第08节Linux账户管理和权限管理

第六 节
添加新组
➢ 要添加新用户组，单击【添加组群】图标按 钮。一个类似图的创建新组群窗口就会出现 。输入新组的名称来创建。要为新组指定组 ID，选中【手工指定组群ID】复选框，然后 选择 GID的数值。Red Hat Linux 把 低于 500 的组ID 保留给系统组。
➢ 单击【确定】按钮来创建 组。新组就会出现在组列 表中。
第六 节
使用命令行工具添加用户账号
➢ 操作举例：
# useradd user1 # useradd -s /bin/tcsh jason # useradd -g mygroup -e 12/31/2006 user2 # useradd -G staff tom # useradd -G -d /var/ftp2 -s /sbin/nologin -M
/etc/shells 保存登录shell，如BASH和TCSH 等。
/etc/passwd 为用户保存它的口令。
/etc/group 保存用户所属的用户组信息。
可以手工修改这些文件和子目录来设置一个新账 户。
第六 节
使用命令行工具添加用户账号
➢ 命令格式：# useradd [<选项>] <用户名> ➢ 常用选项：
-r：用于创建系统组账号（GID小于500 ） -g：用于指定GID ➢ 操作举例： # groupadd mygroup # groupadd -r sysgroup # groupadd -g 888 group2
第六 节
使用命令行工具修改组账号
➢ 格式：# groupmod [<参数>] <组账号名> ➢ 常用选项：
第六 节
账户概述
➢用户和组的关系
组是用户的集合。一个标准组可以容 纳多个用户。
同一个用户可以同属于多个组，这些 组可以是私有组，也可以是标准组。
当一个用户同属于多个组时，将这些 组分为：
主组：用户登录系统时的组。 附加组：可切换的其他组。
第六 节
系统账户文件
➢ 用户口令文件/etc/passwd
图 用户属性
第六 节
修改用户属性
➢ 【用户属性】对话框有4个选项卡，其功能如下。 【用户数据】：显示在添加用户时配置的基本用户 信息。使用这个选项卡来改变用户全称、口令、主 目录或登录 shell。 【账号信息】：如果想让账号到达某一固定日期时 过期，选中【启动账户过期】复选框。在提供的文 本框内输入日期。选中【用户账号已被锁】复选框 来锁住用户账号，从而使用户无法在系统登录。 【口令信息】：这个选项卡显示了用户口令最后一 次被改变的日期。要强制用户在一定天数之后改变 口令，选中【启动账户过期】复选框。还可以设置 允许用户改变口令之前要经过的天数，用户被警告 改变口令之前要经过的天数，以及账号变为不活动 之前要经过的天数。 【组群】：选择想让用户加入的组以及用户的主要 组。
图 创建新组
第六 节
修改组属性
➢ 要查看某一现存组的属性，从 组列表中选择该组， 然后在 按钮菜单中单击【属性】图标 按钮，或选择用户管理器菜单 【文件】| 【属性】命令。一 个类似图的组属性对话框就会 出现。
➢ 【组群用户】选项卡显示了哪 些用户是组的成员。选择其他 用户把他们加入到组中，或取 消选择用户把他们从组中移除 。单击【确定】按钮来修改该 组中的用户。
第六 节
使用命令行工具删除用户账号
➢ 命令格式：# userdel [<选项>] <用户名> ➢ 常用选项：-r 用于删除用户的宿主目录
操作举例：# userdel user2 # userdel -r user1
第六 节
使用命令行工具添加组账号
➢ 命令格式：# groupadd [<参数>] <组账号名> ➢ 常用选项：
-d days：指定自从1970年1月1日起，口令被改变的天数。
-I days：指定口令过期后，账号被锁前不活跃的天数。 如果值 为0，账号在口令过期后就不会被锁。
-E date：指定账号被锁的日期，日期格式为YYYY-MM-DD。 若不用日期，也可以使用自1970年1月1日后经过的天数。
