1、第5章 Linux用户管理,5.1 权限控制机制 5.2 用户的管理 5.3 组 的 管 理 5.4 用户管理器 习题,5.1 权限控制机制,Linux系统是个多用户系统,能做到不同的用户能同时访问不同的文件,因此一定要有文件权限控制机制。Linux系统的权限控制机制和Windows的权限控制机制有着很大的差别。Linux的文件或目录被一个用户拥有时,这个用户称为文件的拥有者(或文件主),同时文件还被指定的用户组所拥有,这个用户组称为文件所属组。一个用户可以是不同组的成员,这可以由管理员控制。文件的权限由权限标志来决定,权限标志决定了文件的拥有者、文件的所属组、其他用户对文件访问的权限。,5.
2、1.1 用户和权限,1基本概念 (1)文件主 Linux为每个文件都分配了一个所有者,称为文件主,并赋予文件主唯一的注册名。对文件的控制取决于文件主或超级用户(root)。 文件的所属关系是可以改变的,你可以将文件或目录的所有权转让给其他用户,但只有文件主或root才有权改变文件的所属关系。可以用chown命令更改某个文件或目录的所有权。例如,超级用户把自己的一个文件复制给用户user1,为了让用户user1能够访问这个文件,超级用户(root)应该把这个文件的属主设为user1,否则,用户user1无法访问这个文件。如果改变了文件或目录的所有权,原文件主将不再拥有该文件或目录的控制权。,(2
3、)用户组 Linux下,每个文件又属于一个用户组。当创建一个文件或目录时,系统会赋予它一个用户组关系,chgrp命令可以改变文件的组关系。 (3)访问权限Linux系统中的每个文件和目录都有访问权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。,2访问权限Linux系统中规定了3种不同类型的用户:文件主(user)、同组用户(group)、可以访问系统的其他用户(others)。访问权限规定3种访问文件或目录的方式:读(r)、写(w)、可执行或查找(x)。,(1)文件访问权限读权限(r)表示只允许指定用户读取相应文件的内容,禁止对它做任何的更改操作。写权限(w)表示允许指定用户打开
4、并修改文件。执行权限(x)表示允许指定用户将该文件作为一个程序执行。,(2)目录访问权限在ls命令后加上-d选项,可以了解目录文件的使用权限。读权限(r)表示可以列出存储在该目录下的文件,即读目录内容。写权限(w)表示允许你从目录中删除或创建新的文件或目录。执行权限(x)表示允许你在目录中查找,并能用cd命令将工作目录切换到该目录。用chmod 命令可改变文件或目录的访问权限。,5.1.2 权限控制命令,1chmod命令 功能:chmod命令用于改变或设置文件或目录的访问权限。 格式:chmod选项模式 文件或目录名 说明:只有文件主或超级用户root才有权用chmod改变文件或目录的访问权限
5、。 选项参数: -c:若文件或目录权限确实已经更改,才显示其更改动作。 -f:若文件或目录权限无法被更改也不要显示错误信息。 -v:显示权限变更的详细资料。 -R:对目前目录下的所有档案与子目录进行相同的权限变更(即以递归式的方式逐个变更)。,设定文件权限时,在模式中常用以下的字母代表用户或用户组: u(user)表示文件的所有者。 g(group)表示文件的所属组。 o(others)表示其他用户。 a(all)代表所有用户(即u+g+o)。权限用以下字符表示:r表示读权限;w表示写权限;x表示执行权限。最后要指明是增加(+)还是取消(-)权限,或是只赋予权限(=)。,例1:将文件ex1的权
6、限改为所有用户对其都有执行权限。 $ chmod a+x ex1 例2:将文件ex1的权限重新设置为文件主可以读和执行,组用户可以执行,其他用户无权访问。 $ chmod u=r,ug=x ex1,在以上设置权限时,可以使用数值来绝对赋予权限。用三位二进制数表示其rwx权限,000111对应设置位,r为100、w为010、x为001,转换为十进制,读、写、执行权限依次对应4、2、1。权限的组合等于相应数字相加的和。例如:所有者的文件权限为rwx时,二进制数表示为111,用十进制数7表示;组用户的文件权限为rw-时,二进制数表示为110,用十进制数6表示;其他用户的文件权限为r-x时,二进制数表
