用户管理和系统安全设置课件

1Thursday,July 11,2024第第9章章 系统管理和监视系统管理和监视2Thursday,July 11,20249.1 用户管理用户管理9.2 进程管理进程管理9.3 系统监视系统监视 9.4 日志查看日志查看3Thursday,July 11,2024用户与账号用户与账号 Linux系统中的用户可以分为三类：系统中的用户可以分为三类：root用用户、户、系统用户系统用户和普通用户和普通用户。Linux系统的账号分为两类：系统的账号分为两类：用户账号用户账号：通常一个操作者拥有一个用户：通常一个操作者拥有一个用户账号，每个用户账号有唯一的识别号账号，每个用户账号有唯一的识别号UID（User ID）和自己所属组的识别号）和自己所属组的识别号GID（Group ID）。）。组账号组账号：是一组用户集合的账号。通过使：是一组用户集合的账号。通过使用组账号，可以设置使一组用户对文件具用组账号，可以设置使一组用户对文件具有相同的权限。有相同的权限。4Thursday,July 11,2024用户和组的配置文件用户和组的配置文件用户和组的配置信息保存在以下三个文件用户和组的配置信息保存在以下三个文件中：中：/etc/passwd/etc/shadow/etc/group/etc/gshadow5Thursday,July 11,2024/etc/passwd文件文件每一行存储一个用户的账号信息，每一行可以包含如下每一行存储一个用户的账号信息，每一行可以包含如下7个域，个域，各域之间以冒号各域之间以冒号“：”分隔：分隔：登录名登录名：即用户名。：即用户名。口令口令：通常是一个通常是一个“x”，表示口令已被加密，加密后的，表示口令已被加密，加密后的口令存储在口令存储在/etc/shadow文件中。如果是文件中。如果是“*”，则表示该，则表示该账号已被账号已被停用停用。UID：每个用户都有一个不同的每个用户都有一个不同的ID，它是一个整数。，它是一个整数。GID：用户所属的组的用户所属的组的ID，每个组也都具有不同的，每个组也都具有不同的ID。用户信息用户信息：用户的个人资料，如用户名、电话、住址等。：用户的个人资料，如用户名、电话、住址等。主目录主目录：在默认状态下，每个用户都有一个主目录，：在默认状态下，每个用户都有一个主目录，root用户的主目录是用户的主目录是/root，管理员新建立的用户的主目录默认，管理员新建立的用户的主目录默认为为/home/。登录登录shell：设置用户在登录时使用的：设置用户在登录时使用的shell，系统默认使用，系统默认使用/bin/bash。例如：例如：root ：x ：0 ：0 ：root ：/root ：/bin/bash 6Thursday,July 11,2024/etc/shadow是是根据根据/etc/passwd文件产生文件产生的，一行存储一个组的，一行存储一个组账号的信息，各域之间以冒号账号的信息，各域之间以冒号“：”分隔：分隔：用户名。用户名。加密的口令密文。加密的口令密文。从从1970年年1 月月1日到上次口令修改日期的天数。日到上次口令修改日期的天数。口令上次修改后，要过多少天才能再修改。若为口令上次修改后，要过多少天才能再修改。若为0表示表示没有时间限制。没有时间限制。如果口令有期限限制，要过期前多少天向用户示警。如果口令有期限限制，要过期前多少天向用户示警。一般系统默认为一般系统默认为7天。天。从从1970年年1 月月1日到账号过期的天数，未过期的账号则日到账号过期的天数，未过期的账号则为空值。为空值。保留域，未使用保留域，未使用7Thursday,July 11,2024/etc/group/etc/group存储所有组账号的数据，一行表示一存储所有组账号的数据，一行表示一个组的信息，各域之间以冒号个组的信息，各域之间以冒号“：”分隔：分隔：组名组名“x”表示加密的组口令，口令的相关信息存储表示加密的组口令，口令的相关信息存储在在/etc/gshadow文件中，其形式与文件中，其形式与/etc/shadow相似。相似。组组ID（GID），系统生成的组），系统生成的组ID小于小于500，管理，管理员新建的第一个组员新建的第一个组ID为为500，以后依次递增。，以后依次递增。该组包含的用户账号列表，以逗号分隔。该组包含的用户账号列表，以逗号分隔。例如：例如：bin：x：1：root，bin，daemon8Thursday,July 11,2024/etc/gshadow是是根据根据/etc/group文件产生文件产生的，一行存储的，一行存储一个用户的信息，各域之间以冒号一个用户的信息，各域之间以冒号“：”分隔：分隔：组账号名。组账号名。加密的口令密文。加密的口令密文。组管理员列表，以组管理员列表，以“，”分隔。分隔。组成员列表，以组成员列表，以“，”分隔。分隔。