LINUX操作系统基础-账号与身份管理

IT Education&TrainingDate:1/2/2023计算机系 罗海波 第第19讲讲 账号与身份管理（一）账号与身份管理（一）IT Education&TrainingDate:1/2/2023本讲内容本讲内容1、什么是、什么是ID2、管理账号必要的两个文件、管理账号必要的两个文件2.1、/etc/passwd构造构造2.2、/etc/shadow构造构造3.1、/etc/group结构结构3.2、/etc/gshadow结构结构3.3、有效用户与初始用户组、有效用户与初始用户组IT Education&TrainingDate:1/2/20234.1.1、新增用户、新增用户4.1.2、新增用户的参考文件、新增用户的参考文件4.2、设置密码、设置密码4.3、删除用户、删除用户IT Education&TrainingDate:1/2/20231、什么是、什么是IDLinux主机并不会直接认识主机并不会直接认识“账账号名称号名称”，它仅认识，它仅认识ID。ID就是就是一组号码。一组号码。主机识别的是数字，主机识别的是数字，账号只是为了让人们容易记忆而账号只是为了让人们容易记忆而已。已。ID与账号的对应关系就在与账号的对应关系就在/etc/passwd。IT Education&TrainingDate:1/2/2023每个用户登录至少会取得两个每个用户登录至少会取得两个ID，一个是用户，一个是用户ID，简称，简称UID；一；一个是用户组个是用户组ID，简称，简称GID。IT Education&TrainingDate:1/2/20232、管理账号必要的两个文件、管理账号必要的两个文件2.1、/etc/passwd构造构造2.2、/etc/shadow构造构造IT Education&TrainingDate:1/2/20232.1、/etc/passwd构造构造每一行代表一个账号。每一行代表一个账号。该文件里面包括了很多系统账号该文件里面包括了很多系统账号，如，如，bin、daemon、adm和和nobody等，这些是系统正常运等，这些是系统正常运行必要的，请勿随意删除。行必要的，请勿随意删除。IT Education&TrainingDate:1/2/2023请大家执行如下语句：请大家执行如下语句：IT Education&TrainingDate:1/2/2023可以看到以冒号（可以看到以冒号（:）为分隔符）为分隔符，共有，共有7个字段（列）。个字段（列）。分别表示：分别表示：第一列：第一列：账号名称账号名称，对应，对应UID。第二列：第二列：密码密码，如果标为，如果标为x，则，则表明密码已在表明密码已在/etc/shadow加密加密IT Education&TrainingDate:1/2/2023第三列：第三列：UID，表示用户识别码，表示用户识别码第四列：第四列：GID，用来规范用户组，用来规范用户组，与文件，与文件/etc/group有关。有关。第五列：第五列：用户信息说明栏用户信息说明栏，用于，用于解释这个账号的意义。解释这个账号的意义。第六列：第六列：用户家目录用户家目录。IT Education&TrainingDate:1/2/2023第七列：第七列：shell，用于当执行命令，用于当执行命令后，各硬件接口之间的通信。通后，各硬件接口之间的通信。通常用常用/bin/bash这个这个shell。但。但/sbin/nologin表示用来替代让账表示用来替代让账号无法登录的号无法登录的shell命令。命令。IT Education&TrainingDate:1/2/2023IT Education&TrainingDate:1/2/20232.2、/etc/shadow构造构造/etc/shadow是加了很多密码限是加了很多密码限制参数的文件。制参数的文件。请大家执行如下语句：请大家执行如下语句：IT Education&TrainingDate:1/2/2023同样，同样，/etc/shadow也是以冒号也是以冒号（:）作为分隔符，共分）作为分隔符，共分9个字段个字段（列）。（列）。第一列：第一列：账号名称账号名称，与，与/etc/passwd相同。相同。第二列：第二列：密码密码，编码过后的密码，编码过后的密码IT Education&TrainingDate:1/2/2023需要注意：需要注意：密码有可能被破解，因此，密码有可能被破解，因此，/etc/shadow默认属性是默认属性是-rw-或者是或者是-r-，即只有即只有root才能读写。才能读写。如果这列第一字符为！或者是如果这列第一字符为！或者是*，表示这，表示这个账号不会用来登录。个账号不会用来登录。