第05章 Linux的用户和组的管理new

第五章Linux的用户和组的管理计算机学院王书芹2/69本章学习目标了解Linux的中用户和组的管理方法熟悉用户管理命令熟悉工作组管理命令熟悉用户和组的相关配置文件3/69目录5.1用户的管理5.2工作组的管理5.3用户和组的相关配置文件5.4图形方式下管理用户和组（补）5.5小结4/695.1用户的管理5.1.0补充知识5.1.1使用useradd命令添加用户5.1.2手工添加用户5.1.3设置口令5.1.4删除用户5.1.5修改用户属性返回本章目录5/695.1用户的管理5.1.0补充知识Linux下的用户可以分为三类：超级（管理）用户、系统（服务）用户和普通用户。每个用户都有一个数值，称为UID。root：超级用户/管理员uid,gid=0可以使用和管理系统中的所有资源普通用户uid:500-60000许可权限范围内使用系统资源伪用户系统用户(pseudouser)：这类用户不具有登录系统的能力，但却是系统运行不可缺少的用户，比如bin、daemon、adm、ftp、mail等；是系统自身拥有的，而非后来添加的无.(uid:1-500)P1156/695.1用户的管理超级用户root用户是超级用户，它具有至高无上的权利，不仅对系统任何文件都有权限，还可以管理系统。root用户的UID和GID都为0。实际上，普通用户如果其UID和GID也都为0，它就成了和root平起平坐的超级用户了。大多数情况下，这样做并没什么好处，而且还有坏处。但有时在组织中需要多个系统管理员管理同一系统，多个超级用户有利于管理员的责任明确。7/695.1用户的管理与用户相关的配置文件/etc/passwd口令文件username:passwd:UID:GID:fullname:home-dir:shell用户名:加密的口令:用户ID:组ID:用户的全名或描述:登录目录:登录shellP1188/695.1用户的管理passwd文件各字段说明：字段说明username用户在系统中的名字，它不能包含大写字母Password用户口令，出于安全考虑，基本上不使用该字段保存口令，而用字母“x”来填充该字段，真正的密码保存在shadow文件UID用户ID号，惟一表示某用户的数字GID用户所属的私有组号,该数字对应group文件中GIDfullname这字段是可选的,通常用于保存用户命名的信息home-dir用户的主目录，用户成功登录后的默认目录shell用户所使用的shell,如该字段为空则使用“/bin/sh”9/695.1用户的管理/etc/shadow影子口令文件shadow是一个文本文件，在shadow文件中，每行定义了一个用户信息，行中各字段各字段用“：”隔开。为进一步提高安全性，shadow文件中保存的是已加密的口令。username:passwd:last:may:must:warn:expire:reservedP11910/695.1用户的管理/etc/shadow文件中的每个记录用“：”隔开为9个域，每个域的含义分别为：用户登录名用户加密后的口令，(若为空表示改用户不需口令即可登陆，若为*号，表示帐号被禁止)从1970年1月1日至口令最近一次被修改的天数口令在多少天内不能被用户修改口令在多少天后必须被修改口令到期前多少天开始给用户发出警告口令过期多少天后用户帐号被禁止自1970年1月1日到帐号过期那一天的天数保留域11/695.1用户的管理pwconv—开启用户的投影密码Linux系统里的用户和群组密码,分别存放在名称为passwd和group的文件中,这两个文件位于/etc目录下。因系统运作所需,任何人都得以读取它们，造成安全上的破绽。投影密码将文件内的密码改存在/etc目录下的shadow和gshadow文件内，只允许系统管理者读取，同时把原密码置换为“x”字符，有效的强化了系统的安全性。pwunconv—关闭用户的投影密码。执行pwunconv指令可以关闭用户投影密码,它会把密码从shadow文件内，重回存到passwd文件里。12/695.1用户的管理与用户组相关的配置文件/etc/group注：用户组（group）配置文件；/etc/gshadow注：用户组（group）的影子文件；13/695.1用户的管理/etc/grouproot:x:0:rootbin:x:1:root,bin,daemondaemon:x:2:root,bin,daemonsys:x:3:root,bin,admadm:x:4:root,adm,daemon这个内容也说明如下：1.群组名称：群组密码：3.群组ID：支持的账号名称：14/695.1用户的管理etc/gshadow的构造：root:::rootbin:::root,bin,daemondaemon:::root,bin,daemonsys:::root,bin,admadm:::root,adm,daemon一般来说，grouppassword是用来让那些不在group中的成员，临时加入group用的，有兴趣的话可以使用mannewgrp了解一下他的用法！不过，因为牵涉到密码，不好管理，因此很少用。真想让对方加入，不如将对方加入该群组，用密码反而不方便。15/695.1用户的管理用户和用户组查询的方法1）通过查看用户和用户组的配置文件来查看用户信息可以通过cat、more或less来查看#more/etc/passwd#cat/etc/passwd#less/etc/passwd2）通过id和finger工具来获取用户信息；id工具测重用户、用户所归属的用户组、UID和GID的查看finger测重用户信息的查询，比如用户名（登录名）、电话、用户主目录、登录SHELL类型、真实姓名、空闲时间等等16/695.1用户的管理id命令用法id选项用户名查询linuxsir用户的UID、GID以及归属用户组的情况。