帐户管理与权限管理

1、更多企业学院：中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料更多企业学院：中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+

2、6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料linux帐户管理、帐户管理1、概述Linux 操作系统是多用户操作系统， 帐户实质上就是一个用户在系统上的 标识，广义上讲， Linux 的帐户包括用户 帐户和组帐户两种。用户帐户分为普 通用户帐户和超级用户帐户两种。 管理员帐户对系统具有绝对控制权； 组帐

3、户分 为私有组和标准组，当创建一个新用户时，若没 有指定他所属于的组， Linux 就建立一个和该用户同名的私有组， 此私有组中只包含该用户自己， 标准组可以 容纳多个用户。 若使用标准组， 在创建一个新用户 时就应该指定他所属于的组。 同一个用户可以同属于多个组， 其登录后所属的组称为主组， 其它的组称为附加 组。2、Linux 下的帐户系统文件Linux 下的帐户系统文件主要有 /etc/passwd 、 /etc/shadow 、/etc/group 和 /etc/gshadow 4 个。（ 1）/etc/passwd 文件中每行定义一个用户帐号，一行中又划分 为多个不同的字段定义用户帐

4、号的不同属性，各字段用“：”隔开。各字段定义如下： 用户名：用户登录系统时使用的用户名， 它在系统中是唯一 的。口令：此字段存放加密的口令。在此文件中的口令是 x，这表示用户的口令是被 /etc/shadow 文件保护的，所有加密口令以及和口令有关的 设置都保存在 /etc/shadow 中。用户标识号： 是一个整数， 系统部用它来标识用户。 每个用 户的UID都是唯一的。root用户的UID是0, 1499是系统的标准帐户，普通用 户从 500开始。组标识号：是一个整数，系统部用它来标识用户所属的组。 注释性描述：例如存放用户全名等信息。 自家目录：用户登录系统后进入的目录。命令解释器：批示

5、该用户使用的 shell ， Linux 默认为 bash。（2）/etc/passwd 文件对任何用户均可读， 为了增加系统安全性， 用户的口令通常用 shadow passwords 保护。 /etc/shadow 只对 root 用户可读。 在安装系统时，会询问用户是否启用 shadow passwords 功能。在安装好系统后 也可以用 pwconv 命令和 pwunconv 来启动或取消 shadow passwords 保护。经过 shadow passwords 保护的帐户口令和相关设置信息保存在 /etc/shadow 文件里。各字段意义如下：用户名：用户的帐户名口令：用户的口

6、令，是加密过的 最后一次修改时间：从 1970 年 1 月 1 日起，到用户最后一 次更改口令的天数最小时间间隔：从 1970 年 1 月 1 日起，到用户可以更改口 令的天数最大时间间隔：从 1970 年 1 月 1 日起，到用户必须更改口 令的天数警告时间：在用户口令过期之前多少天提醒用户更新不活动时间：在用户口令过期之后到禁用帐户的天数失效时间：从 1970年 1月1 日起，到帐户被禁用的天数 标志：保留位（3）/etc/group 文件。将用户分组是 Linux 中对用户进行管理 及控制访问权限的一种手段。当一个用户同时是多个组的成员时，在 /etc/passwd 中记录的是用户所属的

7、主组，也就是登录时所属的默认组，而其他 的组称为附加组。用户要访问附加组的文件时，必须首先使用 newgrp 命令使自 己成为所要访问的组的成员。组的所有属性都存放在 /etc/group 中，此文件对 任何用户均可读。各字段意义如下：组名：该组的名称组口令：用户组口令， 由于安全性原因， 已不使用该字段保存口令，用“X”占位GID ：组的识别号，和 UID 类似，每个组都有自己独有的 ID 号，不同组的 GID 不会相同组成员：属于这个组的成员（ 4）/etc/gshadow 文件用于定义用户组口令、组管理员等信息，该文件只有 root 用户可以读取各字段意义如下： 组名：用户组名称，该字段

8、与 group 文件中的组名称对应组口令：用户组口令，该字段用于保存已加密的口令组的管理员帐号：组的管理员帐号，管理员有权对该组添加、删除帐号提示：帐户管理的实质就是管理上述的4 个帐户系统文件添加新用户修改已存在的指定用户删除已存在的指定帐户， 添加新组修改已存在的指定组删除已存在的指定组/ 创建一个新用户 osmond/ 创建一个新组 staff/创建一个新用户tom，同时加组成员：属于该组的用户成员列表，用“，”分隔3、使用命令行工具管理帐户 管理帐户的俱行工具及功能如下： useradd < 选项 > < 用户名 usermod < 选项 > < 用

