1、第7讲 Linux用户管理第7讲 Linux用户管理用户管理配置文件: 2用户信息文件:/etc/passwd 2密码文件:/etc/shadow 2手工添加用户的步骤: 3用户组的信息:/etc/group 3新用户配置文件目录:/etc/skel 3登录信息文件:/etc/motd 4添加用户: 4useradd 选项 用户名 D 查看缺省参数 4passwd 用户名 (-d)空密码 4SetUID(4)(SUID): U=user 4修改用户信息: 5useradd 5usermod mod for modify 5userdel del for delete 6用户组管理命令: 6gr
2、oupadd 添加用户组 6groupmod -n 新组名 旧组名 6groupdel 删除组 6gpasswd (UNIX不支持,AIX、Solaris、HP-UX) 6用户授权实例: 7用户管理命令: 7管理员授权 sudo: 8案例:限制用户su为root: 10用户授权案例:授权用户jack和mary对目录/software 有写权限 10用户管理配置文件:在linux中在命令模式下写的命令,一般只是当前生效。只有写入配置文件后才能长期有效 帮助类型:命令的帮助1、配置文件的帮助5、 如果想得到命令或配置文件的帮助,先用whereis 查看命令或配置文件的查看帮助顺序号 然后用:man
3、 顺序号 命令或配置文件用户信息文件:/etc/passwd 查看系统所有用户:vi /etc/passwd每个用户的信息占一行:account:password:UID:GID:GECOS:directory:shell 例如root 用户:root:x:0:0:root:/root:/bin/bash 统计用户数:wc -l /etc/passwd root-用户名x-密码位(并没有存放真正的密码)UID-User ID 用户数字标识,ID=0 就是管理员 超级用户:root UID=0;普通用户:UID:500-60000;伪用户:UID :1-499 伪用户:a.不能登录系统 命令解释
4、器为/sbin/nologin, b.大多是没有宿主目录GID-Group ID 缺省用户组标识 用户组:同样类型的用户集合 1、每个用户必须有至少一个用户组 添加用户没指定用户组,系统会缺省创建一个和用户同名的组 功能组webadmin、组织组project 2一个用户可以属于多个组 3、授权:对用户组授权就是对组内成员授权GECOS-描述 建议写描述 jacklee project01 lisidirectory-用户宿主目录 root-/root user-/home/usernameshell-命令解释器 /bin/bash密码文件:/etc/shadow 例如:root:$1$aYs
5、b7lwt$xi5CNJbidxZ9leZBuyT4u.:15103:0:99999:7: Root:用户名 $1$aYsb7lwt$xi5CNJbidxZ9leZBuyT4u:密码的密文 15103:密码最后修改时间(天) 0:密码最小修改时间(天) 99999:密码最大修改时间(天) 限定用户定期更改密码 7:警告时间(天) 注:最大间隔时间和警告时间配合使用 注:/etc/passwd里存放的是用户名的信息,系统登录时检测里面的用户名 /etc/shadow里存放的是用户的密码信息,系统登录时检测里面的密码 将/etc/shadow里的密码回写到/etc/passwd里用命令:pwunc
6、onv 将/etc/passwd里的密码写到/etc/shadow里用命令:pwconv 范例: rootlocalhost # grep shaolin /etc/passwd /etc/shadow/etc/passwd:shaolin:x:501:501:/home/shaolin:/bin/bash/etc/shadow:shaolin:$1$ExCbqRpk$ZTzt9Ikkipft98Zy5S7om0:15104:0:99999:7:rootlocalhost # pwunconvrootlocalhost # grep shaolin /etc/passwd /etc/shado
7、w/etc/passwd:shaolin:$1$ExCbqRpk$ZTzt9Ikkipft98Zy5S7om0:501:501:/home/shaolin:/bin/bashgrep: /etc/shadow: No such file or directoryrootlocalhost # pwconvrootlocalhost # grep shaolin /etc/passwd /etc/shadow/etc/passwd:shaolin:x:501:501:/home/shaolin:/bin/bash/etc/shadow:shaolin:$1$ExCbqRpk$ZTzt9Ikkip
8、ft98Zy5S7om0:15110:0:99999:7:rootlocalhost #手工添加用户的步骤: 1、写入用户信息到/etc/passwdsheldon:x:510:3:ftpadmin wangwu:/home/sheldon:/bin/bash2、写入密码信息到/etc/shadowsheldon:15109:0:99999:7:3、创建用户宿主目录mkdir /home/sheldon宿主目录:权限为700,所有者为用户,所属组为用户的缺省组chmod 700 /home/sheldon ; chown sheldon /home/sheldon ; chgrp sys /h
