第六章
管理用户和组群
Linux是一个多用户的网络操作系统,任何一个用户要获得Linux系统的使用授权,都要首先拥有一个用户账户。用户和组群的管理是系统管理员的重要工作之一。本章主要介绍用户和组群的基础知识,使用命令行工具管理用户和组群的方法等。
6.1 认识用户和组群
在网络操作系统中,每个用户对应一个账户。用户账户是用户的身份标识,通过账户用户可以登录到某个计算机上,并且访问已经被授权访问的资源。因此可以认为,用户账户是用户的通行证。用户账户可以帮助操作系统实现系统资源的访问控制,实现必要的安全控制功能。
RHEL5.4安装完成后,系统已经建立了一些特殊用户账户,其中最重要的是超级用户root。root用户可以执行所有的管理任务,可以不受限制的执行任何操作。为使普通用户可以在Linux系统中工作,应该由超级用户为普通用户创建允许登录系统的普通用户账户。 基于安全的考虑,建议超级用户也为自己建立一个用来处理一般事务的普通账户,只有必要的时候才使用root身份操作。
组群是具有共同特性的用户的逻辑集合,使用组群有利于系统管理员按照用户的特性组织管理用户,提高工作效率。有了组群,在做资源授权时可以把权限赋予某个组群,组群中的成员即自动获得这种权限。一个用户账户可以同时是多个组群的成员,其中某个组群为该用户的主组群,其他族群为该用户的附属组群。
下面列出用户与组群有关的一些概念:
用户名:用来标识用户的名称,可以是字母、数字组成的字符串,区分大小写 密码:用户验证用户身份的特殊验证码
用户标识(UID):用来表示用户的数字标识符,系统根据UID来识别用户 用户主目录:用户的私人目录,也是用户登录后默认所在的目录 登陆shell:用户登陆后默认使用的Shell程序,默认是/bin/bash 组群:具有相似属性的用户所属于的一个逻辑组
组群标识(GID):用来表示组群的数字标识符,系统那个根据GID来识别组群 root用户的UID为0,普通用户的UID默认从500开始顺序编号,除非管理员在创建用户账号时同时指定UID选项。在Linux系统中,创建用户账户的同时一般也会建立一个与用户名同名的组群,该组群为用户的主组群。普通组群的GID也从500开始编号。
6.2 管理用户账户
管理用户账户和组群可以使用图形化工具或者命令行工具,也可以通过直接修改系统配置文件来实现,这几种方法都会将用户和组群信息保存在配置文件中并没有本质区别。 6.2.1 与用户有关的配置文件
Linux系统中的用户账户信息保存在/etc/pawd文件中,为了使用户口令更安全,一般将口令加密后与其他口令信息一起存放在/etc/shadow文件中。生成新账户时默认使用的参数在/etc/login.defs文件中配置,另外生成新用户时会从/etc/skel目录中复制默认用户配置文件到新用户的主目录中。
1、考察/etc/pawd文件
Linux系统中用户管理用户账户的文件是/etc/pawd,该文件中包含了系统中所有用户的基本信息。系统使用每个用户账户唯一的UID来识别用户,配置文件/etc/pawd给出了UID与用户名及其他信息之间的对应关系。每个用户账户在pawd文件中占用一行,并且用“:”分成7个域。每一行的形式如下:
用户名:加密的口令(占位符):UID:GID:用户的全民或描述:主目录:登陆Shell 下面是pawd文件的部分内容示例,其中第一行是root用户的信息。
现在的类Unix系统,都不在/etc/pawd文件中存放口令,而是将口令经过加密后存放在/etc/shadow文件中。所以在pawd文件的口令域中只能看到一个“x”标志。
2、考察/etc/shadow文件
/etc/shadow文件对系统的所有用户都是可读的,这样的好处是每个用户都可以知道系统上有哪些用户,但缺点是其他用户的口令容易受到攻击。所以现在Linux系统使用投影口令格式,将用户的口令信息存储在另一个文件/etc/shadow中,该文件只有超级用户root可以读取,因而安全性大大提高。
shadow文件保存投影加密之后的口令以及与口令有关的一系列信息。每个用户的信息在shadow文件中占用一行,并且用冒号“:”分为9个域,每个域的内容如下:
用户登录名
加密后的用户口令(若为空,表示该用户不需口令亦可登陆)
最近一次口令被修改的日期(相对日期,从1970年1月1日至修改时的天数) 口令最短存活期(口令在多少天内不能被修改) 口令最长存活期(口令在多少天后必须被修改) 口令过期前几天提醒用户更换口令 口令过期后几天账户被禁用
口令被禁用的具体日期(相对日期,从1970年1月1日至禁用时的天数) 保留域,用于未来的扩展功能 下面是shadow文件的部分内容示例:
3、考察/etc/login.defs文件