IT Education&TrainingDate:1/2/2023第三列：第三列：最近更改密码的日期最近更改密码的日期，记录了更改密码那天的日期，并记录了更改密码那天的日期，并以数字出现，因为以数字出现，因为linux日期时日期时间是以间是以1970年年1月月1日作为日作为1，而，而1971年年1月月1日为日为366，这样累加，这样累加得来的。得来的。IT Education&TrainingDate:1/2/2023第四列：第四列：密码不可更改的天数密码不可更改的天数，记录了该账号需要过多少天才可记录了该账号需要过多少天才可以更改。如果是以更改。如果是0的话，表示密的话，表示密码随时可以更改。假设为码随时可以更改。假设为20时，时，并设置了密码，表示并设置了密码，表示20天内都无天内都无法更改这个密码。法更改这个密码。IT Education&TrainingDate:1/2/2023第五列：第五列：密码需要重新更改的天密码需要重新更改的天数数，必须在这个时间内进行密码，必须在这个时间内进行密码更新，否则这个账号会暂时失效更新，否则这个账号会暂时失效，主要是针对密码安全的。，主要是针对密码安全的。但如果标为但如果标为99999的话，表示密的话，表示密码不需要重新输入。码不需要重新输入。IT Education&TrainingDate:1/2/2023第六列，第六列，密码更改期限前的警告密码更改期限前的警告天数天数，当账号的密码失效期限快，当账号的密码失效期限快到的时候，就是上面那个到的时候，就是上面那个“必须必须更改密码更改密码”的时间，系统会提出的时间，系统会提出警告，字样：警告，字样：再过再过n天您的密码天您的密码就要失效了，请尽快重新设置密就要失效了，请尽快重新设置密码。码。IT Education&TrainingDate:1/2/2023第七列：第七列：密码过期宽限时间密码过期宽限时间，意，意思是当密码失效后，还可以用这思是当密码失效后，还可以用这个密码在个密码在n天内进行登录，如果天内进行登录，如果在这个在这个n天内还是没有更改密码天内还是没有更改密码，那该账号就会失效，无法再登，那该账号就会失效，无法再登录。录。IT Education&TrainingDate:1/2/2023第八列：第八列：账号失效日期账号失效日期，表示该，表示该账号在此字段规定的日期之后，账号在此字段规定的日期之后，将无法再使用。将无法再使用。第九列：第九列：为保留字段为保留字段，以备以后，以备以后有新的功能加入。有新的功能加入。IT Education&TrainingDate:1/2/2023举例举例lhb:13025:5:60:7:2:13125:13025表示表示2005年年8月月30日日5表示表示能够修改密码的时间是能够修改密码的时间是5天后天后60表示表示用户必须在用户必须在2005年年9月月4日至日至2005年年10月月29日之间的日之间的60天限制内修天限制内修改密码，若改密码，若2005年年10月月29日之后还是没日之后还是没有修改，该账号会声明失效。有修改，该账号会声明失效。IT Education&TrainingDate:1/2/20237表示表示在在2005年年10月月29日之前的日之前的7天内天内，系统警告，系统警告lhb应该修改密码。应该修改密码。2表示表示如果在如果在2005年年10月月29日都没有更日都没有更改密码，由于还有两天的宽限时间，因改密码，由于还有两天的宽限时间，因此，此，lhb还是可以在还是可以在2005年年10月月31日以日以前继续登录。前继续登录。13125表示表示大约在大约在2005年年12月月8日左右日左右，该账号就失效了。，该账号就失效了。IT Education&TrainingDate:1/2/20233、关于用户组、关于用户组3.1、/etc/group结构结构3.2、/etc/gshadow结构结构3.3、有效用户与初始用户组、有效用户与初始用户组IT Education&TrainingDate:1/2/20233.1、/etc/group结构结构/etc/group是用来记录是用来记录GID与用与用户组名称的。结构如下户组名称的。结构如下IT Education&TrainingDate:1/2/2023还是以冒号（还是以冒号（:）为分隔符。）为分隔符。第一列：第一列：用户组名称用户组名称第二列：第二列：用户组密码用户组密码，通常不设置，通常不设置，很少用，记录在，很少用，记录在/etc/gshadow第三列：第三列：GID，用户组，用户组ID。第四组：第四组：支持的账号名称支持的账号名称，即加入，即加入这个用户组里的所有账号。这个用户组里的所有账号。IT Education&TrainingDate:1/2/20233.2、/etc/gshadow结构结构/etc/gshadow是记录用户组密是记录用户组密码的文件。