1、第四章 用户管理和密码管理,UNIX/Linux系统的用户和组 与用户和组管理相关的文件 用户管理命令 组管理命令 密码管理机制与管理命令 其它与用户身份和位置相关的命令,4.1 UNIX系统的用户,对UNIX/Linux系统的管理与使用是以用户(user)为主体的。自然人要想使用系统,必须以某个已在系统中存在的用户身份登录,且通过密码验证后,才能进入系统,并按权限使用。对于系统中已经存在的用户,可以在图形或字符界面下登录,也可通过网络远程登录。 Unix/Linux系统中有两类用户:超级用户和一般用户。超级用户有至高无上的权力,可做任何事情;一般用户只能在给定的权限范围内进行工作,不得越权行
2、事。 用户又按实际的需要分成不同的组(group)。同组用户按规定和目的享有某些共同的权限。,4.1.1用户与uid,在UNIX/Linux系统中每个用户都有一个用户名(user name),系统还给每个用户分配了一个用户标识(uid:user identification)。用户uid是系统辨识用户的唯一标识,而用户名则是用户的外部表示。通过特殊办法可以让不同名的用户具有相同的uid,但建议不要这样做,因为这样会带来潜在问题。 用户信息存放在文件/etc/passwd中。用户标识,可用命令id来查询。,4.1.2 用户组,系统在创建用户时,为每个用户安排了一个归属组(group)。 系统中的
3、每个组都有一个组名(group name)和一个组标识(gid:group identification)。一个组是具有某种联系或关系的用户集合。比方说在某种业务方面,需要把操作某些数据文件或数据库的用户放在一个组中,以实现数据共享或共同操作。 用户组信息存放在文件/etc/group中。用户的组标识,也可用命令id来查询。,4.2 与用户管理相关的文件,与用户管理相关的文件有: /etc/passwd /etc/shadow /etc/group /etc/login.defs /etc/default/useradd 用于对用户设置和登录项目进行控制。,4.2.1 /etc/passwd,
4、/etc/passwd是系统用户数据库文件,它包括系统内所有已经注册用户的信息。该文件是一个文本文件,它的每一行描述一个用户的信息,为由“:”分隔的七个字段。 结构为: username:password:uid:gid:comment:dir:shell,/etc/passwd结构说明,username:password:uid:gid:comment:dir:shell username:用户名,必须以字符开始,不要使用大写字母。 password:密码。 uid:用户标识号。不同的UNIX系统,该项的取值范围可能不同,在Red Hat Linux系统中该项的取值范围在/etc/login
5、.defs文件中定义。一般用户uid满足条件:UID_MINuidUID_MAX。 gid:组标识号,说明同uid。 comment:说明域。一般包括用户详细说明信息,比如用户命名,住址,电话号等。此项内容中不能包含冒号,但可以为空。 dir:用户家目录$HOME,即用户登录成功后的工作目录,或当前目录。 shell:用户登录成功后所使用的shell程序,也可是用户实用程序。当为空时取系统默认的/bin/sh。,伪用户,在/etc/passwd内有很多用户,事实上它包含了系统内的所有用户。 用户有很多类型,设置用户也有不同目的。有的是真实用户,可以用来登录系统,而有的则不能,但可以它的身份完成
6、指定的任务。这种不能用于登录的用户被称为伪用户。 比如:daemon用于系统服务进程;bin拥有可执行的用户命令文件;uucp被uucp使用;lp被lp或lpd子系统使用。,4.2.2 /etc/shadow,/etc/shadow是影子密码文件。当系统启用影子密码时用于存放系统内用户的加密后的密码和用户登录控制信息。其结构为: username:password:lastchanged:minimum:maximum: username:与passwd内容对应的用户名。 password:加密后密码。若为空表示无密码,当开头的两个字符为“!”表示用户被上锁,现在不可使用。 lastchang
