《賬戶管理和權(quán)限管》PPT課件.ppt

賬戶管理和權(quán)限管理,賬戶實(shí)質(zhì) 賬戶文件 賬戶設(shè)置 權(quán)限表示 權(quán)限設(shè)置,5.1賬戶概述,賬戶實(shí)質(zhì)上就是一個(gè)用戶在系統(tǒng)上的標(biāo)識(shí)，系統(tǒng)依據(jù)賬戶來(lái)區(qū)分每個(gè)用戶的文件、 進(jìn)程、任務(wù)，給每個(gè)用戶提供特定的工作環(huán)境（如用戶的工作目錄、shell版本、 以及X-Windows環(huán)境的配置等），使每個(gè)用戶的工作都能獨(dú)立不受干擾地進(jìn)行。 Linux中的賬戶包括 用戶賬戶 超級(jí)用戶：UID=0，GID=0 普通用戶：UID=500 偽用戶：0UID500 組賬戶 標(biāo)準(zhǔn)組：標(biāo)準(zhǔn)組可以容納多個(gè)用戶，若使用標(biāo)準(zhǔn)組， 在創(chuàng)建一個(gè)新的用戶時(shí)就應(yīng)該指定他所屬于的組。 私有組：私有組中只有用戶自己。當(dāng)在創(chuàng)建一個(gè)新用戶user時(shí)， 若沒(méi)有指定他所屬于的組，Red Hat 就建立一個(gè)和該用戶同名的私有組。,用戶和組的關(guān)系,為方便用戶管理和用戶間的交流，設(shè)立了組。每個(gè)用戶都屬于某個(gè)或某些組，每個(gè)組包含若干用戶。 組是用戶的集合。一個(gè)標(biāo)準(zhǔn)組可以容納多個(gè)用戶。 同一個(gè)用戶可以同屬于多個(gè)組，這些組可以是私有組，也可以是標(biāo)準(zhǔn)組。 當(dāng)一個(gè)用戶同屬于多個(gè)組時(shí)，將這些組分為： 主組：用戶登錄系統(tǒng)時(shí)的組。 附加組：可切換的其他組。,有關(guān)用戶和組的信息存放在： /etc/passwd /etc/group文件中。 用戶的口令信息存放在 /etc/shadow文件中。,用戶帳號(hào)文件,/etc/passwd,root:x:0:0:root:/root:/bin/bash mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash fmh:x:500:500:fmh:/home/fmh:/bin/bash user:x:501:501:user:/home/user:/bin/bash passwd文件中所有條目都有如下形式 用戶名:密碼:UID:GID:用戶信息:根目錄:用戶登錄shell,UID是分配給用戶的唯一編號(hào)，編號(hào)范圍從032767，100以下的編號(hào)用于特殊的系統(tǒng)賬號(hào)，如uucp,news,mail等，root的UID為0。 如果希望暫時(shí)禁止用戶登錄，可以將shell字段改為/bin/false，或者在 停用賬戶前加上#，或鎖定賬戶即可。,/etc/group,root:x:0:root adm:x:4:root,adm,daemon fmh:x:500: users:x:501: /etc/group文件具有以下形式： 組名:密碼:GID:該組中的用戶 默認(rèn)情況下，新增的用戶都屬于自身的私有組,/etc/shadow,root:$1$ldijdka93dkj:11749:0:99999:7: fmh:$1$djd29jd;jkjk:11752:0:99999:7: /etc/shadow條目具有以下格式： 用戶名:加密后的密碼:密碼最后一次被修改的日期(從1970年1月1日到該天的天數(shù)):從上一次修改密碼到下一次允許修改要經(jīng)歷的天數(shù):經(jīng)過(guò)多少天用戶必須重新設(shè)置密碼的天數(shù):密碼到期前提醒用戶修改密碼的天數(shù):密碼到期后經(jīng)過(guò)多少天將賬戶關(guān)閉的天數(shù):賬號(hào)到期日:保留,5.2 使用命令管理用戶,使用命令管理用戶的操作，主要是創(chuàng)建用戶，修改用戶，刪除用戶等操作。