第5章RedHatEnterpriseLinux6用户与组账号管理

第5章用户与组账号管理本章将介绍如何使用各种命令行程序和图形界面来管理用户和组账号。学完本章后，你将能够：描述用户和组账号类型及相关文件运用shell命令进行用户和组账号的管理在图形界面下进行用户和组账号的管理5.1用户和组5.2用户与组账号管理命令5.3图形界面下用户和组的管理5.1.1用户的类型在Linux系统中，不同类型的用户所具有的权限和所完成的任务也不同。用户的类型通过用户标识符UID来区分，系统中所有的用户UID具有唯一性。Linux系统中的用户包括三种类型超级用户：又称root用户，拥有对系统的最高访问权限，通过它可以登录到系统，可以操作系统中任何文件和命令。系统用户：也被称之为虚拟用户。与真实用户不同，这类用户是系统用来执行特定任务的，不具有登录系统的能力，一般不需要改变其默认设置。普通用户：系统安装后由超级用户创建，能登录系统。5.1.2用户的账号文件用户的账号信息通过用户配置文件/etc/passwd和用户口令文件/etc/shadow来保存。1.用户配置文件/etc/passwd/etc/passwd文件保存除用户口令以外的用户账号信息，所有用户均可查看该文件。某/etc/passwd文件内容如下所示：[root@rhel6~]#cat/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologin......lenovo:x:500:500::/home/lenovo:/bin/bash/etc/passwd文件中每一行描述一个用户配置信息，通过“：”将用户的各个属性信息分隔开来，从左到右依次为：用户名、口令、用户ID(UID)、用户所属组的组ID(GID)、全称、用户主目录和登录Shell。2．用户口令文件/etc/shadow为了提高系统的安全性，Linux将用户口令通过MD5算法进行加密，并移至/etc/shadow文件中保存。此文件仅允许root用户查看内容，root用户还可以变更口令或停用某个用户帐户，但不能看到口令的内容。/etc/shadow文件各字段的含义字段序号含义1用户名，其排列顺序与/etc/passwd一致234位加密口令。如为“!!”，表示该用户无口令，不能登录。3从1970年1月1日起到上次修改口令日期的间隔天数。对于无口令的用户账号而言，是指从1970年1月1日起到创建该用户账号的间隔天数。4口令自上次修改后，要隔多少天才能再次修改。若为0则表示没有时间限制。5口令自上次修改后，要隔多少天才能再次修改。若为99999则表示用户口令未设置为必须修改。6提前多少天警告用户口令将过期。默认为7天。7在口令过期之后多少天禁用此账号。8从1970年1月1日起到用户账号过期的间隔天数。9保留字段5.1.3用户组Linux将具有相同特征的用户划分为一个用户组，这样可方便对用户访问权限进行管理。比如有时我们要让多个用户具有同样的访问某一文件或执行某个命令的权限，这时我们可以把用户都定义到同一用户组，通过修改文件或命令的属性，使用户组具有一定的操作权限，这样用户组下的所有用户对该文件或命令都具有相同的权限。按照性质可将用户组分为两种类型系统组：安装Linux以及部分服务性程序时，系统自动设置的组，其默认GID为0~499。私有组：由超级用户创建的组，其GID≥500。创建用户时会默认创建一个同名的私有组。Linux中每个用户都至少属于一个组，即一个用户可以属于多个组，其中一个称为该用户的主要组，而其他组群称为该用户的附加组。一个用户只能属于一个主要组。5.1.4用户组账号文件用户组的账号信息通过用户组配置文件/etc/group和用户组口令文件/etc/gshadow来保存。1.用户组配置文件/etc/group/etc/group文件保存所有用户组账号的信息，所有用户均可查看其内容。以下是一个/etc/group文件的范例：[root@rhel6~]#cat/etc/grouproot:x:0:rootbin:x:1:root,bin,daemondaemon:x:2:root,bin,daemon......lenovo:x:500:/etc/group文件中的每一行内容描述了一个用户组的信息，用“：”分成四个字段，从左到右依次为：用户组名，组口令，组ID和组成员列表，其中口令字段的内容总是以“x”来填充。5.1.5与用户和组管理相关的文件和目录/etc/skel目录/etc/login.defs配置文件添加用户规则文件/etc/default/useradd5.1用户和组5.2用户与组账号管理命令5.3图形界面下用户和组的管理5.2.1用户账号管理1.创建新用户在Linux中，创建或添加新用户用useradd命令来实现，其使用格式为：useradd[选项]用户名useradd命令只能由root用户使用。选项用于设置用户账号参数。useradd主要选项说明选项说明-c注释设置对用户的注释信息，该信息被加入到/etc/passwd文件的备注栏中。-d主目录指定用户的主目录。系统默认的用户主目录为“/home/用户名”。-e有效期限指定用户账号过期日期。日期格式为MM/DD/YY。-f缓冲天数指定口令过期后多久将关闭此账号。-g组ID或组名指定用户所属的主要组。系统默认创建一个与用户同名的私有用户组。-G组ID或组名指定用户所属的附加组，多个附加组之间用逗号分隔。-s登录shell指定用户登录后所使用的shell。系统默认为/bin/bash。-u用户ID指定用户的UID。【例5-1】以系统默认值创建用户teacher。[root@rhel6~]#useraddteacher当不选用任何选项时，Linux将按照系统默认值创建新用户。系统将在/home目录中新建与用户同名的子目录作为该用户的主目录，并且还将新建一个与用户同名的私有用户组作为该用户的主要组。