第六章管理用户和组群.docVIP

管理用户和组群 Linux是一个多用户的网络操作系统，任何一个用户要获得Linux系统的使用授权，都要首先拥有一个用户账户。用户和组群的管理是系统管理员的重要工作之一。本章主要介绍用户和组群的基础知识，使用命令行工具管理用户和组群的方法等。 6.1 认识用户和组群 在网络操作系统中，每个用户对应一个账户。用户账户是用户的身份标识，通过账户用户可以登录到某个计算机上，并且访问已经被授权访问的资源。因此可以认为，用户账户是用户的通行证。用户账户可以帮助操作系统实现系统资源的访问控制，实现必要的安全控制功能。 RHEL5.4安装完成后，系统已经建立了一些特殊用户账户，其中最重要的是超级用户root。root用户可以执行所有的管理任务，可以不受限制的执行任何操作。为使普通用户可以在Linux系统中工作，应该由超级用户为普通用户创建允许登录系统的普通用户账户。 基于安全的考虑，建议超级用户也为自己建立一个用来处理一般事务的普通账户，只有必要的时候才使用root身份操作。 组群是具有共同特性的用户的逻辑集合，使用组群有利于系统管理员按照用户的特性组织管理用户，提高工作效率。有了组群，在做资源授权时可以把权限赋予某个组群，组群中的成员即自动获得这种权限。一个用户账户可以同时是多个组群的成员，其中某个组群为该用户的主组群，其他族群为该用户的附属组群。 下面列出用户与组群有关的一些概念： 用户名：用来标识用户的名称，可以是字母、数字组成的字符串，区分大小写 密码：用户验证用户身份的特殊验证码 用户标识（UID）：用来表示用户的数字标识符，系统根据UID来识别用户 用户主目录：用户的私人目录，也是用户登录后默认所在的目录 登陆shell：用户登陆后默认使用的Shell程序，默认是/bin/bash 组群：具有相似属性的用户所属于的一个逻辑组 组群标识（GID）：用来表示组群的数字标识符，系统那个根据GID来识别组群 root用户的UID为0，普通用户的UID默认从500开始顺序编号，除非管理员在创建用户账号时同时指定UID选项。在Linux系统中，创建用户账户的同时一般也会建立一个与用户名同名的组群，该组群为用户的主组群。普通组群的GID也从500开始编号。 6.2 管理用户账户 管理用户账户和组群可以使用图形化工具或者命令行工具，也可以通过直接修改系统配置文件来实现，这几种方法都会将用户和组群信息保存在配置文件中并没有本质区别。 6.2.1 与用户有关的配置文件 Linux系统中的用户账户信息保存在/etc/passwd文件中，为了使用户口令更安全，一般将口令加密后与其他口令信息一起存放在/etc/shadow文件中。生成新账户时默认使用的参数在/etc/login.defs文件中配置，另外生成新用户时会从/etc/skel目录中复制默认用户配置文件到新用户的主目录中。 1、考察/etc/passwd文件 Linux系统中用户管理用户账户的文件是/etc/passwd，该文件中包含了系统中所有用户的基本信息。系统使用每个用户账户唯一的UID来识别用户，配置文件/etc/passwd给出了UID与用户名及其他信息之间的对应关系。每个用户账户在passwd文件中占用一行，并且用“：”分成7个域。每一行的形式如下： 用户名：加密的口令（占位符）：UID：GID：用户的全民或描述：主目录：登陆Shell 下面是passwd文件的部分内容示例，其中第一行是root用户的信息。 现在的类Unix系统，都不在/etc/passwd文件中存放口令，而是将口令经过加密后存放在/etc/shadow文件中。所以在passwd文件的口令域中只能看到一个“x”标志。 2、考察/etc/shadow文件 /etc/shadow文件对系统的所有用户都是可读的，这样的好处是每个用户都可以知道系统上有哪些用户，但缺点是其他用户的口令容易受到攻击。所以现在Linux系统使用投影口令格式，将用户的口令信息存储在另一个文件/etc/shadow中，该文件只有超级用户root可以读取，因而安全性大大提高。 shadow文件保存投影加密之后的口令以及与口令有关的一系列信息。每个用户的信息在shadow文件中占用一行，并且用冒号“：”分为9个域，每个域的内容如下： 用户登录名 加密后的用户口令（若为空，表示该用户不需口令亦可登陆） 最近一次口令被修改的日期（相对日期，从1970年1月1日至修改时的天数） 口令最短存活期（口令在多少天内不能被修改） 口令最长存活期（口令在多少天后必须被修改） 口令过期前几天提醒用户更换口令 口令过期后几天账户被禁用 口令被禁用的具体日期（相对日期，从1970年1月1日至禁用时的天数） 保留域，用于未来的扩展功能 下面是shadow文件的部分内容示例： 3、