7、示为101,用十进制数5表示。假设要求上述用户对文件“file1”具有上述权限,使用的命令是$ chmod 765 file1。,例3:$ chmod 664 chap1.txt 等同于$ chmod u=rw,g=rw,o=r chap1.txt。 例4:将目录wn1及其下面的所有子目录和文件的权限改为所有用户对其都有读、写权限。 $ chmod R a+rw- wn1,2chown命令 功能:改变某个文件或目录的拥有者和所属的组。 格式:chown 选项用户或组 文件名 说明:只有文件主和超级用户才可以使用该命令。同时改变文件主和文件所属的组时,用户名和用户组名由冒号分开。在文件名中可以包
8、含通配符。 参数选项:-R 递归式地改变指定目录及其所有子目录、文件的文件主。,例1:将目录/usr/mengqc及其下面的所有文件、子目录的文件主改变成liu。 $ chown -R liu /usr/mengqc 例2:把文件的拥有者改为longkey用户,同时文件的所属组改为root组。 # chown longkey:root chap1.txt,3chgrp命令 功能:改变文件或目录的所属组。 格式:chgrp 选项 组名 文件名 说明:如果用户不是该文件的文件主或超级用户,则不能改变该文件或目录的所属组。chown可以同时改变文件拥有者和所属组,chgrp只具有改变所属组的功能。
9、参数选项:-R 递归式地改变指定目录及其下面的所有子目录和文件的用户组。,例1:将文件“chap1.txt”的所属组设为root组。 $ chgrp root chap1.txt 例2:将/usr/mengqc及其子目录下的所有文件的用户组改为mengxin。 $ chgrp -R mengxin /usr/mengqc,4umask命令 功能:用来设置新建文件权限的掩码。 格式:umask 模式 说明:模式为新建文件权限的掩码值。 文件访问权限可以通过chmod命令来修改。当用户创建一个新文件后,如果不使用chmod修改权限,则这个文件的权限是什么呢?这个文件的权限由系统默认权限和默认权限掩
10、码共同确定,它等于系统默认权限减去默认权限掩码。Linux系统中目录的默认权限是777,文件的默认权限是666。因此,有以下公式: 新目录的权限=777默认权限掩码 新文件的权限=666默认权限掩码 注意:基于安全原因,Linux系统不允许文件的默认权限有执行权。 不带任何参数的umask命令显示当前的默认权限掩码值。,例1:显示当前的默认权限掩码值。 $ umask 022 例2:显示新创建文件的权限。 $ cat test $ ls l test -rw-r-r- 1 root root 7 3 月 8 12:57 test 以上说明如果用户创建新的文件,文件的权限应为666-022=64
11、4(即rw-r-r-)。,5.2 用户的管理,Linux是一个多任务、多用户的操作系统,要能做到不同的用户能同时访问不同的文件,允许不同的用户从本地登录或远程登录,这时用户必须拥有一个合法的账号,Linux系统正是通过账号来实现对用户的访问进行控制的,因此,需要对用户与组进行有效的管理。,5.2.1 Linux操作系统下的用户,1用户Linux下的用户可以分为三类:超级用户、系统用户和普通用户。超级用户的用户名为root,它具有一切权限,只有进行系统维护(例如建立用户等)或其他必要情形下才用超级用户登录,以避免系统出现安全问题。系统用户是Linux系统正常工作所必需的内建的用户,主要是为了满足
12、相应的系统进程对文件属主的要求而建立的,系统用户不能用来登录,如bin、daemon、adm、lp等用户。而普通用户是为了让使用者能够使用Linux系统资源而建立的,我们的大多数用户属于此类。每个用户都有一个数值,称为UID。超级用户的UID为0,系统用户的UID一般为1499,普通用户的UID为50060000之间的值。,2账号系统文件Linux系统采用纯文本文件来保存账号的各种信息,其中最重要的文件有/etc/passwd、/etc/shadow、/etc/group这几个。我们可以使用vi或其他编辑器来更改它们,也可以使用专门的命令来更改它们。账号的管理实际上就是对这几个文件的内容进行添
