UNIT4 用户管理_2011

1、 UNIT 5 UNIT 5 用户管理配置文件用户管理配置文件 用户管理命令用户管理命令用户授权用户授权 用户信息文件用户信息文件：/etc/passwd密码文件密码文件：/etc/shadow用户组文件用户组文件：/etc/group用户配置文件用户配置文件：/etc/login.defs 登录信息文件登录信息文件：/etc/motd /etc/issue1. 用户信息文件：用户信息文件：/etc/passwd 文件的权限是：文件的权限是：rw-r-r-该文件保存了该文件保存了每一个用户账号的相关信息每一个用户账号的相关信息，每一行是一，每一行是一个用户账号记录，有几行就代表在该系统中有几个

2、注册个用户账号记录，有几行就代表在该系统中有几个注册的用户账号。一个账号记录有的用户账号。一个账号记录有7个字段，各字段之间由个字段，各字段之间由冒号分隔，依次是：冒号分隔，依次是：账号账号:密码位密码位:UID:GID:备注备注:主目录主目录:所用所用shell用户账号用户账号 ：是用户在系统中注册所使用的名字，是：是用户在系统中注册所使用的名字，是用户在系统中的符号标识，建议只使用英文字母，一般用户在系统中的符号标识，建议只使用英文字母，一般不要超过不要超过8位，位，UNIX有此限制，它对超过有此限制，它对超过8位的账号实位的账号实际只取前际只取前8位。位。密码位密码位：早先的：早先的UN

3、IX是把密码放在该字段中的，因是把密码放在该字段中的，因该文件是对所有用户开放的，易被窃取，为安全起见后该文件是对所有用户开放的，易被窃取，为安全起见后来就将密码移至加密的来就将密码移至加密的/etc/shadow文件中，但该字文件中，但该字段依然保留着，其值段依然保留着，其值恒为恒为“x”。UID：用户标识码用户标识码。在。在UNIX系统中内核是不认识字系统中内核是不认识字母的，母的，只认识数字代码只认识数字代码，内核操作的每一个对象，不管，内核操作的每一个对象，不管是进程、用户、用户组，还是文件，都需要有一个标识是进程、用户、用户组，还是文件，都需要有一个标识它的数字代码它的数字代码ID，

4、内核是通过，内核是通过ID来识别对象的。来识别对象的。UID就是用户账号的就是用户账号的ID。 GID：用户组标识码用户组标识码。在。在UNIX/Linux中为便于分中为便于分类管理，类管理，每个用户至少应归于一个用户组每个用户至少应归于一个用户组。用户组是。用户组是同类型用户的集合，即由具有某种相同属性的若干用同类型用户的集合，即由具有某种相同属性的若干用户组成，如组织内的同一部门、同一户组成，如组织内的同一部门、同一project组、同一组、同一职业、同一活动团体等，同组的用户对系统资源享有职业、同一活动团体等，同组的用户对系统资源享有相同的权限。一个用户可以同时是多个组的成员，相同的权限

5、。一个用户可以同时是多个组的成员，GID是其初始组默认组的组标识码，即在用户注册是其初始组默认组的组标识码，即在用户注册时所指定的组时所指定的组，如果用户自己没指定，系统也会自动，如果用户自己没指定，系统也会自动地为其创建或指定一个默认组。地为其创建或指定一个默认组。这里涉及一个基本概念，在真正的这里涉及一个基本概念，在真正的LinuxLinux服务器管理服务器管理过程中，在新用户注册时，系统管理员必须将新用户加过程中，在新用户注册时，系统管理员必须将新用户加入进一个用户组，绝不能使该用户不属于任何一个组而入进一个用户组，绝不能使该用户不属于任何一个组而成为散兵游勇，否则，只能说明你的管理策略

6、很失败，成为散兵游勇，否则，只能说明你的管理策略很失败，你将不能有效地管理系统中的所有用户。因为你添加一你将不能有效地管理系统中的所有用户。因为你添加一个用户总是有目的的，这个用户需要做什么事情呢？你个用户总是有目的的，这个用户需要做什么事情呢？你应该把他加入到相应的组中，或者至少应该按部门划分，应该把他加入到相应的组中，或者至少应该按部门划分，把他加入到他所在的部门组中。把他加入到他所在的部门组中。注意：注意：LinuxLinux用户组与用户组与WindowsWindows用户组在概念上有所用户组在概念上有所不同，在不同，在WindowsWindows中，用户组可以是嵌套组，即一个用户中，用