7、ed:从某天(19700101)到上次修改密码时间的间隔天数。 minimum:必须修改密码的天数间隔。 maximum:新密码的最长有效天数。,4.2.3 /etc/group,/etc/group是组定义文件。它是一个文本文件,每行描述一个组。结构为: groupname:password:gid:userlist groupname:组名。 password:组密码。如果此域为空,则不需要密码。可用gpasswd设置此密码,并由newgrp等命令使用。 gid:组标识号。 userlist:组成员元,为以逗号分隔的用户名。,4.2.4 /etc/login.defs,/etc/login
8、.defs文件定义了与用户创建和密码管理相关的参数。其内容如下: MAIL_DIR /var/spool/mail #mail目录 PASS_MAX_DAYS 99999 #密码可用的最大天数 PASS_MIN_DAYS 0 #两次修改密码之间的最小天数 PASS_MIN_LEN 5 #密码最小长度 PASS_WARN_AGE 7 #密码到期前给出警告的天数 UID_MIN 500 #自动选择时的最小UID UID_MAX 60000 #自动选择时的最大UID GID_MIN 500 #自动选择时的最小GID GID_MAX 60000 #自动选择时的最磊GID CREATE_HOME yes
9、 #在创建用户时,创建家目录,4.2.5其它文件,在不同UNIX/Linux系统的实现中,所使用配置与管理文件可能是不同的。相关的文件有创建用户的默认信息文件/etc/default/useradd和目录/dev/skel、组影子密码文件/etc/gshadow及其它相关的配置文件。 /etc/default/useradd是创建用户的默认属性参考值,而/dev/skel是一个框架目录,当新用户创建后要将其内的文件和目录复制到新用户的家目录,并重新设置用户主、用户组和权限,以作为新用户从不同界面登录的默认配置。,4.3 用户管理命令,用户管理命令 用户删除(userdel) 密码管理,4.3.
10、1用户管理命令,用于用户管理的命令有useradd用于用户创建,usermod用于用户属性修改和userdel用户删除。,1. 增加用户(useradd),功能:创建新用户 用法: useradd -c comment -d home_dir -e expire_date -f inactive_days-g group -G group1,group2, -m -k skel_dir|-M -n-o -r -s shell -u uid user useradd D -g default_group -b default_home -e default_expire_date-f defau
11、lt_inactive -s default_shell,useradd参数,-c comment:新用户注释信息。不含“:”和回车的长度512的字符串 -d home_dir: 新用户家目录。 -D:显示新创建用户时的参数默认值,或为新用户设置新的参数默认值 -e expire_date:以MM/DD/YYYY格式设置帐号到期日 -f inactive_days:密码到期后,直到帐号永久停止使用时所经过的天数,默认为-1,表示不启用该选项 -g group:设置新用户所属的基本组 -G group1,group2,:将新用户添加到由逗号分隔的组列表中,一个用户可同时归属多个组 -m:创建用户
12、家目录,并将框架目录的默认配置文件复制到该目录中 -M:创建新用户,但不创建用户家目录 -n:关闭创建新用户时,组名与用户名相同的Redhat Linux特点 -o:允许使用-u uid指定一个与已经存在用户相同的uid。即允许不同名的用户具有相同的uid -r:此为Redhat Linux新增选项,用于创建系统用户 -s shell:指定用户登录shell,若不指定则采用系统默认shell:/bin/bash -u uid:为用户指定uid。若不指定系统将自动分配一个。若uid已经被使用,则必须与-o配合使用,关于创建用户的说明,若不带选项运行useradd,比如useradd newuse
13、r,则使用缺省方式创建newuser。若在创建用户时没有创建家目录,则为保证newuser创建后可以登录还必须手工创建newuser的家目录,并修改家目录归属关系和存取权限。 创建用户时,是否创建用户家目录,取决于/etc/login.defs中变量CREATE_HOME的值。也可使用-m参数强制创建。 若未指定密码,则在一切准备好后,还必须经超级用户为新建用户设置或修改密码后才能正常登录和使用。,创建用户示例,1) 以缺省方式创建用户 #useradd test1 2) 以非缺省方式创建用户 #useradd d /usr/mytest m mytest #创建一个名为mytest的用户,且