13、加、修改和删除记录行的操作,不管以哪种形式管理账号,了解这几个文件的内容十分必要。,(1)/etc/passwd文件 /etc/passwd文件是账号管理中最重要的一个文件,它是一个纯文本文件。每一个注册用户在该文件都有一个对应的记录行,这一记录行记录了此用户的必要信息。 例1:显示/etc/passwd文件。 # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:,从passwd文件中可以看到,第一行是root用户,紧接的是系统用户,普通用户通常在文件的尾部。passwd文件中的每一行由7个字段的数据组成,字
14、段之间用“:”分隔,其格式如下: 账号名称:密码:UID:GID:个人资料:主目录:Shell,说明如下: 账号名称:用户登录Linux系统时使用的名称。 密码:这里的密码是经过加密后的密码,而不是真正的密码,若为“x”,说明密码经过了shadow的保护。 UID:用户的标识,是一个数值,Linux系统内部使用它来区分不同的用户。 GID:用户所在组的标识,是一个数值,Linux系统内部使用它来区分不同的组,相同的组具有相同的GID。 个人资料:可以记录用户的个人信息,如姓名、电话等信息(上例中test用户本项为空)。 主目录:通常是/home/username,这里username是用户名,
15、用户执行“cd”命令时当前目录会切换到个人主目录。 Shell:定义用户登录后使用的Shell,默认是bash。,(2)/etc/shadow任何用户对passwd文件都有读的权限,虽然密码已经经过加密,但还是不能避免有人会获取加密后的密码。为了安全,Linux系统对密码提供了更多一层的保护,即把加密后的密码重定向到另一个文件/etc/shadow。密码如果经过shadow保护,在/etc/passwd文件中,每一记录行的密码字段会变成“x”,并且在/etc目录下存在文件shadow。只有超级用户能够读取shadow的内容。,例2:查看shadow文件的内容。 # cat /etc/shado
16、w root:12123:0:99999:7: bin:*:12123:0:99999:7: test:12123:0:99999:7:,和passwd文件类似,shadow文件中的每行由9个字段组成,格式如下: 用户名:密码:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志字段shadow文件中,密码字段为“*”表示用户被禁止登录,为“!”表示密码未设置,为“!”表示用户被锁定。,(3)pwconv和pwunconv安装Linux系统时,系统缺省采用shadow来保护密码。 如果安装Linux时未启用shadow,可以使用pwconv命令启用shadow。注
17、意用root用户登录来执行该命令,执行的结果是/etc/passwd文件中的密码字段被改为“x”,同时产生/etc/shadow文件。相反,如果要取消shadow功能,可使用pwunconv命令。,5.2.2 命令行方式管理用户,在对用户与组进行管理时,可以采用两种方式,即命令行(Shell)方式和图形界面(GUI)方式,命令行方式下的用户与组的管理,包括用户的添加、删除及修改等。,1添加用户账号 超级用户root可以通过在系统提示符下运行useradd或adduser命令来创建用户 账号。 命令格式:useradd选项用户名 说明:只有超级用户root才有权使用此命令,使用useradd命令
18、创建新的用户账号后,应利用passwd命令为新用户设置口令。 useradd命令有很多的可选参数,具体说明如下: -u:设置用户ID(UID),用户ID和账号一样必须是唯一的。 -g:指定用户所属的用户组(组必须存在),参数可以是组名称或组ID(GID)。 -d:建立用户目录,参数即所建的用户目录(通常与用户账号相同)。 -s:设置用户环境,即设置用户的Shell环境。 -e:设置用户账号的使用期限。,例:分析useradd 命令中选项的意义。 # useradd u 550 g 100 d /home/user1 s /bin/bash e 08/02/06 user1 其参数的意义如下:
19、-u参数:设置用户的UID为550。 -g参数:指定用户所属的用户组,但该用户组必须已经存在。参数采用组名或GID皆可,如-g 100与-g users的意思相同,都是把用户加入到users用户组中,其中users用户组的GID为100。 -d参数:建立用户目录,如d /home/user1就是替用户建立位于/home目录下的用户目录,目录名称为user1。 -s参数:指定用户环境,如s /bin/bash指定bash为该用户的Shell。当然也可指定其他Shell供用户使用。-e 参数:设置账号的期限,格式为“月/日/年”如e 08/02/06为2006年8月2日。,2修改用户属性 (1)p
20、asswd 命令 功能:设置修改用户的密码属性。 格式:passwd 用户名 说明:修改用户的密码需要两次输入密码确认。密码是保证系统安全的一个重要措施,在设置密码时,不要使用过于简单的密码。密码的长度应在8位或8位以上,由数字和英文组合而成。用户的密码也可以自己更改,这时使用不带用户名的passwd命令。 # passwd 详细内容参见3.1节。,(2)chsh 命令 功能:修改用户的Shell设置。 格式:chsh 用户名说明:如果用户的默认Shell不合适,可以把它改成任何已经加入到/etc/Shells文件中的Shell。使用chsh命令改变用户的Shell,指定的Shell一定要在/
21、etc/Shells中存在,否则会导致用户无法登录。也可以使用下面要介绍的命令usermod来改变用户的Shell设置。,(3)usermod 命令 功能:改变用户的属性。 格式:usermod选项用户名 参数选项: -d dir:改变用户的主目录,如果同时使用“-m”选项,原来主目录的内容会移动到新的主目录。 -g GID或组名:修改用户的所属基本组。 -l name:更改账户的名称,必须在该用户未登录的情况下才能使用。 -m:把主目录的所有内容移动到新的目录。 -p 密码:修改用户的密码。 -s Shell:修改用户的登录Shell。 -u UID:改变用户的UID为新的值,改变用户的UI
22、D时主目录下所有该用户所拥有的文件或子目录将自动更改UID,但对于主目录之外的文件和目录只能用chown命令手工进行设置。,例:修改user2的UID为新的值600、所属组为wyq。 # usermod u 600 g wyq user2,3删除用户账号 若不再允许用户登录系统时,可以将用户账号删除。使用userdel命令删除账号。 命令格式为:userdel选项用户名 参数选项: -r表示在删除账号的同时,将用户主目录及其内部文件同时删除。若不加选项-r,则表示只删除登录账号而保留相关目录。,4锁定用户账号 在系统中,有时需要临时禁止某个用户账号登录而不删除。可以采用以下两种方式之一: 1)
23、使用passwd命令锁定用户账号。 命令格式为:passwd -l用户名。 例:锁定用户账号user1登录。 # passwd -l user1查看Linux系统中管理用户账号的系统文件etc/passwd,可看到其密码域的第一个字符前加了符号“!”(若系统有密码保护则文件为etc/shadow,可参考5.2.1)。,2)在etc/passwd文件中将该用户的passwd域的第一个字符前加一个号或号。恢复时,使用带“-u”参数的passwd命令。 例:恢复user1用户账号登录。 # passwd -u user1 Changing password for user user1 Unlock
24、ing password for user user1 passwd: Success,5.3 组 的 管 理,5.3.1 Linux的组Linux的组有私有组、系统组、标准组之分。建立账户时,若没有指定账户所属的组,系统会建立一个和用户名相同的组,这个组就是私有组,这个组只容纳了一个用户。而标准组可以容纳多个用户,组中的用户都具有组所拥有的权利。系统组是Linux系统自动建立的。一个用户可以属于多个组,用户所属的组又有基本组和附加组之分。在用户所属组中的第一个组称为基本组,基本组在/etc/passwd文件中指定;其他组为附加组,附加组在/etc/group文件中指定。属于多个组的用户所拥有
