第六章帐户管理重点内容账户实质账户文件账户设置学习目标理解账户实质熟悉账户配置文件学会设置和管理口令第六章帐户管理6.1账户概述6.2命令行工具管理帐户6.3图形用户管理工具6.1账户概述账户实质Linux中的账户用户和组的关系帐户管理的内容系统账户文件RedHat账户管理的特性与账户管理相关的其他文件或目录账户实质账户实质上就是一个用户在系统上的标识,系统依据账户来区分每个用户的文件、进程、任务,给每个用户提供特定的工作环境(如用户的工作目录、shell版本、以及X-Windows环境的配置等),使每个用户的工作都能独立不受干扰地进行。Linux中的账户用户账户超级用户:UID=0,GID=0普通用户:UID>=500伪用户:0
规则
编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf
。系统用户的UID的值从0开始,是一个正整数,至于最大值可以在/etc/login.defs可以查到,一般Linux发行版约定为60000;在Linux中,root的UID是0,拥有系统最高权限;UID的唯一性关系到系统的安全,比如在/etc/passwd中把beinan的UID改为0后,设想会发生什么呢?beinan这个用户会被确认为root用户。beinan这个帐号可以进行所有root的操作;UID是确认用户权限的标识,用户登录系统所处的角色是通过UID来实现的,而非用户名;让几个用户共用一个UID是危险的,比如我们上面所谈到的,把普通用户的UID改为0,和root共用一个UID,这事实上就造成了系统管理权限的混乱。如果我们想用root权限,可以通过su或sudo来实现;切不可随意让一个用户和root分享同一个UID;/etc/shadow文件是/etc/passwd的影子文件,这个文件并不由/etc/passwd而产生的,这两个文件应该是对应互补的;shadow内容包括用户及被加密的密码以及其它/etc/passwd不能包括的信息,比如用户的有效期限等;这个文件只有root权限可以读取和操作/etc/shadow文件/etc/shadow的权限不能随便改为其它用户可读,这样做是危险的。如果您发现这个文件的权限变成了其它用户组或用户可读了,要进行检查,以防系统安全问题的发生;如果我们以普通用户查看这个文件时,应该什么也查看不到,提示是权限不够:$more/etc/shadow/etc/shadow:权限不够/etc/shadow文件的内容包括9个段位,每个段位之间用:号分割。beinan:$1$VE.Mq2XfEQ9JP8GKF8gH7PB1:13072:0:99999:7:::第一字段:用户名,用户名和/etc/passwd是相同的;第二字段:密码(已被加密),如果是有些用户在这段是x,表示这个用户不能登录到系统;这个字段是非空的;第三字段:上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数);第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS中有定义;第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS中定义;第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE中定义;第七字段:在口令过期之后多少天禁用此用户;第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;第九字段:保留字段,目前为空,以备将来Linux发展之用;/etc/group文件/etc/group文件是用户组的配置文件,内容包括用户和用户组,并且能显示出用户是归属哪个用户组或哪几个用户组,因为一个用户可以归属一个或多个不同的用户组;同一用户组的用户之间具有相似的特征。比如我们把某一用户加入到root用户组,那么这个用户就可以浏览root用户家目录的文件,如果root用户把某个文件的读写执行权限开放,root用户组的所有用户都可以修改此文件,如果是可执行的文件(比如脚本),root用户组的用户也是可以执行的;用户组的特性在系统管理中为系统管理员提供了极大的方便,但安全性也是值得关注的,如某个用户下有对系统管理有最重要的内容,最好让用户拥有独立的用户组,或者是把用户下的文件的权限设置为完全私有;另外root用户组一般不要轻易把普通用户加入进去。/etc/group的内容包括用户组(Group)、用户组口令、GID及该用户组所包含的用户(User),每个用户组一条记录;
格式
pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载