结构如下：码的文件。结构如下：第一列：第一列：用户组名称用户组名称。第二列：第二列：密码栏密码栏，开头为！表示，开头为！表示无法登录。无法登录。第三列：第三列：用户组管理员账号用户组管理员账号。第四列：第四列：该用户组的所属账号该用户组的所属账号。IT Education&TrainingDate:1/2/20233.3、有效用户与初始用户组、有效用户与初始用户组假设一个用户加入多个组，那么假设一个用户加入多个组，那么用户在工作的时候到底属于哪个用户在工作的时候到底属于哪个组？组？IT Education&TrainingDate:1/2/2023初始用户组（初始用户组（initial group）就）就由该用户在其由该用户在其/etc/passwd里的里的第四栏的第四栏的GID决定。决定。IT Education&TrainingDate:1/2/2023有效用户组（有效用户组（effectivegroup）表示一个用户同时支持多用户组表示一个用户同时支持多用户组的时候，应用时（例如建立文件的时候，应用时（例如建立文件是）的所属的组。是）的所属的组。lhblhb$groupslhb users（排在前头的为有效（排在前头的为有效组）组）IT Education&TrainingDate:1/2/2023需要切换有效组的命令需要切换有效组的命令newgrplhblhb$newgrp userslhblhb$groupsusers lhblhblhb$exit（立刻离开新的有效组立刻离开新的有效组）exitlhblhb$groupslhb usersIT Education&TrainingDate:1/2/20234、账号管理、账号管理4.1.1、新增用户、新增用户4.1.2、新增用户的参考文件、新增用户的参考文件4.2、设置密码、设置密码4.3、删除用户、删除用户IT Education&TrainingDate:1/2/20234.1.1、新增用户、新增用户新增用户命令格式：新增用户命令格式：rootlhb#useradd-u UID -g initial_group-G other_group -Mm-c 说明栏说明栏-d home-s shell username-u:后面接后面接UID，是一组数字。，是一组数字。-g：后面接的用户组名称，就是上面提过的初始用：后面接的用户组名称，就是上面提过的初始用户组。会自动放置到户组。会自动放置到/etc/passwd第四栏。第四栏。IT Education&TrainingDate:1/2/2023选项说明选项说明-G：后面接的用户组名称是这个账号还可以支持的：后面接的用户组名称是这个账号还可以支持的用户组，会修改用户组，会修改/etc/group的相关数据。的相关数据。-M：强制，不要建立用户家目录。：强制，不要建立用户家目录。-m：强制，要建立用户家目录。：强制，要建立用户家目录。-c：这个是：这个是/etc/passwd的第的第5栏说明内容。栏说明内容。-d：指定某个目录成为家目录。：指定某个目录成为家目录。-r：建立一个系统账号，这个账号的：建立一个系统账号，这个账号的UID会有限制会有限制（/etc/login.defs）-s:后面接一个后面接一个shell，默认是，默认是/bin/bash。IT Education&TrainingDate:1/2/2023练习练习例例1，给系统添加一个名称为，给系统添加一个名称为lhbtest的账户的账户rootlhb#useradd lhbtestrootlhb#ls-l/home鎬昏鎬昏 16drwx-4 lhb lhb 4096 11-16 19:18 lhbdrwx-4 lhbtest lhbtest 4096 11-29 20:42 lhbtestdrwxr-r-2 root root 4096 11-16 16:56 rootIT Education&TrainingDate:1/2/2023查看增加用户后的相关文件查看增加用户后的相关文件rootlhb#grep lhbtest/etc/passwd/etc/shadow/etc/group/etc/passwd:lhbtest:x:501:501:/home/lhbtest:/bin/bash/etc/shadow:lhbtest:!:14577:0:99999:7:/etc/group:lhbtest:x:501:IT Education&TrainingDate:1/2/2023例例2，系统有个用户组，系统有个用户组users，且，且UID 700并不存在，请用这两个并不存在，请用这两个参数给参数给lhbtest2建立一个账号建立一个账号rootlhb#useradd-u 700-g users lhbtest2rootlhb#ls-l/home结果省略。