建立用户账户时会根据/etc/login.defs文件的配置设置用户账户的某些选项。该配置文件的实例如下所示。
4、考察/etc/skel目录
/etc/skel/目录是生成用户配置文件的模板目录,每当新建立一个用户时,系统会拷贝一份此目录内的文件到用户的宿主目录中。
我们新建一个用户,其宿主目录的内容:
6.2.2 使用命令行工具管理用户
使用命令行工具可以很快捷的完成用户管理任务,只是需要记忆一些选项和参数。可以使用useradd命令添加用户账户,格式为:
useradd [options] 例如要在系统中创建一个名为newuser的新用户,可以使用如下命令:
其实,useradd命令还有一个链接命令:adduser命令,它是useradd命令的一个符号链接。用户可根据习惯记忆选择。
useradd命令的常用选项有: -c comment:用户全名或描述 -d home-dir:指定用户主目录
-e date:禁用账户的日期,格式为YYYY-MM-DD -f days:口令过期后,账户禁用前的天数
-g group-name:用户所属主组群的组群名称或GID -G group-list:用户所属的附属组群列表,多个项目用逗号分开 -m:若主目录不存在则创建它 -M:不创建用户主目录 -n:不为用户创建用户私人组群
-r:创建UID小于500的不带主目录的系统账户 -p:加密的口令
-s:指定用户登录Shell,默认是/bin/bash -u UID:指定用户的UID,它必须是唯一的,且大于499 当确定不再使用某个账户时,可以删除该账户。删除账户可以使用userdel命令,格式为:
userdel [-r] 在userdel命令中使用-r选项,可以将用户以及用户的主目录、默认的主组群一起删除。 我们使用pawd给用户建立或修改密码,如果不带任何选项执行,则为当前登录用户修改密码。
pawd命令的常用选项如下: -l:锁定(停用)用户账户 -u:解锁用户账户
-d:将用户的口令设置为空,这与未设置口令的账户不同。未设置口令的用户账户是无法登陆系统,而口令为空的账户则可以。 对于已经创建的用户,我们可以使用usermod命令来修改用户账户的属性,格式为: usermod [options] usermod命令的可用选项与useradd命令类似。
选项中不同的有:“-L”为禁用账户,“-U”为启用账户。
可以看出,使用“-L”选项禁用账户后,其实就是在其加密后的密码前加了“!”符号。
6.2.3 用户工作环境设置
新用户登录进系统后,会通过一系列的配置文件构造自己的工作环境。这些配置文件有全局的,对所有用户都生效;也有用户的个人设置,只对用户个人生效。这些文件均使用Shell脚本语言写成。
当为新用户创建主目录时,系统会在新用户的主目录下创建一份/etc/skel目录下所有文件的副本,用来构造新用户的工作环境。系统管理员也可以通过编辑/etc/skel目录来标准化用户的初始主目录结构。
常用的用户工作环境配置文件如下:
/etc/profile:系统全局环境设置和启动程序 /etc/bashrc:系统定义的函数和命令别名 /etc/inputrc:与键盘和输入相关的设置
/$HOME/.bash_profile:用户的环境设置和启动程序 /$HOME/.bashrc:用户自定义的函数和命令别名
/$HOME/.bash_history:用户所执行的Shell命令的历史记录 /$HOME/.bash_logout:用户注销时执行该文件中的命令
用户的个人环境配置文件存放在用户的主目录中,而且是隐藏文件,可使用ls –l命令查看。
以下是/etc/profile文件的部分内容:
该文件前半部分用户设置PATH变量,即用户执行命令时的默认搜索路径。文件的后半部分分别设置USER、LOGNAME、MAIL、HOSTNAME、HISTSIZE、INPUTRC等环境变量,并使用export命令输出这些变量。最后通过一个循环语句,执行/etc/profile.d/目录中的所有的.sh文件。
另一个重要的环境配置文件是bashrc,包括全局的/etc/bashrc和用户主目录的.bashrc。以root用户的个人配置为例,下面是/root/.bashrc文件的默认内容:
在上例中,首先使用alias命令定义常用命令的别名,对于这些定义过别名的命令,用户可以执行命令的别名而不是完整的命令及选项。文件末尾使用一个判断语句判断/etc/.bashrc是否存在且是否为普通文件,如果符合条件就执行该文件。
.bash_history文件存放用户执行过的Shell命令,用户可以使用键盘上的上下方向键浏览命令历史,也可以使用history命令列出该命令历史,这对提高用户使用Shell命令的效率有好处。命令历史的尺寸通过/etc/profile文件中的HISTSIZE变量进行设定。
