7-Linux用户账号与组账号管理

第7章Linux用户账号与组群账号管理•用户账户和组群的管理是Linux系统工作中重要的一部分，而所谓的账号管理是指账号的添加、删除和修改、账号设置以及权限（Permissions）授予等问题。其中最困难的部分并不在于操作与设置的层次，而是如何建立一套合理又有灵活性的法则来满足企业的需求，这也是本章将要介绍的重点。7.1Linux系统用户账号的管理•7.1.1/etc/passwd文件•7.1.2/etc/shadow文件•7.1.3用户账号的创建和维护•1、用户帐号：所谓的“用户”可以是实际的人员。每个用户帐号都包含一个惟一的识别码（UserID,UID）以及组群识别码（GroupID,GID）。•2、组群帐号：所谓的“组群”是一种逻辑性的单位，主要集合特定的用户，并授予所有组群成员文件相同的权限，如读取、写入、或运行。7.1.1/etc/passwd文件•passwd文件中的记录是按如下方式组群织的：•登录名：口令：用户标识号：组群标识号：用户名：用户主目录：命令解释程序•1、登录名：即用户帐号，由root或具有相等权限的管理员所指定。•2、密码：系统用口令来验证用户的合法性。•3、用户标识号：Linux中的每个用户帐号都由一个惟一的识别号码，该号码就称为UID，它是一个数值，最大可达65535。•4、组群标识号：这是当前用户的默认工作组群标识。•5、用户名：User_name包含有关用户的一些信息，如用户的真实姓名、联系电话和办公室住址等。•6、用户主目录：该字段定义了个人用户的主目录，当用户登录后，他的shell将把目录作为用户的工作目录。•7、命令解释程序：Shell是当用户登录系统时运行的程序名称，通常Shell程序的全路径名为/bin/bash，但是用户可以使用chsh命令来改变自己的登录Shell。7.1.1/etc/passwd文件•列：passwd文件中的两条记录：•root:x:0:0:root:/root:/bin/bash•go:x:500:500::/home/go:/bin/bash•第一条记录描述了root账号。可以看到，登录名为root；口令字段为“x”，表示真实口令被存放在/etc/shadows文件中；UID为0，因为系统认为UID为0的用户可以不受通常的安全限制；GID也为0，这是惯例，表示这是root组群。系统中很多文件都属于root账号和root组群；用户名为root；主目录为/root；默认的shell程序为bash.•第二条记录描述了系统中一个普通的个人用户。其中，登录名为go；口令字段为“x”；UID为500；GID为500，表明go所在组群在/etc/group文件中编号为500；用户名字段为空，表示没有为该用户指定附加的描述信息；用户主目录为/home/go；默认的shell程序为bash。7.1.2/etc/shadow文件•使用ShadowPasswd的功能又下面优点：•⑴将原本/etc/passwd文件中的加密密码移到/etc/shadow文件中，但该文件仅允许root读取，所以可提高安全性。•⑵可记录密码改变的时间。•⑶可以设置密码使用的时间，以避免用户的密码改变过于频繁。•⑷可以使用/etc/login.defs文件来设置安全性策略，如密码最小长度或密码最短使用时间。7.1.3用户账号的创建和维护•1.以文本模式对用户账号进行创建和维护•2.以图形界面对用户账号进行创建和维护以文本模式对用户账号进行创建和维护•1、添加用户账号•对系统而言，创建一个用户账号需要完成以下步骤：•⑴添加一个记录到/etc/passwd文件。•⑵创建用户的主目录。•⑶在用户的主目录中设置用户的默认配置文件•为了提高系统的利用率，并且避免因多个用户共用一个root账号而造成不必要的系统安全隐患，通常必须为新用户添加账户。在Linux系统中，添加用户只能由超级用户来完成，也就是说，只能由root使用useradd/adduser命令来完成该项工作。以文本模式对用户账号进行创建和维护•在使用useradd或adduser命令添加用户账号前，建议先使用“finger”命令来检查将要添加的用户帐号是否存在，以避免账号名重复而失败。•例：使用“finger”命令来查询现存账号及目前不存在账号的结果：•[root@nsroot]#fingeruser01•Login:user01Name:(null)•Directory:/home/user01Shell:/bin/bash•Neverloggedin.•Nomail.•NoPlan.•[root@nsroot]#fingeruser02•Finger:user02:nosuchuser.•由以上结果可知，当前系统中已存在名为user01的账号，所以不要再添加该名称的账号，但是user02的名称尚未被使用，因此可以添加用户user02。以文本模式对用户账号进行创建和维护•命令useradd的格式如下所示：•Useradd[选项][用户登录名]•便如，需要创建一个用户账号user02，主目录为/home/user02，登录时使用bash作为其shell程序。可以使用以下命令：•[root@nsroot]#useradd-d/home/user02-s/bin/bashuser02以文本模式对用户账号进行创建和维护•2、修改用户账号•添加用户帐号后，管理员有时需要改变账号的内容，此时可以使用“usermod”命令来进行账号内容的修改，其实用方法及参数与useradd命令很相似。•假设要修改先前建立的User02账号信息，同时将用户的备注文字改为“VicePresident”，而且主目录改为/root,则可以使用下面的命令：•[root@na1root]#usermod-c“VicePresident”-d/rootUser02以文本模式对用户账号进行创建和维护•3、删除和停用用户账号•要删除已经存在的用户账号，必须从/etc/passwd文件中删除此用户的记录项，从/etc/group文件中删除提及的此用户，并且删除用户的主目录及其他由该用户创建或属于此用户的文件。