RHEL6版-项目4用户与文件权限的管理

1、“十二五”职业教育国家规划教材选题立项Red Hat Enterprise Linux 6.4（RHEL6.4）教材附带的光盘资源Linux网络操作系统配置与管理教材主编：夏笠芹 课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案项目4 用户与文件权限的管理【职业知识目标】了解:Linux中的用户和组的分类,用户登录Linux系统的过程 熟悉:Linux中用户和用户组的配置文件, Linux中文件和目录的权限类型， 掌握:用户和用户组的管理方法，文件和目录的权限设置方法【职业能力目标】会添加新用户

2、、用户组并为用户设置密码会设置用户、用户组的属性和删除用户、用户组会向用户组添加和删除组成员会设置文件和目录的一般权限、特殊权限能修改文件和目录的属主和属组会设置新建文件或目录的默认权限Linux操作系统是一个多用户的操作系统,它允许多个用户同时登陆到系统上使用系统资源。系统根据帐户来区分每个用户的文件、进程、任务,给每个用户提供特定的工作环境（如用户的工作目录、Shell版本以及X-Window环境的配置等）,使每个用户的工作都能独立不受干扰地进行。任何一个要使用系统资源的使用者,都必须首先向系统管理员申请一个用户账号,每个用户账号都拥有一个惟一的用户名和相应的口令。用户在登录时只有键入正确

3、的用户名和口令后,才能进入系统。对用户(组)的管理工作主要涉及到用户(组)账号的添加、修改和删除、用户(组)口令的管理以及为用户(组)配置访问系统资源的权限。这些工作是网络管理员日常最基本的工作任务,也是构建系统安全的最基本的保障。4.1 项目背景4.2 项目知识准备4.2.1 Linux中的用户和组的分类Linux下的用户可以分为三类：超级用户用户名为root，它具有一切权限，只有进行系统维护(例如：建立用户等)或其他必要情形下才用超级用户登录，以避免系统出现安全问题。系统用户（伪用户）是Linux系统正常工作所必需的内建的用户。主要是为了满足相应的系统进程对文件属主的要求而建立的，例如：b

4、in、daemon、adm、lp等用户。系统用户不能用来登录.普通用户是为了让使用者能够使用Linux系统资源而建立的，我们的大多数用户属于此类。4.2 项目知识准备4.2.1 Linux中的用户和组的分类Linux中的组有以下三种：基本组(私有组)：建立账户时,若没有指定账户所属的组,系统会建立一个和用户名相同的组,这个组就是基本组,基本组只容纳一个用户。当把其他用户加入到该组中,则基本组就变成了附加组。附加组(公有组)：可以容纳多个用户,组中的用户都具有组所拥有的权利。系统组：一般加入一些系统用户。4.2.2 Linux中用户和用户组的配置文件每个用户都有一个UID数值:超级用户的UID0

5、系统用户的UID1499普通用户的UID50060000在Linux中，用户账号、密码、用户组信息和用户组密码均是存放在不同的配置文件中的。文件功能文件名称用户账号文件/etc/passwd用户密码文件/etc/shadow用户组账号文件/etc/group用户组密码文件/etc/gshadow1. 用户账号文件/etc/passwdpasswd 是一个文本文件，用于定义系统的用户账号，由于所有用户都对passwd有读权限，所以该文件中只定义用户账号，而不保存口令。passwd文件中：每行定义一个用户账号每一行由7个字段的数据组成，字段之间用“：”分隔，其格式如下：账号名称：密码：UID：GI

6、D：用户全名：主目录：Shell4.2.2 Linux中用户和用户组的配置文件passwd文件4.2.2 Linux中用户和用户组的配置文件字段说明：账号名称：用户登录Linux系统时使用的名称。密码：这里的密码是经过加密后的密码(一般是采用MD5加密方式)，而不是真正的密码，若为“x”，说明密码经过了shadow的保护UID：用户的标识，是一个数值，用它来区分不同的用户GID：用户所在基本组的标识，是一个数值，用它来区分不同的组，相同的组具有相同的GID。个人资料：可以记录用户的完整姓名、地址、办公室电话、家庭电话等信息。主目录：类似Windows 的个人目录，通常是/home/userna

7、me，这里username是用户名，用户执行“cd”命令时当前目录会切换到个人主目录。Shell：定义用户登录后激活的Shell，默认是Bash Shellpasswd文件中，第一行是root用户，紧接的是系统用户，普通用户通常在文件的尾部。4.2.2 Linux中用户和用户组的配置文件2. 用户密码文件/etc/shadow每行定义了一个用户信息，行中各字段各字段用“：”隔开。为提高安全性，用户真实的密码采用MD5加密算法加密后，保存在配置文件中。只有root用户可以读取。Mail 用户信息：mail:*:12259:0:99999:7:username: passwd: lastchg:

8、min: max: warn: inactive: expire: flag4.2.2 Linux中用户和用户组的配置文件/etc/shadow文件中的每个记录用“：”隔开为9个域，每个域的含义分别为：字段含义username登录名passwd加密口令lastchg上次口令更改时距1970年1月1日的天数min两次修改口令间隔最少的天数max口令更改后必须再更改的天数(有效期)warn提前多少天警告用户口令将过期inactive在口令过期后多少天禁用此用户expire用户的使用期限，若为空表示无限期flag保留未用，以便以后发展之用4.2.2 Linux中用户和用户组的配置文件3. 用户组账号

9、文件/etc/group系统中的每一个文件都有一个用户和一个组的属主。使用“ls l”命令可以看到每一个文件的属主和组。系统中的每个组，在/etc/group文件中有一行记录任何用户均可以读取用户组账户信息配置文件。用户组的真实密码保存在/etc/gshadow配置文件中。group文件字段说明： 字段说明Groupname组的名字Passwd组的加密口令GID是系统区分不同组的ID，在/etc/passwd域中的GID域是用这个数来指定用户的缺省组Userlist是用“，”分开的用户名，列出的是这个组的成员。4.2.2 Linux中用户和用户组的配置文件4.2.3 用户登录Linux系统的过

10、程 Linux系统采用纯文本文件来保存账号的各种信息,其中最重要的文件有这几个。Linux用户登入系统过程实质是系统读取、核对/etc/passwd、 /etc/shadow、/etc/group等文件的过程。过程如下：首先,Linux会出现一个登录系统的画面提示输入账号,输入账号与密码；Linux接着会先找寻/etc/passwd里面是否有这个账号名,如果没有则退出登录,如果有的话则将该账号对应的UID(User ID)与GID(Group ID)读出来,另外,该账号的对应的用户主目录与shell设定也一并读出；核对密码表,这时Linux 会进入/etc/shadow 里面找出登录账号与UI

11、D相对应的、记录,然后核对一下刚刚输入的密码与此文件的密码是否符合；以上核定没有问题,用户正式进入系统。 4.2.4 Linux中文件和目录的权限1文件和目录的一般权限 4.2.4 Linux中文件和目录的权限1文件和目录的一般权限 4.2.4 Linux中文件和目录的权限2文件和目录的特殊权限在Linux系统中,用户对文件或目录的访问权限,除了r(读取)、w(写入)、x(执行)三种一般权限外,还有SET UID(SUID)、SET GID(SGID)、Sticky Bit(粘滞位)三种特殊权限,用于对文件或目录进行更加灵活方便的访问控制。(1)SET UID(SUID) (2)SET GID

12、(SGID)(3)Sticky Bit(SBit,粘滞位)4.3 项目实施任务4-1 用户的管理1添加新用户useradd命令先用root用户登录后，再执行它们。 # useradd 选项 常用选项：-d 目录指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录,默认值是/home/用户名。-e YYYY-MM-DD设置账号的失效日期,此日期后用户将不能使用该账号。要启用shadow才能使用此功能。-f days指定密码到期后多少天永久停止账号,若指定为0,则立即被停权；为-1,则关闭此功能。-g 用户组设定用户所属基本组(或使用GID号),该组在指定时必须已存在。-G 用户组

13、列表设定用户所属附属组(或使用GID号),各组在指定时已存在,附属组可以有多个,组之间用“,”分隔开。-m若用户主目录不存在,则创建主目录(在redhat系列中此选项可省)。-M不创建用户主目录。-p 口令指定用户登录密码(加密的口令)。-s Shell设置用户登录后启动的Shell,默认是bash。-u 用户号设置账号的UID,默认是已有用户的最大UID加1。如果同时有-o选项,则可以重复使用其他用户的标识号。 应用示例创建一个名为zhangsan的用户，并作为student用户组的成员：#useradd g student zhangsan#tail 1 /etc/passwd #显示最后

14、1行的内容。 zhangsan:x:502:500:/home/zhangyan:/bin/bash该命令做了下面几件事：在 /etc/passwd 和/etc/group文件中增添了一行记录；创建新用户的主目录从 /etc/skel中拷贝文件和目录到用户主目录；让新用户获得其主目录和文件的拥有的权限但是使用了该命令后，新建的用户暂时还无法登录，因为还没有为该用户设置口令，需要再用 passwd 命令为其设置口令后，才能登录。用户的 UID 和 GID 是 useradd 自动选取的，它是将 /etc/passwd 文件中的 UID 加 1，将 etc/group 文件中的 GID 加 1。增