7、户组可以是嵌套组，即一个用户组的成员可以是另一个用户组；而组的成员可以是另一个用户组；而LinuxLinux用户组是不能嵌用户组是不能嵌套的套的。备注备注：是对用户账号的注释性描述，通常是指明用户的：是对用户账号的注释性描述，通常是指明用户的实际姓名（全名）与身份，可缺省。但在真正管理一个服实际姓名（全名）与身份，可缺省。但在真正管理一个服务器时，有经验的系统管理员一般不会遗漏此项内容。务器时，有经验的系统管理员一般不会遗漏此项内容。主目录主目录：每个新用户在注册时都会被创建一个他自己的：每个新用户在注册时都会被创建一个他自己的主目录，如果用户自己不指定，则系统会自动为其创建一主目录，如果用户

8、自己不指定，则系统会自动为其创建一个与他账号名同名的主目录。个与他账号名同名的主目录。所用所用shell：默认是：默认是bash账号账号密码密码UIDGID备注备注主目录主目录shell/etc/passwd示例示例用户账号类型及其对应的用户账号类型及其对应的UID 超级用户：超级用户：UID=0普通用户：普通用户：UID=50060000伪用户：伪用户：UID=1499超级用户超级用户：UID=0，默认账号名为，默认账号名为root，具有最高，具有最高的权限，是为系统管理员专门设置的。但的权限，是为系统管理员专门设置的。但Linux允许允许有有多个多个UID为为0的账号，的账号，即超级用户不

9、仅仅是即超级用户不仅仅是root！当超级用户在当超级用户在/etc/passwd中把某个普通用户账号的中把某个普通用户账号的UID改为改为0，该用户也同样成为超级用户了，与，该用户也同样成为超级用户了，与root享有同样的权限。可见，享有同样的权限。可见，“超级用户就是超级用户就是root”这句话这句话并不完全对，应该是并不完全对，应该是“UIDUID为为0 0的用户是超级用户的用户是超级用户”。不过，设置多个超级用户账号需特别慎重。不过，设置多个超级用户账号需特别慎重。普通用户普通用户：UID对应于对应于50060000，默认从，默认从500开开始自动分配，也可以指定。事实上，目前的始自动分

10、配，也可以指定。事实上，目前的Linux版版本已经可以支持到本已经可以支持到232-1。伪用户伪用户：也称：也称虚用户虚用户或或特殊用户特殊用户。伪用户是专为一些。伪用户是专为一些系统进程和服务器进程而设置的，由系统在启动时默认系统进程和服务器进程而设置的，由系统在启动时默认创建。在创建。在Linux系统中任何一个进程执行都必须对应有系统中任何一个进程执行都必须对应有一个用户账号，对于一些一个用户账号，对于一些系统进程和服务器进程系统进程和服务器进程，不能，不能将它们都归属于将它们都归属于root用户，因为一旦有人通过某种手段用户，因为一旦有人通过某种手段得到了这些进程的权限就等于窃取到了得到

11、了这些进程的权限就等于窃取到了root的权限，这的权限，这样非常危险。因此，就为这些进程设置了相应的伪用户样非常危险。因此，就为这些进程设置了相应的伪用户（如）。所以伪用户的最大作用就是在一些系统进程和（如）。所以伪用户的最大作用就是在一些系统进程和服务器进程启动时调用的用户账号而已。服务器进程启动时调用的用户账号而已。伪用户的特点伪用户的特点是，它是不能登录系统的是，它是不能登录系统的，因为它既没有可验证的密码，因为它既没有可验证的密码也没有宿主目录，所以即便你获得伪用户的权限，你也也没有宿主目录，所以即便你获得伪用户的权限，你也没有办法登录到没有办法登录到Linux Server上进行任何

12、的操作，这上进行任何的操作，这就让一些服务和系统取得了一定的就让一些服务和系统取得了一定的安全性安全性。 2. 密码文件密码文件/etc/shadow只有超级用户可读写的文件，即权限为：只有超级用户可读写的文件，即权限为：r-w-/etc/shadow文件格式（文件格式（9 个字段）：个字段）：用户账号用户账号密码密码：该字段内存放的是经：该字段内存放的是经MD5加密后的密码加密后的密码密密文。注意：文。注意：如果密文被超级用户删除，那么该用户不是如果密文被超级用户删除，那么该用户不是不能登录，而是不需输入密码就可直接登录系统不能登录，而是不需输入密码就可直接登录系统。最近一次更改密码的日期最

