中國水利水電出版社項目三

Linux用戶與組群管理【項目導入】Linux操作系統(tǒng)是一個多用戶多任務的操作系統(tǒng)，允許多個用戶同時登錄到系統(tǒng)，使用系統(tǒng)資源。為了使所有用戶的工作順利進行，保護每個用戶的文件和進程，規(guī)范每個用戶的權(quán)限，需要區(qū)分不同的用戶，就產(chǎn)生了用戶帳戶和組群。中國水利水電出版社【知識目標】

了解用戶和組群配置文件掌握Linux下用戶及組群的創(chuàng)建與維護管理理解文件及目錄權(quán)限的含義掌握權(quán)限的設置方法中國水利水電出版社【能力目標】

學會管理用戶及組群學會修改用戶賬戶的屬性掌握文件及目錄權(quán)限的修改方法中國水利水電出版社3.1用戶與組群的配置3.1.1用戶與組群介紹1.用戶ID與用戶賬號用戶在登錄Linux主機的時候，輸入的是用戶的賬號。但是其實Linux主機并不會直接識別用戶的的賬號，它只能認識用戶ID。Linux上的用戶有三種：超級用戶（root）、普通用戶和系統(tǒng)用戶。超級用戶：即root用戶，擁有計算機系統(tǒng)的最高權(quán)限。普通用戶：由超級用戶創(chuàng)建，普通用戶帳戶在系統(tǒng)上的任務是進行普通工作，權(quán)限有限。系統(tǒng)用戶：是與系統(tǒng)服務相關的用戶，通常在安裝軟件包時自動創(chuàng)建，一般不需要改變其默認設置。中國水利水電出版社2./etc/passwd文件用來存放除了用戶口令之外的用戶帳戶信息。該文件中有七個字段，各字段之間用：隔開，名字及含義如下：用戶名：對應uid。密碼：uid：這就是用戶的識別碼。GID：組ID。用戶描述：這個字段用來解釋賬戶的作用。主目錄：用戶的家目錄。登錄Shell：用于當你執(zhí)行命令后，各硬件接口之間的通信。中國水利水電出版社3./etc/shadow文件用以存放用戶口令，只有超級用戶才能查看其內(nèi)容。共9個字段用來表示用戶屬性信息。從左至右各字段含義如下：用戶名，排列順序和/etc/passwd文件保持一致。34位加密口令，若是“！！”，則表示這個賬戶無口令，不能登錄。上次改動密碼的日期。密碼不可被改動的天數(shù)。密碼需要重新變更的天數(shù)。密碼變更期限快到前的警告期。賬戶失效日期。賬戶取消日期。保留域。中國水利水電出版社4.用戶組群組是用戶的集合，在系統(tǒng)中組有兩種：私人組群和系統(tǒng)組群。5./etc/group文件用以存放組群帳戶信息，所有用戶都可以查看其內(nèi)容。6./etc/gshadow文件根據(jù)/etc/group文件而產(chǎn)生，用以存放組群口令、管理員等管理信息內(nèi)容，和/etc/shadow文件類似，只有超級用戶才能查看。中國水利水電出版社3.1.2管理用戶及組群命令1.useradd命令格式：useradd[-uUID][-g私人群組][-G附加群組][-mM]功能：useradd可用來建立用戶賬號。例：建立一個新用戶賬戶jordan，并設置ID為523。[root@localhost~]#useraddjordan-u523中國水利水電出版社2.passwd命令格式：passwd[選項][用戶]功能：設置或修改用戶的密碼。該命令可選參數(shù)如下：-l：暫時鎖定指定帳戶。-u：解除指定用戶帳號的鎖定。例：為jordan設置初始口令。[root@localhost~]#passwdjordan中國水利水電出版社3.usermod命令格式：usermod[參數(shù)]用戶名功能：修改用戶帳號的屬性。常用選項如下：-g<群組>：修改用戶所屬的群組。-G<群組>：修改用戶所屬的附加群組。-l<帳號名稱>：修改用戶帳號名稱。-L：鎖定用戶密碼，使密碼無效。-u<uid>：修改用戶ID。-U：解除密碼鎖定。中國水利水電出版社4.userdel命令格式：userdel[-r][用戶帳號]功能：刪除用戶帳號。5.chage命令格式：chage[選項]username功能：修改帳號和密碼的有效期限。中國水利水電出版社6.groupadd命令格式：groupadd[選項][用戶組]功能：增加一個新的用戶組使用。常用選項：-gGID：指定新用戶組的組標識號（GID）。例：創(chuàng)建一個wangkai群組。[root@localhosthome]#groupaddwangkai中國水利水電出版社7.groupmod命令語法：groupmod[-g<群組識別碼>][-n<新群組名稱>][群組名稱]功能：更改群組識別碼或名稱。8.groupdel命令格式：groupdel[群組名稱]功能：刪除指定群組。中國水利水電出版社9.gpasswd命令格式：gpasswd[選項]組帳號功能：將用戶添加到指定的組，使其稱為改組的成員。常用選項：-a：添加用戶到組。-d：從組刪除用戶。-A：為組指定管理員。-M：指定多個組成員。中國水利水電出版社10.用戶和組群的維護命令（1）id命令（2）finger命令（3）chfn命令（4）chsh命令