9、ome/Sheldon用户组的信息:/etc/group 例如:sys:x:3:root,bin,admsys-组名(必须有含义)x-组的密码位(组密码的作用:当一个用户不是组内成员还想声明具有组权限时使用)3-组IDroot,bin,adm-组内成员列表 查看一个属于哪些用户组的命令:groups 用户名新用户配置文件目录:/etc/skel 一般给新添加的用户所发的信息文件都放在/etc/skel .同时这个信息文件发送到新添加用户的宿主目录下。 范例: rootlocalhost skel# lsrdrootlocalhost skel# cat rdjfkjdkfjskjfsljfkd
10、jsfkljsakfjdsjfkldsjfrootlocalhost skel# useradd qianrootlocalhost skel# ls /home/qianrdrootlocalhost skel# cat /home/qian/cdcat: /home/qian/cd: No such file or directoryrootlocalhost skel#登录信息文件:/etc/motd 用户成功登录后显示信息 范例:rootlocalhost etc# vi /etc/motd hellowelcome to /etc/motd readonly 2L, 35C 添加用户
11、:useradd 选项 用户名 D 查看缺省参数-u UID用户数字标识,ID=0 就是管理员-g group 缺省组 *-G 指定用户所属的其他组-d home directory 宿主目录-s shell 命令解释器-c comment 描述 *-e expire 失效时间 yyyy/mm/ddpasswd 用户名 (-d)空密码SetUID(4)(SUID): U=user特殊的权限为s, 4为SetUID的权限号 当一个可执行文件具有SetUID权限,用户执行时会以这个文件所有者身份执行。linux系统中默认所有的命令所有者都是root例如:touch授予(取消)SetUID(4)ch
12、mod u+s touch或 chmod 4755 touchchmod u-s touch chmod 755 touch范例:marylocalhost $ touch file01marylocalhost $ ls -l file01-rw-rw-r- 1 mary mary 0 05-15 19:36 file01rootlocalhost # chmod u+s /bin/touchrootlocalhost # ls -l /bin/touch-rwsr-xr-x 1 root root 42284 2010-03-01 /bin/touchmarylocalhost $ tou
13、ch file02marylocalhost $ ls -l file02-rw-rw-r- 1 root mary 0 05-15 19:40 file02marylocalhost $ ls -l /bin/touch-rwsr-xr-x 1 root root 42284 2010-03-01 /bin/touchSetGID:当一个可执行文件具有SetGID,那么用户执行文件时调用用户组的身份时会以文件所属组的身份执行创建文件默认的所属组就是用户的缺省组 SetGID(2) G=groupchmod g+s chmod 2755 /这里的2是SetUID 授予所有者的权限号chmod
14、u+s,g+s chmod 6755 /这里的6是SetUID 授予所属组的权限号rootlocalhost # chmod 6755 /bin/touchrootlocalhost # ls -l /bin/touch-rwsr-sr-x 1 root root 42284 2010-03-01 /bin/touch、 这的0022中的第一0就是特殊权限位。 特殊权限有三个:SetUID(4), 所有者SetGID(2), 所属组粘着位(-1) 其他人 同时设置SetUID(4), SetGID(2)可以写成:chmod u+s,g+s 或 chmod 6755 用find perm 权限(
15、4000)/ 来查找那些命令授予了777(setUID权限和SetGID)权限 范例:find / -perm -4000 -o -perm -2000粘着位t(1):当权限为777的目录被授予粘着位,用户只能在此目录下删除自己是所有者的文件 用法和SetUID 和SetGID一样。 范例:rootlocalhost # mkdir /permrootlocalhost # touch /perm/testfilerootlocalhost # chmod 777 /permrootlocalhost # ls -ld /permdrwxrwxrwx 2 root root 4096 May