#idlinuxsiruid=505(linuxsir)gid=502(linuxsir)groups=502(linuxsir),0(root),500(beinan)UID是505默认用户组是linuxsir，默认GID是502，归属于linuxsir（GID为502）,root（GID为0）,beinan（GID为500）用户组17/695.1用户的管理finger的用法finger选项用户名1用户名2...不加任何参数和用户，会显示当前在线用户，和w命令类似。18/695.1用户的管理在finger后面加上用户名，就可以看到用户更为详细的信息，用空格分开可一次查看多个用户。用户名（也是登录名）用户名全称家目录空闲时间所用SHELL类型19/695.1用户的管理3）用户组查询的办法可通过用户来查询所归属的组，用groups来查询注：这是通过groups同时查看了用户root和wsq所归属的组；20/695.1用户的管理5.1.1使用useradd命令添加用户语法：useradd[-mMnr][-c备注][-d登入目录][-e有效期限][-f缓冲天数][-g群组][-G群组][-sshell][-uuid][用户帐号]或useradd-D[-b][-e有效期限][-f缓冲天数][-g群组][-G群组][-sshell]另外：adduser指令则是useradd指令的符号链接,两者实际上是同一个指令。帐号建好之后，再用passwd设定帐号的密码．而可用userdel删除帐号。使用useradd指令所建立的帐号，实际上是保存在/etc/passwd文本文件中。P11521/695.1用户的管理例：不加任何参数，直接添加用户#useraddlinuxuser1#ls-ld/home/linuxuser1/drwxr-xr-x3linuxuser1linuxuser1409611月215:20/home/linuxuser1/再查看/etc/passwd文件有关linuxuser1的记录，通过more来读取/etc/passwd文件，并通过grep来抽取linuxuser1字段，有如下一行：#more/etc/passwd|greplinuxuser1linuxuser1:x:509:509::/home/linuxuser1:/bin/bash从记录看，linuxuser1用户的UID和GID分别为509，家目录为在/home/linuxuser1，所有的SHELL是bash添加了linuxuser1用户查看/home/目录时，会发现系统自建了一linuxuser1的目录22/695.1用户的管理再看/etc/shadow、/etc/groups和/etc/gshadow文件，也有与linuxuser1有关的行；再看一下linuxuser1用户的增加是不是和/etc/default/useradd和/etc/login.defs这两个配置文件有关；还要查看/home/linuxuser1目录下的文件，是不是和/etc/skel目录中的一样23/695.1用户的管理例：练习用户有效期限-e参数，设定用户的帐号什么时候过期添加一帐号，并设置其帐号在2005年11月04日之前是有效，一旦过了这个日期，便停止其登录；#useradd-e11/04/2005cooler注：添加用户cooler，并设置其有效期为2005年11月04日；#passwdcooler注：设置用户cooler密码；Changingpasswordforusercooler.NewUNIXpassword:注：设定cooler的密码；RetypenewUNIXpassword:注：核实设定密码；passwd:allauthenticationtokensupdatedsuccessfully.注：设置成功；如何验证-e是不是真的有效？当前时间在2005年11月04日后，所以添加这个cooler用户肯定是过期的，即使有密码也不能登录。24/695.1用户的管理5.1.2手工添加用户Linux系统用户文件/etc/passwd（见前面）Linux系统用户密码文件/etc/shadow（见前面）创建新的用户要完成以下几个工作：（1）在/etc/passwd(和/etc/shadow)中添加一行的记录；（2）创建用户的个人主目录，并赋权限；（3）在用户的个人主目录设置默认的配置文件；（4）设置用户的初始口令等。P11525/695.1用户的管理通过修改用户（User）和用户组（Group）配置文件的办法来添加用户1）修改/etc/passwd，添加用户记录按/etc/passwd的格式约定来添加新的用户记录；当然您要让一个用户失效，可以删除您想要删除的用户记录；注意：不能让UID重复如添加bobs用户，将其用户组也设置为bobs，打开/etc/passwd，在最下面加一行bobs:x:508:508::/home/ckj:/bin/bash然后执行pwconv，让/etc/passwd和/etc/shadow同步，您可以查看/etc/shadow的内容是否同步#pwconv26/695.1用户的管理2）修改/etc/group首先，查看是否有bobs用户组，以及GID508是否被其它用户组占用#more/etc/group|grepbobs#more/etc/group|grep508通过查看，发现没有被占用；所以要添加bobs的记录到/etc/groupbobs:x:508:其次，是运行grpconv来同步/etc/group和/etc/gshadow内容，可通过查看/etc/gshadow的内容变化确认是不是添加组成功了grpconv27/6