13、近一次更改密码的日期：自：自1970年年1月月1日（日（UNIX诞生日）起累计的天数。诞生日）起累计的天数。最小时间间隔最小时间间隔：两次更改密码之间的最少天数，一：两次更改密码之间的最少天数，一般为般为0，表示不限制。，表示不限制。最大时间间隔最大时间间隔：密码保持有效的最多天数。如果用：密码保持有效的最多天数。如果用户过期还不更改密码，密码从而账号就会失效，用户户过期还不更改密码，密码从而账号就会失效，用户不能再登录系统。不能再登录系统。警告时间警告时间：密码需要变更期限前的警告天数。：密码需要变更期限前的警告天数。账号闲置天数账号闲置天数：用户连续未登录的天数：用户连续未登录的天数失效时

14、间失效时间：密码失效的绝对天数：密码失效的绝对天数保留字段保留字段/etc/shadow示例示例账号账号密码密文密码密文有效时间有效时间警告时间警告时间问题：问题：如果如果root用户忘记了自己的密码，用户忘记了自己的密码，可通过什么方法补救？可通过什么方法补救？关于密码关于密码UNIX和和Linux现使用的是现使用的是MD5加密法（早先是加密法（早先是DES，已被破解），已被破解），MD5有如下基本特点：有如下基本特点：密码长度不受限制（概念上）；密码长度不受限制（概念上）；不论密码明文长度多长，密文长度固定（不论密码明文长度多长，密文长度固定（255bit）；）；单向不可逆转（由密码密文无

15、法推算出密码明文）。单向不可逆转（由密码密文无法推算出密码明文）。事实上，任何密文都是可破解的，它取决于密码构造的事实上，任何密文都是可破解的，它取决于密码构造的复杂度和计算机的运行速度。为安全起见，复杂度和计算机的运行速度。为安全起见，一般要求密一般要求密码长度在码长度在8 8位或以上，且采用混合式密码位或以上，且采用混合式密码（字母、数字（字母、数字及符号混合）。在用及符号混合）。在用passwd命令建立密码时，如果密命令建立密码时，如果密码过于简单，系统将不予接受。码过于简单，系统将不予接受。3. 用户组文件用户组文件/etc/group文件格式（文件格式（4个字段）：个字段）：组名：初

16、始组名称组名：初始组名称组密码位：组密码一般不用组密码位：组密码一般不用GID：组标识码：组标识码组内用户：属于该组的所有用户账号列表组内用户：属于该组的所有用户账号列表复习：复习：1、linux用户的信息保存在哪个文件中？用户的信息保存在哪个文件中？2、 linux用户的密码信息保存在哪个文件中？用户的密码信息保存在哪个文件中？3、用户组群信息保存在哪个文件中？、用户组群信息保存在哪个文件中？4、普通用户的、普通用户的UID的范围是多少？的范围是多少？5、 1. groupaddgroupadd命令命令 功能：新建用户组（写入功能：新建用户组（写入/etc/group）执行权限：执行权限：超

17、级用户超级用户语法：语法： groupadd选项选项 用户组名用户组名选项选项-g gid：指定该组的：指定该组的GID。不常用。不常用。范例：范例：groupadd project1 groupadd -g 888 leaders 建立用户组建立用户组leadersleaders，GIDGID为为8888882. useradduseradd命令命令 功能：新建用户账号（写入功能：新建用户账号（写入/etc/passwd中）中）执行权限：执行权限：超级用户超级用户语法：语法： useradd选项选项 用户账号用户账号常用选项常用选项-g ：指定该用户的初始组基本组。：指定该用户的初始组基本组

18、。一般必须选用一般必须选用!-G ：该用户加入的其他附加组：该用户加入的其他附加组-c ：备注信息，若含有空格，需用双引号扩起：备注信息，若含有空格，需用双引号扩起-d ：主目录：主目录-u ：该用户的：该用户的UID-e ：失效日期，日期格式：失效日期，日期格式：yyyy-mm-dd -s ：所用：所用shell（默认是（默认是bash）范例：范例：useradd Jack 建立新账号建立新账号JackJack，默认的基本组为，默认的基本组为JackJack（不提倡！）（不提倡！）useradd -g project1 -c “软件软件1部部 王林王林” Jack建立新账号建立新账号Jack

