项目3 部署用户和组群

1、Linux网络操作系统网络操作系统项目项目3 部署用户和组群部署用户和组群内容项目引入项目引入1需求分析需求分析2知识准备知识准备3项目实施项目实施4小结小结6反思与进阶反思与进阶5项目引入在完成Linux操作系统的基础上，IT协会的学生担任网络管理员，基于全院师生权限的不同，需要为其分发不同的用户账号。Linux作为一个多用户多任务的操作系统，用户和组管理是非常重要的问题，直接关系系统的安全与稳定。那么，作为网络管理员，必须了解和掌握如何管理Linux系统中各类用户和组。需求分析为了区分不同的用户，必须了解如何创建用户，如何创建组群，以及同类用户划分到同一个组群中。面对生产中大量的用户，需要

2、使用脚本来完成批量用户的创建。知识准备一. Linux用户和组在Linux下用户分为三种：超级用户：拥有对系统的最高管理权限，默认是root用户。为了防止root用户因操作不当对系统造成损坏，建议再建立一个普通帐户完成日常操作。普通用户：具有登录系统的权限，只能对自己目录下的文件进行访问和修改访问他们拥有或者有权限执行的文件。虚拟用户：也叫“伪”用户，这类用户最大的特点是不能登录系统，它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。例如系统默认的bin、adm、nobody用户等，一般运行的web服务，默认就是使用的nobody用户，但是nobody用户是不能登录系统的。知识

3、准备二. 用户配置文件1./etc/passwd文件这个文件记录了Linux系统中每个用户的一些基本属性，并且对所有用户可读。/etc/passwd中每一行记录对应一个用户，每行记录又被“：”分割为7个域，各域的内容如下：用户名:密码:用户标识号:组标识号:注释性描述:主目录:默认shell 知识准备二. 用户配置文件2./etc/shadow由于/etc/passwd文件是所有用户都可读的，这样就导致了用户的密码容易出现泄露，为了增强系统的安全性，经过加密之后的密码信息都存放在/etc/shadow中，该文件只有root用户拥有读权限，从而保证了用户密码的安全性。在/etc/shadow文件

4、中，每个用户的信息占用一行，用“：”分隔为9个域。用户名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留字段知识准备三. 用户管理1.useradd （adduser）语法：useradd（adduser） 选项 用户名 功能：创建新用户,该命令只能由root用户使用。选项选项说明说明-c注释注释用户的注释信息，该信息被加入到/etc/passwd文件的备注栏-d主目录主目录指定用户的家目录。系统默认的用户主目录为“/home/用户名”-e有效期限有效期限指定用户账户过期日期。日期格式为MM/DD/YY-f缓冲天数缓冲天数设置帐户过期多少天后，用户

5、帐户被禁用。如果为-1，用户账户永不过期。-g组组ID或组名或组名指定用户所属的主组群。-G组组ID或组名或组名指定用户所属的附属组群列表，多个附属组之间用逗号隔开-s登录登录shell指定用户登录后所使用的shell。系统默认为/bin/bash-u用户用户ID指定用户的UID-m主目录主目录建立用户的主目录，若用户主目录不存在则创建它。-M不创建主目录不创建主目录不建立用户的主目录，知识准备三. 用户管理例1：以系统默认值创建用户user1。 rootlocalhost # useradd user1 例2：新建用户user2，UID为1003，指定其所属的私有组为user1（user1组

6、的标识符为1001），用户的主目录为/home/user2，用户的Shell为/bin/bash，用户的密码为123456，帐户永不过期。 rootlocalhost # useradd -u 1003 -g 1001 -d /home/user2 -s /bin/bash -p 123456 -f -1 user2rootlocalhost # tail -1 /etc/passwduser2:x:1003:1001:/home/user2:/bin/bashrootlocalhost # tail -1 /etc/shadowuser2:123456:18260:0:99999:7:知识准