如下:group_name:passwd:GID:user_list在/etc/group中的每条记录分四个字段:第一字段:用户组名称;第二字段:用户组密码;第三字段:GID第四字段:用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为GID的用户名;关于GIDGID和UID类似,是一个正整数或0,GID从0开始,GID为0的组让系统付予给root用户组;系统会预留一些较靠前的GID给系统虚拟用户(也被称为伪装用户)之用;每个系统预留的GID都有所不同,比如Fedora预留了500个,我们添加新用户组时,用户组是从500开始的;而Slackware是把前100个GID预留,新添加的用户组是从100开始;查看系统添加用户组默认的GID范围应该查看/etc/login.defs中的GID_MIN和GID_MAX值;/etc/gshadow文件/etc/gshadow是/etc/group的加密信息文件,比如用户组(Group)管理密码就是存放在这个文件。/etc/gshadow和/etc/group是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用到用户组密码;etc/gshadow格式如下,每个用户组独占一行;groupname:password:admin,admin,...:member,member,...第一字段:用户组第二字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码;第三字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割;第四字段:组成员,如果有多个成员,用,号分割;RedHat账户管理的特性默认启用shadowpasswords功能。/etc/passwd文件对任何用户均可读,为了增加系统的安全性,用户的口令通常用shadowpasswords保护。经过shadowpasswords保护的账户密码和相关设置信息保存在/etc/shadow文件里。/etc/shadow只对root用户可读。默认使用MD5算法的用户口令。一般不设置组口令。因为绝大多数应用程序不使用组口令。RedHat建议尽量使用私有组来提高系统安全性。RedHat账户管理的特性RedHat不建议管理员直接编辑修改系统账户文件来维护账户。若用户直接编辑了账户文件,建议使用账号文件的一致性检测命令。pwck命令:检测文件“/etc/passwd”和“/etc/shadow” 的每行中字段的格式和值是否正确。grpck命令:检测文件“/etc/group”和“/etc/gshadow”的每行中字段的格式和值是否正确。与账户管理相关的其他文件或目录用户配置文件/etc/login.defs/etc/default/useradd初始用户工作环境目录/etc/skel/etc/login.defs配置文件/etc/login.defs文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的;查看文件内容:lesslogin.defs/etc/default/useradd配置文件通过useradd添加用户时的规则文件:#useradddefaultsfileGROUP=100HOME=/home //把用户家目录建在/home;INACTIVE=-1 //是否启用帐号过期停权,-1表示不启用EXPIRE= //帐号终止日期,不设置表示不启用;SHELL=/bin/bash //所用SHELL的类型;SKEL=/etc/skel //默认添加用户的目录默认文件存放位置;也就是说,当我们用adduser添加用户时,用户家目录下的文件,都是从这个目录中复制过去的;/etc/skel目录/etc/skel目录一般是存放用户启动文件的目录,这个目录是由root权限控制,当我们添加用户时,这个目录下的文件自动复制到新添加的用户的家目录下;/etc/skel目录下的文件都是隐藏文件,也就是类似.file格式的;我们可通过修改、添加、删除/etc/skel目录下的文件,来为用户提供一个统一、标准的、默认的用户环境;查看内容:ls–la/etc/skel/etc/skel目录下的文件,一般是我们用useradd和adduser命令添加用户(user)时,系统自动复制到新添加用户(user)的家目录下;如果我们通过修改/etc/passwd来添加用户时,我们可以自己创建用户的家目录,然后把/etc/skel下的文件复制到用户的家目录下,然后要用chown来改变新用户家目录的属主;6.2使用命令行工具管理帐户添加用户账号口令管理与口令时效修改用户账号删除用户账号添加组账号修改组账号删除组账号添加用户账号使用useradd命令useradd不加参数选项,后面直接跟所添加的用户名时,系统会读取添加用户配置文件/etc/login.defs和/etc/default/useradd中所定义的规则添加用户;并向/etc/passwd和/etc/group文件添加用户和用户组记录;当然/etc/passwd和/etc/groups的加密资讯文件也同步生成记录;同时发生的还有系统会自动在/etc/add/default中所约定的目录中建用户的家目录,并复制/etc/skel中的文件(包括隐藏文件)到新用户的家目录中;命令格式:#useradd[<选项>]<用户名>常用选项:-ccomment :新帐号password档的说明栏。