（5）whoami命令（6）su命令中國水利水電出版社3.1.3用戶管理器的使用中國水利水電出版社任務3-1：在圖形界面下添加用戶和組群1.任務描述某高校配置Linux操作系統(tǒng)，需要在該系統(tǒng)上添加三個賬戶user1、user2、user3，為了便于管理，還需要將這三個用戶添加students群組中。2.操作步驟中國水利水電出版社中國水利水電出版社3.2文件權(quán)限管理3.2.1文件權(quán)限的含義1.訪問權(quán)限讀取權(quán)限（read）：瀏覽文件/目錄中內(nèi)容的權(quán)限。寫入權(quán)限（write）：對文件而言是修改文件內(nèi)容的權(quán)限；對目錄而言是刪除、添加和重命名目錄內(nèi)文件的權(quán)限。執(zhí)行權(quán)限（execute）：對可執(zhí)行文件而言是允許執(zhí)行的權(quán)限；而對目錄來講是進入目錄的權(quán)限。 中國水利水電出版社2.與文件權(quán)限相關的用戶分類文件所有者（Owner）：建立文件或目錄的用戶。同組用戶（Group）：文件所屬組群中的所有用戶。其它用戶（Other）：既不是文件所有者，又不是同組用戶的其他所有用戶。中國水利水電出版社3.訪問權(quán)限的表示法字母表示數(shù)字表示權(quán)限含義---0無任何權(quán)限--x1可執(zhí)行（eXecute）-w-2可寫（Write)-wx3可寫和可執(zhí)行r--4只讀（Read）r-x5只讀和可執(zhí)行rw-6可讀和可寫rwx7可讀、可寫和可執(zhí)行中國水利水電出版社3.2.2修改文件權(quán)限的shell命令1.chmod命令格式：chmod[參數(shù)][模式]文件功能：用于改變文件或目錄的訪問權(quán)限，用它控制文件或目錄的訪問權(quán)限。模式分為數(shù)字模式和功能模式。數(shù)字模式為一組三位數(shù)字，如755、644等。中國水利水電出版社功能模式可由以下三部分組成。（1）對象u：用戶。g：群組。o：其他用戶。a：所有的用戶及群組。（2）操作符＋：增加權(quán)限。－：刪除權(quán)限。＝：賦予給定權(quán)限。（3）權(quán)限r(nóng)(read)：讀取權(quán)限。w(write)：寫入權(quán)限。x(execute)：執(zhí)行權(quán)限。例：針對helen用戶的2015文件增加所有用戶對文件的執(zhí)行權(quán)限。[root@localhosthelen]#chmoda+x2015//使用功能模式增加所有用戶的執(zhí)行權(quán)限中國水利水電出版社2.chown命令格式：

chown[選項][所有者][：[組群]]文件功能：通過chown改變文件的擁有者和群組。例：將test文件的所有者和所屬組群設置為helen用戶和helen組群。[root@localhosthelen]#chownhelen：helentest