7、备三. 用户管理2. passwd语法：passwd 选项 用户名 功能：设置或修改用户账户密码。超级用户可以修改自己和普通用户的密码，而普通用户只能修改自己的密码。选项选项说明说明缺省缺省设置指定用户的口令-l用户锁定-u用户解锁-S显示帐户口令的简短状态信息-n指定命令最短修改时间-x指定密码最长使用时间-w口令要到期前提前警告的天数-f强迫用户下次登录时必须修改口令-d将用户口令设置为空，这与未设置口令的帐户不同。未设置口令的帐户无法登录系统，而口令为空的帐户可以。-stdin从标准输入读取口令知识准备三. 用户管理例1：root用户修改自己的密码。rootlocalhost # pas

8、swd 例2：root用户修改user3用户的密码。 rootlocalhost # passwd user3例3：禁用user1帐户。rootlocalhost # passwd -l user1Locking password for user user1. passwd: Success rootlocalhost # tail -1 /etc/shadow查看（被锁定的用户密码栏前面会加上！）。知识准备三. 用户管理例4：恢复user1帐户（解除锁定）。rootlocalhost # passwd -u user1Unlocking password for user user1. p

9、asswd: Success. 例5：删除用户user1的密码。rootlocalhost # passwd -d user1 Removing password for user user1. passwd: Success rootlocalhost # tail -1 /etc/shadowuser1:17826:0:99999:7:知识准备三. 用户管理3.chage语法：passwd 选项 用户名 功能：修改用户账户密码。选项选项说明说明-l列出帐户口令属性的各个数值 -m指定口令最短存活期-M指定口令最长存活期-w口令要到期前提前警告的天数-I口令过期后多少天停用帐户-E用户帐户到

10、期作废的日期-d设置口令上一次修改的日期知识准备三. 用户管理例1：设置user1用户的最短口令存活期为6天，最长口令存活期为60天，口令到期前5天提醒用户修改口令。设置完成后查看各属性值。rootlocalhost # chage m 6 -M 60 W 5 user1 rootlocalhost # chage l user1知识准备三. 用户管理4.usermod语法：usermod 选项 用户名 功能：设置用户账户属性。选项选项说明说明-c注释注释更改用户的注释信息。-d主目录主目录更改用户的家目录。-e有效期限有效期限更改用户账户过期日期。-f缓冲天数缓冲天数设置帐户过期多少天后，用

11、户帐户被禁用。-g组组ID或组名或组名指定用户所属的主组群。-G组组ID或组名或组名指定用户所属的附属组群列表，多个附属组之间用逗号隔开-s登录登录shell更改用户登录后所使用的shell。系统默认为/bin/bash。-u用户用户ID更改用户的UID。-l指定用户的新名称。-L锁定用户。-U解除用户账户锁定。知识准备三. 用户管理例1：修改用户user1的主目录为/var/user1，把启动Shell修改为/bin/tcsh。并查看修改后的结果rootlocalhost #usermod d / var/user1 s /bin/tcsh user1例2：将user1更名为userroot

12、localhost # usermod -l user user1例3：将user用户锁定 rootlocalhost # usermod -L user例4：解除user用户的锁定rootlocalhost # usermod -U user知识准备三. 用户管理5.userdel语法：userdel -r 用户名功能：删除用户账户。该命令只能是root账户使用，如使用选项-r，一并删除该账户对应的主目录，否则只是删除此用户账户，如果在新建该用户时创建了私有组群，而该私有组群当前没有其他用户，那么删除用户的同时也将删除这一私有组群。正在使用系统的用户不能删除，必须首先终止该用户所有的进程才能

13、删除该用户。 例1：删除user用户账户及其主目录 rootlocalhost # userdel -r user知识准备三. 用户管理6.su语法： su - 用户名功能：切换用户。例1：root用户登录，切换到用户user1。rootlocalhost #su user1user1localhost $ pwd/root知识准备三. 用户管理例2：root用户登录，切换到用户user1，并使用user1的环境变量。 rootlocalhost #su - user1user1localhost $ pwd /home/user1在本例中使用 “-”选项，因此从shell命令提示符以及pwd

14、命令可知，当前的用户工作目录切换为user1用户的主目录/home/user1。知识准备三. 用户管理7.sudo通过su切换用户时，需要知道预切换用户的密码才可以成功执行su命令，这就为系统带来了极大的安全隐患，如果普通用户想使用管理员才可以使用的命令时,管理员必须要将密码告诉此用户，这样显然是非常不安全的。sudo命令默认只有root用户可以使用。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。如果希望其他用户可以使用sudo命令，一般要修/etc/ sudoers”文件。知识准备三. 用户管理例1：指定用户use