-ggroup:指定新用户的主组。-Ggroup:指定新用户的附加组。-ddirectory:指定新用户的家目录。-sshell:指定新用户使用的Shell,默认为bash。-eexpire:指定用户的登录失效时间,例如:12/31/2008-M:不建立新用户的自家目录。添加用户账号操作举例:#useradduser1#useradd-s/bin/tcshjason#useradd-gmygroup-e12/31/2008user2#useradd-Gstafftom#useradd-Gftpgrp-d/var/ftp2-s/sbin/nologin-Manftp1#useradd -cChinaCpu -d/opt/longcpu -Glinuxsir,root,beinan-s/bin/tcsh longcpuuseradd–D的使用useradd加-D参数后,就是用来改变配置文件/etc/default/useradd的。useradd-D[-ggroup][-bbase][-sshell][-finactive][-eexpire]使用-D选项时,其后可用选项为∶-bdefault_home注:定义用户所属目录的前一个目录。用户名称会附加在default_home后面用来建立新用户的目录。-edefault_expire_date 注:用户帐号停止日期。-fdefault_inactive 注:帐号过期几日后停权。-gdefault_group 注:新帐号起始用户组名或ID。用户组名须为现有存在的名称。用户组ID也须为现有存在的用户组。-sdefault_shell 注:用户登入后使用的shell名称。往后新加入的帐号都将使用此shell.如不指定任何参数,useradd显示目前预设的值:#useradd-D我想把添加用户时的默认SHELL/bin/bash改为/bin/tcsh,则应该用下面的命令:#useradd-D-s/bin/tcsh口令设置使用useradd命令创建用户账户之后需要使用passwd命令设置初始口令passwd作为普通用户和超级权限用户都可以运行,但作为普通用户只能更改自己的用户密码,但前提是没有被root用户锁定;如果root用户运行passwd,可以设置或修改任何用户的密码;格式:#passwd[选项][<用户名>]常用选项:-d,--delete:删除用户密码,仅能以root权限操作;-l,--lock:锁住用户无权更改其密码,仅能通过root权限操作;-u,--unlock:解除锁定;-S,--status:查询用户的密码状态,仅能root用户操作; 比如我们让某个用户不能修改密码,可以用-l参数来锁定:#passwd-lbeinan #subeinan $passwd #passwd-dbeinan:清除密码#passwd-Sbeinan:查看状态 口令时效口令时效简介口令时效是系统管理员用来防止系统内不良口令的一种技术。口令时效意味着过了一段预先设定的时间后(通常是90天),用户会被提示创建一个新口令。强制用户在一段时间之后更改口令的机制称为口令时效。口令时效命令格式:#chage[<选项>]<用户名>常用选项:-mdays:指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。-Mdays:指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期,用户在使用该账号前就必须改变口令。-ddays:指定自从1970年1月1日起,口令被改变的天数。-Idays:指定口令过期后,账号被锁前不活跃的天数。如果值为0,账号在口令过期后就不会被锁。-Edate:指定账号被锁的日期,日期格式为YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。-Wdays:指定口令过期前要警告用户的天数。-l:列出指定用户当前的口令时效信息,以确定账号何时过期。口令时效操作举例:用户user1两天内不能更改口令,并且口令最长的存活期为30天,并在口令过期前5天通知user1。#chage-m2-M30-W5user1查看用户user1当前的口令时效信息。#chage-luser1修改用户账号命令格式:#usermod[<选项>]<用户名>常用选项:选项与useradd命令基本相同。