-W days：指定口令过期前要警告用户的天数。
第六 节
教学目的和要求
➢ 理解账户实质 ➢ 熟悉账户配置文件 ➢ 学会设置和管理口令 ➢ 理解Linux系统的权限 ➢ 学会设置基本操作权限 ➢ 了解特殊权限的使用
第六 节
➢ 账户实质 ➢ 账户文件 ➢ 账户设置 ➢ 权限表示 ➢ 权限设置
重点内容
第六 节
账户概述
➢ 什么是用户账户
像Linux这样的多任务多用户系统，往往是 一台计算机被多个人同时使用，因此每个 用户都有一个惟一的用于登录的用户名以 示区分。
-g：改变组账号的GID ，组账号名保持不变 。
-n：改变组账号名。
➢ 操作举例：
# groupmod -g 503 mygroup
# groupmod -n newgroup mygroup
第六 节
使用命令行工具删除组账号
➢ 命令格式：# groupdel <组账号名> ➢ 注意事项：
被删除的组账号必须存在 当有用户使用组账号作为私有组时不能删
然而，对于用户来说除了名字还有许多其 他特性。一个账户(account)则用来指定属 于一个用户的所有文件、资源以及信息。
第六 节
账户概述
➢账户实质
账户实质上就是一个用户在系统上的 标识，系统依据账户来区分每个用户 的文件、 进程、任务，给每个用户提 供特定的工作环境（如用户的工作目 录、shell版本、 以及X-Windows环 境的配置等），使每个用户的工作都 能独立不受干扰地进行。
➢ 删除用户账户口令
# passwd -d <用户账号名> Nhomakorabea 第六 节
口令时效
➢ 口令时效简介
口令时效是系统管理员用来防止机构内不 良口令的一种技术。
口令时效意味着过了一段预先设定的时间 后（通常是90天）， 用户会被提示创建一 个新口令。
强制用户在一段时间之后更改口令的机制 称为口令时效。
➢ chage命令
文件权限：(-rw-r--r--)
➢ 用户影子口令文件/etc/shadow
文件权限：(-r--------)
➢ 组账号文件/etc/group
文件权限： (-rw-r--r--)
➢ 组口令文件/etc/gshadow
文件权限：(-r--------)
第六 节
Red Hat 的账户管理
➢ 默认启用shadow passwords功能。 /etc/passwd 文件对任何用户均可读， 为了增加系统的安全性， 用户的口令通常用shadow passwords保护。
anftp1
第六 节
口令设置
➢ 使用useradd命令创建用户账户之后需要使用 passwd命令设置初始口令
➢ 格式：# passwd [<用户名>] ➢ 举例： ➢ 为指定用户设置口令 ➢ # passwd jason ➢ 修改用户自己的口令 ➢ $ passwd
第六 节
使用命令行工具修改用户账号
➢ 经过shadow passwords保护的账户密码和相关设 置信息保存在/etc/shadow文件里。 /etc/shadow 只对root用户可读。
➢ 默认使用MD5算法的用户口令。
➢ 一般不设置组口令。因为绝大多数应用程序不使用 组口令
第六 节
Red Hat 的账户管理
➢ Red Hat 建议尽量使用私有组来提高系统 安全性。
-g group：指定新用户的主组。 -G group：指定新用户的附加组。 -d directory：指定新用户的自家目录。 -s shell：指定新用户使用的Shell，默认为bash。 -e expire：指定用户的登录失效时间，例如：
08/31/2006 -M：不建立新用户的自家目录。
第六 节
用户管理器配置
➢ 如果用户更喜欢使用图形化界面，可使 用用户管理器来配置用户和组。
➢ 用户管理器允许查看、修改、添加和删 除本地用户和组，如图所示。
图 Red Hat用户管理器
第六 节
添加新用户
➢ 要添加新用户，在用户 管理器中单击【添加用 户】图标按钮。一个如 图 所示创建新用户的对 话框就会出现。在适当 的文本框内输入新用户 的用户名和全称。在【 口令】和【确认口令】 文本框内输入口令。口 令必须至少有6个字符。
