资源描述
用户账号和组账号概述:用户账号: 超级用户:root用户是linux系统中默认的超级用户账号,对本主机拥有至高无上的完全权限,类似于window中的administrator,只有当进行系统管理、维护任务时,才建议使用root。日常处理事务建议使用普通的用户账号进行。 普通用户:普通用户账号需要由root用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中完全权限。 程序用户:在安装linux系统及部分应用程序时,会添加一些热定程序的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维护系统或某个程序的正常运行。比如:bin、daemon、ftp、mail等。组账号:基于某种特定关系(如都需要访问ftp服务器)将多个用户集合在一起,即构成一个用户组,用于表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组,这个组成为基本组(或私有组);如果该用户同时还包括在其他的组中,则这些组称为该用户的附加组(或公共组)。对组账号设置权限,将适用于组内的每一个用户账号。UID和GID号:linux中每一个用户账号都有一个数字形式的身份标记,称为UID(User Idenity(身份),用户标识号),对于系统核心而言,UID作为区分用户的基本依据,原则上每一个用户的UID号应该是唯一的。root用户账号的UID号固定值为0,而程序用户账号的UID号默认在1499之间,50060000的UID号默认分配给普通用户账号使用。与UID号类似,每一个组账号也有一个数字形式的身份标记,称为GID(group identity,组织标号)。root组账号的GID号为固定值0,而程序组账号的GID号默认在1499之间,普通组账号使用的UID号默认为50060000.普通用户、组账号使用的默认UID、GID号范围定义在配置文件“/etc/login.defs”中。例子:查看“/etc/login.defs”配置文件中定义的默认UID、GID号范围。#grep “ID” /etc/login.defs用户账号管理:1, 用户账号文件。与用户账号相关的配置文件主要有两个,分别是/etc/passwd、/etc/shadow。前者用于保存用户名称、宿主目录、登录Shell等基本信息,后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中,每一行对应一个用户账号,不同的配置项之间使用冒号“:”进行分隔。A, passwd文件中的配置行格式:系统中所有用户的账号基本信息都保存在“/etc/passwd”文件中,该文件时文本文件,任何用户都可以读取文件中的内容。例子:查看“/etc/passwd”文件中的前两行、后两行的内容。#head -2 /etc/passwd#tail -2 /etc/passwd在passwd文件开头的部分,包括超级用户root及各程序用户的信息,系统中新增的用户账号信息将保存到passwd文件的末尾。passwd文件的每一行内容中,包含了七个用冒号“:”分隔的配置字段(不是7个冒号),从左到右各配置字段的含义如下u 第一字段:用户账号的名称,也是登录系统时使用的识别名称。u 第二字段:经过加密的用户密码字串,或者密码占用符“x”。u 第三字段:用户账号的UID号。u 第四字段:所属基本组账号GID号。u 第五字段:用户全名、可填写与用户相关的说明信息。u 第六字段:宿主目录,即该用户登录后所在的默认工作目录。u 第七字段:登录Shell等信息,用户完成登录后使用的Shell。如果是/sbin/nologin ,则禁止登录到系统。基于系统运行和管理需要,所有用户都可以访问passwd文件中的内容,但是只有root用户才能进行更改。在早期的unix系统中,用户账号的密码信息也是保存在passwd中的,不法用户可以获取密码字串进行暴力破解,这样一来账号安全就存在一定的隐患。因此,后来将密码转存入专门的shadow文件中,而passwd文件中仅保留密码占位符“x”。B,shadow文件中的配置行格式。shadow文件又被称为“影子文件”,其中保存有各用户账号的密码信息,因此对shadow文件的访问应该进行严格的限制。默认只有root用户能够读取文件中的内容,而不许直接编辑该文件中的内容。查看“/etc/shadow”文件的前两行、后两行内容shadow文件的每一行内容中,包含了九个用冒号“:”分隔的配置字段,从左到右配置字段的含义如下:u 第一字段:用户账号的名称。u 第二字段:使用MD5加密的密码字串信息,当为“*”或者“!”时表示此用户不能登录到系统。若该字段内容为空,则用户无需密码即可登录到系统。