9Thursday,July 11,2024用户管理用户管理/命令命令 增加用户：增加用户：useradd 选项选项 -d：指定用户主目录，默认情况下，将会在指定用户主目录，默认情况下，将会在/home目录下新建一个与用户名相同的用户主目录。目录下新建一个与用户名相同的用户主目录。-s：指定用户登录时使用的指定用户登录时使用的shell，默认，默认的的shell为为/bin/bash。-g：指定用户归属的组名。默认地，每当创指定用户归属的组名。默认地，每当创建一个新用户的时候，一个与用户名相同的组就会被建一个新用户的时候，一个与用户名相同的组就会被创建，而这个用户就是该组的成员。创建，而这个用户就是该组的成员。-G：在在Linux系统中，一个用户可以属于一系统中，一个用户可以属于一个组，也可以属于多个组，其中个组，也可以属于多个组，其中用户在初始化时属于用户在初始化时属于的组称为的组称为主组主组。如果要让用户属于其它的组，应该使。如果要让用户属于其它的组，应该使用选项用选项-G。-u：指定新用户的指定新用户的UID。10Thursday,July 11,2024用户管理用户管理/命令命令设置和修改用户口令设置和修改用户口令：passwd 用户名用户名只有超级用户可以使用只有超级用户可以使用“passwd 用户名用户名”修改其他用户的口令，普通用户只能用修改其他用户的口令，普通用户只能用不带参数的不带参数的passwd命令修改自己的口令命令修改自己的口令。例如：教材例如：教材P157 图图9-1，图，图9-211Thursday,July 11,2024用户管理用户管理/命令命令删除用户的命令为删除用户的命令为userdel，该命令的格式，该命令的格式为：为：userdel 如果系统不要保存该用户创建的文件，可以如果系统不要保存该用户创建的文件，可以使用带选项的命令：使用带选项的命令：userdel -r 12Thursday,July 11,2024用户管理用户管理/命令命令修改用户属性修改用户属性usermod g-G -d -s 增加用户组增加用户组 groupadd 删除用户组删除用户组 groupdel 修改组成员：用修改组成员：用useradd/usermod或直接或直接编辑编辑/etc/group文件文件，将用户名写到对应，将用户名写到对应的组名的后面。的组名的后面。例如：例如：bin：x：1：root，bin，daemon13Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 选择选择“系统系统”“管理管理”“用户和组群用户和组群”或或在在Shell提示符下键入提示符下键入:system-config-users 14Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 选择选择“编辑编辑”“首选项首选项”“首选项首选项”对话框对话框15Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 16Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 17Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 18Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 19Thursday,July 11,2024图形界面的用户管理图形界面的用户管理 20Thursday,July 11,2024账号管理和查看命令账号管理和查看命令 Whoami：该命令的功能在于显示用户自该命令的功能在于显示用户自身的用户名。身的用户名。who 选项选项：该命令主要用于查看当前在该命令主要用于查看当前在线的用户情况。线的用户情况。w命令命令：用于显示登录到系统的用户情况用于显示登录到系统的用户情况finger：该命令可用于查找和显示用户信该命令可用于查找和显示用户信息，并在查找后显示指定账号的相关信息。息，并在查找后显示指定账号的相关信息。Chfn：命令能够改变系统存储的用户信息。命令能够改变系统存储的用户信息。