13、必须修改。6.如果口令有期限限制，要在过期多少天前向用户示警。一般系统默认为如果口令有期限限制，要在过期多少天前向用户示警。一般系统默认为7天。天。7.若口令设置为必须修改，而达到期限后仍未修改，系统将推迟关闭帐号的若口令设置为必须修改，而达到期限后仍未修改，系统将推迟关闭帐号的天数天数8.从从1970年年1 月月1日到账号过期的间隔天数，未过期的账号则为空值。日到账号过期的间隔天数，未过期的账号则为空值。9.保留域，未使用保留域，未使用2.用户口令信息用户口令信息:/etc/shadow信息技术学院信息技术学院 边雪芬边雪芬信息技术学院信息技术学院 边雪芬边雪芬v/etc/group存储所有

14、组账号的数据，一行表示一个组的信存储所有组账号的数据，一行表示一个组的信息，各域之间以冒号分隔，包括：息，各域之间以冒号分隔，包括：1.组名组名2.x表示加密的组口令，口令的相关信息存储在表示加密的组口令，口令的相关信息存储在/etc/gshadow文件中，其形式与文件中，其形式与/etc/shadow相似。相似。3.组组ID（GID），系统生成的组），系统生成的组ID小于小于500，管理员新建，管理员新建的第一个组的第一个组ID为为500，以后依次递增。，以后依次递增。4.该组包含的用户账号列表，以逗号分隔。该组包含的用户账号列表，以逗号分隔。例如：例如：bin：x：1：root，bin，d

15、aemon3.组信息组信息:/etc/group信息技术学院信息技术学院 边雪芬边雪芬4.组口令信息组口令信息:/etc/gshadow信息技术学院信息技术学院 边雪芬边雪芬1.增加用户：增加用户：adduser 选项选项 -d：指定用户主目录，默认情况下，将会在：指定用户主目录，默认情况下，将会在/home目录下新建一个与用户名相同的用户主目录。目录下新建一个与用户名相同的用户主目录。-s：指定用户登录时使用的：指定用户登录时使用的shell，默认的，默认的shell为为/bin/bash。5-2 管理用户和组群的管理用户和组群的shell命令命令5-2-1管理用户的管理用户的shell命令

16、命令信息技术学院信息技术学院 边雪芬边雪芬-g：指定用户归属的组名。默认地，每当创建一：指定用户归属的组名。默认地，每当创建一个新用户的时候，一个与用户名相同的组就会被创建，个新用户的时候，一个与用户名相同的组就会被创建，而这个用户就是该组的成员。而这个用户就是该组的成员。-G：在：在Linux系统中，一个用户可以属于一个组，系统中，一个用户可以属于一个组，也可以属于多个组，其中用户在初始化时属于的组称为也可以属于多个组，其中用户在初始化时属于的组称为主组。如果要让用户属于其它的组，应该使用选项主组。如果要让用户属于其它的组，应该使用选项-G。-u：指定新用户的：指定新用户的UID。信息技术学

17、院信息技术学院 边雪芬边雪芬2.设置和修改口令设置和修改口令：passwd 用户名用户名v只有超级用户可以使用只有超级用户可以使用“passwd 用户名用户名”修改其他用户的修改其他用户的口令，普通用户只能用不带参数的口令，普通用户只能用不带参数的passwd命令修改自己命令修改自己的口令的口令 信息技术学院信息技术学院 边雪芬边雪芬3.删除用户的命令为删除用户的命令为userdel 命令格式为：命令格式为：userdel 删除用户并且删除为这些用户生成的删除用户并且删除为这些用户生成的/home/文文件，可以使用带选项的命令：件，可以使用带选项的命令：userdel-r 4.修改用户属性的命

18、令为修改用户属性的命令为usermodusermod g-G -d -s 信息技术学院信息技术学院 边雪芬边雪芬5.切换用户命令：切换用户命令：suv格式：su-用户名v注意：1、普通用户向超级用户切换不用写用户名。2、使用-选项，可以使用户目录也切换到自己的主目录下。6.id命令命令v格式：id 用户名v 功能：察看用户的id、uid信息。信息技术学院信息技术学院 边雪芬边雪芬1.增加用户组增加用户组 groupadd 选项选项 2.删除用户组删除用户组 groupdel 3.修改用户组修改用户组 1).groupmod 选项选项 2).直接编辑直接编辑/etc/group文件，将用户名写到

