Linux用户和组的管理.ppt

第四章Linux用户和组的管理,Linux原理与应用,本章内容,一.概述二.用户管理三.组的管理四.查看账户信息五.磁盘限额,概述,Linux下的三类用户超级用户(root)具有操作系统的一切权限，UID值均为0普通用户具有操作系统有限的权限，只能管理自己启动的进程，UID值5006000系统用户是为了方便系统管理，满足相应的系统进程对文件属主的的要求，系统用户不能登录，UID值1499,口令文件/etc/passwd存放用户账号的基本信息影子口令文件/etc/shadow-只有root用户对以上文件具有修改权限,用户账户文件,passwd文件,pp:x:500:500:/home/pp:/bin/bash账号名称：在系统中是唯一的；用户密码：存放加密口令，用x显示；用户标识码(UserID)：系统内部用它来标示用户；组标识码(GroupID)：系统内部用它来标识用户所属组；用户相关信息：例如用户全名等，可以为空；用户目录：用户登录系统后所进入的目录；登录shell:用户登录系统时使用的shell。,passwd文件格式,shadow文件,用户名：登录账号，惟一；口令：加密口令，若以“*”开头，表示该账号被查封，不能使用；最后一次修改时间:口令上次更改与1970年1月1日相隔的天数；口令更改后，不可以再次更改的天数，0表示可以随时修改；口令有效期：即口令更改后必须再次更改的天数，99999表示未设置有效期；警告时间：口令失效前警告用户的天数；不活动时间：口令过期多少天后，该账号被禁用；失效时间：账号被查封时间距1970年1月1日的天数；标志：未使用。,Shadow文件格式,用户帐户管理,1.创建账户2.用户账户的维护,rootlinuxroot#useradd例如:useraddgstuffe8/31/2005ppuseradd命令选项-uuid:指定新用户的uid,默认用当前最大UID加1。-ggroup:指定新用户所在的组(基本组)，该组必须存在。若未指定用户组，系统默认建立一个和用户名相同的组，这个组称为私有组，且仅包含一个用户。-Ggroup:指定新用户的附加组。-ddir:指定新用户的自家目录。-sshell:指定新用户使用的Shell，默认为bash。-ccomment:说新用户的附加信息，如全名等。-eexpire:指定用户的登录失效时间(08/31/2005)。-m:建立新用户的自家目录。-p：设置用户密码,1.创建账户,在RedHatLinux中，不论执行adduser或useradd命令,其实都是指向/usr/sbin/useradd这个文件，因而只要任选一个命令执行即可:rootlinuxroot#useraddpp创建pp账号rootlinuxroot#passwdpp设置密码ChangingpasswdordforuserppNewpassword:输入密码Retypenewpasswd再输入一次密码Passwd:allauthenticationtokensupdatesuccessfully,创建用户账号命令：useradd/adduser,建立一个属于stuff组的用户pp,设置密码,登录失效时间为2005-8-31rootlinuxroot#useraddgstuffe08/31/2005pprootlinuxroot#passwdpp删除已存在的用户账号rootlinuxroot#userdelrpp删除命令userdel参数-r用于删除用户所有信息(包括宿主目录),创建、删除用户账号,禁用#usermod-Lusername禁用账户#passwdlusername禁用密码恢复#usermod-Uusername恢复禁用账户#passwduusername恢复禁用密码删除userdelru1删除账户U1及宿主目录,禁用、恢复和删除账户,注意：在禁用和恢复账号功能上，命令usermod不等同于passwd,停用与删除用户账号,将账号停用的意思是暂时不允许用户登录系统，而其数据仍要予以保留。可以编辑/etc/passwd文件，把要停止使用的账号所在行标注就可以了：pp:x:502:502:/home/pp:/bin/bash#pp:x:502:502:/home/pp:/bin/bash在账号前面加上“#”将该行注释掉便可停用该账号。,组分为私有组(g)当创建一个新用户user时，若没有指定他的所属组，RedHat就建立一个和该用户同名的私有组。标准组(G)标准组可以容纳多个用户，若使用标准组，在创建一个新的用户时就应该指定他的所属组。组文件/etc/group,组的管理,/etc/group文件格式,示例：#groupaddg888group2创建一个组group2，其GID为888#groupdelgroup2删除组group2#groupmodngroup22group2修改group2组名为group22,创建、删除、修改组,功能：查看一个用户的UID和GID格式：id选项用户名pplinuxpp$idppUid=500(pp)gid=500(pp)groups=500(pp)参数：-g(或-group):只显示用户的组的GID-G(或-groups):只显示用户的附属组的GID-u:只显示UID,id命令,功能：可以查看用户的相关信息，包括用户的自家目录、启动shell、用户名等。格式：finger选项账号rootlinuxroot#fingerpp-l以长格显示，默认选项-s以短格形式显示,finger命令,1.chfn功能：改变用户的相关信息格式：chfn账号rootlinuxroot#chfnpp更改pp用户信息2.chsh功能：更改自己的启动shell格式：chshs更改的shellpplinuxpp$chshs/bin/bash更改pp的shell为/bin/bash,chfn和chsh,由于Linux是多用户的操作环境，如果任由每个用户存放文件而不加限制，磁盘空间将迅速消耗。