19、Jack，其基本组为，其基本组为project1project1，实际身份是，实际身份是软件软件1 1部的王林。部的王林。（强烈建议！）（强烈建议！） useradd -g project2 -c “市场部市场部 高建设高建设” -e 2012-09-30 TomGao建立新账号建立新账号TomGaoTomGao，实际身份是市场部的高建设，其，实际身份是市场部的高建设，其基本组为基本组为project2project2。3. passwdpasswd命令命令 功能：设置或更新密码功能：设置或更新密码执行权限：所有用户执行权限：所有用户语法语法1： passwd选项选项 用户账号用户账号/超级用

20、户为用户设置密码超级用户为用户设置密码常用的选项及其含义：（常用的选项及其含义：（仅超级用户使用仅超级用户使用）-l：锁定用户：锁定用户账号。在锁定期间不能登录系统。账号。在锁定期间不能登录系统。-u：解除用户：解除用户账号的锁定状态账号的锁定状态-S：查看用户密码状态：查看用户密码状态：锁定？锁定？空？空？-d：删除用户的密码：删除用户的密码语法语法2： passwd/用户更新自己的密码用户更新自己的密码范例：关范例：关Tom“Tom“禁闭禁闭”Tom这家伙最近常在主机上胡来，所以管理员想让他暂时不能登这家伙最近常在主机上胡来，所以管理员想让他暂时不能登录，最简单的方法是使用录，最简单的方法

21、是使用passwd命令改变其密码的长度，从而命令改变其密码的长度，从而使其账号失效。使其账号失效。添加了添加了2个个“！”，密文变长了，密文变长了锁定锁定Tom的账号的账号为什么普通用户使用为什么普通用户使用passwd命令可以更改密码？命令可以更改密码？ 已知密码实际是存放在对普通用户完全屏蔽的已知密码实际是存放在对普通用户完全屏蔽的/etc/shadow文件中的，按道理普通用户是无法更改文件中的，按道理普通用户是无法更改密码的。秘密就在于密码的。秘密就在于passwd这条命令。这条命令。 s=setUID是一种特殊的权限。是一种特殊的权限。setUID的定义：当一个可执行程序具有的定义：当

22、一个可执行程序具有setUID权限，权限，则用户执行这个程序时，将以这个程序属主的身份执行。则用户执行这个程序时，将以这个程序属主的身份执行。命令是种可执行程序，在命令是种可执行程序，在Linux中所有中所有shell命令的命令的属主都是属主都是root。因此，普通用户在执行具有。因此，普通用户在执行具有setUID权限权限的的passwd命令进行修改密码时，突然灵魂附体一下子命令进行修改密码时，突然灵魂附体一下子变成变成root了，是以了，是以root的身份在执行修改密码这个动作，的身份在执行修改密码这个动作，而而root是有权读写是有权读写/etc/shadow文件的。改完后又恢复文件的。

23、改完后又恢复原形变回普通用户。原形变回普通用户。超级用户可使用超级用户可使用chmod命令为某命令添加命令为某命令添加setUID权限，当然必须非常慎重，否则很危险。权限，当然必须非常慎重，否则很危险。一般格式：一般格式：#chmod u+s 命令名命令名 /为指定命令设置为指定命令设置setUID权限权限#chmod u-s 命令名命令名 /取消命令的取消命令的setUID权限权限设置设置setUID权限的实验权限的实验那么，系统中有哪些命令是具有那么，系统中有哪些命令是具有setUID权限的呢？权限的呢？我们可通过我们可通过find命令来查找：命令来查找：find / -perm -400

24、0发现有发现有40多条命令具有多条命令具有setUID权限，如权限，如passwd ping su write wall 练习：练习：1、新建一个用户组，组名为、新建一个用户组，组名为test；2、新建一个用户组，组名为、新建一个用户组，组名为test1，该组的，该组的GID为为555.3、新建一个用户，用户名为、新建一个用户，用户名为cxxy1,其所属的组为其所属的组为test，用户主目录为用户主目录为/home/cxxy1。4、为用户、为用户cxxy1设置密码。（设置密码。（root用户来设置）用户来设置）5、以用户、以用户cxxy1进行登录后，修改其密码。进行登录后，修改其密码。6、为命

25、令、为命令touch增加增加setUID的权限，以用户的权限，以用户cxxy登录，登录，用用touch命令建立新文件命令建立新文件fa，查看文件，查看文件fa的文件属主。的文件属主。7、减掉命令、减掉命令touch的的setUID权限。权限。4. usermod命令命令功能：修改账号信息功能：修改账号信息（包括（包括/etc/passwd和和/etc/shadow的内容）的内容）执行权限：超级用户执行权限：超级用户语法：语法：usermod 选项选项 用户账号用户账号选项及其含义：选项及其含义：与与useradd的选项几乎完全相同，最常用的是：的选项几乎完全相同，最常用的是：-l name：修