u 第三字段:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间隔的天数。u 第四字段:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为0,表示不进行限制。u 第五字段:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。默认值为99999,表示不进行限制。u 第六字段:提前多少天警告用户口令过期,默认值为7。u 第七字段:在密码过期之后多少天之内禁用此用户。u 第八字段:账号失效时间,此字段指定了用户作废的天数(从1970年1月1日起计算,)默认值为空,表示账号永久可用。u 第九字段:保留字段,目前没有特定用途。2,useradd命令添加删除用户账号useradd命令可用于添加用户账号,其基本的命令格式如下:useradd 选项 用户名最简单的用法是不添加任何选项,只使用用户名作为useradd命令的参数,按系统默认配置建立指定的用户账号。在RHEL5中,useradd命令在添加用户账号的过程中主要完成以下几个任务:l 在“/etc/passwd”文件和“/etc/shadow”文件的末尾增加该用户账号的记录。l 若未明确指定用户的宿主目录,则在“/home”目录下自动创建与该用户账号同名的宿主目录,并在该目录中创建用户的初始配置文件。l 若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账号的记录信息将保存到“/etc/group”、“/etc/gshadow”。例子:创建名为yh的用户账号,查看passwd、shadow文件中的变化,并确认该用户宿主目录中的初始配置文件。#useradd yh#tail -1 /etc/passwd#tail -1 /etc/shadow#ls -ld /home/yh#ls -A /home/yh如果结合useradd命令的各种选项,可以在添加用户账号的同时对UID号、宿主目录、登录Shell等相关属性进行指定。以下列出了useradd命令中用于设置账号属性的几个常用选项:u useradd -u:指定用户的UID号,要求改UID号码未被其他用户占用。u useradd -d:指定用户的宿主目录位置。u useradd -e:指定用户的账户失效时间,可以使用YYYY-MM-DD的日期格式。u useradd -g:指定用户的基本组名(或使用GID号)。u useradd -G:指定用户的附加组名(或使用GID号)。(管理员组号为固定为0,或者root)u useradd -M:不建立使用者的目录,即使/etc/login.defs系统档设定要建立使用者目录。u useradd -s:指定用户的登录Shell。例子:创建名为test1的用户账号,并将其UID号指定为504。#useradd -u 504 test1#tail -3 /etc/passwd创建一个辅助管理账号admin,将其基本组指定为“wheel”、附加组指定为“root”,宿主目录指定为“/admin”。#useradd -d /admin -g wheel -G root admin创建一个考试测试用的账号exam1 ,指定属于users组,该账号属于2009-07-30失效。#useradd -g users -e 2013-07-30 exam1创建用于FTP访问的用户账号dluser ,将登陆Shell指定为“/sbin/nologin”(禁止登录),且不为其创建宿主目录。#useradd -M -s /sbin/nologin dluser实际上,大部分的应用程序用户都是被禁止登录到系统的。#grep “nologin” /etc/passwd | head -33,,passwd命令为用户账号设置密码。通过useradd命令可以新添加用户账号,但是还必须有密码才能登录到系统。root用户可以指定账号名称作为参数,对指定的密码进行管理。例子:指定用户名yh作为参数,为该用户设置一个登录密码,重复输入两次进行确认,并查看shadow文件中该用户的密码字串信息。#passwd yh#grep yh /etc/shadow用户账号具有可用的登录密码后,就可以从字符终端进行登录了。虽然root用户可以指定用户名作为参数,对指定账号的密码进行管理,但是普通用户却只能执行单独的“passwd”命令修改自己的密码。普通用户设置自己的密码时,密码要求有一定的复杂性(如不要直接使用英文单词,长度保持在六位以上),否则系统可能拒绝进行设置。例子:使用用户账号yh登录终端后,即使更改本账号的登录密码,需要原密码进行验证。