15、加新用户时，系统将为用户创建一个与用户名相同的组，称为私有组。这一方法是为了能让新用户与其他用户隔离，确保安全性的措施 。任务4-1 用户的管理 应用示例#useradd s /bin/sh test1# chsh -l 显示可使用的shell#useradd d /hnwy/zhang3 test2 hnwy目录事先存在useradd d /data -s /bin/nologin g nobody test3任务4-1 用户的管理任务4-1 用户的管理2为用户账号设置密码passwd命令Linux的账户必须设置密码后，才能登录系统passwd 账户名常用选项:-d清空指定用户的口令。这与未

16、设置口令的账户不同,未设置口令的账户无法登录系统,而口令为空的账户可以。-f强迫用户下次登录时必须修改口令。-i口令过期后多少天停用账户。-l锁定(停用)用户账户。-n指定口令的最短存活期。-S显示账户口令的简短状态信息(是否被锁定)。-u解锁用户账户。-x指定口令的最长存活期。-w口令要到期前提前警告的天数。如果缺省用户名,则表示修改当前用户的口令。任务4-1 用户的管理2为用户账号设置密码passwd命令只有root用户才有权设置指定账户的密码，一般用户只能设置或修改自己账户的密码。如，若要设置zhang3账户的登录密码，则操作命令为：# passwd zhang3Changing pas

17、sword for user lijunjie.New password: #键入密码Retype new password: #重输密码passwd: all authentication tokens updated successfully.3修改用户账号属性usermod命令usermod 选项 username常用的选项包括-c,-d,-m,-g,-G,-s,-u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。另外,还可以使用如下选项:-l 新用户名更改账户的名称,必须在该用户未登录的情况下才能使用。-L锁定(暂停)用户账户,使其不能登录使用。-

18、U解锁用户账户。 改变用户账户名usermod l 新用户名 原用户名例如，将用户zhangsan更名为zhang3,#usermod l zhangsan zhang3#tail 1 /etc/passwd zhang3:x:503:503:/home/lijie:/bin/bash从输出结果可见，用户名已更改为了zhang3。主目录仍为/home/zhangsan，若要将其更改为/home/zhang3，则命令为：#usermod d /home/zhang3 zhang3任务4-1 用户的管理 锁定账户临时禁止用户登户命令：usermod L 要锁定的账户比如：usermod L zha

19、ng3Linux锁定账户，是通过在密码文件shadow的密码字段前加“！”来标识该用户被锁定。 解锁账户命令：usermod U 要解锁的账户比如：usermod U zhang3 任务4-1 用户的管理4删除用户账号userdel命令命令： userdel -r 账户名-r在删除该账户的同时，一并删除该账户对应的主目录。比如：userdel r zhang35用户间切换su(substitute user)命令# su 用户名 su命令的常见用法是变成跟用户或超级用户，如果发出不带用户名的su命令，则系统提示输入根口令，输入之后则可换为根用户。如果登陆为根用户，则可以用su命令成为系统上任何

20、用户而不需要口令。任务4-1 用户的管理1创建用户组groupadd命令命令：groupadd -r 用户组名称-g GID指定新用户组的组标识号(GID),默认值是已有的最大的GID加1。-r创建系统用户组，该类用户组的GID值小于500；无-r参数，则创建普通用户组，其GID值大于或等于500。在前面创建的student用户组，由于是创建的第1个普通用户组，故其GID值为500。举例：创建一个名为sysgroup的系统用户组，则操作命令为：# groupadd -r sysgroup# tail -1 /etc/groupsysgroup:x:101:任务4-2 用户组的管理2添加/删除组

21、成员gpasswd命令命令：gpasswd 选项 用户 组只有root用户和组管理员才能够使用这个。选项：-a把用户加入组-d把用户从组中删除。-M可同时添加多个用户-A给组指派管理员。【例4-12】将zhang3、li4用户同时加入group1组,并指派zhang3为管理员。rootdyzx # gpasswd -M zhang3,li4 group1rootdyzx # tail -1 /etc/groupgroup1:x:1000:zhang3,li4rootdyzx # gpasswd -A zhang3 group1任务4-2 用户组的管理3修改用户组属性groupmod命令语法:

22、groupmod 选项 用户组常用选项:-g GID为用户组指定新的组标识号。-n 新用户组将用户组的名字改为新名字修改用户组的名称和用户组的GID值。 （1）改变用户组名称命令： groupmod -n 新用户组名 原用户组名 对用户组更名，不会改变其GID的值。 比如：将sysgroup用户组更名为teacher用户组，则操作命令为：# groupmod -n teacher sysgroup # tail -1 /etc/group teacher:x:101: 任务4-2 用户组的管理（2）重设用户组的GID用户组的GID值可以重新进行设置修改，但不能与已有用户组的GID值重复。对GI