15、r可以使用root的所有命令。rootlocalhost #vim /etc/sudoers# Allow root to run any commands anywhere root ALL=(ALL) ALLuser ALL=(ALL) ALL保存退出后，切换到user用户，我们用它创建用户student：rootlocalhost # su useruserlocalhost root$ sudo -u root /usr/sbin/useradd studentsudo password for user: 用户使用sudo时，必须先输入密码，之后有5分钟的有效期限，超过期限则必须重新

16、输入密码。知识准备三. 用户管理8.id和finger语法：Id 用户名语法：Finger 用户名 功能：查看用户的信息可。例1：查看用户user1信息 rootlocalhost # id user1uid=521(user1) gid=521(user1) 组=521(user1)rootlocalhost # finger user1其中，id命令将显示指定用户的UID，GID和用户所属组的信息，finger命令则显示指定用户的主目录、登录终端、登录的shell、邮件、计划任务等信息。知识准备四. 批量用户管理工具1.newusers语法：newusers 功能：成批添加/更新一组账户其

17、中，用户文件存放的是用户的信息，其格式与 /etc/passwd 一致。2.chpasswd 语法：chpasswd 功能：批量更新用户密码的工具，把一个文件内容定向添加到passwd文件里。密码文件每一行的格式：username:passwordusername必须是系统上已存在的用户知识准备四. 批量用户管理工具3.pwunconv执行该命令关闭用户的投影密码，它会把密码从shadow文件内回存到passwd文件内。4.pwconv开启用户投影密码的功能。知识准备四. 批量用户管理工具例1：批量创建用户实例(1)创建用户信息文件。rootlocalhost # vim userlistro

18、otlocalhost # cat userlist auser1:x:1001:1001:/home/user1:/bin/bashauser2:x:1002:1002:/home/user2:/bin/bashauser3:x:1003:1003:/home/user3:/bin/bashauser4:x:1004:1004:/home/user4:/bin/bash知识准备四. 批量用户管理工具(2)创建用户密码文件。rootlocalhost # vim passwdlistrootlocalhost # cat passwdlist auser1:123456auser2:12345

19、6auser3:123456auser4:123456知识准备四. 批量用户管理工具(3)用newusers批量添加无密码用户。rootlocalhost # newusers userlist(4)关闭用户投影密码。rootlocalhost # pwunconv(5)批量修改密码。rootlocalhost # chpasswd passwdlist(6)开启用户投影密码，将密码映射到 /etc/shadow文件中。rootlocalhost # pwconv(7)查看用户信息文件/etc/passwd。(8)查看用户密码信息文件/etc/shadow。知识准备五. 用户组配置文件1./e

20、tc/group文件 用户组的配置文件，/etc/group文件内容为： rootlocalhost # vim /etc/group root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm adm:x:4:root,adm,daemon 每一行代表一个用户组的信息，采用“：”分隔为4个域： 组名:口令:组标识号:组内用户列表 知识准备五. 用户组配置文件2./etc/gshadow文件用户组密码管理文件，该文件只有root用户可以读取。/etc/gshadow文件内容为： ro

21、otlocalhost # vim /etc/gshadow root:root bin:root,bin,daemon daemon:root,bin,daemon sys:root,bin,adm adm:root,adm,daemon 与/etc/group文件类似，每一行代表一个用户组的信息，采用“：”分隔为4个域： 组名:密码:管理员:组内用户列表 知识准备六. 组群管理1.groupadd或者addgroup语法：groupadd 选项 用户组 功能：创建用户组。该命令只能由root用户创建。-g :用于指定创建组的GID。例1：创建一个名为group用户组，其中组的ID为1003