是深受廣的程序員喜歡的一種操作方式。 1創(chuàng)建用戶賬戶命令useradd 2修改用戶賬戶屬性命令 usermod 3刪除用戶賬戶命令userdel 4維護(hù)用戶口令的命令passwd 5設(shè)置密碼期限的命令 chage,用戶管理命令,useradd option 用戶名 常用選項(xiàng)：-c comment 指定用戶的資料 -d dir 設(shè)置用戶目錄 -g group 設(shè)置用戶的所屬組 -u UID 設(shè)置用戶的User id -s shell 設(shè)置用戶登錄的shell,示例：useradd user1 useradd d /home/usertemp user2 useradd u 505 g user1 wang,編輯/etc/passwd，定義用戶名、UID、GID、根目錄和針對(duì)該用戶的shell 運(yùn)行mkdir為用戶創(chuàng)建根目錄 將初始化文件從/etc/skel復(fù)制到用戶的根目錄下 改變用戶根目錄和目錄下文件的所有權(quán) chown r wang:users /home/wang,命令：passwd option 用戶名 說(shuō)明：輸入passwd命令后，系統(tǒng)要求用戶輸入原口令，正確后，再要求輸入（兩次）新口令。 口令要求至少有6個(gè)字符.,參 數(shù)： -d 刪除密碼。本參數(shù)僅有系統(tǒng)管理者才能使用。 -l 鎖住密碼。 -S 列出密碼的相關(guān)信息。本參數(shù)僅有系統(tǒng)管理者才能使用。 -u 解開(kāi)已上鎖的帳號(hào)。,改變用戶口令,修改用戶賬號(hào),命令:usermod 說(shuō)明：usermod可用來(lái)修改用戶帳號(hào)的各項(xiàng)設(shè)定。 常用選項(xiàng)： -d 修改用戶登入時(shí)的目錄。 -g 修改用戶所屬的群組。 -G 修改用戶所屬的附加群組。 -l 修改用戶帳號(hào)名稱。 -L 鎖定用戶密碼，使密碼無(wú)效。 -s 修改用戶登入後所使用的shell。 -u 修改用戶ID。 -U 解除密碼鎖定。 操作舉例： # usermod -l user2 user1 # usermod -G softgroup jjh # usermod -L user1 # usermod -U user1,刪除用戶賬號(hào),命令： userdel 常用選項(xiàng)：-r 用于刪除用戶的宿主目錄 操作舉例： # userdel user2 # userdel -r user1 注意：刪除賬戶時(shí)要一并把該賬戶所占資源回收。如該用戶的目錄，郵箱，定時(shí)運(yùn)行的程序等。,查找并顯示用戶信息,finger -lmsp帳號(hào)名稱. 說(shuō)明：finger指令會(huì)去查找，并顯示指定帳號(hào)的用戶相關(guān)信息，包括本地與遠(yuǎn)端主機(jī)的用戶皆可，帳號(hào)名稱沒(méi)有大小寫的差別。單獨(dú)執(zhí)行finger指令，它會(huì)顯示本地主機(jī)現(xiàn)在所有的用戶的登陸信息，包括帳號(hào)名稱，真實(shí)姓名，登入終端機(jī)，閑置時(shí)間，登入時(shí)間以及地址和電話。 參 數(shù)： -l 列出該用戶的帳號(hào)名稱，真實(shí)姓名，用戶專屬目錄，登入所用的Shell，登入時(shí)間，轉(zhuǎn)信地址，電子郵件狀態(tài)，還有計(jì)劃文件和方案文件內(nèi)容。 -m 排除查找用戶的真實(shí)姓名。 -s 列出該用戶的帳號(hào)名稱，真實(shí)姓名，登入終端機(jī)，閑置時(shí)間，登入時(shí)間以及地址和電話。 -p 列出該用戶的帳號(hào)名稱，真實(shí)姓名，用戶專屬目錄，登入所用的Shell，登入時(shí)間，轉(zhuǎn)信地址，電子郵件狀態(tài)，但不顯示該用戶的計(jì)劃文件和方案文件內(nèi)容。,口令時(shí)效,強(qiáng)制用戶在一段時(shí)間之后更改口令的機(jī)制稱為口令時(shí)效。 chage命令 命令格式：# chage 常用選項(xiàng)： -m days：指定用戶必須改變口令所間隔的最少天數(shù)。如果值為 0，口令就不會(huì)過(guò)期。 -M days：指定口令有效的最多天數(shù)。 當(dāng)該選項(xiàng)指定的天數(shù)加上-d 選項(xiàng)指定的天數(shù)小于當(dāng)前的日期，用戶在使用該賬號(hào)前就必須改變口令。 -d days：指定自從1970年1月1日起，口令被改變的天數(shù)。 -I days：指定口令過(guò)期后，賬號(hào)被鎖前不活躍的天數(shù)。 如果值為0，賬號(hào)在口令過(guò)期后就不會(huì)被鎖。 -E date：指定賬號(hào)被鎖的日期，日期格式為YYYY-MM-DD。 若不用日期，也可以使用自1970年1月1日后經(jīng)過(guò)的天數(shù)。 -W days：指定口令過(guò)期前要警告用戶的天數(shù)。 -l：列出指定用戶當(dāng)前的口令時(shí)效信息，以確定賬號(hào)何時(shí)過(guò)期。,操作舉例： 用戶user1兩天內(nèi)不能更改口令，并且口令最長(zhǎng)的存活期為30天， 并在口令過(guò)期前5天通知user1。 # chage -m 2 -M 30 -W 5 user1 查看用戶user1當(dāng)前的口令時(shí)效信息。 # chage -l user1,5.3 使用命令管理用戶組,1創(chuàng)建用戶組賬戶命令groupadd 2更改用戶組賬戶屬性命令groupmod 3管理用戶組中用戶的命令gpasswd 4刪除組賬戶的命令groupdel,19,創(chuàng)建新組,命令：groupadd -g GID -r mygroup 常用選項(xiàng)： -r：用于創(chuàng)建系統(tǒng)組賬號(hào)（GID小于500 ） -g：用于指定GID 操作舉例： # groupadd mygroup # groupadd -r sysgroup # groupadd -g 888 group2,修改組賬號(hào),命令： groupmod 常用選項(xiàng)： -g：改變組賬號(hào)的GID ，組賬號(hào)名保持不變。 -n：改變組賬號(hào)名。 操作舉例： # groupmod -g 503 mygroup # groupmod -n newgroup mygroup,管理組用戶,命令： gpasswd 只有root和組管理員能夠改變組的成員： 操作舉例： 把student1加入student組 gpasswd a student1 student 把student1退出student組 gpasswd d student1 student 把student的管理員指派給yz gpasswd A yz student,刪除組賬號(hào),命令格式：# groupdel 注意事項(xiàng)： 被刪除的組賬號(hào)必須存在 當(dāng)有用戶使用組賬號(hào)作為私有組時(shí)不能刪除 與用戶名同名的私有組賬號(hào)在使用userdel命令刪除用戶時(shí)被同時(shí)刪除 操作舉例： # groupdel mygroup,啟動(dòng)用戶管理器 該管理器是圖形界面的應(yīng)用程序，需要先進(jìn)入圖形界面，點(diǎn)擊 “系統(tǒng)管理用戶和組群”，或在虛擬終端窗口中輸入下面的命令:system-config-users,5.4 用戶管理器管理用戶,用戶管理器中各項(xiàng)含義如表所示。