第2章.用户管理

红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：13856036638第2章用户帐号管理教学内容：用户登录过程和管理命令用户环境配置用户安全教学目标：了解用户登录过程熟悉用户管理文件掌握用户环境配置及管理命令教学重点：用户环境配置用户管理命令PAM设置教学难点：PAM设置一．用户登录过程和用户管理命令1.用户登录过程建立用户终端输入用户名和口令验证用户加载/etc/profile加载用户个人配置文件加载shell红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：138560366382.用户管理配置文件(1)用户帐号文件——/etc/passwdpasswd用于定义系统中的用户账号，以便系统识别用户。当某个用户账号登陆系统时，首先确定有没有这个账号，然后再确定此账号的UID，通过UID来确认用户及其身份。如果账号存在，再由/etc/shadow确定核实账号的密码，然后登陆系统，读取用户的配置文件。默认情况下，/etc/passwd文件允许所有用户读，只允许root用户修改。#ls–l/etc/passwd-rw-r--r--1rootroot17222006-01-01/etc/passwdpasswd文件中每行为一条记录，每条记录共有7个字段域，采用“：”分割，不同的字段描述用户账号的不同属性。passwd文件采用如下形式表示：username:passwd:UID:GID:finger:home-dir:shell第一字段(username)：用户登陆名(也称用户名或登录名),即用户登入系统时所用的名字。第二字段(passwd)：密码字段，基于安全考虑，真正的密码被映射到/etc/shadow文件中，此处采用“x”填充。因为/etc/passwd对系统中所有的用户都有只读权限。第三字段(UID)：UID为标识系统中用户身份的数字。第四字段(GID)：GID为标识系统中组身份的数字。第五字段(finger)：用户名全称，保存用户信息的说明性字段，可不设置。第六字段(home-dir)：用户的家目录所在位置，即用户登入成功后的默认目录。第七字段(shell)：用户默认所使用的SHELL类型。注意，部分字段可以为空，但是“：”不能省略。(2)用户密码文件——/etc/shadowshadow文件和passwd文件对应互补，主要存放用户名、密码（已加密）以及passwd文件中没有包含的重要信息等。基于安全考虑，shadow文件对仅超级用户具备只读权限。#ls-l/etc/shadow-r--------1rootroot10682006-01-01/etc/shadowshadow文件和passwd文件相似，也是每行定义一条记录，每条记录共有9个字段域，采用“：”分割，不同的字段描述用户账号的不同属性。将shadow文件采用如下形式表示：username:passwd:last:may:must:warn:max:expire:reserved第一字段(username)：用户登陆名(也称用户名或登录名)。第二字段(passwd)：密码字段（已加密）。若为空，则表示用户登陆不需要密码。若为“！！”，则表示用户没有初始密码，不允许登陆。若为“$1$2abFCyFE$eNUeNGpJV.RTIwJ4i0ueH.”等，表示用户有设置密码，且密码采用加密算法形成。第三字段(last)：上次修改密码的时间，即从1970年01月01日到最近一次修改密码的时间间隔（天数）。第四字段(may)：两次修改密码最小间隔的天数；若为0,则禁用此功能。第五字段(must)：两次修改密码最大间隔的天数，以提高系统的安全性。第六字段(warn)：密码过期前多少天给予警告。第七字段(max)：密码过期后多少天完全禁用用户。第八字段(expire)：用户账号的有效日期（从1970年的1月1日开始的天数），若为空，账号永久可用。红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：13856036638第九字段(reserved)：保留字段,没有任何含义。(3)用户组帐号文件——/etc/groupgroup文件用于存放用户组账号信息，该文件对系统中所有的用户都具备只读权限。#ls-l/etc/group-rw-r--r--1rootroot6542006-01-01/etc/groupgroup文件也是每行为一条记录，每条记录共有4个字段域，采用“：”分割，不同的字段描述组账号的不同属性。将group文件采用如下形式表示：gname:passwd:gid:members第一字段(gname)：用户组的名称。第二字段(passwd)：密码字段，基于安全考虑，真正的密码被映射到/etc/gshadow文件中，此处采用“x”填充。因为/etc/group对系统中所有的用户都有只读权限。第三字段(gid)：GID为标识系统中组身份的数字第四字段(members)：用户组成员列表，多个用户之间采用逗号（“，”）分割。(4)用户组密码文件——/etc/gshadowgshadow文件主要记录用户组密码、组管理员等重要信息。基于安全考虑，gshadow文件对仅超级用户具备只读权限。#ls–l/etc/gshadow-r--------1rootroot5322006-01-01/etc/gshadowgshadow文件和group文件相似，也是每行定义一条记录，每条记录共有4个字段域，采用“：”分割，不同的字段描述组帐号的不同属性。group文件采用如下形式表示：gname:passwd:groot:gmembers第一字段(gname)：用户组的名称，与group文件中组名称对应第二字段(passwd)：密码字段（已加密）。若为空，表示组没有密码。若为“！”，表示组没有初始密码。