23、D进行修改，不会改变用户名的名称。命令：groupmod -g 新GID 用户组名例如，若要将teacher组的GID更改名501，则操作命令为：# groupmod -g 501 teacher# grep teacher /etc/group #在/etc/group文件中查找并显示含有teacher的行teacher:x:501:任务4-2 用户组的管理4删除组账户groupdel命令命令：groupdel 用户组名比如：groupdel teacher在删除用户组时，被删除的用户组不能是某个账户的私有用户组，否则将无法删除，若要删除，则应先删除引用该私有用户组的账户，然后再删除用户组。

24、 任务4-2 用户组的管理任务4-2 用户组的管理5用户和组账户的信息显示 命令格式作用users|w|who显示当前用户信息(三条命令)finger -l 用户名显示当前用户或指定用户的用户名、终端、登录时间及个人信息id 用户名显示当前用户或指定用户的ID,以及所属组的IDgroups 用户名显示当前用户或指定用户所属组账号的信息1修改文件或目录的权限chmod(change mode)命令格式1：chmod -选项 ugoa +-= rwx 文件或目录. 格式2：chmod -选项 nnn 文件或目录.只有文件或目录的拥有者或root用户才有更改权-R可递归设置指定目录下的全部文件权限值

25、的两种表示方法使用3位的八进制数表示：使用字符串表示任务4-3 设置文件和目录的一般权限例如：myfile.txt文件目前的权限为rw-r-r-，若要更改为rw-rw-r-，其命令为：# chmod 664 / home / liyang / myfile.txtrwx表示的权限二进制数表示权限的八进制数表示权限含义-0000无任何权限-x0011可执行-w-0102可写-wx0113可写和可执行r-1004可读r-x1015可读和可执行rw-1106可读和可写rwx1117可读可写和可执行拥有者的权限所属的组中的用户的权限其他用户对该文件的权限644110100100r-r-rw-权限值的表

26、示方法1使用3位的八进制数表示：比如：权限值的表示方法2使用字符串表示chmod -Rugoa+-=rwxst 用户对象+|-|=权限符 用户对象u拥有者 g拥有者所属的用户组o其他用户 a所有的+增加某项权限 - 去掉某项权限=赋予某项权限。权限符r、w、x、s若通过r、w、x、s表示方式来更改权限，则只需在chmod命令中表达出权限需要改变的部分即可，该方法可视为是相对修改法。任务4-3 设置文件和目录的一般权限2修改文件或目录的属主和属组chown(change owner)命令 修改文件或目录的拥有者chown -选项 新属主:新属组 被改变归属的文件或目录-R可递归设置指定目录下的全

27、部文件（包括子目录和子目录中的文件）的所属关系。用空格分隔列表中多个文件名或目录名例如：若要设置/var/software目录的属主为angel用户和angel用户组，则设置方法为：# chown angel.angel /var/software任务4-3 设置文件和目录的一般权限例如：假设/setup.sh文件的权限当前为rw-rw-r-，若要修改为rw-r-，则更改命令为：#chmod g-w /setup.sh#chmod o-r /setup.sh若要给其他用户增加读的权限，则命令为：chmod o+r /setup.sh若要同时去掉用户组和其他用户对该文件的读权限，则实现命令为：c

28、hmod go-r /setup.sh若文件拥有者、用户组和其他用户都只赋予读的权限，则实现命令为：chmod ugo=r /setup.sh任务4-3 设置文件和目录的一般权限任务4-4 设置文件和目录的特殊权限为文件或目录添加三种特殊权限同样可以通过chmod命令来实施,使用“us”、“gs”、“ot”的字符权限模式分别用于添加和移除SUID、GUID、sticky权限。若使用数字形式的权限模式,可采用“nnnn”格式的四位八进制数字表示,其中,后面三位是一般权限的数字表示,前面第一位则是特殊权限的标志数字,0表示不设置特殊权限、1表示只设置sticky、2表示只设置GUID权限、3表示只

29、设置SGID和sticky权限、4表示只设置SUID权限、5表示只设置SUID和sticky权限、6表示只设置SUID和SGID、7表示同时设置SUID、GUID、sticky3种权限。【例4-20】为mkdir命令对应的命令文件设置SUID权限,使得普通用户在根目录下能够使用mkdir命令创建目录。【例4-21】在目录上面运用sticky权限,使得仅root用户和文件的拥有者才能删除该目录中的文件,其他用户不能删除。任务4-5 设置新建文件或目录的默认权限在Linux系统中,当用户创建一个新的文件或目录时,系统都会为新建的文件或目录分配默认的权限,该默认权限并不是继承了上级目录的权限,而是与umask值(称为权限掩码)有关,其具体关系是：新建文件的默认权限