.bash_logout文件存放用户注销时要执行的Shell命令,通常只有一个clear命令,以保证用户注销时清除屏幕内容。
6.3 管理组群
组群账户的基本信息存放在/etc/group文件中,而关于组群管理的信息(组群口令、组群管理员等)则存放在/etc/gshadow文件中。
6.3.1 与组群有关的配置文件
1、考察/etc/group文件
Linux系统中用户管理组群账户的文件是/etc/group。每个组群账户在group文件中占用一行,并且用冒号“:”分为4个域,每一行的形式如下:
组群名称:组群口令:GID:组群成员列表 下面是group文件的部分内容:
在/etc/group文件中,用户的主组群并不把该用户作为成员列出,只有用户的附属组群才会把该用户作为成员列出。
2、考察/etc/gshadow文件
/etc/gshadow文件用于存放组群的加密口令。每个组群账户在gshadow文件中占用一行,并用冒号“:”分为4个域,每一行的形式如下:
组群名称:加密后的组群口令:组群的管理员:组群成员列表 下面是gshadow文件的部分内容:
6.3.2 创建和管理组群
组群的管理与用户账户的管理类似,可使用GUI界面的管理,也可使用命令行工具来管理。使用groupadd命令添加组群:
groupadd [options] groupadd命令的常用选项有:
-g GID:创建指定组群的GID,必须是唯一的且大于499 -r:创建GID小于500的系统组群
也可以使用usermod、gpawd命令修改用户所属的组群。例如要将用户lilin加入到root组群中,可使用命令:
或者
也可以将用户从某个附属组群中删除:
要删除某个组群,可以使用groupdel命令。
需要注意的是:如果要删除的组群是某个用户账户的主组群,只要该用户存在,那么该组群就不能删除。
还可以为组群指定一个管理员,组群管理员可以使用“gpawd –a”命令向组群中添加用户账户,也可以使用“gpawd –d”命令从组群中剔除用户。例如要将用户lilin设置为组li123的管理员,可以使用以下命令:
运行以上命令后,用户lilin就具有了管理组群li123的能力。
6.4 其他账户管理命令
因为root用户的特殊性,通常不建议常规性的工作也使用root账户进行登录。Linux系统的管理员除了使用root账户以外,通常还拥有一个普通用户账户,平常管理员应该使用普通用户账户登录系统。当需要对系统执行一些普通用户没有权限执行的操作时,可以使用su命令临时改变身份为root用户。普通账户改变身份为root账户时需要输入root账户的口令,而root账户临时改变身份为普通账户时则无须输入口令。例如要从root身份改变为lilin身份,只需运行以下命令:
正是由于可以使用su命令临时改变用户身份,有时Linux用户可能会搞不清楚自己当时的账户身份。这时可以使用id命令进行查看。id命令会告诉当前用户的准确身份。
从上面返回的信息可以看到,root用户的UID是0,主组群的GID是0,所属的附属组群包括root、bin、daemon、sys等。另外使用“id –u”命令可以只返回账户的UID信息,使用“id –un”命令可以返回账户的登录名称。
从上图能看到,命令“id –un”与命令“whoami”结果相同。 本章实验:
实验一:在RHEL5.4系统中建立2个新用户,分别为新用户指定宿主目录、登陆Shell、主组群及附属组群;为其设置口令并登陆系统,查看账号文件的内容。然后删除其中一个账户,并将宿主目录一起删除。
完成标准:
1、能够添加用户账号并设置口令
2、能够添加用户组账号
3、能够在添加用户账号时设置用户所属的组
4、能够删除用户账号 本章练习题:
填空题:
1、使用(
)命令可以修改现有用户的信息。
2、要修改用户user的密码可使用命令(
)。
选择题:
1、要删除用户user并同时删除该用户的主目录,可以使用命令(
) A、userdel user
B、deluser user C、userdel –r user
D、deluser –r user
2、为了保证系统的安全,现在的Linux系统一般将/etc/pawd文件加密后,保存为(文件。
A、/etc/group
B、/etc/netgroup C、/etc/libsafe.notify
D、/etc/shadow
3、使用(
)命令可以打开RHEL5.4中的图形界面用户管理工具。
A、redhat-config-users
B、system-config-users C、config-user
D、user-manager 简答题:
1、简述/etc/pawd文件中各个字段的含义
2、简述/etc/shadow文件中各个字段的含义
)
