Linux操作系统案例教程 彭英慧 第5章 用户与组群管理新.ppt

5-1用户管理概述 1、用户管理的范围 用户帐号管理 组帐号管理 用户/组帐号的权限管理 5.1 用户和组文件 5.1 用户和组文件 5.1.1用户账号文件――passwd 口令文件(/etc/passwd) 该文件用于用户登录时校验用户的登录名、加密的口令数据 项、用户ID(UID)、 默认的用户分组ID(GID)、GECOS字段、 用户登录子目录以及登录后使用的shell。 5.1.1用户账号文件――passwd 5.1.1用户账号文件――passwd 5.1.1用户账号文件――passwd 查看/etc/passwd的内容 /etc/passwd是一个简单的文本文件，以纯文本显示加密口令的做法存在安全隐患。同时，由于/etc/passwd文件是全局可读的，加密算法公开，恶意用户取得了/etc/passwd文件，便极有可能破解口令。 Linux/Unix广泛采用了“shadow文件”机制，将加密的口令转移到/etc/shadow文件里，该文件只为root超级用户可读，而同时/etc/passwd文件的密文域显示一个*，从而最大限度地减少了密文泄漏的机会。 5.1.2用户影子文件――shadow shadow文件的每行是8个冒号分隔的9个域，格式如下： 5.1.2用户影子文件――shadow 用户影子文件――shadow各项详解 shadow文件的每行是8个冒号分隔的9个域，格式如下： 5.1.3用户组账号文件――group /etc/group文件包含了Linux组的名称和每个组中的成员列表。例如： wheel：x：10：evi,garth,trent 每一行代表了一个组其中包含有四个字段： 组名； 被加密的口令(已被废弃，很少使用)； GID； 成员列表，彼此用逗号隔开(注意不要加空格)。 为了避免与厂商提供的GID发生冲突，一般从GID100开始分配本地组。 /etc/group的内容 5.1.4组账号号文件――gshadow 组口令与组的其他信息相分离的安全机制，其格式如下： 5.1.5 使用pwck和grpck命令验证用户和组文件 pwck用来验证用户账号文件和影子文件的一致性，验证文件中的每个数据项中每个域的格式以及数据的正确性。如果发现错误，该命令将会提示用户对出现错误的数据项进行删除。 pwck的使用 vi /etc/passwd 输入其中没有的用户信息 pwck /etc/passwd 如果数据域的项数正确，只会反映出不存在相关的用户信息，不会提示用户删除该信息 如果数据域项数不正确，系统提示用户进行删除，用户确定删除后该文件验证才通过。 案例一 新建一个user1用户，UID、GID、主目录均按默认； 新建一个user2用户，UID=800、其余按默认； 新建一个user3用户，默认主目录为/abc、其余默认；并观察这三个用户的信息有什么不同； 分别为以上三个用户设置密码为123456； 把user1用户改名为u1,UID改为700，主目录为/test; 把u1用户锁定，在不同的终端分别登录user2与u1,并观察有什么现象； 5-2 用户帐号的管理 1、用户帐号的分类 超级用户（UID=0） 普通用户（500=UIDmax=60000） 操作权限受到限制 伪用户（系统用户） （UID=1—499）：限制本机登录 2、用户帐号包含的信息 用户名： 口令： UID：用户唯一标识符 GID：用户组的唯一标识符 用户描述信息： 用户主目录：用户登录的初始目录 SHELL类型：设置SHELL程序的种类 3、用户管理 1）添加新用户 格式： useradd/adduser [参数] 用户名 参数： -u UID //指定用户的UID值 -g 组名 //指定用户所属的默认组 -G 组名 //指定用户附加组 -d 路径 //指定用户主目录 -e 时间 //指定用户帐号有效日期(YYYY-MM-DD) -s shell类型 //指定默认的shell类型 -m //建立用户主目录 -M //不建立用户主目录 实例： # useradd u2 //新建用户 # useradd -g g2 u3 //新建用户u3，主要群组为g2 # useradd -e 2009-08-12 u4 // 2）设置用户口令 格式：passwd [选项] [用户名] d （delete） //删除用户口令 -l （lock） //暂时锁定指定的用户账号 -u （unlock）//解除指定用户账号的锁定