资源简介

(共44张PPT)
*
项目6 用户和权限管理
Linux操作系统管理与服务器配置（Rocky Linux 8.6）
*
项目描述
A公司是一家拥有上百台服务器的大型互联网公司。该公司服务器管理员众多，因管理员的职能、水平各不相同，对服务器的熟知度也不同，容易出现操作不规范的现象，使得该公司服务器安全存在极大不稳定性和操作安全隐患。因此对用户和权限的管理显得至关重要。了解和掌握Linux系统的用户和权限管理，可以提高Linux系统的安全性。
在Linux操作系统中，每个文件都有很多和安全相关的属性，这些属性决定了哪些用户可以对这个文件执行哪些操作。对于Linux初学者来说，文件权限管理是必须掌握的一个重要知识点。能合理有效地管理文件权限，是评价一个Linux系统管理员是否合格的重要标准。
项目6 用户和权限管理
*
项目6 用户和权限管理
*
任务6.1 管理用户和用户组
项目6 用户和权限管理
任务描述
A 公司的网络管理员对Linux 服务器进行了基本设置后，主管表示员工目前还无法进行工作，网络希望管理员尽快解决。网络管理员经过查看后，发现用户还没有合理的用户名和密码，所以决定开始设置用户名和密码。
任务6.1 管理用户和用户组
任务要求
Linux 是一个真正的多用户操作系统，无论用户是从本地还是从远程登录，用户都必须拥 有用户账号。用户登录时，操作系统将检验输入的用户名和密码，只有当该用户名已存在， 而且密码与用户名相匹配时，用户才能进入操作系统。本任务的具体要求如下所示。
（1）新建chris、user1、user2 用户，将user1用户和user2用户加入到chris用户组中。
（2）设置user1、user2用户的密码为123456，禁用user1用户。
（3）创建一个新的用户组，用户组的名称为group1，将user2用户加入到group1用户组中。
（4）新建user3用户，UID为1005，指定其所属的私有用户组为group2（group2用户组 的标识符为1010），user3 用户的主目录为/home/user3，Shell 用户的主目录为/bin/bash，用户 密码为123456，用户账号永不过期。
（5）设置user1 用户的最短密码存活期为8天，最长密码存活期为60天，密码到期前5 天提醒用户修改密码，设置完成后查看各属性值。
任务6.1 管理用户和用户组
任务资讯
1．用户和用户组基本概念
Linux是一个多用户操作系统，支持多个用户同时登录操作系统。每个用户使用不同的用户名登录操作系统，并且需要提供密码。每个用户的权限不同，所能完成的任务也不同,用户管理是Linux安全管理机制的重要一环。通过为不同的用户赋予不同的权限，Linux能够有效管理系统资源，合理组织文件，实现对文件的安全访问。
任务6.1 管理用户和用户组
任务资讯
为每一个用户设置权限是一项烦琐的工作，而且有些用户的权限是相同的。引入“用户组”的概念可以很好地解决这两个问题。用户组是用户的逻辑组合，为用户组设置相应的权限，组内的用户就会自动拥有这些权限。这种方式可以简化用户管理工作，提高系统管理员的工作效率。
用户和用户组都有一个字符串形式的名称，但其实在系统内部用于识别用户和用户组的是数字形式的ID，也就是用户ID（User ID，UID）和组ID(Group ID，GID)。这很像人们的姓名与身份证号码的关系，只不过在Linux操作系统中，用户名是不能重复的。UID和GID是数字，每个用户和用户组都有唯一的UID和 GID。
任务6.1 管理用户和用户组
任务资讯
在Linux 操作系统中，用户账号分为管理员用户、系统用户和普通用户。
（1）管理员用户：也称超级用户，在Linux操作系统中的管理员用户为root用户。它具有一切权限，管理员用户对操作系统具有绝对的控制权，一旦操作失误很容易对操作系统造成破坏。因此，在生产环境中，不建议使用管理员用户身份直接登录操作系统。默认情况下， root 用户的UID为0。
（2）系统用户：用于执行系统服务进程，系统服务进程通常无须以管理员用户的身份执行，每个系统服务进程在执行时，操作系统都会为其分配相应的系统用户，以确保相关资源 不受其他用户的影响，是Linux 操作系统正常工作所必需的内建的用户。系统用户不能用来 登录，系统用户的UID一般为1～999。
（3）普通用户：为了完成某些任务而手动创建的用户，一般只在用户自己的主目录内拥 有完全权限，该类用户拥有的权限受到一定的限制，从而保证了Linux 操作系统的安全性。普通用户的UID一般为1 000～65535。
任务6.1 管理用户和用户组
任务资讯
2．用户配置文件
在Linux操作系统中，与用户相关的配置文件有两个：/etc/passwd和/etc/shadow。
（1）/etc/passwd文件
/etc/passwd文件记录了用户的基本信息，下面来看一下/etc/passwd文件的内容，如例6.1.1所示。
任务6.1 管理用户和用户组