中國水利水電出版社3.chgrp命令格式：chgrp[選項]組群文件（目錄）功能：改變文件（目錄）的所屬組群。例：將letter文件的所屬組群由helen改為root。[root@localhosthelen]#chgrprootletter中國水利水電出版社3.2.3設置文件特殊權(quán)限在Linux中除了常見rwx即讀、寫、執(zhí)行的權(quán)限外，還有三個特殊權(quán)限，分別為suid、sgid、stickkey。1．SetUIDs或S（SUID，SetUID）：作用是讓普通用戶擁有root用戶的權(quán)限，可執(zhí)行只有root才能執(zhí)行的程序。例：設置shutdown的suid，使得普通用戶可以執(zhí)行該命令關閉系統(tǒng)。[root@localhosttmp]#chmod4755/sbin/shutdown//設置suid中國水利水電出版社2．SetGIDs或S（SGID，SetGID）：設置在可執(zhí)行文件上，其效果與SUID相同，普通用戶組成員可以執(zhí)行“只有root組成員才能執(zhí)行的”可執(zhí)行文件。例：設置沒有SGID標志的/home/helen/tmpdir具有此權(quán)限。[root@localhosthelen]#chmod2755tmpdir[root@localhosthelen]#ll|greptmpdirdrwxr-sr-x.2rootroot40968月1909：29tmpdir中國水利水電出版社3．StickyBit（SBIT）粘貼位，用于限制用戶對共享資源的修改、刪除權(quán)限。帶有sticky屬性的目錄，其下面的文件及子目錄只能被其所有者或root用戶修改和刪除，其他用戶不能刪除或修改。例3：設置沒有sbit位的目錄/home/helen/sticktest具有SBIT位，且所有用戶對該目錄具有寫權(quán)限。[root@localhosthelen]#ls-ldsticktestdrwxr-xr-x.2rootroot40968月1909：58sticktest[root@localhosthelen]#chmod1777sticktest中國水利水電出版社3.2.4訪問控制列表1.ACL定義ACL是由一系列的AccessEntry所組成的。它有以下幾個類型：（1）ACL_USER_OBJ：文件（夾）所有者的權(quán)限。（2）ACL_USER：定義了額外的用戶可以對此文件或文件夾的權(quán)限。（3）ACL_GROUP_OBJ：文件（夾）所屬組的權(quán)限。（4）ACL_GROUP：定義了額外的組可以對此文件或文件夾擁有的權(quán)限。（5）ACL_MASK：定義了ACL_USER，ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限。（6）ACL_OTHER：其它用戶的權(quán)限。中國水利水電出版社2.ACL命令（1）getfacl命令格式：getfacl[選項][文件]功能：取得文件或目錄的ACL設置信息。例：查看/home/xiaohua目錄的ACL權(quán)限。[root@localhosthelen]#getfacl/home/xiaohuagetfacl：Removingleading'/'fromabsolutepathnames#file：home/xiaohua//定義目錄名#owner：xiaohua//定義所有者#group：xiaohua//定義所屬組群user：：rwx//定義目錄所有者的權(quán)限group：：---//定義目錄屬組的權(quán)限other：：---//定義其他用戶對目錄的權(quán)限中國水利水電出版社（2）setfacl命令格式：setfacl[參數(shù)][文件]功能：設置文件或目錄的ACL設置信息。例：設置helen對/home/xiaohua目錄具有rwx權(quán)限。[root@localhosthelen]#setfacl-mu：helen：rwx/home/xiaohua/中國水利水電出版社

任務3-2：基本權(quán)限及特殊權(quán)限的應用1.任務描述設系統(tǒng)中有兩個用戶賬號，分別是wangkai與wangguan，這兩個人除了在以自己名為群組名的私人群組中之外還共同加入了一個名為project的群組。請以傳統(tǒng)權(quán)限和SGID的功能設置，使得這兩個用戶共同擁有/srv/programe/目錄的開發(fā)權(quán)，且該目錄不許其他人進入查閱。中國水利水電出版社2.操作步驟（1）首先添加這兩個賬號的相關信息，如下所示：[root@localhost~]#groupaddproject[root@localhost~]#useradd–Gprojectwangkai[root@localhost~]#useradd–Gprojectwangguan[root@localhost~]#idwangkaiuid=501(wangkai)gid=502(wangkai)groups=502(wangkai)，501(project)[root@localhost~]#idwangguanuid=502(wangguan)gid=502(wangguan)groups=503(wangguan)，501(project)中國水利水電出版社（2）然后建立所需要開發(fā)的項目目錄。[root@localhost~]#mkdir/srv/programe[root@localhost~]#ll–d/srv/programedrwxr-xr-x2rootroot4096june2823：22/srv/programe（3）設置該目錄的群組應為project，權(quán)限應為770:[root@localhost~]#chgrpproject/srv/programe[root@localhost~]#chmod770/srv/programe[root@localhost~]#ll–d/srv/programedrwxrwx---2rootproject4096june2823：25/srv/programe中國水利水電出版社（4）分別用wangkai、wangguan及其他用戶jack建立文件進行測試。[root@localhost~]#suwangkai[wangkai@localhost~]#cd/srv/programe[wangkai@localhost~]#touchtest[wangkai@localhost~]#exit[root@localhost~]#suwangguan[wangguan@localhost~]#cd/srv/programe[wangguan@localhostprograme]$touchtest2[wangguan@localhostprograme]$su