,5.5 操作權(quán)限概述,Linux是多用戶的操作系統(tǒng)，允許多個(gè)用戶同時(shí)在系統(tǒng)上登錄和工作。 為了確保系統(tǒng)和用戶的安全，Linux采取了很多的安全措施。 通過(guò)用戶的代號(hào)（UID）來(lái)確定每個(gè)用戶在登錄系統(tǒng)后都做了些什么， 也可以用來(lái)區(qū)別不同用戶所建立的文件或目錄。 Linux文件系統(tǒng)安全模型是通過(guò)給系統(tǒng)中的文件賦予三個(gè)屬性來(lái)起作用的，這三個(gè)賦予每個(gè)文件的屬性稱為所有者、組和訪問(wèn)權(quán)限。 Linux下每一個(gè)文件必須嚴(yán)格地屬于一個(gè)用戶和一個(gè)組。,使用 Linux 系統(tǒng)資源的四類人員,在Linux中，將使用系統(tǒng)資源的人員分為四類： 超級(jí)用戶 文件或目錄的屬主 屬主的同組人 其他人員 由于超級(jí)用戶具有操作Linux系統(tǒng)的一切權(quán)限，所以不用指定超級(jí)用戶對(duì)文件和目錄的訪問(wèn)權(quán)限。 對(duì)于其他三類用戶都要指定對(duì)文件和目錄的訪問(wèn)權(quán)限。 用戶只能不受限制的操作自家目錄及其子目錄下的所有文件。 對(duì)系統(tǒng)中其他目錄的訪問(wèn)受到同組和其他人的訪問(wèn)限制。,查看文件和目錄的權(quán)限,使用如下命令查看權(quán)限 $ ls -l 常見(jiàn)的權(quán)限字符串及其含義p146B9-10 字符 數(shù)值 說(shuō)明 -rw- 600 只有屬主才有讀取和寫入的權(quán)限。 -rw-r-r- 644 只有屬主才有讀取和寫入的權(quán)限；同組人和其他 人只有讀取的權(quán)限。 -rwx- 700 只有屬主才有讀取、寫入、和執(zhí)行的權(quán)限。 -rwxr-xr-x 755 屬主有讀取、寫入、和執(zhí)行的權(quán)限；同組人和其 他人只有讀取和執(zhí)行的權(quán)限。 -rwx-x-x 711 屬主有讀取、寫入、和執(zhí)行權(quán)限；同組人和其他 人只有執(zhí)行權(quán)限。 -rw-rw-rw- 666 每個(gè)人都能夠讀取和寫入文件。 -rwxrwxrwx 777 每個(gè)人都能夠讀取、寫入、和執(zhí)行。 drwx- 700 只有屬主能在目錄中讀取、寫入。 drwxr-xr-x 755 每個(gè)人都能夠讀取目錄，但是其中的內(nèi)容卻只能被屬主改 變。,權(quán)限的文字設(shè)定法,chmod ugoa+-=rwxugo 人員標(biāo)識(shí) 屬主（u）,同組（g）,其他人（o）,所有的人員（a） 設(shè)定方法 + ：增加權(quán)限, - ：刪除權(quán)限 = ：分配權(quán)限，同時(shí)刪除舊的權(quán)限 權(quán)限字符 r（讀）,w（寫）,x（執(zhí)行）,u（和屬主的權(quán)限相同） g（和所屬組用戶的權(quán)限相同）,o（和其他用戶的權(quán)限相同） 操作舉例： 對(duì)文件addusers1的屬主添加執(zhí)行權(quán)限，同時(shí)取消組用戶和其他用戶對(duì)文件的讀取權(quán)限 # ll addusers -rw-r-r- 1 root root 399 May 2 18:14 addusers1 # chmod u+x,go-r addusers1 # ll addusers1 -rwx- 1 root root 399 May 2 18:14 addusers1,權(quán)限的數(shù)值設(shè)定法,chmod命令的數(shù)值設(shè)定法格式 chmod n1n2n3 n1n2n3 其中n1代表屬主的權(quán)限，n2代表組用戶的權(quán)限，n3代表其他用戶的權(quán)限 n1、n2、n3選項(xiàng)都是8進(jìn)制數(shù)字，其意義如下：p148B9-14 操作舉例： 取消組用戶和其他用戶對(duì)文件users1的一切權(quán)限 # ll users1 -rw-r-r- 1 root root 24 May 2 18:15 users1 # chmod 600 users1 # ll users1 -rw- 1 root root 24 May 2 18:15 users1,更改屬主和組,chown命令 功能：更改屬主和組。 