14、为其创建家目录/usr/mytest,而非默认的/home/mytest,2. 用户删除(userdel),功能:删除用户 用法: userdel -r user 参数:选项-r的作用是,在删除用户时也同时删除用户的家目录。,关于用户删除有以下说明,对于系统中不再使用的用户帐号,应尽早的删除它,因为多余用户的存在可能是安全的隐患。 在有的高级别的UNIX系统里,用户一旦创建,是不能从系统中删除的,用户的uid也不能被再重新使用,但可以通过过期或锁定的办法将它闲置起来; 对于已经登录的用户或有属于该用户程序在运行的用户来说,删除可能失败; 一般情况下删除用户时只删除/etc/passwd,/et
15、c/shadow,/etc/group及相关文件中的与该用户相关的内容,而不删除用户的家目录,因为用户家目录中可能存放重要数据。对用户家目录的删除应由用户或经确认后由管理员来进行; 若要在删除用户时同时删除用户家目录,可使用-r选项。,3. 用户修改usermod,功能:修改用户属性 用法: usermod -c comment -d dir -m -e expire_date -f inactive_days-g group -G group1,group2, -l newname -s shell-u uid -o -L|-U name 参数: usermod的多数选项与useradd相同
16、,新的选项有: -l newname:设置新用户名,将用户名由原来的user变为newname; -L:将用户密码上锁,不能与-U同时使用; -U:将用户密码解锁,不能与-L同时使用。,4.3.2组管理命令,用于组管理的命令有groupadd、groupmod和groupdel分别用于组的创建、修改和删除。,1. 组创建(groupadd),功能:创建组 用法: groupadd -g gid -o -r -f group 参数: -f:Red Hat Linux的特有选项,使得当创建一个已经存在的组时,不报告错误而直接退出。 -g gid: 指定新创建组gid,gid必须满足条件:GID_M
17、INgidGID_MAX -o:允许使用-g gid指定一个与已经存在组相同的gid -r:创建系统组(0gidGID_MIN),如果不用-g指定gid,则从可用gid中选择最小的一个,2. 组删除(groupdel),功能: 删除系统中已经存在的组。 用法: groupdel group 说明: 不能删除系统中仍然存在的用户的基本组。也就是说只有先删除用户,然后才能删除它所拥有的基本组。 在有的系统中,如果组内成员不空也不能删除指定组。,3. 组修改(groupmod),功能:修改组的属性 用法: groupmod -g gid -o -n newgroup group 参数:参见group
18、add 说明: 该命令的作用使得原来的组group变为新的组newgroup,相当于组的更名,组的gid受参数-g的影响。,4.3.3密码管理,1. 密码管理综述 Unix/Linux系统的标准安全级别为C2级。具有用户身份认证、访问控制和操作的可靠性等特点。密码管理是实现身份认证的基础。 可用于密码的字符是广泛的,视不同系统而定,一般来说可以使用大小写字母、数字、标点符号等,有的系统甚至可以使用光标键和功能键等。密码的长度也视具体系统或安全级而定。 系统的安全与方便是矛盾的,不能因方便而忽略安全问题,也不能因过于强调安全而影响正常使用,应该在安全和方便之间找出平衡或进行取舍。,使用密码时应注
19、意以下几个问题,密码应该按规定定期或不定期的修改; 密码内不应包含完整的单词、生日、电话号码、姓名、用户名、组名、宠物和地址等信息; 不同系统和用户应该有不同的密码; 密码应易记且不要写在纸上; 要保密,不要共用密码; 输入密码时不要让别人看见,也不要窥视别人的密码。,2. 密码管理命令(passwd),功能: 密码管理,包括改变或删除用户的密码,为用户上锁或解锁,改变或显示用户的属性等。 用法: passwd -k -l -u -f -d -n mindays -x maxdays -w warndays-i inactivedays -S username 说明: 除root外,修改密码时