26、改账号名（增加的选项）：修改账号名（增加的选项）-G name：将用户添加到指定的用户组。：将用户添加到指定的用户组。范例：范例：usermod -G test Tom /将将Tom添加到添加到test组组 usermod -l JackLi -d /home/JackLi Jack /将将Jack更名为更名为JackLi并将用户主目录改为并将用户主目录改为/home/JackLi建立用户组建立用户组添加用户账号添加用户账号设置用户的初始密码设置用户的初始密码groupadd、useradd、passwd、usermod 应用示例应用示例vi /etc/passwd :vi /etc/grou

27、p :vi /etc/group :将用户添加到组中：将用户添加到组中：至此，建立用户账号至此，建立用户账号的整个过程的整个过程 OverOver用户重设自己的密码用户重设自己的密码：总算成功了！总算成功了！练习练习1、建立用户组：、建立用户组：coding，design，test，manag2、添加用户账号：、添加用户账号：jack（manag组），组），anna(coding组组),lisite(test组组) ,hellen(desing组组) tom(coding)。3、分别查看文件、分别查看文件/etc/passwd、/etc/group 文件看文件看以上用户组与用户账号的添加是否成

28、功。以上用户组与用户账号的添加是否成功。4、为、为jack用户设置初始密码，用户设置初始密码，jack用户登录用户登录linux系统系统后修改初始密码。后修改初始密码。7. groups命令与命令与newgrpnewgrp命令命令 当前组（有效组）概念当前组（有效组）概念一个用户可属于多个组，同时享有这些组的权限。但当一个用户可属于多个组，同时享有这些组的权限。但当用户创建一个新文件时，该文件该属于哪一个组呢？用户创建一个新文件时，该文件该属于哪一个组呢？使用使用groups命令可查看用户属于哪些组且当前组是哪个？命令可查看用户属于哪些组且当前组是哪个？groups命令的语法是：命令的语法是：

29、groups例如：例如：$groups design,test表明该用户隶属表明该用户隶属design组和组和test组，且组，且design为当前组。为当前组。用户新建的文件属于当前组。用户新建的文件属于当前组。使用使用newgrp命令可进行当前组的切换，将指定组切换命令可进行当前组的切换，将指定组切换为当前组。语法为为当前组。语法为newgrp 组名组名指定的组必须是该用户已加入的组。例如指定的组必须是该用户已加入的组。例如$newgrp test$groups test,design注意：在注销时必须以初始组的身份才能完成注销！注意：在注销时必须以初始组的身份才能完成注销！ 8. gro

30、upmodgroupmod命令命令 功能：修改用户组属性功能：修改用户组属性执行权限：超级用户执行权限：超级用户语法：语法： groupmod选项选项 用户组名用户组名选项选项-g gid：修改组的：修改组的GID。（一般不用）（一般不用）-n name：修改组名。：修改组名。范例：范例：groupmod -n apache project2 将组名将组名project2project2改为改为apacheapache9. userdeluserdel命令命令 功能：删除用户账号功能：删除用户账号执行权限：超级用户执行权限：超级用户语法：语法： user 选项选项 用户账号用户账号选项选项-r

31、 ：删除用户的主目录。：删除用户的主目录。一般来说这一选项是必须的。一般来说这一选项是必须的。范例：范例： userdel -r Jack 10. groupdel命令命令功能：删除用户组（功能：删除用户组（该组须是空组该组须是空组）。）。执行权限：超级用户执行权限：超级用户语法：语法：groupdel 用户组名用户组名 【应用【应用】用户组权限示例用户组权限示例系统管理员为某用户组建立一个共享目录，使得此用户系统管理员为某用户组建立一个共享目录，使得此用户组的所有用户对该目录都具有组的所有用户对该目录都具有“写写”权限，即每个用户权限，即每个用户都可以在该目录中建立文件。方法如下：都可以在该