任务资讯
在/etc/passwd文件中，每一行代表一个用户。每一行的用户信息都包含7个字段，用“：”隔开，该文件的格式如下所示。
用户名:密码:UID:GID:用户描述:主目录:登录Shell
任务6.1 管理用户和用户组
任务资讯
（2）/etc/shadow 文件
/etc/shadow文件记录了用户的密码及相关信息。/etc/shadow文件的内容，如例6.1.2所示。
任务6.1 管理用户和用户组
任务资讯
和/etc/passwd文件的内容类似，/etc/shadow文件中每一行代表一个用户的信息，并用“：” 分隔为9个字段。/etc/shadow文件的格式如下所示。
用户名:密码:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间：保留字段
/etc/shadow文件中各字段的功能说明见表6-1-2。
任务6.1 管理用户和用户组
任务资讯
3.用户组配置文件
（1）/etc/group文件
/etc/group 文件记录了用户组的基本信息。/etc/group文件的内容如例6.1.3所示。
任务6.1 管理用户和用户组
任务资讯
/etc/group 文件的每一行代表某个用户组的相关信息，并用“：”分隔为4个字段，/etc/group 文件的格式如下所示。
用户组名:组密码:GID:组成员列表
/etc/group 文件中各字段的功能说明见表6-1-3。
任务6.1 管理用户和用户组
任务资讯
（2）/etc/gshadow文件
/etc/gshadow文件记录的用户组的密码。下面来看一下/etc/gshadow文件的内容。如例6.1.4所示。
任务6.1 管理用户和用户组
任务资讯
/etc/gshadow 文件与/etc/shadow 文件类似，根据/etc/group 文件来产生，每一行描述一个 用户组信息，通过“：”隔开，分为4个字段，/etc/gshadow文件的格式如下所示。
用户组名：组密码：用户组的管理者：组成员列表
/etc/gshaadow 文件中各字段的功能说明见表6-1-4。
任务6.1 管理用户和用户组
任务资讯
4.用户和用户组的关系
在Linux 操作系统中，每个用户都有一个对应的用户组，用户组即是多个（包括一个）成 员用户为同一个目的组成的组织，用户组内的成员对属于该用户组下的文件拥有相同的权限。 用户和用户组的对应关系有一对一、一对多、多对一和多对多。对这四种关系的解析如下。
（1）一对一：一个用户可以存在一个用户组中，也可以是用户组中的唯一用户。
（2）一对多：一个用户可以存在多个用户组中，此用户具有多个用户组的共同权限。
（3）多对一：多个用户存在一个用户组中，这些用户具有与用户组相同的权限。
（4）多对多：即多个用户可以存在多个用户组中。 创建用户时，操作系统除了创建该用户外，默认情况下还会创建一个同名的用户组作为 该用户的用户组，同时还会在/home 目录下创建同名的目录作为该用户的主目录。如果一个 用户属于多个组，那么记录在/etc/passwd文件中的用户组称为该用户的初始组（又称主组）， 其他的用户组称为附属组。
（1）初始组（主组）：每个用户有且只有一个初始组。
（2）附属组：用户可以是零个或多个附属组成员。
任务6.1 管理用户和用户组
任务资讯
5.添加用户
（1）添加新用户useradd命令
在命令行模式下，使用useradd命令可以添加一个用户。useradd命令的基本语法如下。
useradd [选项] 用户名
useradd 命令的常用选项及其功能见表6-1-5。
任务6.1 管理用户和用户组
任务资讯
useradd 命令的基本用法如例6.1.5所示。
任务6.1 管理用户和用户组
任务资讯
（2）passwd命令
新创建的用户必须设置密码才能登录系统，可以使用passwd命令为用户设置密码。passwd命令的基本语法如下。
passwd [选项] [用户名]
passwd命令还能对用户的口令进行管理包括用户口令的创建、修改、删除、锁定等操作。passwd命令的常用选项及其功能如表6-1-6所示。
任务6.1 管理用户和用户组
任务资讯
passwd命令的使用方法比较简单，如果想要修改自己的密码，那么直接在命令行中输入 passwd命令即可，如果想要修改其他用户的密码，那么需要root用户的权限。passwd命令的 基本用法如例6.1.6所示。
若密码过于简单，如少于6位、过于有规律、基于字典等，则系统都会给出提示信息，提示密码不安全，用户若执意使用这种密码，可以不理会提示信息。在实际的生产环境中，强烈建议使用符合安全性的密码，如包含字母、数字、特殊字符的组合等。
任务6.1 管理用户和用户组
任务资讯
（3）修改用户信息usermod命令
对于创建好的帐户，可使用usermod命令来设置和管理帐号的各项属性，包括登录名、主目录、用户组、登录shell等。该命令只能由root执行。usermod命令的基本语法如下。