该用户的登录Shell为/bin/bash，用户ID由系统从500开始依次指定。【例5-2】创建一个名为student为用户，主目录放在/var/目录中，并指定登录Shell为/sbin/nologin。[root@rhel6~]#useradd-d/var/student-s/sbin/nologinstudent使用useradd命令创建新用户账号时，将在/etc/passwd文件和/etc/shadow文件中增加新用户的记录。如果同时还新建了私有组，那么还将在/etc/group文件和/etc/gshadow文件中增加记录。2.设置或修改用户口令在Linux中对于新创建的用户，在没有设置口令的情况下，账户是处于锁定状态的，此时用户账户将无法登录系统。用户口令管理包括用户口令的设置、修改、删除、锁定、解锁等操作，可使用passwd命令来实现。其用法为：passwd[选项][用户名]【例5-3】为student用户设置初始口令。[root@rhel6~]#passwdstudentChangingpasswordforuserstudent:Newpassword://输入口令RetypenewUNIXpassword://重输口令passwd:allauthenticationtokensupdatedsuccessfully.3.设置用户账号属性对于已创建好的账户，可使用usermod命令来设置和修改账户的各项属性，包括登录名、主目录、用户组、登录Shell等信息。usermod命令的用法为：usermod[选项]用户名该命令只能由root用户使用。命令的选项及功能大部分与新建用户时所使用的选项相同，另外新增的选项主要有：-l新用户名指定用户的新名称-L锁定用户账户-U解除用户账户锁定【例5-6】将teacher用户改名为tom。[root@rhel6~]#usermod-ltomteacher查看/etc/passwd文件可知，用户teacher已被改名为tom但用户的其他信息没有发生改变，即主目录仍为/home/teacher，UID、GID、登录Shell等均未改变。【例5-7】将tom用户账户锁定。[root@rhel6~]#usermod-Ltom查看/etc/shadow文件可知，tom用户的口令字段前加上“!”表明该用户账户被锁定。用户账号被锁定后，将不能用于登录系统，除非用“-U”命令选项解除对账号的锁定。4.删除用户账号要删除指定的用户账号，可使用userdel命令来实现，其用法为：userdel[-r]用户名该命令只能由root用户使用。若使用“-r”选项，则在删除该账号的同时，一并删除该账号对应的主目录，否则只删除此用户账号。【例5-8】删除tom用户账号及其主目录。[root@rhel6~]#userdel-rtom如果在新建该用户时创建了私有组，而该私有组当前没有其他用户，那么在删除用户的同时也将删除这一私有组。正在使用系统的用户不能被删除必须首先终止该用户所有的进程才能删除该用户。5．切换用户身份为了保证系统安全，Linux系统管理员通常以普通用户身份登录系统，当要执行必须有root用户权限时，再切换为root用户。要进行用户身份的切换可使用su命令来实现，其用法为：su[-][用户名]如果缺省用户名，则切换到root用户，否则切换到指定用户(该用户必须是系统中已存在的用户)。【例5-9】用普通用户student登录系统，然后切换为root用户，并使用root用户的环境变量。rhel4login:studentPassword://输入用户student的口令[student@rhel4~]$su-//当前用户是student，~表示用户主目录/home/studentpassword://输入用户root的口令[root@rhel4~]#//当前用户是root，~表示用户主目录/root【例5-10】由普通用户student切换为lenovo[student@rhel4~]$sulenovoPassword:[lenovo@rhel4student]$pwd/home/student[lenovo@rhel4student]$6.查看用户账号信息查看用户账号的相关信息可以使用id或finger命令，其使用基本方法为：id[用户名]finger[用户名]其中id命令将显示指定用户的UID、GID和用户所属组的信息，finger命令则显示指定用户的主目录、登录终端、登录Shell、邮件、计划任务等信息。缺省用户名时显示当前用户的相关信息。【例5-11】查看用户student的主目录及登录相关信息。[root@rhel4~]#fingerstudentLogin:studentName:(null)Directory:/home/studentShell:/bin/bashOnsinceMonDec3110:02(CST)ontty3OnsinceMonDec3110:05(CST)ontty43hours29minutesidleNomail.NoPlan.5.2.2组账号管理用户组是用户的集合，通常将用户进行分类归组，以便于进行访问控制。用户与用户组属于多对多的关系，一个用户可以同时属于多个用户组，一个用户组可以包含多个不同的用户。1.创建用户组使用useradd命令创建新用户时，如不指定“-g”选项，将会同时创建一个同名的用户组，并将新用户归入该用户组中。如果要创建其他用户组，可以使用groupadd命令，其使用方法为：groupadd[选项]用户组名该命令只能由root用户使用。其中的主要选项有：-g组ID用指定的GID号创建用户组。【例5-12】新建一个名为staff的用户组，GID号为520。[root@rhel4~]#groupadd-g520staff利用groupadd命令新建用户组时如果不指定GID