32、目录中建立文件。方法如下：用用mkdir命令在命令在/usr下建立一个目录，如下建立一个目录，如share；用用chgrp命令改变命令改变share的所属组，从的所属组，从root组改为指定组改为指定用户组；用户组；用用chmod命令为命令为share的组权限添加的组权限添加“写写”权限。权限。练习练习1、新建一个用户组的命令是？、新建一个用户组的命令是？2、新建用户的命令是？、新建用户的命令是？3、修改用户组、用户的命令分别是？、修改用户组、用户的命令分别是？4、删除用户、删除用户组的命令分别是？、删除用户、删除用户组的命令分别是？5、修改密码的命令是？、修改密码的命令是？11. pwck命

33、令命令功能：检测功能：检测/etc/passwd和和/etc/shadow文件的全整文件的全整性性执行权限：超级用户执行权限：超级用户语法：语法：pwck 12. id命令命令功能：查看用户的功能：查看用户的id和组信息。和组信息。执行权限：执行权限：所有用户所有用户语法：语法：id 用户账号用户账号 13. finger命令命令功能：查看用户的详细信息功能：查看用户的详细信息执行权限：所有用户执行权限：所有用户语法：语法：finger 用户账号用户账号 登录主机登录主机登录时间登录时间邮件邮件计划任务计划任务远程登录远程登录14. who命令与命令与w命令命令功能：查看在线用户的信息功能：查

34、看在线用户的信息执行权限：所有用户执行权限：所有用户语法：语法：who w 系统运行时间系统运行时间当前用户数当前用户数系统负载情况系统负载情况正在执行的操作正在执行的操作【应用【应用】用户的锁定与解锁用户的锁定与解锁锁定锁定#usermod -L 用户账号用户账号#passwd -l 用户账号用户账号解锁解锁#usermod -U 用户账号用户账号#passwd -u 用户账号用户账号或或#passwd -fu 用户账号用户账号15. vipw命令与命令与vigr命令命令功能：功能：vipw为互斥编辑为互斥编辑/etc/passwd文件，文件，vigr为互为互斥编辑斥编辑/etc/group

35、文件。文件。目的是避免多个超级用户同时对目的是避免多个超级用户同时对/etc/passwd文件或文件或/etc/group文件进行编辑。文件进行编辑。执行权限：超级用户执行权限：超级用户语法：语法：vipw vigr 练习练习1、id命令的作用是什么？命令的作用是什么？2、finger命令的作用是什么？命令的作用是什么？3、who命令的作用是什么？命令的作用是什么？5、vipw与与vigr命令的作用是什么？命令的作用是什么？ su命令：命令：实现不同用户身份之间的切换实现不同用户身份之间的切换sudo命令：命令：以以root身份执行授权命令身份执行授权命令16. su命令命令功能：切换用户身份

36、功能：切换用户身份执行权限：所有用户执行权限：所有用户语法：语法：su 用户账号用户账号 su - 用户账号用户账号 为什么需要切换用户身份？主要原因：为什么需要切换用户身份？主要原因：使用普通用户账号：进行系统日常工作的好习惯使用普通用户账号：进行系统日常工作的好习惯 为了安全的缘故，尽量以普通用户的身份来进行为了安全的缘故，尽量以普通用户的身份来进行 Linux 的日常管理工作！等到需要设置系统环境时，才变的日常管理工作！等到需要设置系统环境时，才变换身份成为换身份成为 root 来进行系统管理，相对比较安全！这可来进行系统管理，相对比较安全！这可避免用错一些临界命令。避免用错一些临界命令

37、。 用较低权限启动系统服务用较低权限启动系统服务 相对于系统安全，有的时候，我们必须要以某些系相对于系统安全，有的时候，我们必须要以某些系统账号来进行程序的执行。统账号来进行程序的执行。 举例来说，对于举例来说，对于Linux 主机主机上的名为上的名为apache的的web服务器服务器 ，我们可以额外建立一，我们可以额外建立一个名为个名为apache的用户账号来启动的用户账号来启动 apache 软件，如此软件，如此一来，如果这个程序被攻破，至少系统还不至于就崩溃一来，如果这个程序被攻破，至少系统还不至于就崩溃了。了。(1)从普通用户切换为从普通用户切换为root（需输入（需输入root的密码）的密码）$su -/环境变量一起切换环境变量一起切换Password:注意，避免使用：注意，避免使用：$su /不切换环境变量不切换环境变量环境变量未被切换，仍是环境变量未被切换，仍是Lisite的环境变量值的环境变量值环境变量被切换成环境变量被切换成root的环境变量值的环境变量值(2)从从root切换为普通用户（无需输入用户的密码）切换为普通用户（无需输入用户的密码）#su - 用户账号用户账号例如：例如：#su - Lisite (