quota的功能，就是限制用户可使用的磁盘空间。在系统尚未设置磁盘空间时，可以执行quota命令检查自己磁盘的使用空间。,用户磁盘空间,设置用户在系统上的磁盘配额，大体可分成三个步骤。1.启用系统的quota功能（启用某个分区的quota功能需要编辑/etc/fstab文件）2.创建quota文件3.设置用户的quota,磁盘配额,rootlinuxroot#quota查看是否启用磁盘配额Diskquotaforuserroot(0):None表示root用户磁盘用量无限,未启用磁盘配额rootlinuxroot#quotapp查看是否启用磁盘配额Diskquotaforuserpp(500):None表示pp用户磁盘用量无限,未启用磁盘配额,用户磁盘空间,grepCONFIG_QUOTA/boot/config-2.4.20-8查看内核是否支持quota如果结果显示：CONFIG_QUOTA=y说明内核支持QUOTA否则，安装与quota相关的软件包,第1步：查看内核是否支持QUOTA,第2步：编辑fstab文件启用磁盘限额,在/home文件系统上启用磁盘配额：编辑原分区的设置，加上usrquota或grpquota两项，表示要创建用户与组的磁盘空间限制：LABEL=/home/homeext3rw,grpquota,usrquota12编辑并保存rootlinuxhome#mount-oremount/home重新挂载文件系统touch/home/aquota.usertouch/home/aquota.group生成基本配额文件rootlinuxhome#quotacheck-avug检查需要打开磁盘限额目录下的所有子目录,rootlinuxhome#edquota-upp编辑pp账号Diskquotasforusrpp(uid500)Filesytemblocksofthardinodessofthard/dev/sda613001600设置quota分区目前使用的磁盘空间及inode数默认soft(softlimit)=0,hard(hardlimit)=0,表示没有上限.可以用到整个磁盘爆满为止。,第3步：使用edquota编辑磁盘限制,软限制(Softlimit)：定义用户可以占用的磁盘空间数。当用户超过该限制后会收到以超过限额的警告。硬限制(Hardlimit)：当用户试图将文件存放在其已经超过该限制值的home目录时，报告文件系统错误。宽限期(Graceperiod)：定义用户在软限制下可使用其文件系统的期限软、硬限制它们有什么区别呢？举例说明：若将磁盘空间的软限额设为10MB，而硬限额设为15MB，当用户的磁盘空间超过10MB时，系统系统仍然允许用户继续存储文件，但至多只允许15MB，同时系统会给出相应的警告。ide0(3,1):warning,userblockquotaexceededide0(3.1):writefailed,userblocklimitedreached,创建限额的三个选项,单一用户磁盘配额模式edquota或(-u)userrootlinuxhome#edquotaupp磁盘配额Diskquotasforuserpp(uid500)Filesystemblocksofthardinodessofthard/dev/sda613819210240168001000多用户磁盘配额模式rootlinuxroot#edquotapuserpp将user的磁盘配额设置，套用给pp,磁盘限额举例,启动磁盘配额限制rootlinuxroot#quotaon-avgu启动quotagroupquotasturnedonuserquotasturnedon取消磁盘配额限制rootlinuxroot#quotaoffavgu关闭quotagroupquotasturnedoffuserquotasturnedoff,第4步：开启/关闭磁盘限额,rootlinux/#edquota-ggroup对group组进行磁盘配额rootlinux/#edquota-gpgroup1group2将group1组磁盘配额套用在group2上,编辑组的磁盘限额,虽然当用户超过softlimit时，系统会发出警告，但总要有个期限的规定，因此必须设置宽限期(gracetime),要求用户在指定的期限内清除多余的文件。系统默认为7天，可用edquotat命令自行调整：rootlinuxroot#edquotat编辑用户的宽限期rootlinuxroot#edquotagt编辑组的宽限期Graceperiodbeforeenforcingsoftlimitsfotgroup:Timeunitsmaybe:days,hours,minutes,orseconds.Filesystemblockgraceperiodinodesgraceperiod/dev/sad67days7days,设置超过softlimit的宽限期,1.普通用户执行quotav命令可得知自己是否超过磁盘限制：pplinux/#qutoavpppp用户查看磁盘配额使用情况2.系统管理员若要检查所有组及用户的磁盘限制，可使用repquotaau查看所有用户，用repqoutaag命令查看所有组，使用repquotaa查看全部数据：rootlinuxroot#repquotaau查看用户rootlinuxroot#repquotaag查看组rootlinuxroot#repquotaa查看所有的注意：若没有超过softlimit,则grace那一栏是空的,检查是否超过磁盘限制,本章小结,1.掌握Linux系统用户和组的管理2.掌握磁盘限额的配置,