25、的权限是它所在的组的权限之和。,Linux系统关于组的信息存放在文件/etc/group中。 例:显示文件/etc/group内容。 # cat /etc/group root:x:0:root,test bin:x:1:root,bin,daemon test:x:500: group1:x:1000: user1:x:501:,group文件中的每一行记录了一个组的信息,每行包括4个字段,字段之间用“:”分隔。 格式为组名:组的密码:GID:组成员。 字段说明: 组名:组的名称,如root、bin等。 组的密码:设置加入组的密码,一般情况下不使用组密码,该字段通常没用。 GID:组的标识符
26、,为数值,类似UID。组成员:组所包含的用户,用户之间用“,”分隔。,5.3.2 用户组的添加、修改、删除,1添加组 可以手工编辑/etc/group文件来完成组的添加,也可以用命令groupadd来添加组, 命令格式:groupadd 组名 例:添加组group1。 # groupadd group1,2修改组属性 使用groupmod命令来修改组名或GID。在groupmod -g命令后加上组的新ID号和组名来修改GID。 在groupmod -n命令后加上新组名和原组名来修改组名。,3删除组 使用groupdel命令来删除组。 格式:groupdel组名 说明:组被删除后,应使用chow
27、n命令将被删除用户组的目录与文件变为它隶属的用户组。 要改变组中的成员用户或改变组的密码使用gpasswd命令。 格式:gpasswd参数用户名组名 不带参数时,即修改组密码。 参数选项: -a:将用户加入到组中。 -d:将用户从组中删除。,例:将用户user1加入到组group1中。 # gpasswd -a user1 group1 例:将用户user1从组group1中删除。 # gpasswd -d user1 group1,5.4 用户管理器,用户管理器是一个图形界面形式的管理工具,利用用户管理器可以方便地管理用户和用户组。根用户root可以选择“主菜单”“系统设置”“用户和组群”(
28、或者在Shell提示符下键入redhat-config-users),就打开“Red Hat用户管理器”窗口,如图5.1所示。,图5.1 RedHat用户管理器窗口,1创建用户账号在用户管理器窗口中单击“添加用户”按钮,打开“创建新用户”对话框,如图5.2所示。,图5.2 “创建新用户”对话框,2修改用户属性若要修改用户属性,首先在用户管理器窗口中选择一个已存在的用户账号,然后单击“属性”按钮,则出现“用户属性”窗口,如图5.3所示。在窗口中有“用户数据”、“账号信息”、“口令信息”和“组群”四个选项卡。用户可以选择相应的选项卡进行相关属性的修改。,图5.3 “用户属性”窗口,3修改用户组属性
29、在图5.1的“组群”选项卡中,选择一个已存在的用户组,并单击“属性”按钮打开“组群属性”窗口,如图5.4所示。在该窗口中修改设置用户组的属性,将需加入本组的用户分别打上对号即可。,图5.4 修改用户组属性,一、选择题 1改变文件或目录的访问权限使用_命令。 A. chmod B. chown C. usermod D. chsh 2. 锁定用户账号使用_命令。 A. passwd -u B. passwd -l C.usermod D. userdel 3向某一用户发出信息而不影响其他用户,通常使用_命令。 A. telnet B. wall C. write D. mesg 二、填空题 1删除用户使用 命令。 2删除用户组使用 命令。 3为了安全,Linux系统对密码提供了更多一层的保护,即把加密后的密码重定向到另一个文件 。 4设置修改用户的密码用 命令。,三、简答题 1/etc/passwd文件中的其中一行为“a123:x:501:501:/home/a123:/bin/bash”,请解释各字段的含义。 2分别用命令行方式和图形化方式为系统创建两个用户,并使其属于同一组。 3创建一用户,不使用密码便可登录系统。 4用命令行方式删除创建的用户user1。,
