第4章管理用户和用户组.pdfVIP

第4章 管理用户和用户组 对用户和用户组的的管理是Fedora系统管理的重点之一。本章将讲解如何在图形界面和命 令行两种方式下增加、管理、删除用户和用户组的方法，当然还包括更高级的一些功能，比 如创建用户组目录。 4.1 用户和用户组的介绍 用户可以是人 （指的是与人相关联的用户账号），也可以是特定程序使用的账号，用户组是 逻辑上的组织者，用于通用的用途。同一个组内的用户将拥有该组所指定的权限，包括读、 写和执行相应的文件。 每个用户都有一个唯一的数字形式的ID（UID），每个权限组也都有一个数字形式的ID(GID）。 创建文件的用户也是被创建文件的用户，以及该用户所在组也是文件的拥有者。文件的权限 被分成读、写、可执行权限，而且可以分配不同的权限给拥有者、用户组或所有人。只有 ROOT用户才能改变一个文件的所有人，访问权限 （读、写、执行）则由ROOT和文件所有者 都可以修改。 另外，FEDORA支持对文件和目录设置访问权限控制列表 （ACLS)，这样可以指定非文件拥有 者以外的用户具有访问权限。相关信息请参考《存储管理指南》中的 “访问权限列表”章节。 4.1.1 用户私有组 FEDORA系统使用了用户私有权限组（UPG)，这样更方便于管理用户组。当创建新用户时会 自动增加一个用户私有权限组。这个权限组的名字和用户的名字是一样的，而且这个用户组 里有且只有新创建的这个用户。 用户私有权限组的功能在于能够安全的设置新创建的文件和目录的默认权限，只允许其组内 的用户修改文件和目录。 决定新建文件和目录的权限的设置叫UMASK，配置在/etc/bashrc文件里。类UNIX系统的 UMASK通常设置为022，指的是仅允许文件和目录的创建者可以修改。在这个规则下，其它 所有用户，包括文件创建者所在用户组内的其它用户都无权修改。但是，在用户私有组规则 下，由于用户私有组只有同名的一个用户，所以这个权限保护其实没有必要 （因为同一用户 组内没有其它用户）。 所有的用户都保存在/etc/group文件里。 4.1.2 影子密码 在多用户环境下，用shadow-utils软件提供的影子密码功能增强系统的安全性以及加强授 权管理是很有必要的。所以，系统默认安装了该软件。 下面是影子密码相对于传统类UNIX系统在密码保存方面的优点： 影子密码增强了系统安全性：把加密的密码由所有人可以读的/etc/passwd文件转移到了 /etc/shadow文件，而这个文件只有root用户可以读。 影子密码保存了密码的有效期。 影子密码允许使用/etc/login.defs文件来加强安全策略。 大多数提供shadow-utils软件的工具包无论是否启用了影子密码都是能正常工作的。但是， 由于密码有效期只保存在/etc/shadow文件里，所以有些工具和命令在不启用影子密码的情 况下有可能会不能正常工作: chage工具，用于设置密码有效期的参数。更多信息请参考 《RHEL7 安全指南》中的密码安 全部分。 gpasswd工具，用于管理/etc/group文件的软件。 带-e -expiredate -f --inactive选项的usermod命令。 带-e -expiredate -f --inactive选项的useradd命令。 4.2 在图形界面下管理用户 Users工具可以在图形界面下查看、修改、增加和删除本地用户。 4.2.1 使用用户设置工具 按下super键，进入activities overview，键用users 回车，users设置工具就出来了， super键可能由于键盘、硬件等不同而不同，但经常是Windows或command键，一般在空格 键的左边。 让修改生效，首先要先点解锁按钮，此时会出现授权对话框，注意，除非你的用户具有超级 权限，否则请使用ROOT用户权限。增加或删除用用户，点+或-号，增加一个用户到管理员 组，修改用户类型为标准或管理员即可。修改用户的语言，选择语言后会有下拉菜单可以选 择。 创建的新用户要设置密码后才生效。增加用户菜单有立即设置密码的选项，或者也可以选择 在该用户首次登陆的时候设置密码。 4.3 使用命令行工具 除了前面说的在图形界面下操作外，也可以在命令行下操作。 表4.1 管理用户和组的命令行工具 id 显示用户和组ID useradd ,usermod,userdel 用户管理的标准工具，用于增加、修改、删除用户 groupadd,groupmod,groupdel 组管理的标准工具，用于增加、修改、删除用户组 gp