Linux操作系统用户管理.pptx

本章内容1 基础知识2 用户数据库3 用户管理工具4 文件访问控制位SetUID和SetGID5 更该文件的所有权第1页/共27页1 基础知识在Linux操作系统中，每一个文件和程序必须属于某一个“用户”。每一个用户都有一个唯一的身份标识叫做用户ID（User ID，UID）。每一个用户也至少需要属于一个“用户分组”，也就是由系统管理员建立的用户小团体。用户分组也有一个唯一的身份标识叫做用户分组ID（Group ID，GID）用户可以归属于多个用户分组。第2页/共27页1 基础知识对某个文件或程序的访问是以它的UID和GID为基础的。一个执行中的程序继承了调用它的用户的权利和访问权限。每位用户的权限可以被定义为下面两种中的任何一种：普通用户:只能访问他们拥有的或者有权限执行的文件；分配给他们这样的权限是因为这个用户或者属于这个文件的用户分组，或者因为这个文件能够被所有的用户访问。根用户:能够访问系统全部的文件和程序，而不论根用户是否拥有它们。根用户通常也被称为“超级用户”。第3页/共27页1 基础知识在Linux操作系统中，任何东西都有一个所有者。用户都按照这样一个方式配置：它们的访问权限只分配给经过挑选的一个很小的用户范围。1.1 用户登录子目录1.2 口令1.3 shell1.4 启动上机脚本程序1.5 电子邮件第4页/共27页1.1 用户登录子目录用户登录子目录:每一个实际登录进入系统上机的用户都需要有地方保存那些专属于他的配置文件。这个地方就叫做用户登录子目录（home directory）大多数站点都从/home开始安排用户登录子目录,把用户登录子目录安排在/home下的决定完全是人为的根用户的登录子目录对大多数UNIX操作系统的变体来说都是传统的“/”，许多Linux操作系统的安装把它设置为/root第5页/共27页1.2 口令每个账户都必须有一个口令，否则就根本不可能登录进入它。当用户在登录提示符处输入它们的口令时，输入的口令将由系统进行加密。再把加密后的数据与机器中用户的口令数据项进行比较。如果这两个加密数据匹配，就可以让这个用户进入系统。口令建议的规则：非语言单词(不是人类使用语言的单词)，最好大小写、数字和标点符号混用第6页/共27页1.3 shell根用户使用的缺省shell，叫做Bourne Again Shell，简称bash。Linux操作系统带有好几种shell供用户选用可以在/etc/shells文件中看到它们中的大多数。第7页/共27页1.4 启动脚本程序当建立了一个用户账号的时候，必须提供一套缺省的启动脚本让这个用户可以开始工作。相当于dos下面的或者的程序bash的启动脚本文件是:.bashrc(.bash_bashrc).bash_profile(.profile)第8页/共27页1.5 电子邮件建立一个新用户意味着能够让这个用户收发电子邮件。电子邮箱保存在/var/spool/mail子目录中，以用户名命名的文件指定。一个空电子邮箱是一个零长度的文件。所有电子邮箱都应该只属于它们对应的主人，其访问权限被设置为不允许别人读出其中的内容。第9页/共27页2 用户数据库用户数据库:是普通的文本文件，可以直接编辑修改/etc/passwd/etc/shadow 第10页/共27页2.1/etc/passwd文件/etc/passwd文件保存着用户的登录名、加过密的口令数据项、用户ID（UID）、缺省的用户分组ID（GID）、姓名、用户登录子目录以及登录后使用的shell。用户的登录名不应该超过八个字符。文件的每一行保存一个用户的资料，而用户资料的每一个数据项采用分号分隔。young：boQavhhaCKaXg：100：102：Tang Xiaosheng：/home/young：/bin/bash第11页/共27页2.1/etc/passwd文件很多站点是通过修改这个加过密的口令数据项来禁用某个账户的。例如：把一个干了坏事的用户的加密口令数据项修改为boQavhhaCKaXg*used mail bomber用户ID（UID）对每一个用户来说都必须是唯一的，只有UID等于0时可以例外。