9、户名 userdel -r < 用户名 > -r 参数用于删除用户自家目录 groupadd < 选项> < 组名 groupmod <选项> < 组名 groupdel < 组名 > 使用举例： useradd osmond groupadd staff useradd -G staff tom 入 staff 附加组中/将osmo nd添加到附加组/ 删除用户/ 删除用户，同时删除自家目录/ 删除组 staffpasswd 选项 passwd -l < 用户帐户名 > passwd -S < 用户帐户名 >

10、 passwd -u < 用户帐户名 > passwd -d < 用户帐户名 >/ 禁用用户帐户口令/ 查看用户帐户口令状态/ 恢复用户帐户口令/ 删除用户帐户口令webmaster,指定登录目录为/，不创建自家用户目录（-M）usermod -G staff osmondstaff 中userdel webmaster userdel -r osmond groupdel staff4 、口令管理与口令时效（ 1） passwd 命令命令用来设置用户口令，格式为：passwd< 用户名>用户修改自己的用户密码可直接键入passw d,若修改其他用户密码需加

11、用户名。超级用户还可以使用如下命令进行用户口令管理：（ 2） chage 命令 口令时效是系统管理员用来防止机构不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage 选项 用户名-m面列出了 chage 命令的选项说明：days： 指定用户必须改变口令所间隔的最少天数。如果值为 0，口令就不会过期-Mdays ： 指定口令有效的最多天数。当该选项指定的天数加上 -d 选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口 令。-ddays ： 指定从 1970 年 1 月 1 日起，口令被改变的天数。-Idays ： 指定口令过期后，帐号被锁

12、前不活跃的天数。如果值为 0，帐号在口令过期后就不会被锁。-E date:指定帐号被锁的日期。日期格式 YYYY-MM-DD若不用日期，也可以使用自 1970年1月1日后经过的天数。-W days: 指定口令过期前要警告用户的天数。-l: 列出指定用户当前的口令时效信息，以确定帐号何时过期。例如下面的命令要求用户 user1 两天不能更改口令， 并且口 令最长的存活期为 30 天，并且口令过期前 5 天通知用户chage -m 2 -M 30 -W 5 user1 可以使用如下命令查看用户 user1 当前的口令时效信息: chage -l user1提示: 1）可以使用 chage 用户名

13、进入交互模式修改用户 的口令时效。2 ）修改口令实质上就是修改影子口令文件 /etc/shadow 中与口令时效相关的字段值。5 、用户和组状态命令whoami： 用于显示当前用户的名称groups< 用户名 >： 用于显示指定用户所属的组， 若未指定用户，则显示当前用户所属的组id ： 用于显示用户当前的 UID、GID 和用户所属的组列表su -< 用户名 > ： 用于转换当前用户到指定的用户帐号，若不 指定用户名则转换当前用户到 root ；若使用参数“ - ”，则在转换当前用户的同 时转换用户工作环境。newgrp< 组名 > ： 用于转换用户的当前

14、组到指定的附加组，用户必须属于该组才可以进行。二、权限管理1 、3种基本权限在 Linux 中，将使用系统资源的人员分为 4 类：超级用户、 文件或目录的属主、 属主的同组人和其他人员。 超级用户拥有对 Linux 系统一切操作权限，对于其他 3 类用户都要指定对文件和目录的访问权限代表字符 权限对文件的含义r件的容w该文件对目录的含义读权限可以列出目录中的文件列表写权限可以在目录中创建删除文件执行权限可以读文可以修改可以执行2 、查看文件和目录的权限可以使用带 l 参数的 ls 命令查看文件或目录的权限每一行显示一个文件或目录的信息， 这些信息包括文件的类型、 文 件的权限、文件的属主和文件

15、的所属组， 还有文件的大小以及创建时间和文件名。 输出列表中每一行第一列的第一个字母指示了该文件的类型。 各种文件类型及代 表字符如下：- ：普通文件 b ：块文件设备 d ：目录文件 c ：字 符文件设备 l ：符号文件 p ：管道文件第一列的其余 9 个字母可分为三组， 3 个字母一组，这 3 组分别代 表：文件属主的权限、 文件所属组的权限和其他用户的权限。 每组中的 3 个栏位 分别表示读、写、执行权限。3 、更改操作权限（ chmod） 系统管理员和文件属主可以根据需要来设置文件的权限， 有两种设 置方法：文字设定法和数值设定法。（1）文字设定法chomd 的文字设定法的格式为： c

