Linux操作系统6.pptVIP

Linux操作系统 北京邮电大学 电信工程学院计算中心 第六章 用户管理 在Linux操作系统中，每一个文件和程序必须属于某一个“用户”。每一个用户都有一个唯一的身份标识叫做用户ID（User ID，UID）。每一个用户也至少需要属于一个“用户分组”，也就是由系统管理员建立的用户小团体。用户可以归属于多个用户分组。与用户一样，用户分组也有一个唯一的身份标识叫做用户分组ID（Group ID，GID） 对某个文件或程序的访问是以它的UID和GID为基础的。一个执行中的程序继承了调用它的用户的权利和访问权限。 每位用户的权限可以被定义为下面两种中的任何一种：普通用户或者根用户。普通用户只能访问他们拥有的或者有权限执行的文件；分配给他们这样的权限是因为这个用户或者属于这个文件的用户分组，或者因为这个文件能够被所有的用户访问。根用户能够访问系统全部的文件和程序，而不论根用户是否拥有它们。根用户通常也被称为“超级用户”。 本章内容 6.1 基础知识 6.2 用户数据库 6.3 用户管理工具 6.4 SetUID和SetGID程序 6.5 如果没有文件的所有权 6.6 更该文件的所有权 6.1 基础知识 在Linux操作系统中，任何东西都有一个所有者。用户都按照这样一个方式配置：它们的访问权限只分配给经过挑选的一个很小的用户范围。 6.1.1 用户登录子目录 6.1.2 口令 6.1.3 shell 6.1.4 启动上机脚本程序 6.1.5 电子邮件 6.1.1 用户登录子目录 每一个实际登录进入系统上机的用户都需要有地方保存那些专属于他的配置文件。这需要让用户工作在自己定制的操作环境中以免改变其他用户定制的操作环境—即使是两个用户同时登录上机也应该如此安排。这个地方就叫做用户登录子目录（ home directory） 大多数站点都从/home开始安排用户登录子目录 根用户的登录子目录对大多数UNIX操作系统的变体来说都是传统的“/”，许多Linux操作系统的安装把它设置为/root 把用户登录子目录安排在/home下的决定完全是人为的 6.1.2 口令 每个账户都必须有一个口令，否则就根本不可能登录进入它。这对系统安全性十分关键—薄弱的口令会降低系统的安全性。 当用户在登录提示符处输入它们的口令时，输入的口令将由系统进行加密。再把加密后的数据与机器中用户的口令数据项进行比较。如果这两个加密数据匹配，就可以让这个用户进入系统。所以当攻击用户密码时需要花费很多时间。 影子（shadow）是口令安全的一个解决方案 为什么不规定口令文件只能由根用户访问呢？ 选择好的口令永远是问题的关键 一个非语言单词（不是人类使用语言的单词），最好大小写、数字和标点符号混用 换句话说，一个看起来就像是乱写出来的字符串。但是如果一个口令太难记忆，大多数人都会把它写下来放在一个容易看见的地方，这就完全违背了前面的初衷。所以最好还是让它比较容易记忆！比较好的办法是：选择一句短语，然后把这句话里每一个单词的第一个字母拼在一起。 6.1.3 shell 根用户使用的缺省shell，叫做Bourne Again Shell，简称BASH。Linux操作系统带有好几种shell供用户选用—可以在/etc/shells文件中看到它们中的大多数。 6.1.4 启动上机脚本程序 即：相当于dos下面的autoexec.bat或者config.sys的程序 对BASH而言，就是.bashrc文件 当建立了一个用户账号的时候，必须提供一套缺省的点文件让这个用户可以开始工作。如果使用了Linux提供的工具，就不必费劲去建立这些文件，因为许多工具会为你自动完成这个任务。 6.1.5 电子邮件 建立一个新用户不仅仅意味着要建立这个用户的登录子目录和设置其操作环境，还意味着能够让这个用户收发电子邮件。在Linux中建立一个电子邮箱是很简单的，如果这个账户是使用了Linux操作系统提供的工具建立的，甚至都不必去做这些事。 电子邮箱保存在/var/spool/mail子目录中，以用户名命名的文件指定。 一个空电子邮箱是一个零长度的文件。所有电子邮箱都应该只属于它们对应的主人，其访问权限被设置为不允许别人读出其中的内容。 6.2 用户数据库 Linux操作系统采用了UNIX传统的方法，把全部的用户信息保存为普通的文本文件。这样就允许你不必借助于任何其他的工具，只使用一个文本编辑器如vi就可以对用户信息进行修改，十分简便。 /etc/passwd /etc/shadow 6.2.1 /etc/passwd文件 /etc/passwd文件保存着用户的登录名、加过密的口令数据项、用户ID（UID）、缺省的用户分组ID（GID）、姓名、用户登录子目录以及登录后使用的shell。这个文件的每一行