Linux系统管理教学课件--第四章Linux用户组及权限管理.pptVIP

* * * Linux系统管理 第四章：Linux用户、组及权限管理 本章导读 本章以用户、组及权限为讨论与研究对像，为读者介绍Linux的安全模型，文件系统的安全架构。理解与撑握用户帐号、组的管理与维护工作，理解与撑握权限的种类权限的设置方式，授权代理以及文件系统访问控制列表等。 用户 任何用户被分配一个独特的用户id号(UID) UID 0标识root用户 用户帐号通常从UID 500开始 用户名和UID信息通常存储在/etc/passwd文件中 当用户登录时它被分配一个主目录并且运行一个程序(通常是一个shell程序) 没有权限许可用户不能读取、写或者执行其它用户的文件 密码文件 密码文件的功能 密码管理文件 /etc/shadows 密码文件的功能字段 理解九个字段的功能 用户帐号的管理 图形工具 system-config-users command-line useradd usermod userdel [-r] 添加一个用户帐号 最通用的方式是useradd useradd [options] username 运行useradd 等效于 : 修改/etc/passwd, /etc/shadow, /etc/group, /etc/gshadow 创建home目录,并在其中添加必要文件 设置权限和属主 设置帐户密码使用passwd 可以使用newusers批量添加帐户 修改与编辑用户帐号 如果要修改一个用户在/etc/passwd中的条目, 你可以: 手工修改/etc/passwd 使用usermod [options] username 如果要移除一个用户, 可以: 手工删除用户相关信息: etc/passwd, /etc/shadow, /etc/group, /etc/gshadow, /var/spool/mail,等 使用userdel [-r] username 帐号管理文件 /etc/default/useradd 用户帐号管理文件的功能介绍 /etc/login.defs 用户帐号配置文件功能介绍 设置密码 通过密码可以控制对系统的访问 常规的准则,最好的安全: 在第一次登录时立即更改密码 经常定期更改密码 选择一个难于猜测的密码 使用GNOME更改密码,进入到System-Preferences-About Me,然后点击Change Password 使用passwd命令可在终端下更改密码 密码的策略调整 缺省情况下,密码是不会过期的. 强制密码过期是强安全策略的一部分 在/etc/login.defs编辑默认期限设置 修改一个存在的用户的密码过期时间, 使用chage命令: chage [options] username 组 用户指派给组 每一个组被分配一个独特的组ID(gid) GID保存在/etc/group中 每一个用户都有自己的私有组 能添加到其它组如需访问 同一个组中的所有用户能共享属于这个组的文件 组的管理 条目添加至 /etc/group 和 /etc/gshadow groupadd groupmod groupdel 添加一个组 最通用的方式groupadd groupadd [options] username 运行groupadd 等效于 : 修改//etc/group, /etc/gshadow 设置权限和属主 修改与编辑组 如果要修改一个组在/etc/group的条目, 你可以: 手工修改/etc/group 使用groupmod [options] grouprname 如果要移除一个组, 可以: 手工删除用户相关信息: /etc/group, /etc/gshadow, 使用groupdel [-r] groupname 组密码文件 密码文件的功能 密码管理文件 /etc/gshadows 密码文件的功能字段 理解四个字段的功能 用户与组的联系 当一个用户帐户被创建时, 与用户帐户同名的私有组会被同时创建 用户被关联到这个私有组 用户的新文件从属于这个组 优点: 防止用户的新文件属于一个” 公众”组 缺点: 可能会导致用户把自已的文件都改成所有人可访问 添加用户帐号工作原理 Useradd命令的工作原理 Useradd的示例演示 用户帐号的登录监控 连接的用户： w who id Whoami finger 切换用户 格式 su [-] [user] su [-] [user] -c command 允许用户临时成为另一个用户 缺省用户是root 选项”-” 会使用新的shell做为登录shell 用户的代理授权 Visudo 授权代理文件 /etc/sudoers 授权过程 结束 1） 开源软件必须能够被自由使用，不论任何目的；