$passwd使用passwd命令除了可以修改账号的密码之外,还能对用户账号进行锁定、解锁,或者也可以将用户的密码设置为空(无需密码即可登录)。相关叙述如下:u passwd -d:清空指定用户的密码,仅使用用户名即可登录系统。u passwd -l:(小写的L)锁定用户(lock)u passwd -S:(大写)查看用户账户的状态(是否被锁定)。u passwd -u:解锁用户账户。例子:将用户账号duke的密码予以锁定,查看shadow文件中的变化(密码串前多 一个“!”号),并检查用户密码状态。#passwd -l duke#grep duke /etc/shadow#passwd -S duke接触对用户账号duke的锁定,再次检查用户密码状态。#passwd -u duke#passwd -S duke4,,usermod命令修改用户账号属性。对于系统中已经存在的用户账号,可以使用usermod命令重新设置各种属性。usermod命令同样需要指定账号名称作为参数。较常使用的几个选项参数如下:usermod -u:修改用户的UID号。usermod -d:修改用户的宿主目录位置。usermod -e:修改用户的账户失效时间,可以使用YYYY-MM-DD的日期格式。usermod -g:修改用户的基本组名(或使用GID号)usermod -G:修改用户的附加组名(或者使用GID号)。usermod -s:指定用户的登录Shell。usermod -l:(小写L)更改用户账号的登录名称(Login Name)usermod -L:锁定用户账户。usermod -U:解锁用户账户。使用usermod命令时,其大部分的选项与useradd命令的选项是相对应的,作用也相似。除此之外,还有两个选项“-L”,“-U”分别用于锁定、解锁用户账号。这两个选项与passwd命令的“-l”“-u”选项的作用基本相同,只不过大小写存在区别。例子:将admin用户的宿主目录移动到/home目录下,并使用usermod命令做相应的调整。#useradd -d /admin -g wheel -G root admin#mv /admin /home/#usermod -d /home/admin admin#tail -1 /etc/passwd使用usermod命令锁定用户账号admin,确认状态后解除其锁定。#usermod -L admin#passwd -S admin#usermod -U admin#passwd -S admin将用户账号的登录名称admin改为webmaster,下次登录时生效。#usermod -l webmaster admin#grep “admin” /etc/passwd5,,userdel命令删除用户账号。使用“userdel -r”命令可以将该用户的宿主目录一并删除。例子:删除系统中webmaster,但是保留其宿主目录。#userdel webmaster#ls -ld /home/admin删除系统中的用户账号abc,同时删除其宿主目录。#userdel -r abc#ls -ld /home/6,用户账号的初始配置文件。在linux系统中添加用户账号以后,useradd命令会在该用户的宿主目录中建立一些初始配置文件,这些文件来自账号模板目录“/etc/skel/”,基本上都是隐藏文件,较常用的初始配置文件包括“.bash_logout”、“.bash_profile”、“.bashrc”。其中“.bashrc_profile”文件中的命令将在该用户每次登陆时被执行;,“.bashrc”文件中的命令会在每次加载“/bin/Bash”程序时(当然也包括登录系统)被执行;而“.bash_logout”文件中的命令将在用户每次退出系统时被执行。理解这些文件的作用,便于安排一些自动运行的后台管理任务。例子:新建用户mike,并查看器宿主目录下“.bashrc”文件中的内容。#useradd mike#cat /home/mike/.bashrc在“.bashrc”文件中,可以添加一些普通的linux命令行,也可以添加特殊的脚本控制语句。文件中的内容将在相应的时候自动执行。例子修改root用户宿主目录中的“.bashrc”文件,添加一行别名设置命令“alias vi=”usr/bin/vim”,这样root用户在每次登陆后,无需设置即可使用vi命令加载vim编辑器的程序。(需要在文件的末尾加上)如果希望为所有用户添加登陆后自动运行的命令程序、自动设置变量等,可以直接修改“/etc”目录下的类似文件,如“/etc/bashrc”、“/etc/profile”例子:为所有用户自动设置别名命令“alias myls=/bin/ls -lhr ”,以便登录后可直接使用myls命令。#vi /etc/bashrc
展开阅读全文