usermod [-uuid[-o]][-ggroup][-Ggroup,...] [-d主目录[-m]][-sshell][-c注释][-l新名称][-f失效日][-e过期日][-p密码][-L|-U]用户名usermod不允许你改变正在线上的用户帐号名称。当usermod用来改变userID,必须确认这名user没在电脑上执行任何程序。操作举例:#usermod-luser2user1#usermod-Gsoftgroupjjh#usermod-Luser1#usermod-Uuser1#usermod-d/opt/linuxfish-m -lfishlinux-Ulinuxfishusermod最好不要用它来改用户的密码,因为他在/etc/shadow中显示的是明口令;修改用户的口令最好用passwduserinfo图形界面的修改工具userinfo系统普通用户都能调用,但都是修改当前操作用户的,是通过点鼠标完成的,多点几下就可以了。[root@localhost~]#userinfo删除用户账号命令格式:#userdel[<选项>]<用户名>常用选项:-r用于删除用户的宿主目录操作举例:#userdeluser2#userdel-ruser1添加组账号命令格式:#groupadd [<参数>]<组账号名>常用选项:-r:用于创建系统组账号(GID小于500)-g:用于指定GID操作举例:#groupaddmygroup#groupadd-rsysgroup#groupadd-g888group2修改组账号命令格式:#groupmod [<参数>]<组账号名>常用选项:-g:改变组账号的GID,组账号名保持不变。-n:改变组账号名。操作举例:#groupmod-g503mygroup#groupmod-nnewgroupmygroup删除组账号命令格式:#groupdel <组账号名>注意事项:被删除的组账号必须存在当有用户使用组账号作为私有组时不能删除与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除操作举例:#groupdelmygroup用户和组状态命令1.whoami命令用于显示当前用户的名称。2.users命令用于查询登录主机的用户工具。3.who命令该命令主要用于查看当前在线上的用户情况。这个命令非常有用。比如,系统管理员希望监视每个登录的用户此时此刻的所作所为,就可以使用who命令。who命令的语法格式如下:who[选项]常用选项:-m和“whoami”的作用一样,显示运行该程序的用户名。-q,--count只显示用户的登录帐号和登录用户的数量,该选项优先级高于其他任何选项。-s忽略。主要是用于和其他版本的who命令兼容。-i,-u,--idle在登录时间后面显示该用户最后一次对系统进行操作至今的时间,也就是常说的“发呆”时间。其中“.”符号代表该用户在前1秒仍然处于活动状态;“old”则表示该用户空闲已经超过了24小时。-H,--heading显示一行列标题。who命令输出常用标题 标题说明 NAME用户登录帐号 LINE用户登录使用终端 TIME用户登录时间 IDLE用户空闲时间,即未进行操作的时间 PID用户登录shell的进程ID COMMNET用户网络地址4.w命令该命令也用于显示登录到系统的用户情况,但是与who不同的是,w命令功能更加强大,它不但可以显示有谁登录到系统,还可以显示出这些用户当前正在进行的工作,并且统计数据相对who命令来说更加详细和科学,可以认为w命令就是who命令的一个增强版。语法格式如下: w–[husfV][user]w命令的显示项目按以下顺序排列:当前时间,系统启动到现在的时间,登录用户的数目,系统在最近1秒、5秒和15秒的平均负载。然后是每个用户的各项数据,项目显示顺序如下:登录帐号、终端名称、远程主机名、登录时间、空闲时间、JCPU、PCPU、当前正在运行进程的命令行。其中JCPU时间指的是和该终端(tty)连接的所有进程占用的时间。这个时间里并不包括过去的后台作业时间,但却包括当前正在运行的后台作业所占用的时间。而PCPU时间则是指当前进程(即在WHAT项中显示的进程)所占用的时间。下面介绍该命令的具体用法和参数。下面对参数进行说明:-h不显示标题。-u当列出当前进程和CPU时间时忽略用户名。这主要是用于执行su命令后的情况。-s使用短模式。不显示登录时间、JCPU和PCPU时间。-f切换显示FROM项,也就是远程主机名项。默认值是不显示远程主机名,当然系统管理员可以对源文件作一些修改使得显示该项成为默认值。-V显示版本信息。User只显示指定用户的相关情况。5.groups命令格式:groups[<用户名>]用于显示指定用户所属的组,如未指定用户则显示当前用户所属的组6.id命令用于显示用户当前的uid、gid和用户所属的组列表。