网络操作系统(Linux)3.2 用户、工作组及权限管理

学习任务三操作系统的网络服务学习子任务3.2用户、工作组及权限管理LOGO目录3.2.1：Linux的用户管理13.2.2：Linux的工作组管理2项目3.1用户和工作组管理综合实例33.2.3：Linux的权限控制管理4CONTENTSLOGO目录项目3.2Linux的权限控制实例53.2.4：Linux的高级权限管理6项目3.3Linux的高级权限实例7CONTENTSLOGOLinux的用户管理3.2.1LOGOLinux的用户可以分成三种：管理用户，服务用户和普通用户。每个用户需要有自己的帐号才能进入系统操作，所以添加用户帐号是最常见的用户管理操作。管理用户有三种方法：一是直接通过图形界面管理用户和工作组；二是使用用户和工作组管理命令；三是修改相关配置文件（不建议）。LOGO一.通过图形界面管理用户1.在“菜单栏”中选择“System”—“Administration”—“UsersandGroups”LOGO一.通过图形界面管理用户2.打开“用户管理”窗口，显示的是非系统帐号。默认情况下，系统帐户已隐藏。LOGO一.通过图形界面管理用户3.单击工具栏的“AddUser”按钮，弹出“建立新用户”对话框，根据提示输入以下内容，单击“OK”按钮，创建帐户。LOGO一.通过图形界面管理用户4.双击刚创建的用户，在弹出的“用户属性”对话框进行修改，可以修改帐号的用户名、全称、登录密码、工作目录、工作shell等。LOGO一.通过图形界面管理用户5.单击“Accountinfo”选项卡，可以修改帐户的失效时间，或锁定账号。LOGO一.通过图形界面管理用户6.单击“PasswordInfo”选项卡，可以修改密码的相关信息，如密码允许更改的天数、账户密码失效高提示天数、密码更改前警告时间、密码失效时间等。LOGO一.通过图形界面管理用户7.单击“Groups”选项卡，将用户添加到指定的工作组中。确定所有更改后，单击“OK”按钮确定生效。LOGO二.通过命令方式管理用户1.创建用户命令的参数创建用户的命令开关较多，如果不指定则按默认值处理，详细参数如下：useradd[-ccomment][-dhome_dir][-eexpire_date][-finactive_time][-ginitial_group][-Ggroup[...]][-m][-kskeleton_dir][-sshell][-uuid[-o]][-n][-r]loginname该命令将在/etc/passwd中增加一条新记录，并添加一个新用户。如果使用-m选项，将建立一个新目录。加入新用户后，还需要使用passwd命令设置口令，使该用户有效。其它参数如下：-ccomment对被创建用户的说明。-dhome_dir用户的起始目录。-eexpire_date用户的过期时间，在此时间之前允许使用该帐户，过期后自动作废。日期格式为mm/dd/yy，即月/日/年。-f从该用户帐号有效算起，在inactive设置的天数内，如果用户没有登录过该帐号，该帐号失效。LOGO二.通过命令方式管理用户-g指定用户所属的组。该组必须已经存在，默认的组编号为1。-G设置用户所属的其他附加组。每两个组之间使用‘，’号分隔，不能插入空格。默认值为没有附加组。-m如果用户的起始目录不存在，则建立一个。-kskeleton_dir指定用户的默认配置文件目录。该目录内容将被复制到用户的起始目录中，如果不指定，则使用/etc/skel中的设置。该选项一定要和-m组合使用。-M不创建用户起始目录。-n建立一个和所建用户名同名的组。-r创建一个系统帐号。即该用户的UID比/etc/login.defs文件中UID-MIN定义的最小值还要小。Useradd不会为这种用户创建起始目录，而不管/etc/login.defs中的默认值如何。用户必须使用-m指定创建新目录。-s指定用户使用的shell名称。如果不指定将使用系统默认值。-u为用户分配用户标识。如果不使用-o选项，该值不得与其他现存UID重复，且值为非负。默认值是比99大，且比任何已有用户的UID大。0～99为系统帐号保留。LOGO二.通过命令方式管理用户2.修改用户命令的参数usermod[-ccomment][-dhome_dir][-eexpire_date][-finactive_time][-ginitial_group][-Ggroup[...]][-m][-kskeleton_dir][-sshell][-uuid[-o]][-n][-r]–lnewnameoldname修改用户的命令与创建用户的命令相似，修改用户的参数与创建用户的参数表示的意思一样；不同的参数是-l，表示对用户帐号改名。3.删除用户命令的参数userdel[-r]username-r表示联同自家目录和邮箱文件一并删除。LOGOLinux的工作组管理3.2.2LOGO每个用户都属于特定的工作组，工作组是一些具有相同特性的用户的集合。Linux是多用户操作系统，它根据各个用户所享有文件权限的不同分为不同的工作组。一个用户至少属于一个工作组，该组就是用户的基本组，同时还可以属于其他很多的附加组。