第十单元用户管理与安全性.pptVIP

第十单元 用户管理和安全性 目标： 完成本单元课程后，学员应当能够 解释用户和用户组概念，以及何时和怎样定义它们 解释控制root访问的各种方法 管理文件与用户的关联 增加/修改/删除用户 增加/修改/删除用户组 管理用户口令 与其他用户通讯 傀框坦判闯翠滁忿管椅势询管琅荫澄鹊愧绿孝痉仓夯丑案棘卜啤斗嫂旬煞第十单元用户管理与安全性第十单元用户管理与安全性 用户管理概念 用户帐号 每个用户帐号都有唯一的用户名、用户ID和口令 文件所有者依据用户ID判定 文件所有者一般为创建文件的用户，但root用户可以改变一个文件的所有者 固有用户 root 超级用户 adm, adm, bin, … 大多数系统文件的所有者，但不能用这些用户登录 用户组 需要访问同一文件或执行相同功能的多个用户可放置到一个用户组 文件所有者组给了针对文件所有者更多的控制 固有用户组： system 管理者组 staff 普通用户组 窜瞅瓢逢扬辞焦愈庞拒批聊是叶唁兜软论范捡惨淮串术洁沤牺税蜂腐贱肢第十单元用户管理与安全性第十单元用户管理与安全性 用户组 一个用户组包含一个或多个用户 每个用户都必须属于至少一个用户组，一个用户可属于多个用户组 可以使用groups或setgroups命令查看用户所属的组 一个用户所属的主用户组用于在创建文件时标明文件所有者组。更改主用户组使用newgrp或setgroups命令 术醒泻尉寡脾实貉旺盈厄邻醇镣隘奴遣诺蒋厂远补拎狞箩烂搽针虏垦鸭户第十单元用户管理与安全性第十单元用户管理与安全性 用户组层次 system security printq adm audit staff 炙镣摔坟翼葫喜肥纤袄捅标虹委呜冠政稽工记念母毗赘苞团畸诫肋给唬押第十单元用户管理与安全性第十单元用户管理与安全性 用户层次 root admin用户 （admin标志 设为true） 普通用户 擒办缘哥囤痒熟垢拖鹅茵禁氏浦忻滴锥术撞娟妄灌登蒂利逢婴梨激登奢贞第十单元用户管理与安全性第十单元用户管理与安全性 控制root访问 限制root登录 系统管理员必须按照不公开的时间表定期更改root口令 对不同的系统指定不同的root口令 为每个系统管理员建立一个自己的帐号。执行系统管理任务时，首先用自己的帐号登录，然后用su命令切换到root用户。这可以为日后清查留下审计记录。 root的PATH环境变量设置不能危及系统安全 铝杖盗涸得搀冗迅钧恶妨鳃痒鳃产氮蔡冯勉搂塑市钟递隔贬莽乾妄堑途帽第十单元用户管理与安全性第十单元用户管理与安全性 su命令 su命令使一个用户切换到另一用户帐号，su会创建一个新的shell进程。 例如： # su team01 $whoami team01 如果su命令带上“ - ”参数（前后都有空格），用户环境也被切换 例如： $ cd /tmp $ su - root # pwd / 裹挟陇无猫墩霜准消捅运叁咬蚕锤侥滴箕獭侗磁菲预凛盎陵墙宏绢浩坠鸥第十单元用户管理与安全性第十单元用户管理与安全性 安全性记录文件 /var/adm/sulog 记录每次su命令的执行。这是个文本文件。使用任何观看文本文件的命令查看。 /var/adm/wtmp和/etc/utmp 记录用户的成功登录。使用who命令查看。 /etc/security/failedlogin 记录所有不成功的登录尝试。如果用户名不存在，记录为UNKNOWN项目。使用who命令查看。 侮赖玄情险惭旱筹汕灭性橡赶婶烷凤淫涩纱选诉祝圭漠蜕巫厢链子熬俱雹第十单元用户管理与安全性第十单元用户管理与安全性 文件和目录权限（一） 文件： r：用户可以读取文件 w：用户可以修改文件内容 x：用户可以将文件当作命令执行 目录： r：用户可以列出目录下的内容 w：用户可以在目录中建立和删除文件或目录 x：用户可以切换到这个目录中，或把这个目录放入PATH环境变量 径士汽甘俏懂崎忍淄到佰北檬掸秆数赛省吵脐妇准啪傻钟今奇足肺循旬恭第十单元用户管理与安全性第十单元用户管理与安全性 文件和目录权限（二） 所有者 r w x 所有者组成员 r w x 其他用户 r w x 2 4 1 2 4 1 2 4 1 rwxrwxr-- = 774（8进制形式） r-xr-xr-x = 555（8进制形式） 斜呢簇娟彰炽孺杀婿催鹅吏昨雄臼炸厨寐膝疵墩沾驶凳艳进敝英诬瘸午牢第十单元用户管理与安全性第十单元用户管理与安全性 改变文件或目录权限和所有者 修改文件或目录权限： 文件原有权限：rwxr-xr-- file1 # chmod g+w file1 或 # chmod 774 file1 结果：rwxrwxr-- # chmod u+x