7.finger命令finger工具侧重于用户信息的查询;查询的内容包括用户名、家目录、用户真实的名字、办公地址、办公电话;也包括登录终端、写状态、空闭时间等格式:finger[参数选项][用户名]-l采用长格式(默认),显示由-s选项所包含的所有信息,以及主目录、办公地址、办公电话、登录SHELL、邮件状态、.plan、.project和.forward;-m禁止对用户真实名字进行匹配;-p把.plan和.project文件中的内容省略;-s显示短格式,用户名、真实名字、在哪个终端登录、写状态、空闲时间、登录时间、办公地点、办公电话等;例子:$finger$finger -s//等价命令$finger–l<用户名>su[-][<用户名>]:用于转换当前用户到指定的用户账号,若不指定用户名则转换当前用户到root。若使用参数“-”则在转换当前用户的同时转换用户工作环境。newgrp[<组名>]:用于转换用户的当前组到指定的附加组,用户必须属于该组才可以进行。通过修改用户(User)和用户组(Group)配置文件的办法来添加用户1)修改/etc/passwd,添加用户记录我们按/etc/passwd的格式的约定来添加新的用户记录;当然您要让一个用户失效,可以删除您想要删除的用户记录;值得注意的是,不能让UID重复;我们打开/etc/passwd,在最下面加一行lanhaitun:x:508:508::/home/lanhaitun:/bin/bash然后执行pwconv,让/etc/passwd和/etc/shadow同步#pwconv2)修改/etc/group首先,我们得查看是否有lanhaitun用户组,以及GID508是否被其它用户组占用;#more /etc/group |greplanhaitun#more /etc/group |grep508没有被占用,所以我们要添加lanhaitun的记录到/etc/grouplanhaitun:x:508:运行grpconv来同步/etc/group和/etc/gshadow内容,可以通过查看/etc/gshadow的内容变化确认是不是添加组成功了。#grpconv3)创建用户的家目录,并把用户启动文件也复制过去创建用户的家目录,我们要以/etc/passwd中添加的新用户的记录为准,我们添加的新用户lanhaitun,她的家目录是处于/home/lanhaitun;另外我们还需要把/etc/skel目录下的.*隐藏文件复制过去;#cp-R/etc/skel//home/lanhaitun#ls-la/home/lanhaitun/4)改变新增用户家目录的属主和权限我们发现新增用户的家目录的属主目前是root,并且家目录下的隐藏文件也是root权限;#ls-ld/home/lanhaitun/所以我们要通过chown命令来改变/home/lanhaitun目录归属为lanhaitun用户。#chown-Rlanhaitun:lanhaitun/home/lanhaitun#ls-la/home/lanhaitun/#chmod700/home/lanhaitun/5)设置新增用户的密码以上各步骤都就序了,我们得为新增用户设置密码了;要通过passwd命令来生成;这个没有办法通过修改文件解决;#passwdlanhaitun6)测试添增用户是否成功可以用新增用户登录测试,也可以通过su来切换用户测试$sulanhaitun$pwd$ls-la通过上面一系列动作,我们发现所创建的lanhaitun用户已经成功6.3图形用户管理工具用户和组群概述添加新用户修改用户属性添加新组群修改组群属性用户和组群概述用户和组群允许你查看、修改、添加和删除本地用户和组群。要使用用户和组群,你必须运行X窗口系统,具备根特权,并且安装了redhat-config-usersRPM软件包。要从桌面启动用户管理器,点击面板上的「主菜单」=>「系统设置」=>「用户和组群」,或在shell提示(如XTerm或GNOME终端)下键入redhat-config-users命令。用户和组群窗口添加新用户修改用户属性用户属性窗口用户数据—显示在你添加用户时配置的基本用户信息。使用这个标签来改变用户的全称、口令、主目录或登录shell。账号信息—如果你想让账号到达某一固定日期时过期,选择「启用账号过期」。在提供的字段内输入日期。选择「用户账号已被锁」来锁住用户账号,从而使用户无法在系统登录。口令信息—这个标签显示了用户口令最后一次被改变的日期。要强制用户在一定天数之后改变口令,选择「启用口令过期」。你还可以设置允许用户改变口令之前要经过的天数,用户被警告去改变口令之前要经过的天数,以及账号变为不活跃之前要经过的天数。组群—选择你想让用户加入的组群以及用户的主要组群。添加新组群修改组群属性本章小结账户概述与帐户管理相关的配置文件命令行工具管理帐户图形用户管理工具
浙公网安备 33021202002483