用户在系统中某一时刻所属组为其当前组。工作组的创建和修改与用户的管理相似，添加工作组也有两种不同途径。一是使用图形界面管理，与用户管理相似，二是使用命令管理。LOGO一.通过图形界面管理工作组1.单击“用户管理”对话框“AddGroup”按钮，创建工作组。LOGO一.通过图形界面管理工作组2.在“组名”文本框输入工作组名称，在“GID”文本框输入喜欢的GID数字（该数字建议大于等于500）。输入完成后，单击“OK”按钮确认。3.双击刚刚创建的工作组，在“GroupUsers”选项卡中选择指定的用户添加到工作组中。LOGO二.使用命令添加和修改工作组1.添加工作组的命令参数：groupadd[-ggid[-o]][-r][-f]group其中：-ggid设定组标识。如果不使用-o选项，则组标识（GID）必须是惟一且非负的。默认值是比500大且比其他任何现存组的组标识大。0～499为系统用户保留。-o和-g选项一起使用。如果使用该选项，则允许用相同的组标识（GID）。-r使groupadd添加一个系统工作组。如果不使用-g选项，则第一个小于499的GID将被分配给工作组。-f强制选项。当用户试图建立一个已经存在的组时，groupadd将停止并返回一个错误信息。如果使用该选项，则不返回错误信息。LOGO二.使用命令添加和修改工作组2.修改工作组的命令参数：groupmod[-ggid[-o]][-ngroup_name][group]其中：-g设置工作组标识-o允许使用相同的GID-n修改工作组名3.删除工作组的命令参数：groupdelgroupLOGO用户和工作组管理综合实例项目3.1LOGO实例1：用户和工作组管理要求：(1)添加一个用户admin，主目录为/root，uid号为0，gid号为0，全名为administrator，shell为/bin/bash。(2)把这个用户的shell改为csh，并设置密码为passwd。(3)创建一个用户test，要求test用户只能通过ftp、mail、http等服务下载文件，但不允许进行交互式管理服务器资源。(4)添加一个组work，把用户admin和test添加到该组中。LOGO实例2：批处理创建和删除用户要求：通过Shell脚本，批处理创建user1～user10共10个用户，并设置用户的密码为123456，用户的shell为/sbin/nologin，同时也可以通过该Shell脚本快速删除user1～user10用户。LOGOLinux的权限控制管理3.2.3LOGOLinux的权限控制管理用户的权限控制位共分三个栏目，分别为用户权限栏目，占3位；工作组权限栏目，占3位；其它组权限栏目，占3位，共计9位。如下所示。-rw-r--r--1rootroot4399Mar2921:01install.log.syslog其中：-：文件的类型。-表示普通文件，d表示目录文件，l表示符号链接文件，b表示块设备文件，c表示字符设备文件，s表示socket文件，p表示管道文件。rw-：用户权限栏目，共3位。其中，第一位的“r”表示读位，第一位的“w”表示写位，第三位的“-”表示执行位，“-”表示执行位的权限不存在。r--：工作组权限栏目，共3位，表示方式与用户栏目相同。其中，“-”表示相应的位权限不存在。本例写和执行位均不存在。r--：其它用户的权限栏目，共3位，表示方式与用户栏目相同。LOGOLinux的权限控制管理root：用户，即文件的属有者。root：工作组，即文件的属所组。4399：文件的大小，4399个字节。Mar2921:01：时间，文件的创建或修改时间。install.log.syslog：文件名。从权限的栏目看，如果将有权限的位用1表示，没有权限的位用0表示，则“rw-r--r--”权限用数字表现的值是110100100的组合，转换成八进制为644。即install.log.syslog文件的权限用数字方式表现的权限为644。LOGOLinux的权限控制实例项目3.2LOGO实例1：权限位控制实例2：属有者和工作组控制LOGOLinux的高级权限管理3.2.4LOGOLinux的高级权限管理文件除具有基本的读、写、执行权限外，还有一些高级权限，如SUID、SGID、T位权限，下面对SUID、SGID、T位的权限做一简要的介绍。(1)SUID：表示普通用户在执行具有SUID权限的文件时，以属有者的身份（大部分为root）执行。例如ping命令，如下所示：-rwsr-xr-x1rootroot35864Aug62008/bin/ping该命令表示普通用户执行ping命令时，以root身份执行。(2)SGID：表示任何用户在具有SGID权限的目录下创建文件或目录时，系统自动继承父目录的工作组。(3)T：粘贴位，即普通用户a1在具有t位权限的目录下创建文件时，普通用户b1将无权对a1的文件进行删除操作。该权限位用于防止用户之间误删文件的情况发生。默认情况下，/tmp和/usr/tmp目录具有t位权限。LOGOLinux的高级权限实例项目3.3LOGO实例1：SUID权限控制实例2：SGID权限控制实验实例3：T位粘贴位