usermod [选项] 用户名
usermod命令的常用选项及其功能如表6.1.7所示
任务6.1 管理用户和用户组
任务资讯
任务6.1 管理用户和用户组
任务资讯
（4）userdel命令
要删除指定用户账户，可使用userdel命令来实现，该命令只能有root用户执行。userdel命令的基本语法如下。
userdel [-r] 用户名
userdel命令的常用选项及其功能如表6-1-8所示
任务6.1 管理用户和用户组
任务资讯
如果新建用户账号时创建了同名用户组，该用户组内也无其他用户账号，那么删除用户 账号时会一并删除该同名用户组，正在登录的用户账号无法被删除。userdel命令的用法如 例6.1.8所示。
任务6.1 管理用户和用户组
任务资讯
6.添加用户组
（1）groupadd命令
groupadd命令用于新增用户组，该命令只能由root执行。groupadd命令的基本语法如下。
groupadd [选项] 用户组名
groupadd命令的常用选项及其功能如表6-1-9所示
任务6.1 管理用户和用户组
任务资讯
groupadd命令的基本用法如例6.1.9所示。
任务6.1 管理用户和用户组
任务资讯
（2）groupmod命令
groupmod命令用于修改用户组的相关属性，包括名称、GID等，该命令只能由root用户 执行。groupmod命令的基本语法如下。
groupmod [选项] 用户组名
groupmod命令的常用选项及其功能见表6-1-10。
任务6.1 管理用户和用户组
任务资讯
groupmod命令的基本用法如例6.1.10所示。
任务6.1 管理用户和用户组
任务资讯
（3）groupdel命令
要删除指定用户组，可使用groupdel命令来实现，该命令只能有root用户执行。groupdel命令的基本语法如下。
groudel 用户组名
在删除指定用户组之前，保证该用户组不是任何用户的主要组，否则要先删除以该组为主要组的用户，才能删除这个用户组。groupdel命令的基本用法如例6.1.11所示。
任务6.1 管理用户和用户组
任务资讯
（4）管理组内用户
若要将用户添加到指定组，使其成为该组成员或者从组内移除某个用户，可以使用gpasswd命令，该命令只能有root用户执行。gpasswd命令的基本语法如下。
gpasswd [选项] 用户名 用户组名
gpasswd 命令的常用选项及其功能见表6-1-11。
任务6.1 管理用户和用户组
任务资讯
gpasswd 命令的基本用法如例6.1.12所示。
任务6.1 管理用户和用户组
任务资讯
7.其他用户相关命令
（1）id命令
id命令用于查看用户的UID、GID和附加组信息。id命令的基本语法如下。
id [选项] 用户名
id命令的常用选项及其功能如表6-1-12所示。
任务6.1 管理用户和用户组
任务资讯
任务6.1 管理用户和用户组
任务资讯
（2）su命令
不同的用户具有不同的权限，有时需要在不同的用户之间进行切换，可以使用su命令来实现。su命令的基本语法如下。
su [选项] 用户名
su命令的常用选项及其功能如表6-1-13所示。
任务6.1 管理用户和用户组
任务资讯
任务6.1 管理用户和用户组
任务资讯
（3）chage
chage命令用于显示和修改用户的密码等相关属性。chage命令的基本语法如下所示。
chage [选项] 用户名
chage命令的常用选项及其功能如表6-1-14所示
任务6.1 管理用户和用户组
任务资讯
任务6.1 管理用户和用户组
任务实施
（1）新建chris、user1、user2用户，将user1用户和user2用户加入到chris用户组中，实 施命令如下所示。
任务6.1 管理用户和用户组
任务实施
（2）设置user1、user2用户的密码为123456，禁用user1用户，实施命令如下所示。
任务6.1 管理用户和用户组
任务实施
（3）创建一个新的用户组，用户组的名称为group1，将user2用户加入到group1用户组 中，实施命令如下所示。
（4）新建user3用户，UID为1005，指定其所属的私有用户组为group2（group2用户组 的标识符为1010），user3用户的主目录为/home/user3，Shell用户的主目录为/bin/bash，用户 密码为123456，用户账号永不过期，实施命令如下所示。
任务6.1 管理用户和用户组
任务实施
（5）设置user1用户的最短密码存活期为8天，最长密码存活期为60天，密码到期前5 天提醒用户修改密码，设置完成后查看各属性值，实施命令如下所示。
任务6.1 管理用户和用户组
任务小结
（1）用户管理在Linux安全管理机制中是非常重要的，inux系统中的每个功能模块都与用户和权限有着密不可分的关系。
（2） 在Linux操作系统中，每个用户和用户组都有唯一的UID和 GID。
任务6.1 管理用户和用户组

展开更多......

收起↑