20、将提示用户先输入旧密码;密码在它到期前是有效的,若在有限时间内没有设置或修改密码,则到期后的下一次必须修改密码;一个用户可被上锁,上锁后的用户一经退出将不能再登录;只有root能够上锁或解锁一个用户;尽管密码可以被删除或置空,但不推荐这样做。,passwd参数说明,-k:告诉系统用户更改密码应在密码到期前进行 -l:对指定用户上锁,只有root可以使用此选项 -u:解锁一个被-l上锁的用户 -d:删除指定用户密码。被删除密码的用户,在登录时不需要密码 -n mindays:设置用户密码的最短有效期,即允许更改前的天数,只有root可使用此选项 -x maxdays:设置用户密码的最长有效期,即
21、需要更改的天数,只有root可以使用此选项 -w warndays:设置用户密码的到期前提前警告的天数,只有root可以使用此选项 -i inactivedays:设置用户密码不活动的的天数,只有root可以使用此选项 -S:报告指定用户的密码状态信息。,密码管理示例,(1)用户上锁 passwd -l user #对用户user上锁 usermod -L user (2) 已上锁用户的解锁 passwd -u user #对用户user解锁 usermod -U user (3) 修改用户密码 passwd mytest #为用户mytest修改密码 passwd #为用户自己修改密码 (4
22、) 强制用户mytest在多少天后修改密码 passwd -x 2 mytest #设置密码最长有效期为2天 (5) 删除用户密码 passwd -d mytest #为用户mytest删除密码,4.4 用户、组和密码管理图形界面,在Red Hat Linux系统中用户、组和密码管理可在统一图形界面下完成。 启动方法如下: “开始”“系统设置“用户和组群” redhat-config-users,4.5 与用户身份和位置相关的其它命令,显示已登录用户的信息(who) 显示与用户和组相关的信息(id) 显示与当前有效用户id相关的用户名(whoami) 确定用户所使用的终端设备(tty) 不退出
23、系统而将自己切换成其它用户(su) 设置组密码(gpasswd) 组检查(grpck) 不退出系统而改变用户组(newgrp) 向系统中已登录的所用户发信息(wall),4.5.1 显示已登录用户的信息(who),功能 显示系统中已登录用户的信息。 用法: who arg1 arg2 who optines FILE 说明: 当以第一种格式时,相当于who am i,总是显示命令使用者的信息。 在文件/var/log/wtmp和/var/run/utmp内容记录有系统运行过程中自动加入的系统运行和用户登录信息,who命令可以使用它。 若不指定FILE指定文件,则who命令使用这两个文件。,wh
24、o的参数与示例,参数: -a:显示所有信息 -p:显示由init派生的活动进程 -d:显示僵尸进程信息 -b:显示系统最后一次启动时间 -s:以默认格式显示 -q:显示已登录的所有用户名和用户数 -r:显示系统的当前运行级别 -H:显示标题头信息 -t:显示系统时钟最后一个修改时间 -I:显示进程的idle时间 -i:以规范格式显示信息 -T, -w:显示用户的信息状态信息:+,-或? -m:只显示与所使用终端相关的信息 -u:显示用户 示例: #who #显示谁正在系统中工作 #who -r #显示系统当前的运行级,4.5.2 显示与用户和组相关的信息(id),功能 显示用户的uid、gid
25、及相关信息。 用法 id options username 参数: -a:显示与有关的所有id信息 -n:以名字方式显示信息 -g:显示用户有效gid -r:显示真实uid或gid -G:显示与指定用户相关的所有组gid -u:显示有效uid,而非真实uid 示例: id G n #以组名方式显示自己的gid信息 id ftp #显示指定用户(ftp)的id信息,4.5.2 显示与当前有效用户id相关的用户名(whoami),whoami命令用于显示与当前有效id相关的用户名,功能相当于id -un。,4.5.5不退出系统而将自己切换成其它用户(su),功能 在不退出系统的情况下而以其它用户的