第三字段(groot)：组管理员（组管理员具备在该组中添加和删除帐号的权限）。第四字段(members)：用户组成员列表，多个用户之间采用逗号（“，”）分割。(5)用户环境文件目录——/etc/skelskel目录类似与windows系统中的DefaultUser目录，用于存放用户的环境文件等。当添加新用户时，系统会自动复制该目录到新用户的家目录下。#ls–la/etc/skel/total64drwxr-xr-x3rootroot4096Nov121:04.drwxr-xr-x61rootroot8192Feb719:44..-rw-r--r--1rootroot242003-09-18.bash_logout-rw-r--r--1rootroot1912003-09-18.bash_profile-rw-r--r--1rootroot1242003-09-18.bashrc-rw-r--r--1rootroot2372003-05-22.emacs-rw-r--r--1rootroot1202003-08-20.gtkrcdrwxr-xr-x3rootroot40961月121:01.kde(6)用户规则文件——/etc/default/useradd红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：13856036638/etc/default/useradd文件用于定义添加新用户的一些规则信息。下面为该文件的默认内容。#cat/etc/default/useradd#useradddefaultsfileGROUP=100//默认组ID是100,在禁止默认的私有组时有用。HOME=/home//默认创建新用户时，用户家目录所在的位置。INACTIVE=-1//密码过期后，帐号是否处于激活状态，-1表示永远激活。EXPIRE=//用户帐号过期日期，为空表示不启用。SHELL=/bin/bash//默认创建新用户时，所用的SHELL类型。SKEL=/etc/skel//默认创建新用户时，用户的环境文件等存放的位置。(7)用户规则文件——/etc/login.defs/etc/login.defs文件用于定义添加新用户的一些规则信息。下面为该文件的默认内容。//查看login.defs文件中所有不是以“#”开头的行。#grep-v^#/etc/login.defsMAIL_DIR/var/spool/mail//用户mail文件所在的位置PASS_MAX_DAYS99999//用户密码最多使用的天数PASS_MIN_DAYS0//用户密码最少使用的天数PASS_MIN_LEN5//用户密码最小的长度PASS_WARN_AGE7//定义用户密码过期前多少天给予警告UID_MIN500//默认创建新用户时最小的UID号UID_MAX60000//默认创建新用户时最大的UID号GID_MIN500//默认创建新用户时最小的GID号GID_MAX60000//默认创建新用户时最大的GID号CREATE_HOMEyes//创建新用户时是否创建家目录3.用户管理命令（1）su功能：切换用户登录格式：#su[参数][-][用户名]参数：-c命令：运行指定的命令-m：不重新设置环境变量-sshell路径：运行指定的shell-：连同工作环境一起切换实例：$su-#suuser1$su-c/sbin/init0root（2）exit功能：退出用户环境（ctrl+d）格式：#exit（3）login功能：登录系统格式：#login[参数][用户名]参数：红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：13856036638－p：通知login保持现在的环境参数－h：用来向远程登录的主机传输用户名实例：#login（4）logout功能：退出用户环境、注消用户实例：#logout（5）sudo功能：以其它用户执行指定的命令，默认是以root身份,只有/etc/sudoers文件中指定的用户有权执行格式：#sudo[参数]命令参数：-b在后台执行指令-H将HOME环境变量设为新身份的HOME环境变量。-k结束密码的有效期限，也就是下次再执行sudo时便需要输入密码。-l列出目前用户可执行与无法执行的指令。-p改变询问密码的提示符号。-s执行指定的shell。-u用户以指定的用户作为新的身份。若不加上此参数，则预设以root作为新的身份。-v延长密码有效期限5分钟。实例：#sudo/sbin/init0说明：/etc/sudoers文件格式为:userhost=[all/nopasswd/runas用户名]commandlint;其中All代表所有文件，nopasswd代表执行文件时不需要要口令（6）who功能：显示登录用户信息格式：#who[参数]参数：-l显示系统登录进程-b显示系统最后一次启动时间实例：#who#who-l（7）w功能：显示登录用户信息格式：#w[用户]实例：#w（8）whoami功能：显示当前终端登录的用户名称实例：#whoami（9）last功能：显示最近的用户登录情况格式：#last[参数]参数：num显示指定终端上的用户登录信息-num显示最近n次的用户登录信息-i显示登录主机的IP地址实例：#last#last3红旗Linux软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com电话：13856036638（10）wall功能：向每个用户终端上的用户发送消息格式：#wall[参数]参数：-n不显示消息来源实例：#wall#wall-n（11）write功能：向指定终端的用户发送消息格式：#write用户名[终端]实例：#writeuser1tty1注意：/etc/motd为公告板文件，用于记录所有公告信息；/etc/issue为欢迎信息文件（12）chsh功能：修改用户的shell格式：ch