有些Linux操作系统的发行版本保留数值-1（或者65535）作为“nobody”用户的UID第12页/共27页2.2/etc/shadow文件/etc/shadow文件中的口令则只对那些具有根用户优先权的程序如登录程序等可读。/etc/shadow文件包含加过密的口令，口令失效期和账户是否已被禁用等方面的信息。/etc/shadow文件中每一行的格式包含着如下所示的几个部分：登录名。加过密的口令。从1970年1月1日起计算，该口令修改后已经过去了多少天。需要再过多少天才能修改这个口令。需要再过多少天这个口令必须被修改。需要在这个口令失效之前多少天对用户发出提示警告。口令失效多少天之后禁用这个账户。从1970年1月1日起计算，该口令已经被禁用了多少天。保留域。young：boQavhhaCKaXg：10750：0：99999：7：-1：-1：134529868第13页/共27页2.3/etc/group文件/etc/group分组定义文件对整个系统来说也必须是可读的。每个用户至少会属于一个用户分组，也就是缺省用户分组在需要的情况下，用户还可以分配到其他的分组中去。/etc/passwd文件中包含着每个用户缺省的分组ID（GID）。在/etc/group文件中，这个GID被映射到该用户分组的名称以及同一分组中的其他成员去。/etc/group文件中每一行的格式如下所示：用户分组名。加过密的用户分组口令。用户分组ID号（GID）。以逗号分隔的成员用户清单。project：baHrE1KPNjrPE：102：young,txs第14页/共27页3 用户管理工具用户管理有以下途径：编写口令数据库文件命令行LinuxConf第15页/共27页3.1 使用命令行进行用户管理可以从下列的六种命令行工具程序中进行选择，用来执行G U I工具程序完成同样的动作：useradd 增加用户userdel 删除用户usermod 修改用户groupadd 增加组groupdel 删除组groupmod 修改组passwd 设置密码chpasswd 用文件配置修改密码chpasswd ora_pass密码文件格式：oracle:password第16页/共27页3.2 使用LinuxConf进行用户管理LinuxConf工具软件包是一个功能非常强大的配置工具，可以用来执行许多不同的任务。它的特色之一就是建立、删除和修改用户信息的能力。linuxconf 有文本模式下和图形模式下的执行程序。第17页/共27页3.2 使用LinuxConf进行用户管理LinuxConf工具软件包是一个功能非常强大的配置工具，可以用来执行许多不同的任务。它的特色之一就是建立、删除和修改用户信息的能力。linuxconf 有文本模式下和图形模式下的执行程序。第18页/共27页4 更该文件的所有权4.1 改变文件的所有权命令chown4.2 改变用户分组命令chgrp4.3 改变文件属性命令chmod第19页/共27页4.1 改变文件的所有权命令chownchown命令可以把一个文件的所有权修改为别人的。只有根用户能够进行这样的操作。这个命令的格式如下所示：#chown-R username filename没有所有权的文件:是指文件所属的用户不存在当用户从/etc/passwd文件中被删除后但是属于他的文件还依然存在的时候。在问题中的文件进行子目录列表操作的时候。列表中不会出现文件的所有者，它将显示为一个号码，这个号码代表着拥有该文件的UID。如果有一个新用户在被建立的时候使用了与老用户相同的UID，这个相同的UID将被显示为所有者，使得新用户看起来就像是拥有着那些文件一样。第20页/共27页4.2 改变用户分组命令chgrpchgrp命令可以改变一个文件的用户分组设置情况。它的格式：#chgrp-R groupname filename第21页/共27页5.3 改变文件属性命令chmod访问权限分为四个部分,10位：第一个部分就是访问权限的头一个字母。“普通”文件（-）不具有任何特殊的值，如果该文件具有特殊的属性，它就用一个字母来表示。子目录（d）符号链接（l）第二个部分3位，表示的是文件所有者的访问权限；第三个部分3位，表示的是文件所在分组的访问权限；第四个部分3为，表示的是全系统(系统中的全部用户)的访问权限。当组合属性的时候，把后三个部分的数值逐个相加。