16、18 14:42 /permrootlocalhost # ls -l /perm/testfile-rw-r-r- 1 root root 0 May 18 14:42 /perm/testfilerootlocalhost # rootlocalhost # su - leon-bash-3.2$ rm /perm/testfilerm: remove write-protected regular empty file /perm/testfile? y-bash-3.2$ exitlogoutrootlocalhost # ls -ld /tmpdrwxrwxrwt 22 root r
17、oot 4096 May 18 13:59 /tmprootlocalhost # umask0022rootlocalhost # ls -ld /permdrwxrwxrwx 2 root root 4096 May 18 14:42 /permrootlocalhost # touch /perm/testfilerootlocalhost # chmod o+t /permrootlocalhost # ls -ld /permdrwxrwxrwt 2 root root 4096 May 18 14:46 /permrootlocalhost # su - leon-bash-3.2
18、$ rm /perm/testfilerm: remove write-protected regular empty file /perm/testfile? yrm: cannot remove /perm/testfile: Operation not permitted-bash-3.2$ touch /perm/leonfile-bash-3.2$ rm /perm/leonfile修改用户信息:useradd usermod mod for modifyusermod和useradd选项一样-l 改变用户名 usermod -l 新用户名 旧用户名 例如:usermod l sam
19、lee d /home/samlee g lampbrother liming 将用户liming的登录名改为samlee,加入到lampgbrotheer组中,用户目录改为/home/samlee-G把用户添加到用户组 usermod -G 组名 用户名例如:usermod G softgroup samlee /将用户samlee添加到softgroup用户组中userdel del for delete-r 删除用户的同时删除宿主目录/etc/passwd /etc/shadow /etc/group /home/username使用find命令查找属于某个用户或用户组的文件 find
20、user 用户名或 find group 用户组名用户组管理命令:groupadd 添加用户组 例如:groupadd webadmingroupmod -n 新组名 旧组名 例如:groupmod n apache webadmin /修改webadmin组名为apachegroupdel 删除组 groupdel 用户组名gpasswd (UNIX不支持,AIX、Solaris、HP-UX)设置组密码:gpasswd 组名保存组的密码的地方:/etc/gshadowftpadmin:$1$LT50t8ON$EyjKT2Ns3B1EohAIc77dJ1: 组名 密码 组管理员 组内成员gro
21、ups查看用户隶属哪些组 groups 用户名id查看用户UID、缺省组、隶属哪些组 id 用户名newgrp切换缺省组或加入组添加用户到用户组gpasswd -a 用户名 组名 add/etc/sysconfig/i18n LANG=从组中删除用户gpasswd -d 用户名 组名 delete设置组管理员gpasswd -A 用户名 组名 Administratorgrep 用户名 /etc/gshadow 确认管理员删除组密码 gpasswd -r 组名限制用户登录:passwd -l 用户名 lock /实际就是把用户的密码改了 或:usermod L 用户名解除用户登录:passwd
22、 -u 用户名 unlock 或:username U 用户名用户授权实例:授权一个用户sam对/website有写权限chown sam /website授权多个用户leon、john对/website有写权限原理:改变/website所属组,把用户添加到所属组,对组授权groupadd webadmin 添加新的用户组chgrp webadmin /website 改变所属组chmod g+w /website 授权组有写权限gpasswd -a leon webadmingpasswd -a john webadmin 添加用户到所属组用户sam对/script/testsuid.sh有
23、执行权限Chmod 755 /script/testsuid.sh rxChmod 755 /script rx用户zhangsan有写权限,lisi有读写权限,wangwu有读执行权限 ACL 访问控制列表用户管理命令: pwck :检测/etc/passwd , /etc/shadow 两个文件是否有错误信息 grpck :检测/etc/group /etc/gshadow两个文件是否有错误信息 newgrp 组名 /切换用户组 必须是组内成员 范例: id 用户名 /查看用户UID 和组信息 finger 用户名 /查看用户详细信息 例如:rootlocalhost # finger s