su 用户名用户名：用于切换用户身份用于切换用户身份21Thursday,July 11,2024账号管理和查看命令账号管理和查看命令 例如例如:obgobglinux obg1$finger obgLogin:obg Name:(null)Directory:/home/obg1 Shell:/bin/bashOn since Mon Nov 22 21:29(CST)on pts/0from 192.168.1.3No mail.No Plan.22Thursday,July 11,2024账号管理和查看命令账号管理和查看命令 例如：例如：newobglinux new$chfn Changing finger information for new.Name :masenger Office :jkx Office Phone :2276302 Home Phone :2121212 Finger information changed23Thursday,July 11,2024文件权限管理文件权限管理 Linux/Unix 的文件访问权限分为三级：的文件访问权限分为三级：文件主（文件主（user）同组用户（同组用户（group）其他用户（其他用户（others）访问权限规定三种访问文件或目录的方式：访问权限规定三种访问文件或目录的方式：读（读（r）写（写（w）可执行或查找（可执行或查找（x）24Thursday,July 11,2024文件权限管理文件权限管理 rwx rwx rwxuser group others一个普通文件一个普通文件 r :可以查看文件内容可以查看文件内容 w :可以修改文件内容可以修改文件内容 x :可以执行文件可以执行文件一个目录（文件夹）一个目录（文件夹）r :可以查看文件夹下的文件可以查看文件夹下的文件 w :可以在文件夹下创建和删除文件可以在文件夹下创建和删除文件 x :可以进入文件夹或者访问文件夹下的文件可以进入文件夹或者访问文件夹下的文件25Thursday,July 11,2024文件权限管理文件权限管理更改文件所有者命令更改文件所有者命令chown chown 选项选项 user:group .例例1：将目录：将目录/usr/mengqc及其下面的所及其下面的所有文件、子目录的文件主改变成有文件、子目录的文件主改变成liu。chown -R liu /usr/mengqc例例2：把文件：把文件chap1.txt的拥有者改为的拥有者改为longkey，同时所属组改为，同时所属组改为root组。组。chown longkey：root chap1.txt26Thursday,July 11,2024文件权限管理文件权限管理更改文件访问权限命令更改文件访问权限命令chmod chmod 选项选项 .mode：ugoa+-=rwxX,u（user）表示文件的所有者）表示文件的所有者 g（group）表示文件的所属组）表示文件的所属组 o（others）表示其他用户）表示其他用户 a（all）代表所有用户（即）代表所有用户（即u+g+o）r 表示读权限表示读权限 w 表示写权限表示写权限 x 表示执行权限表示执行权限 27Thursday,July 11,2024文件权限管理文件权限管理例例1：将文件：将文件ex1的权限改为所有用户对其的权限改为所有用户对其都有执行权限。都有执行权限。chmod a+x ex1例例2：将文件：将文件ex1的权限重新设置为文件主的权限重新设置为文件主可以读和执行，组用户可以执行，其他用可以读和执行，组用户可以执行，其他用户无权访问。户无权访问。chmod u=r，ug=x ex128Thursday,July 11,2024文件权限管理文件权限管理更改文件访问权限命令更改文件访问权限命令chmod chmod 选项选项 .其中其中mode也可以也可以用数字来表示权限用数字来表示权限：chmod abc filea,b,c各为一个各为一个数字数字，分别表示，分别表示User、Group、及、及Other的权限。的权限。用三位二进制数表示其用三位二进制数表示其rwx权限，权限，000111对应设置位，对应设置位，r为为100、w为为010、x为为001，转换为十进制，读、写、执行权限依次对应转换为十进制，读、写、执行权限依次对应4、2、1。权限是关于可读（权限是关于可读（r）、可写）、可写(w)、可执行、可执行(r)三个属性设置值的和。三个属性设置值的和。29Thursday,July 11,2024文件权限管理文件权限管理例如：例如：若要若要rwx属性，二进制数表示为属性，二进制数表示为：111，则八进制数为则八进制数为：4+2+1=7若要若要rw-属性，二进制数表示为属性，二进制数表示为：110，则八，则八进制数为进制数为：4+2=6若要若要r-x 属性，二进制数表示为属性，二进制数表示为：101，则八，则八进制数为进制数为：4+1=5缺省的文件权限：缺省的文件权限：/etc/passwd rw-r-r-644/etc/shadow r-40030Thursday,July 11,2024文件权限管理文件权限管理例如：对于文件例如：对于文件chap1.txt 用户用户 user group others权限权限 rwx rw-r-二进制二进制 111 110 100 4+2+1 4+2+0 4+0+0八进制八进制 7 6 4chmod 764 chap1.txt 等同于等同于 chmod u=rwx,g=rw,o=r chap1.txt31Thursday,July 11,2024文件权限管理文件权限管理改变文件或目录的所属组改变文件或目录的所属组命令命令chgrp chgrp 选项选项 说说明明：如如果果用用户户不不是是该该文文件件的的文文件件主主或或超超级级用用户户，则则不不能能改改变变该该文文件件或或目目录录的的所所属属组组。