22、，并查看。rootlocalhost # groupadd -g 1003 grouprootlocalhost #tail -1 /etc/group利用groupadd命令新建用户组时，如果不指定GID，则GID由系统指定，默认从1000开始。groupadd命令的执行结果将在/etc/group文件和/etc/gshadow文件中增加一行该用户组的记录。知识准备六. 组群管理2.groupmod语法： groupmod 选项 用户组名 功能：修改用户组的属性。该命令只能由root用户创建。用户组创建后，根据需要可以对用户组的相关属性进行修改，主要包括对用户组的名称和GID修改。-g 组I

23、D： 用于修改组的ID -n 组名： 修改组名 -o ： 强制接受更改的组的GID为重复的号码 例1：将用户组group改名为group1，GID改为1002rootlocalhost # groupmod -n group1 -g 1002 group用户组的名称及其GID在修改时不能与已有的用户组名称或GID重复，对GID修改，不会改变用户组的名称，同时对用户组的名称修改也不会修改用户组的GID。知识准备六. 组群管理3.groupdel语法：groupdel 用户组名 功能：删除用户组。该命令只能由root用户使用，在删除指定用户组之前必须保证该用户组不是任何用户的主组群，否则首先删除那

24、些以此用户组为主组群的用户才能删除这个用户组。 例1：删除用户组group1 rootlocalhost # groupdel group1知识准备六. 组群管理4.gpasswd语法：gpasswd 选项 用户名 用户组名 功能：将用户添加到指定组，使其成为该用户组的成员或从用户组中移除某用户，设置用户组管理员。该命令只有root用户和组管理员才能够使用。 -a： 添加用户到用户组 -d： 从用户组中移除用户 -r： 取消组的密码 -A： 给组指派管理员 例1：创建一个名为的group用户组。将dxx用户添加到group用户组中去，并设置用户user为组群管理员rootlocalhost #

25、groupadd grouprootlocalhost # gpasswd -a dxx grouprootlocalhost # gpasswdA user group知识准备六. 组群管理5.newgrp newgrp命令用于转换用户的当前组到指定的主组群，对于没有设置组群密码的组群账户，只有组群的成员才可以使用newgrp命令改变主组群身份到该组群。如果组群设置了密码，他组群的用户只要拥有组群密码也可以改变主组群身份到该组群。例1：显示当前用户的gidrootlocalhost # iduid=0(root) gid=0(root) 组=0(root)查看系统存在的组群rootlocal

26、host # tail -3 /etc/groupuser:x:525:student:x:526:知识准备六. 组群管理更改root用户的主组群，并查看rootlocalhost # newgrp studentrootlocalhost # iduid=0(root) gid=526(student) 组=0(root),526(student) 恢复用户root的主组群为/rootrootlocalhost # newgrprootlocalhost # iduid=0(root) gid=0(root) 组=0(root),526(student) 知识准备七. 桌面环境下管理用户和组

27、群1.用户管理“应用程序”“杂项”“用户和组群”知识准备七. 桌面环境下管理用户和组群添加用户知识准备七. 桌面环境下管理用户和组群2.组群管理项目实施用户和组群管理实例1.创建一个新用户user1。rootlocalhost # useradd user12.创建一个新组staff。rootlocalhost #groupadd staff3.创建一个新用户tom, 同时加入staff附加组中。 rootlocalhost # useradd -G staff tom4.创建一个新用户user2, 指定登录主目录/www,不创建用户宿主目录。rootlocalhost # mkdir /ww

28、w; useradd -d /www -M user25.将user1用户修改为user3,宿主目录改为/home/user。rootlocalhost #usermod -l user3 -d /home/user user1项目实施用户和组群管理实例6.删除用户user3,同时删除其家目录。rootlocalhost # userdel -r user3注意：如果/home/user还属于其他用户的主目录，就不会被删除。7.显示用户当前的uid、gid和用户所属的组列表。rootlocalhost #id8.切换当前用户到tom 。rootlocalhost #su tom9.显示用户当前的uid、gid和用户所属的组列表。user1localhost $id注意：此时普通用户所在的绝对路径一定要是自己的家目录。项目实施用户和组群管理实例10.创建一个新文件，并查看其用户和组。user1localhost $ touch aauser1localhost $ll aa11.切换用户的当前组到指定的附加组staff。user1localhost $newgrp staff12.显示用户当前的uid、gid和用户所属的组列表。user1localhost $id13.创建一个新文件