格式： # chown -R 參數(shù)-R：表示對(duì)目錄及其子目錄進(jìn)行遞歸設(shè)置。 舉例： 將文件users1的屬主改成osmond # chmod osmond users1 將文件users1的組改成staff # chmod .staff users1 將文件users的屬主和組都改成osmond # chown osmond.osmond users 將mydir目錄及其子目錄下的所有文件或目錄的屬主和組都改成osmond # chown R osmond.osmond mydir,三種特殊權(quán)限簡(jiǎn)介,SUID 當(dāng)一個(gè)設(shè)置了SUID 位的可執(zhí)行文件被執(zhí)行時(shí)，該文件將以所有者的身份運(yùn)行， 也就是說(shuō)無(wú)論誰(shuí)來(lái)執(zhí)行這個(gè)文件，他都有文件所有者的特權(quán)。 如果所有者是 root 的話，那么執(zhí)行人就有超級(jí)用戶的特權(quán)了。 SGID 當(dāng)一個(gè)設(shè)置了SGID 位的可執(zhí)行文件運(yùn)行時(shí)，該文件將具有所屬組的特權(quán)， 任意存取整個(gè)組所能使用的系統(tǒng)資源。 若一個(gè)目錄設(shè)置了SGID，則所有被復(fù)制到這個(gè)目錄下的文件， 其所屬的組都會(huì)被重設(shè)為和這個(gè)目錄一樣，除非在復(fù)制文件時(shí)加上-p （preserve，保留文件屬性）的參數(shù)，才能保留原來(lái)所屬的群組設(shè)置。 sticky-bit 對(duì)一個(gè)文件設(shè)置了sticky-bit之后，盡管其他用戶有寫權(quán)限， 也必須由屬主執(zhí)行刪除、移動(dòng)等操作。 對(duì)一個(gè)目錄設(shè)置了sticky-bit之后，存放在該目錄的文件僅準(zhǔn)許其屬主執(zhí)行刪除、 移動(dòng)等操作。,特殊權(quán)限實(shí)例,SUID的典型例子是passwd程序 # ll /usr/bin/passwd -r-s-x-x 1 root root 16336 Feb 14 2003 /usr/bin/passwd 設(shè)置了sticky-bit的典型例子是系統(tǒng)臨時(shí)文件目錄/tmp # ll -d /tmp drwxrwxrwt 4 root root 4096 May 3 08:20 /tmp,特殊權(quán)限的文字表示,SUID和SGID用s表示；Sticky-bit用t表示 SUID是占用屬主的x位置來(lái)表示 SGID是占用組的x位置來(lái)表示 Sticky-bit是占用其他人的x位置來(lái)表示的 在表示上有大小寫之分 假若同時(shí)設(shè)置執(zhí)行權(quán)限和SUID、SGID與Sticky，權(quán)限標(biāo)識(shí)字符是小寫的形式 倘若關(guān)閉執(zhí)行的權(quán)限，則標(biāo)識(shí)字符會(huì)變成大寫 例如： -rwsr-sr-t 1 root root 9Aug 19 21:47 showme -rwSr-Sr-T 1 root root 9Aug 19 21:47 showme -rwsr-Sr-T 