第7讲 Linux用户及用户组管理

Linux用户及用户组管理李明E-mail/QQ：samlee@lampbrother.net课程大纲‡用户及用户组配置文件‡用户及用户组管理命令‡用户权限管理用户及用户组配置文件‡用户信息文件：/etc/passwd‡用户密码文件：/etc/shadow‡用户组文件：/etc/group‡用户组密码文件：/etc/gshadow‡登录信息文件：/etc/motd/etc/passwd文件格式字段含义用户名用户名，字母和数字组成密码密码位UID用户标识GID缺省用户组标识描述描述信息，可存放用户全名等信息宿主目录用户登录系统后的缺省目录命令解释器用户使用的Shell，默认为bash用户类型Linux用户分为三种：„超级用户（root，UID=0）„普通用户（UID500-60000）„伪用户（UID1-499）伪用户1、伪用户与系统应用和程序服务相关„如：bin、daemon、shutdown、halt等，与Linux系统应用相关„如：apache、ftp、mysql及sshd等，与Linux系统服务相关2、伪用户通常不需要或无法登录系统3、可以没有宿主目录用户组‡每个用户都至少属于一个用户组‡每个用户可以属于多个用户组‡同一用户组的用户享有该组的权限/etc/shadow文件格式字段含义用户名用户名密码加密密码最后一次修改时间用户最后一次修改密码的天数最小时间间隔两次修改密码之间的最小天数最大时间间隔密码保持有效的最多天数警告时间从系统开始警告到密码失效的天数帐号闲置时间帐号闲置时间失效时间密码失效的绝对天数标志一般不使用/etc/group文件格式字段含义组名用户组名称，建议按功能或组织划分和命名组密码位组密码一般不使用GID用户组标识组内用户列表属于该组的所有用户列表/etc/gshadow文件格式字段含义组名用户组名称，建议按功能或组织划分和命名组密码加密密码组管理员用户组管理员，由root授权组内用户列表属于该组的所有用户列表添加用户‡useradd设置选项用户名„u：UID„g：缺省所属用户组GID„G：指定用户所属多个组„d：宿主目录„s：命令解释器Shell„c：描述信息„e：指定用户失效时间‡passwd用户名（-d空密码）SetUID思考：为什么普通用户可以更改密码？SetUID的定义：当一个可执行文件具有SetUID权限，用户执行这个文件（命令或脚本）时，将以这个文件所有者的身份执行。范例：1、将touch命令授予SetUID权限2、当vi命令被授予SetUID权限3、查找SetUID程序：find/-perm-4000-o-perm-2000用户组管理命令‡添加用户组groupaddgroupaddwebadmin创建用户组webadmin‡删除用户组：groupdel组名‡修改用户组信息groupmodgroupmod-napachewebadmin修改webadmin组名为apache用户组管理命令gpasswd设置组密码及管理组内成员-a添加用户到用户组-d从用户组中删除用户-A设置用户组管理员修改用户信息‡usermod„usermod-Gsoftgroupsamlee将用户samlee添加到softgroup用户组中„usermod-lsamleeliming将用户liming的登录名改为samlee删除用户userdel-r用户名-r：删除用户宿主目录用户管理命令‡id查看用户UID、缺省组、所属组‡finger查看用户详细信息‡su切换用户（su-环境变量切换）‡groups查看用户隶属于哪些用户组‡newgrp切换用户组用户授权示例授权用户jack和mary对目录/software有写权限#groupaddsoftadm#usermod-Gsoftadmjack#gpasswd-amarysoftadm#chgrpsoftadm/software#chmodg+w/software#ls-ld/softwaredrwxrwxr-x2rootsoftadm512Jul1406:17/software#grepsoftadm/etc/groupsoftadm::100:jack,mary#groupaddsugroup#chmod4750/bin/su#chgrpsugroup/bin/su#ls-l/bin/su-r-sr-x---1rootsugroup18360Jan152010/bin/su设定后，只有sugroup组中的用户可以使用su#usermod-Gsugrouphelen案例：限制用户使用su－授予普通用户以root身份执行命令－命令范围可限定至具体选项和参数配置文件：/etc/sudoers，编辑配置文件命令visudo，普通用户使用命令sudo。格式：用户名（%组名）主机地址=命令（绝对路径）Sudo授权ACL权限设置1.设置文件的acl权限setfacl-mrulesfiles2.查看文件的acl权限getfaclfiles设定ACL使用命令setfacl‡-m：设定‡-x：移除特定用户或组的权限‡-b：移除所有的权限知识点总结‡Linux用户管理概念及原理‡Linux用户及用户组管理配置文件‡Linux用户及用户组管理常用命令‡特殊权限SetUID‡授权及sudo应用‡ACL权限控制练习‡手工添加、删除用户及用户组‡用户及用户组授权练习‡管理员授权练习（sudo）‡SetUID权限操作练习‡ACL权限控制练习‡常用用户及用户组操作命令练习ThanksE-mail/QQ：samlee@lampbrother.net