19、对应的组名文件，将用户名写到对应的组名的后面。的后面。v选项说明：选项说明：-g 组群组群ID：指定组群的指定组群的ID -n组群名：组群名：指定组群的新名字指定组群的新名字5-2-2 管理组的管理组的shell命令命令信息技术学院信息技术学院 边雪芬边雪芬系统管理员有时需要批量新建多个用户，这可以通系统管理员有时需要批量新建多个用户，这可以通过预先编写的用户信息文件和口令文件，利用过预先编写的用户信息文件和口令文件，利用newusers等命令实现。等命令实现。步骤：步骤：1.编辑用户信息编辑用户信息用户信息必须符合用户信息必须符合/etc/passwd文件的格式，即：每文件的格式，即：每一行

20、为一个用户的信息，字段排列的顺序也必须跟一行为一个用户的信息，字段排列的顺序也必须跟/etc/passwd完全相同。完全相同。每个用户帐号和每个用户帐号和uid必须各不相同，口令字段部分输必须各不相同，口令字段部分输入入“x”。5-2-3 批量新建多个用户批量新建多个用户信息技术学院信息技术学院 边雪芬边雪芬例如：例如：vi student.txts01:x:701:701:/home/s01:/bin/bashs02:x:702:702:/home/s02:/bin/bashs03:x:703:703:/home/s03:/bin/bashs04:x:704:704:/home/s04:/b

21、in/bashs05:x:705:705:/home/s05:/bin/bashs06:x:706:706:/home/s06:/bin/bashs07:x:707:707:/home/s07:/bin/bashs08:x:708:708:/home/s08:/bin/bash信息技术学院信息技术学院 边雪芬边雪芬2.创建用户口令文件创建用户口令文件用户口令文件的每一行内容为一个用户帐号的信息，用户口令文件的每一行内容为一个用户帐号的信息，用户名与用户信息文件的内容相对应。用户名与用户信息文件的内容相对应。例如：例如：vi password.txts01:1111111s02:2222222s

22、03:3333333s04:4444444s05:5555555s06:6666666s07:7777777s08:8888888信息技术学院信息技术学院 边雪芬边雪芬3.利用利用newusers命令批量创建用户帐号命令批量创建用户帐号只有超级用户才有这个权限。只有超级用户才有这个权限。查看：查看：#cd home#ls#vi/etc/passwd创建：创建：#newusers student.txt查看：查看：#vi/etc/passwd#ls信息技术学院信息技术学院 边雪芬边雪芬4.利用利用pwunconv命令暂时取消命令暂时取消shadow加密加密为了使用户口令文件中的命令可用，必须先取

23、为了使用户口令文件中的命令可用，必须先取消原有消原有shadow加密。超级用户可以利用加密。超级用户可以利用pwunconv命令将命令将/etc/shadow中加密口令解密后中加密口令解密后保存于保存于/etc/passwd文件，并删除文件，并删除/etc/shadow文件。文件。#pwunconv信息技术学院信息技术学院 边雪芬边雪芬5.利用利用chpasswd命令为用户设置口令命令为用户设置口令它可以批量更新用户口令。它可以批量更新用户口令。只有超级用户才有这个权限。只有超级用户才有这个权限。查看：查看：#vi/etc/passwd#vi/etc/shadow创建：创建：#chpasswd

24、 password.txt查看：查看：#vi/etc/passwd#vi/etc/shadow信息技术学院信息技术学院 边雪芬边雪芬6.利用利用pwconv命令恢复命令恢复shadow加密加密 pwconv命令将命令将/etc/passwd 中口令加密后保存中口令加密后保存于于/etc/shadow文件中。文件中。#pwconv信息技术学院信息技术学院 边雪芬边雪芬5-2-3 账号管理和查看命令账号管理和查看命令vlogname命令命令取得本终端登录用户的名字取得本终端登录用户的名字vwho功能功能查看在所有终端登录的用户查看在所有终端登录的用户 whovwhoami的功能的功能查看本终端当前

25、切换到的用户的名字查看本终端当前切换到的用户的名字Whoami信息技术学院信息技术学院 边雪芬边雪芬vfinger命令可用于查找和显示用户信息，并且在命令可用于查找和显示用户信息，并且在查找后显示指定账号的相关信息查找后显示指定账号的相关信息vchfn命令能够改变系统存储的用户信息命令能够改变系统存储的用户信息信息技术学院信息技术学院 边雪芬边雪芬5-3 桌面环境下管理用户和组群桌面环境下管理用户和组群v系统系统-控制面板控制面板-本地用户和组本地用户和组管理用户（增加、删除、更改）管理用户（增加、删除、更改）管理组群（增加、删除、更改）管理组群（增加、删除、更改）信息技术学院信息技术学院 边雪芬边雪芬