26、身份启动一个shell,以新用户的身份使用系统。在运行新shell的过程中自己的有效uid和有效gid变为了新用户的uid和gid。 用法: su optins - newuser args 参数: -,-l,-login:以新用户身份启动一个shell,并以新用户环境进行工作 -c CMD,-command=CMD:以新用户身份和环境执行命令CMD。CMD为一个命令字符串,若内部有空格则需用引号括起来。 -m,-p:用户切换时,不重新设置环境变量。 -s shell,-shell=shell:切换时指定shell。指定的shell要在文件/etc/shells中有定义,关于su的说明,若不指
27、定用户名,则缺省为root。以新用户身份工作完毕后通过签退的办法返回到原来的自己。除非由root向其它用户切换,都要通过密码验证。 以su newuser方式切换用户,将使用自己原先的环境。而以su newuser方式登录的方式,使用新的用户的环境。 如果要在批处理内以另一个新用户newuser直接执行程序command,可用使用下列形式: su - newuser -c command args 或 su - newuser -command=”command args”,su示例,#切换到用户newuser后使用原环境工作 su newuser #切换到用户newuser后使用新用户环境工
28、作 su newuser #以新用户身份执行命令”command args” su newuser c command args #以postgres身份登录,使用shell /bin/sh 执行命令/usr/bin/initdb su -l postgres -s /bin/sh -c “/usr/bin/initdb -pgdata=/var/lib/pgsql /dev/null 2&1“,4.5.6 设置组密码(gpasswd),功能: 每个组都可以有自己的管理者、组员和密码。gpasswd用于为一个组设置管理者、组员和密码等。 用法: gpasswd -r|-R group gpas
29、swd -a|-d user group 参数说明: 管理者可分别使用-a或-d向组中增加成员或从组删除成员。组管理者也可以使用-r来删除组密码。用-R来取消使用newgrp对组的访问权。 说明: 当一个组设有组密码时,组成员可以不使用组密码而使用newgrp命令,但是非组成员在使用newgrp时要使用组密码。,4.5.7 组检查(grpck),功能:对系统认证信息库的进行检查和维护。 用法为: grpck -r group gshadow 参数及说明: 在默认情况下,grpck的执行过程中文件/etc/group和/etc/gshadow的内容将被检查,检查内容包括文件格式是否正确,组名是否
30、唯一,组成员和管理者是否有效等。如果在检查过程中发现错误,则将提示用户删除文件中错误的行。检查过程中遇到的其它警告错误用户可以使用groupmod命令进行修改。 用户可以通过指定group gshadow来改变grpck的处理文件,这样可以使grpchk不直接处理/etc/group和/etc/gshadow文件。用户也可通过-r来以只读方式进行模拟处理。,4.5.8不退出系统而改变用户组(newgrp),功能: 使用户在不退出系统的情况下改变自己的组身份,即以新的组工作。 用法: newgrp newgroup 说明: su命令可以使用户在不退出系统的情况下,而改变自己的身份,以其它用户身份
31、工作。 newgrp命令可以使用户在不退出系统的情况下改变自己的组身份,即以新的组工作。完成任务后,用户可以签退的办法返回至原来的自己。 若不指定newgroup,则仍使用原来的组标识。,4.5.9 向系统中已登录的所用户发信息(wall),功能: 向注册到系统中工作的所用户发送广播信息,所发信息将被显示在每个用户的终端上。 用法: wall message 说明: wall可以将其后的内容,即它的变量或参数,作为信息发送。当不带变量运行时,wall将使用标准输入。在使用标准输入时,广播信息应以Ctrl_D结束。 系统允许的发送的信息最多为20行。当用户使用文件内容作为信息发送时,可以使用输入改道。 Wall的工作可能会受终端接收信息状态的影响,接收信息被禁止的终端将不能收到广播信息。但是不论如何,当超级用户使用wall时,每个终端都将收到广播信息,同名用户也可以收到同名用户发送的信息。,