chown可可以以同同时时改改变变文文件件拥拥有有者者和和所所属组，属组，chgrp只具有改变所属组的功能。只具有改变所属组的功能。参数选项：参数选项：-R 递归式地改变指定目录及其下面的所递归式地改变指定目录及其下面的所有子目录和文件的用户组。有子目录和文件的用户组。32Thursday,July 11,2024文件权限管理文件权限管理例例1：将将文文件件“chap1.txt”的的所所属属组组改改为为root组。组。chgrp root chap1.txt例例2：将将/usr/mengqc及及其其子子目目录录下下的的所所有有文件的用户组改为文件的用户组改为mengxin。chgrp -R mengxin /usr/mengqc33Thursday,July 11,2024进程管理进程管理/进程的概念进程的概念Linux系统上所有运行的任务都可以称之为系统上所有运行的任务都可以称之为一个进程。每个用户任务、每个系统管理一个进程。每个用户任务、每个系统管理任务都可以称之为进程。进程是一个程序任务都可以称之为进程。进程是一个程序的运行。的运行。Linux用用分时管理分时管理的方法使所有的进程共享的方法使所有的进程共享系统资源。系统资源。34Thursday,July 11,2024进程的概念进程的概念Linux操作系统包括三种不同类型的进程，操作系统包括三种不同类型的进程，每种进程都有自己的特点和属性：每种进程都有自己的特点和属性：交互进程交互进程:由由shell启动的进程。启动的进程。批处理进程批处理进程:这种进程和终端没有联系，这种进程和终端没有联系，是一个进程序列。是一个进程序列。守护进程守护进程:（Daemon，也称为，也称为精灵进程精灵进程）在后台持续运行的进程。在后台持续运行的进程。35Thursday,July 11,2024启动进程启动进程/手工启动手工启动 手工启动手工启动前台启动前台启动:一般地，用户键入一个命令，一般地，用户键入一个命令，就已经启动了一个前台的进程。就已经启动了一个前台的进程。后台启动后台启动:对于非常耗时进程，可以让进对于非常耗时进程，可以让进程在后台运行。从后台启动进程其实就是程在后台运行。从后台启动进程其实就是在命令结尾加上一个在命令结尾加上一个“&”号号。36Thursday,July 11,2024启动进程启动进程/调度启动调度启动 调度启动调度启动1）at命令命令:在指定时刻执行命令序列在指定时刻执行命令序列 在在shell提示符下输入提示符下输入”at 时间时间”，回车，回车后可以在之后的后可以在之后的at提示符下输入任务指提示符下输入任务指令，每一行输入一个命令，所有命令都令，每一行输入一个命令，所有命令都输入完毕后按输入完毕后按Ctrl+d存盘退出存盘退出。将各个命令将各个命令写入写入shell脚本脚本中，然后使用中，然后使用下面格式设置在指定时间执行下面格式设置在指定时间执行shell脚本脚本中的命令：中的命令：at 时间时间 f 脚本文件脚本文件 37Thursday,July 11,2024启动进程启动进程/调度启动调度启动 at命令的写法非常灵活命令的写法非常灵活 例例1：指指定定在在今今天天下下午午6:30执执行行某某命命令令。假假设设现现在在时时间间是是2011年年3月月25日日下下午午15:30，其其命命令格式如下：令格式如下：at 6:30pmat 18:30at 18:30 todayat now+3 hoursat now+180 minutesat 18:30 25.3.11at 18:30 3/25/11at 18:30 Mar 2538Thursday,July 11,2024启动进程启动进程/调度启动调度启动 常用常用at指令指令at：安排延时任务安排延时任务atq：查询当前的等待任务查询当前的等待任务atrm：删除等待任务删除等待任务batch：以一个低优先级延时执行任务，：以一个低优先级延时执行任务，在资源比较空闲的时候执行命令在资源比较空闲的时候执行命令 39Thursday,July 11,2024启动进程启动进程/调度启动调度启动/cron命令命令cron命令在系统启动时由一个命令在系统启动时由一个shell脚本自动启动，脚本自动启动，进入后台。进入后台。cron启动启动后搜索后搜索/var/spool/cron目录，寻找以目录，寻找以/etc/passwd文件中的用户名命名的文件中的用户名命名的crontab文件，文件，被找到的这种文件将载入内存。被找到的这种文件将载入内存。