结果省略。rootlhb#grep lhbtest2 /etc/passwd/etc/shadow/etc/group结果省略。结果省略。IT Education&TrainingDate:1/2/2023例例3，建立一个系统账号，名称为，建立一个系统账号，名称为lhbtest3rootlhb#useradd-r lhbtest3rootlhb#grep lhbtest3 /etc/passwd/etc/shadow/etc/group/etc/passwd:lhbtest3:x:101:104:/home/lhbtest3:/bin/bash/etc/shadow:lhbtest3:!:14577:/etc/group:lhbtest3:x:104:IT Education&TrainingDate:1/2/2023总结，账号的增加会给一下文件总结，账号的增加会给一下文件带来改变：带来改变：/etc/passwd/etc/shadow/etc/group/etc/gshadow/home/usernameIT Education&TrainingDate:1/2/20234.1.2、新增用户的参考文件、新增用户的参考文件实际上在新增用户时，实际上在新增用户时，linux至至少会参考如下文件少会参考如下文件/etc/default/useradd/etc/skel/*IT Education&TrainingDate:1/2/2023/etc/default/useradd内容解释内容解释IT Education&TrainingDate:1/2/2023IT Education&TrainingDate:1/2/2023/etc/skel/*是用户家目录建立时是用户家目录建立时的参考目录，新用户的家目录的的参考目录，新用户的家目录的各项数据，都是由各项数据，都是由/etc/skel所复所复制过去的。制过去的。IT Education&TrainingDate:1/2/20234.2、设置密码、设置密码命令格式：命令格式：rootlhb#passwd 用户名用户名IT Education&TrainingDate:1/2/2023例子例子例例1，root要帮要帮lhb修改密码修改密码rootlhb#passwd lhbChanging password for user lhb.New UNIX password:BAD PASSWORD:it is too simplistic/systematicRetype new UNIX password:passwd:all authentication tokens updated successfully.IT Education&TrainingDate:1/2/2023例例2：lhb要修改自己的密码。要修改自己的密码。lhblhb$passwdChanging password for user lhb.Changing password for lhb(current)UNIX password:New UNIX password:（密码简单的时候）（密码简单的时候）BAD PASSWORD:it is too simplistic/systematicNew UNIX password:Retype new UNIX password:passwd:all authentication tokens updated successfully.IT Education&TrainingDate:1/2/20234.2、删除用户、删除用户命令格式命令格式rootlhb#userdel -r 用户名用户名-r：连用用户家目录也一起删了：连用用户家目录也一起删了IT Education&TrainingDate:1/2/2023练习练习例例1，删除，删除lhbtest2，连同家目录也一起删除。，连同家目录也一起删除。rootlhb#userdel-r lhbtest2rootlhb#ls-l/home鎬昏鎬昏 16drwx-4 lhb lhb 4096 11-16 19:18 lhbdrwx-4 lhbtest lhbtest 4096 11-29 20:42 lhbtestdrwxr-r-2 root root 4096 11-16 16:56 root-rw-r-r-1 root root 0 11-16 16:52 testingIT Education&TrainingDate:1/2/2023Thank you!谢谢！IT Education&TrainingDate:1/2/2023Root用户登录用户登录#vi/etc/group:set nu 22gi键键users用户组：用户组：lhb：wq！#vi/etc/gshow