字母 访问权限 数值r 读 4w 写 2x 执行 1文件的设定：-rw-(600)-只有属主有读写权限。-rw-r-r-(644)-只有属主有读写权限；而属组用户和其他用户只有读权限。-rwx-(700)-只有属主有读、写、执行权限。-rwxr-xr-x(755)-属主有读、写、执行权限；而属组用户和其他用户只有读、执行权限。-rwx-x-x(711)-属主有读、写、执行权限；而属组用户和其他用户只有执行权限。-rw-rw-rw-(666)-所有用户都有文件读、写权限。这种做法不可取。-rwxrwxrwx(777)-所有用户都有读、写、执行权限。更不可取的做法。目录注意事项：因为不可能去“执行”一个目录。当添加或清除某个目录的执行权限时，其实上是允许完全查找这个目录。第22页/共27页5.3 改变文件属性命令chmodchmod命令：根据文件访问权限的字母以及对应的数值用来设置访问权限的数值。chmod OPTION.MODE,MODE.FILE.使用数值改变文件权限：#chmod 777 file1使用字母来改变文件的权限：参数设置a 所有用户u 创建者g 同组用户o 除去创建者和同组用户之外的用户+增加权限-清除权限=设置唯一权限 常用设置g+w-增加组用户的写权限 o-rwx-清除其他用户的全部访问权限 u+x-允许文件属主执行文件 a+rw-允许所有用户读和写文件 ug+r-允许文件属主和属组用户读文件 g=rx-设置属组用户只能读和执行文件（不可写）通过增加-R 参数，可以改变整个目录树的权限。#chmod o+w sneakers.txt#chmod go-rw sneakers.txt#chmod a-rw sneakers.txt 第23页/共27页5 文件的权限和SetUID，SetGID文件是通过SetUID位和SetGID位来控制访问权限的。SetUID位的作用是通过二进制位进行设置的方法使程序按照其所有者的访问权限运行，不再受运行它的用户的访问权限的限制。当用户运行一个应用程序的时候，这个程序将继承该用户所具有的全部权利（或者限制）。用户不能够读取这个文件，那么他运行的程序也不能读取该文件。这个权限可能会与该程序文件（通常叫做二进制文件）所有者所具有的权限有所不同。例如：ls程序是归根用户所有的，它的访问权限被设置为每一个用户都能够执行，某用户young运行了ls命令，限制这份ls命令的是分配给用户young的访问权限而不是根用户。如果把一个执行程序的SetUID位设置为on，并且让这个命令的二进制文件归属于根用户，那么就意味着如果用户young运行这个命令，这命令就是以根用户的访问权限运行的，不再受到用户young访问权限的限制。SetGID位的是作用于文件用户分组的设置情况如果想激活SetUID或者SetGID位，需要使用chmod命令如果想把某个程序设置为SetUID状态，在打算分配给它的访问权限数值前面加上一个数字4。如果想把某个程序设置为SetGID状态，在打算分配给它的访问权限数值前面加上一个数字2。#chmod 4755/bin/ls第24页/共27页AQ&Q U E S T I O N SA N S W E R S第25页/共27页练习创建目录以root用户建目录/home/oracle以root用户建目录/u01创建dba,oinstall用户组groupadd-g 701 dbagroupadd-g 702 oinstall创建oracle用户useradd-g dba-G oinstall-u 701-m-d/home/oracle oracle加入dba,oinstall组，默认组为dba主目录为/home/oracle用一个密码文件来修改密码chpasswd ora_pass修改自动执行脚本.bash_profile,加入以下行export ORACLE_BASE=/u01export ORACLE_HOME=$ORACLE_BASE/db10gexport ORACLE_SID=orcl修改/home/oracle/u01权限修改所有者为oracle所有组为oinstall修改访问权限为755chown-R oracle.oinstall/u01第26页/共27页感谢您的观看！第27页/共27页