除 与用户名同名的私有组账号在使用userdel
命令删除用户时被同时删除 ➢ 操作举例：
# groupdel mygroup
第六 节
口令管理
➢ 禁用用户账户口令
# passwd -l <用户账号名>
➢ 查看用户账户口令状态
# passwd -S <用户账号名>
➢ 恢复用户账户口令
# passwd -u <用户账号名>
图 创建新用户
第六 节
添加新用户
➢ 选择一个登录shell。如果不能确定应 该选择哪一个shell，就接受默认的 /bin/bash。默认的主目录是/home/用 户名。可以改变为用户创建的主目录， 或者通过取消已选中的【创建主目录】 复选框来不为用户创建主目录。
第六 节
修改用户属性
➢ 要查看某个现存用户的属性，单击图中的【 用户】标签，从用户列表中选择该用户，然 后单击【属性】图标按钮，或者从菜单栏选 择【文件】|【属性】命令，一个类似图的对 话框就会出现。
命令格式：# chage [<选项>] <用户名>
第六 节
口令时效
➢ Change命令常用选项：
-m days：指定用户必须改变口令所间隔的最少天数。如果值为 0，口令就不会过期。
-M days：指定口令有效的最多天数。 当该选项指定的天数加 上-d 选项指定的天数小于当前的日期，用户在使用该账号前就 必须改变口令。
-l：列出指定用户当前的口令时效信息，以确定账号何时过期。
第六 节
口令时效
➢ 操作举例：
用户user1两天内不能更改口令， 并且口令最长的存活期为30天， 并在口令过期前5天通知user1。
# chage -m 2 -M 30 -W 5 user1
查看用户user1当前的口令时效信 息。
# chage -l user1
图 组属性
第六 节
成批添加用户账户
➢ 创建脚本addusers，内容为：
#!/bin/bash echo -n " Give me the name of the user data..." read file[1]
[ ! -f $file ] && ( echo " '$file' does not exist..."; exit 1 ) while read username[2] do useradd $username >/dev/null 2>&1[3]
➢ 命令格式：# usermod [<选项>] <用户名> ➢ 常用选项：选项与useradd命令基本相同。 ➢ 操作举例：
# usermod -l user2 user1 # usermod -G softgroup jjh # usermod -L user1 # usermod -U user1
➢ Red Hat 不建议管理员直接编辑修改系统 账户文件来维护账户。若用户直接编辑了账 户文件， 建议使用账号文件的一致性检测 命令。
pwck命令：检测文件“/etc/passwd”和 “/etc/shadow” 的每行中字段的格式和值是否 正确。
grpck命令：检测文件“/etc/group”和 “/etc/gshadow”的每行中字段的格式和值是否 正确。
第六 节
与账户管理相关的其他文件或目录
➢ 在Linux系统中有几个用来设置新账户的文件、配 置文件和子目录，例如，etc/skel子目录里就保存 着新用户的初始化文件，新用户的登录子目录被放 在/home子目录中，下面是一个路径名列表。
/home 用户自己的登录子目录所在的位置。
/etc/skel 为登录shell保存默认的初始化文件， 如.bash-pro等。
第六 节
账户概述
➢ Linux中的账户包括
➢ 用户账户
超级用户：UID=0，GID=0
普通用户：UID>=500
伪用户：0<UID<500
➢ 组账户
标准组：标准组可以容纳多个用户，若使用标准组 ， 在创建一个新的用户时就应该指定他所属于的 组。
私有组：私有组中只有用户自己。当在创建一个新 用户user时， 若没有指定他所属于的组，Red Hat 就建立一个和该用户同名的私有组。