24、haolinLogin: shaolin Name: (null)Directory: /home/shaolin Shell: /bin/bashLast login Mon May 16 18:40 (CST) on tty2 /该用户最后一次登录时间No mail. /邮件信息No Plan. /计划信息rootlocalhost # su 用户名 /切换用户(su 用户名 环境变量切换) passwd S 用户名 /查看用户密码状态 who /查看当前登录用户信息管理员授权 sudo: 配置:visudo 配置文件:/etc/sudoers 格式:用户名 本机地址=命令(%组名) (I
25、P地址) (绝对路径) 多个命令逗号分隔用户执行:sudo 授权命令 -l 查看有哪些授权命令1、授权用户可以以root身份执行命令2、授权命令可以具体到选项和参数leon 192.168.15.79=/sbin/shutdown -h now 范例:给用户u1授权添加用户的命令: rootlocalhost # which useradd/usr/sbin/useraddrootlocalhost # visudo 93 # %users localhost=/sbin/shutdown -h now 94 zhuangql 192.168.15.102=/usr/sbin/useradd
26、/在visudo里的最后一行添加此内容后保存退出 95rootlocalhost # su zhuangql zhuangqllocalhost $ sudo l User zhuangql may run the following commands on this host: (root) /usr/sbin/useradd /zhuangql用户以root用户的身份执行useradd命令 zhuangqllocalhost $ sudo /usr/sbin/useradd zhuangql1zhuangqllocalhost $apache授权案例:1、 修改配置文件有三种方法:a.设置
27、用户为配置文件的所有者 chown b. 改变所属组,把用户加入组,授予组w权限 c.visudo : 用户密码 本机地址(IP地址)=/bin/vi /etc/httpd/conf/httpd.conf2、 服务启动脚本控制/etc/rc.d/init.d/httpd start/reload/status/configtestconfigtest 检测配置文件语法错误3、更新网页/var/www/html 授权有写权限 chmod u=w /var/www/html 代码如下: 1.2.rootlocalhost # /etc/rc.d/init.d/httpd statushttpd (
28、pid 3914) is running.rootlocalhost # visudo 94 zhuangql 192.168.15.102=/usr/sbin/useradd 95 zhuangql 192.168.15.102=/bin/vi /etc/httpd/conf/httpd.conf , /etc/rc.d.init.d/httpd start,/etc/rc.d.init.d/httpd reload,/etc/rc.d.init.d/httpd status,/etc/rc.d.init.d/httpd configtest /在visudo里的最后一行添加此内容rootl
29、ocalhost # su - zhuangqlzhuangqllocalhost $ sudo /bin/vi /etc/httpd/conf/httpd.confsudo password for zhuangql:zhuangqllocalhost $ sudo lUser zhuangql may run the following commands on this host: (root) /usr/sbin/useradd (root) /bin/vi /etc/httpd/conf/httpd.confzhuangqllocalhost $ sudo /bin/vi /etc/httpd/conf/httpd.conf, /执行此命令后zhuangql 可以修改http.conf中的内容 zhuangqllocalhost $ sudo /etc/rc.d/init.d/httpd startStarting httpd: zhuangqllocalhost $ sudo /etc/rc.d/init.d/httpd reload Reloading httpd: OK zhuangqllocalhost $3.chown zhuangql /var/www/html案例:限制用户su
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 