这些工作可以使用userdel命令来完成。例如，可以使用以下命令删除用户账号user01：•[root@na1root]#userdeluser01以文本模式对用户账号进行创建和维护•4、用户密码管理•若要改变自己的使用密码，只要直接使用passwd命令即可。下面是使用“passwd”命令来改变自己密码的方法：•[alice@ns1alice]$passwd→不加任何参数•Changingpasswordforuseralice•Changingpasswordforalice•(current)UNIXpassword：→输入目前密码（显示器不显示密码）•Newpasssrd：→输入新的密码（显示器不显示密码）•Retypenewpassword：→再次输入新的密码（显示器不显示密码）•Passwrd：allauthenticationtokensupdatedsuccessfully.→密码修改成功以图形界面对用户账号进行创建和维护•1、添加用户账号•要添加新用户，点击「添加用户」按钮。一个如右图所示的窗口就会出现。在适当的字段内键入新用户的用户名和全称。在「口令」和「确认口令」字段内键入口令。口令必须至少有六个字符。以图形界面对用户账号进行创建和维护•2、修改用户账号•要查看某个现存用户的属性，点击「用户」标签，从用户列表中选择该用户，然后在按钮菜单中点击「属性」（或者从下拉菜单中选择「行动」=「属性」）。一个类似右图的窗口就会出现。7.2Linux系统用户组群的管理•7.2.1组群帐号/etc/group文件•7.2.2工作组群的管理•在进行账号管理时，使用“组群”为管理的基本单位。先将需要存入该项资料源的用户加入到同一个组群，然后在授予组群该资料的访问权限。这样，每个组群成员都可以拥有该项资源的权限，管理员也可以节省日常维护的时间。7.2.1组群帐号/etc/group文件•类似于/etc/passwd文件，系统中的每个组群都对应/etc/group文件中一行记录。记录的各字段属性依次定义如下：组群名：口令：组群标识号：用户列表。7.2.1组群帐号/etc/group文件•下面介绍各个字段的含义。•1、组群名（group_name）：顾名思义，组群名就是工作组群的名字•2、口令（passwd）：组群的口令，通常都不使用或用“x”表示。允许不在这个组群中的其他用户用newgrp命令来访问属于这个组群的资源。•3、组群标识号（GID）：GID是系统用来区分不同组群的标识号，它在系统中是惟一的。在/etc/passwd文件中，用户的组群标识号字段就是用这个数字来指定用户的默认组群。•4、用户列表（user_list）:用户列表是用“，”分隔的用户登录名集合，列出了这个组群的所有成员。7.2.1组群帐号/etc/group文件•在Linux系统中，root和bin都是管理组群。系统中很多文件都属于这两个组群。•实际的应用中，口令字段是完全没有必要的。事实上，很多系统没有提供设置组群口令的工具。这是因为要使一个用户成为多个组群的成员，只需要把用户登录名加入到这些组群的用户列表字段中。•用户可以使用group命令列出当前用户所属的所有组群的名称。7.2.2工作组群的管理•1、工作组群概述•设置了组群后，通过将用户划分到各个特定的组群中，就自动地使用户拥该工作组群的权限。7.2.2工作组群的管理•2、添加组群账号•（1）命令行操作•添加组群账户命令：groupadd•加组群账号的groupadd命令使用很容易。只要直接输入命令和组群名称即可。若要指定组群群识别码（GID），可以使用“-g”参数。•例：[root@ns1root]#groupadd-g600test7.2.2工作组群的管理•2、添加组群账号•（2）用户管理器•要添加新用户组群，点击「添加组群」按钮。一个类似下图的窗口就会出现。7.2.2工作组群的管理•3、修改组群群账号•（1）命令行操作•修改组群账户命令：groupmod•groupmod命令的格式如下：•#groupmod[-g新GID][-o]][-n新组群名]现有组群名7.2.2工作组群的管理•3、修改组群群账号•（2）用户管理器•要查看某一现存组群的属性，从组群列表中选择该组群，然后在按钮菜单中点击「属性」（或选择下拉菜单「文件」=属性）。一个类似右的窗口就会出现。7.2.2工作组群的管理•4、删除组群群账号•删除组群命令为groupdel。使用此命令可以删除不需要的组群。•groupdel命令的格式如下：•#groupdel组群名•同样，也可以在/etc/group文件中将对应组群的记录项删除，从而达到同样的目的。7.3添加大量用户•在平时可能管理员需要添加大量用户帐号的机会并不多，但是在一些比较特殊的情况下，例如新成立的部门或新学期的新生帐号，就必须同时建立许多用户帐号。•在处理添加大量用户帐号时，一般使用下面的步骤：•⑴建立用户信息文件。其中必须包含所需的数据域位，同时这些字段必须符合/etc/passwd文件中字段的排列次序。•⑵运行shellscript逐栏读取信息。•⑶将读取的信息依次在/etc/passwd和/etc/shadow两个文件中建立记录。•1、创建批量用户的命令•⑴newusers命令•格式：newusers文件名•功能：成批添加用户。把文件内容重新定向添加到/etc/passwd文件中。•⑵chpasswd命令•格式：chpasswd文件名•功能：批量更新用户口令。把文件内容重新定向添加到/etc/shadow文件中。•1、创建批量用户的命令•⑶pwconv命令•格式：pwconv•功能：用于超级用户启用shadow加密。•⑷pwunconv命令•格式：pwunconv•功能：用于超级用户取消shadow加