如果没有如果没有crontab文件，就转入文件，就转入“休眠休眠”状态，释状态，释放系统资源。放系统资源。cron每分钟每分钟“醒醒”过来一次，查看当前是否有需过来一次，查看当前是否有需要运行的命令。要运行的命令。如果发现某个用户设置了如果发现某个用户设置了crontab文件，它将以该文件，它将以该用户的身份去运行文件中指定的命令。命令执行结用户的身份去运行文件中指定的命令。命令执行结束后，任何输出都将作为邮件发送给束后，任何输出都将作为邮件发送给crontab的所的所有者，或者有者，或者/etc/crontab文件中文件中MAILTO环境变量环境变量中指定的用户。中指定的用户。40Thursday,July 11,2024启动进程启动进程/调度启动调度启动/cron命令命令crontab文件文件 用户把要执行的命令序列放到用户把要执行的命令序列放到crontab文件中文件中以获得执行。每个用户都可以有自己的以获得执行。每个用户都可以有自己的crontab文件。文件。crontab命令命令:用于安装、删除或者列出用于用于安装、删除或者列出用于驱动驱动cron后台进程的后台进程的crontab文件文件:crontab-u crontab文件格式文件格式 例如：例如：59 23*tar czvf lhy.tar.gz/home/lhy41Thursday,July 11,2024进程管理命令进程管理命令 进程查看命令进程查看命令 ps ps 选项选项主要选项的含义如下：主要选项的含义如下：-e：显示所有进程；：显示所有进程；-h：不显示标题；：不显示标题；-l：采用详细的格式来显示进程；：采用详细的格式来显示进程；-a：显示所有终端上的进程，包括其他用：显示所有终端上的进程，包括其他用 户的进程；户的进程；-r：只显示当前终端上正在运行的进程；：只显示当前终端上正在运行的进程；-x：显示所有进程，不以终端来区分；：显示所有进程，不以终端来区分；-u：以用户为主的格式来显示进程；：以用户为主的格式来显示进程；42Thursday,July 11,2024进程管理命令进程管理命令删除进程命令删除进程命令killkill-s|-p -a .kill-l 信号信号 选项的含义如下：选项的含义如下：-s：指定需要送出的信号。既可以是信号：指定需要送出的信号。既可以是信号 名也可以是信号名对应的数字。名也可以是信号名对应的数字。-p：指定：指定kill命令只显示命名进程的命令只显示命名进程的pid，并不真正送出任何信号。并不真正送出任何信号。-l：显示信号名称列表，该列表也可以在显示信号名称列表，该列表也可以在/usr/include/linux/signal.h文件中找到。文件中找到。43Thursday,July 11,2024系统监视系统监视 系统监控命令系统监控命令top：能显示实时的进程列表，而且还能实时监视系能显示实时的进程列表，而且还能实时监视系统资源，包括内存、交换分区和统资源，包括内存、交换分区和CPU的使用的使用率等。率等。top命令的一般格式是：命令的一般格式是：top d n 44Thursday,July 11,202445Thursday,July 11,2024系统监视系统监视内存查看命令内存查看命令free 磁盘空间用量查看命令磁盘空间用量查看命令df 46Thursday,July 11,2024图形化的系统监视器图形化的系统监视器进程监视选项卡进程监视选项卡47Thursday,July 11,2024图形化的系统监视器图形化的系统监视器系统负载选项卡系统负载选项卡48Thursday,July 11,2024日志查看日志查看 日志文件（日志文件（log files）是包含关于系统消）是包含关于系统消息的文件，包括内核、服务、在系统上运息的文件，包括内核、服务、在系统上运行的应用程序等。行的应用程序等。不同的日志文件记载不同的信息。不同的日志文件记载不同的信息。多数的日志文件位于多数的日志文件位于/var/log目录下。目录下。某些程序（如某些程序（如Apache）在）在/var/log中有中有单独的日志文件目录。单独的日志文件目录。日志可以滚动。日志可以滚动。49Thursday,July 11,2024日志查看日志查看50Thursday,July 11,2024日志查看日志查看可以通过日志滚动配置文件可以通过日志滚动配置文件/etc/logrotate/.conf控制日志的自动滚控制日志的自动滚动。动。多数日志文件都使用纯文本格式，可以使多数日志文件都使用纯文本格式，可以使用任何文本编辑器如用任何文本编辑器如vi来查看它们。来查看它们。大多数日志文件都需要拥有特权才允许查大多数日志文件都需要拥有特权才允许查看。看。图形化的日志查看器图形化的日志查看器51Thursday,July 11,2024图形化日志查看器图形化日志查看器 52Thursday,July 11,2024日志过滤日志过滤