1 root root 9Aug 19 21:47 showme -rwsr-Sr-t 1 root root 9Aug 19 21:47 showme -rwsr-sr-T 1 root root 9Aug 19 21:47 showme,設(shè)置特殊權(quán)限舉例,為程序/usr/bin/myapp添加SUID權(quán)限 # chmod u+s /usr/bin/myapp 為目錄/home/groupspace添加SGID權(quán)限 # chmod g+s /home/groupspace 為目錄/home/share添加sticky權(quán)限 # chmod o+t /home/share 為程序/usr/bin/myapp添加SUID權(quán)限 # chmod 4755 /usr/bin/myapp 為目錄/home/groupspace添加SGID權(quán)限 # chmod 2755 /home/groupspace 為目錄/home/share添加sticky權(quán)限 # chmod 1755 /home/share,用戶和組其它命令,whoami：用于顯示當(dāng)前用戶的名稱。 groups ： 用于顯示指定用戶所屬的組，如未指定用戶則顯示當(dāng)前用戶所屬的組。 id：用于顯示用戶當(dāng)前的uid、gid和用戶所屬的組列表。 newgrp ： 用于轉(zhuǎn)換用戶的當(dāng)前組到指定的附加組，用戶必須屬于該組才可以進(jìn)行。,賦予用戶特殊權(quán)限,su -： 用于轉(zhuǎn)換當(dāng)前用戶到指定的用戶賬號(hào)，若不指定用戶名則轉(zhuǎn)換當(dāng)前用戶到root。 若使用參數(shù)“-”則在轉(zhuǎn)換當(dāng)前用戶的同時(shí)轉(zhuǎn)換用戶工作環(huán)境。 (需要知道密碼),sudo:授權(quán)許可使用 例：sudo vi /etc/passwd Sudo特點(diǎn)： 1. sudo能夠限制指定用戶在指定主機(jī)上運(yùn)行某些命令。 2. sudo可以提供日志，忠實(shí)地記錄每個(gè)用戶使用sudo做了些什么，并且能將日志傳到中心主機(jī)或者日志服務(wù)器。 3. sudo為系統(tǒng)管理員提供配置文件，允許系統(tǒng)管理員集中地管理用戶的使用權(quán)限和使用的主機(jī)。它默認(rèn)的存放位置是/etc/sudoers。 4.sudo使用時(shí)間戳文件來(lái)完成類似“檢票”的系統(tǒng)。當(dāng)用戶執(zhí)行sudo并且輸入密碼后，用戶獲得了一張默認(rèn)存活期為5分鐘的“入場(chǎng)券”（默認(rèn)值可以在編譯的時(shí)候改變）。超時(shí)以后，用戶必須重新輸入密碼。,配置sudo 配置sudo必須通過(guò)編輯/etc/sudoers文件，而且只有超級(jí)用戶才可以修改它，還必須使用visudo編輯。 之所以使用visudo有兩個(gè)原因，一是它能夠防止 兩個(gè)用戶同時(shí)修改它；二是它也能進(jìn)行有限的語(yǔ)法檢查。所以，即使只有你一個(gè)超級(jí)用戶，你也最好用visudo來(lái)檢查一下語(yǔ)法。,/etc/sudoers,/etc/sudoers 文件中每行算一個(gè)規(guī)則，前面帶有#號(hào)可以當(dāng)作是說(shuō)明的內(nèi)容，并不執(zhí)行；如果規(guī)則很長(zhǎng)，一行列不下時(shí)，可以用號(hào)來(lái)續(xù)行，這樣看來(lái)一個(gè)規(guī)則也可以擁有多個(gè)行； /etc/sudoers 的規(guī)則可分為兩類；一類是別名定義，另一類是授權(quán)規(guī)則；別名定義并不是必須的，但授權(quán)規(guī)則是必須的；,/etc/sudoers,忽略空行和注