16、hmodugoa+-=rwxugo<文件名或目录名 >其中第 1 个选项表示要赋予权限的用户，具体说明如下：属主 g ：所属组用户 o ：其他用户所有用户 第 2 个选项表示要进行的操作，具体说明如下：+ ：增加权限 - ：删除权限 = ：分配权限，同时 将原有权限删除第 3 个选项是要分配的权限，具体说明如下：r/x/w ：允许读取 / 写入 / 执行 u/g/o ：和属主 / 所属 组用户/ 其他用户的权限相同例如：chmod go -r users/ 取消组用户和其他用户对文件users 的读取权限chmod u+x users/ 对文件 users 的属主增加招待权限chm

17、odu+x,go-r users / 对文件 users 的属主添加执 行权限，同时取消组用户和其他用户对文件的读取权限（2）数值设定法chmod 的数值设定法的格式为： chmod n1n2n3 文件名或目 录名其中 n1、n2、n3 分别代表属主的权限、组用户的权限和其 他用户的权限，这三个选项都是八进制数字。例如：chmod755 adduser/ 对文件 adduser 的属设置可读、写和执行的权限，所属组和其他用户只设置读和执行权限，没有写权限chmod600 user1/ 取消组用户和其他用户对文件userl的一切权限（原权限为-rw-r - r -）4 、更改属组或同组人改变文件

18、的属主和组可以用 chown 命令，命令格式为： chown-R< 用户. 组> <文件或目录 >。例如：chmod osmond user1 / 将文件 user1 的属主改为 osmondchmod osmond.osmond user1 / 将文件 user1 的属主和组都 改成 osmondchmod-R osmond.osmondmydir / 将 mydir 目录及其子目录 下的所有文件或目录的属主和组都改成 osmond5 、设置文件和目录的生成掩码用户可以使用umask命令设置文件夹的默认生成掩码。默认的生成掩码告诉系统当创建一个文件或目录时不应该赋予哪

19、些权限。如果用户将umask命令放在环境文件(.bash_profile )中，就可以控制所有的新建文件或 目录的访问权限。其命令格式为： umask u1u2u3其中，u1、u2、u3分别表示的是不允许属主有的权限、不允许同组人有的权限和不允许其他人有的权限。例如：umask/ 设置不允许同组用户和其他用户有写权限umask/ 显示当前的默认生成掩码6 、特殊权限设置(1)SUID SGID和 sticky-bit除了上述的基本权限之外， 还有所谓的特殊权限存在。 由于 特殊权限会拥有一些“特权”， 因而用户若无特殊需要， 不应该去打开这些权限， 避免安全方面出现严重漏洞，甚至摧毁系统。下面

20、列出了 3 个特殊权限的说明：SUID： 当一个设置了 SUID 位的可执行文件被执行时， 该文件以所有者的身份运行， 也就是说无论谁来执行这个文件， 他都拥有文件所有者 的特权，可以任意存取该文件 拥有者能使用的全部系统资源。如果所有者是 root ，那么执行人就有超级用户的特权了。SGID ：当一个设 置了 SGID 位的可执行文件被执行时， 该文 件将具有所属组的特权， 任意存取整个组所能使用的系统资源； 若一个目录设置 了 SGID,则所有被复制到这个目录 下的文件，其所属的组都会被重设为和这个 目录一样，除非在复制文件时加上 -p（preserve ，保留文件属性）参数，才能保 留原来所属的群组设置。sticky-bit：对一个文件设置了 sticky-bit 之后，尽管其他用户有写权限，也必须由属主执行删除、移动等操作，对一个目录设置了 sticky-bit 之后，存放在该目录下的文件仅允许其属主执行删除、移动等操作。一个设置了 SUID的典型例子是passwd程序，它允许普通 用户改变自己的口令，这是通过改变 /etc/shadow 文件的口令字段来实现的。然 而系统 管理员决不允许普通用户拥有直接改变 /etc/shadow 文件的权限。解决 方法是将passwd程序设置SUID,当p