帐户管理与权限管理

更多企业学院：《中小企业管理全能版》183套讲座+89700份资料《总经理、高层管理》49套讲座+16388份资料《中层管理学院》46套讲座+6020份资料

《国学智慧、易经》46套讲座《人力资源学院》56套讲座+27123份资料《各阶段员工培训学院》77套讲座+324份资料《员工管理企业学院》67套讲座+8720份资料《工厂生产管理学院》52套讲座+13920份资料《财务管理学院》53套讲座+17945份资料

《销售经理学院》56套讲座+14350份资料《销售人员培训学院》72套讲座+4879份资料更多企业学院：《中小企业管理全能版》183套讲座+89700份资料《总经理、高层管理》49套讲座+16388份资料《中层管理学院》46套讲座+6020份资料

《国学智慧、易经》46套讲座《人力资源学院》56套讲座+27123份资料《各阶段员工培训学院》77套讲座+324份资料《员工管理企业学院》67套讲座+8720份资料《工厂生产管理学院》52套讲座+13920份资料《财务管理学院》53套讲座+17945份资料

《销售经理学院》56套讲座+14350份资料《销售人员培训学院》72套讲座+4879份资料linux帐户管理一、帐户管理卸1、概述

滩拍

Linu赤x操作系统终是多用户操矛作系统，帐唤户实质上就结是一个用户状在系统上的级标识，广义诊上讲，Li锅nux的帐浸户包括用户克帐户和组钱帐户两种。概用户帐户分朗为普通用户抓帐户和超级涉用户帐户两籍种。管理员低帐户对系统兴具有绝对控撤制权；组帐雾户分为私有脸组和标准组兔，当创建一舞个新用户时凭，若没有窝指定他所属堂于的组，L旨inux就局建立一个和忽该用户同名鼠的私有组，撤此私有组中丧只包含该用神户自己，标材准组可以容迟纳多个用户科。若使用标旬准组，在创纹建一个新用能户时就应占该指定他所笔属于的组。淡同一个用户裹可以同属于杠多个组，其艇登录后所属斑的组称为主困组，其它的恼组称为附加肃组。2、Linux下的帐户系统文件

Linux下的帐户系统文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow4个。

（1）/etc/passwd文件中每行定义一个用户帐号，一行中又划分为多个不同的字段定义用户帐号的不同属性，各字段用“：”隔开。

各字段定义如下：

用户名：用户登录系统时使用的用户名，它在系统中是唯一的。

口令：此字段存放加密的口令。在此文件中的口令是x，这表示用户的口令是被/etc/shadow文件保护的，所有加密口令以及和口令有关的设置都保存在/etc/shadow中。

用户标识号：是一个整数，系统内部用它来标识用户。每个用户的UID都是唯一的。root用户的UID是0，1~499是系统的标准帐户，普通用户从500开始。

组标识号：是一个整数，系统内部用它来标识用户所属的组。

注释性描述：例如存放用户全名等信息。

自家目录：用户登录系统后进入的目录。

命令解释器：批示该用户使用的shell，Linux默认为bash。

（2）/etc/passwd文件对任何用户均可读，为了增加系统安全性，用户的口令通常用shadowpasswords保护。/etc/shadow只对root用户可读。在安装系统时，会询问用户是否启用shadowpasswords功能。在安装好系统后也可以用pwconv命令和pwunconv来启动或取消shadowpasswords保护。经过shadowpasswords保护的帐户口令和相关设置信息保存在/etc/shadow文件里。

各字段意义如下：

用户名：用户的帐户名

口令：用户的口令，是加密过的

最后一次修改时间：从1970年1月1日起，到用户最后一次更改口令的天数

最小时间间隔：从1970年1月1日起，到用户可以更改口令的天数

最大时间间隔：从1970年1月1日起，到用户必须更改口令的天数

警告时间：在用户口令过期之前多少天提醒用户更新

不活动时间：在用户口令过期之后到禁用帐户的天数

失效时间：从1970年1月1日起，到帐户被禁用的天数

标志：保留位

（3）/etc/group文件。将用户分组是Linux中对用户进行管理及控制访问权限的一种手段。当一个用户同时是多个组的成员时，在/etc/passwd中记录的是用户所属的主组，也就是登录时所属的默认组，而其他的组称为附加组。用户要访问附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组的成员。组的所有属性都存放在/etc/group中，此文件对任何用户均可读。

各字段意义如下：

组名：该组的名称

组口令：用户组口令，由于安全性原因，已不使用该字段保存口令，用“x”占位

GID：组的识别号，和UID类似，每个组都有自己独有的ID号，不同组的GID不会相同

组成员：属于这个组的成员

（4）/etc/gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取。

各字段意义如下：

组名：用户组名称，该字段与group文件中的组名称对应

组口令：用户组口令，该字段用于保存已加密的口令

组的管理员帐号：组的管理员帐号，管理员有权对该组添加、删除帐号

组成员：属于该组的用户成员列表，用“，”分隔提示：帐户管理的实质就是管理上述的4个帐户系统文件3、使用命令行工具管理帐户

管理帐户的俱行工具及功能如下：useradd[<选项>]<用户名>

添加新用户usermod[<选项>]<用户名>

修改已存在的指定用户userdel[-r]<用户名>

删除已存在的指定帐户，-r参数用于删除用户自家目录groupadd[<选项>]<组名>

添加新组groupmod[<选项>]<组名>

修改已存在的指定组groupdel<组名>

删除已存在的指定组使用举例：useraddosmond//创建一个新用户osmondgroupaddstaff

//创建一个新组staffuseradd-Gstafftom//创建一个新用户tom，同时加入staff附加组中useradd-d/webmaster//创建一个新用户webmaster，指定登录目录为/www，不创建自家用户目录（-M）usermod-Gstaffosmond//将osmond添加到附加组staff中userdelwebmaster//删除用户userdel-rosmond//删除用户，同时删除自家目录groupdelstaff//删除组staff

4、口令管理与口令时效

（1）passwd命令

passwd命令用来设置用户口令，格式为：passwd[<选项>][<用户名>]

用户修改自己的用户密码可直接键入passwd，若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理：passwd-l<用户帐户名>//禁用用户帐户口令passwd-S<用户帐户名>//查看用户帐户口令状态passwd-u<用户帐户名>//恢复用户帐户口令passwd-d<用户帐户名>//删除用户帐户口令

（2）chage命令

口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage[<选项>]<用户名>

下面列出了chage命令的选项说明：

-mdays：指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

-Mdays：指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

-ddays：指定从1970年1月1日起，口令被改变的天数。

-Idays：指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

-Edate：指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

-Wdays：指定口令过期前要警告用户的天数。

-l：列出指定用户当前的口令时效信息，以确定帐号何时过期。

例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，并且口令过期前5天通知用户chage-m2-M30-W5user1

可以使用如下命令查看用户user1当前的口令时效信息：chage-luser1提示：1）可以使用chage<用户名>进入交互模式修改用户的口令时效。

2）修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

5、用户和组状态命令

whoami：用于显示当前用户的名称

groups[<用户名>]：用于显示指定用户所属的组，若未指定用户，则显示当前用户所属的组

id：用于显示用户当前的UID、GID和用户所属的组列表

su[-][<用户名>]：用于转换当前用户到指定的用户帐号，若不指定用户名则转换当前用户到root；若使用参数“-”，则在转换当前用户的同时转换用户工作环境。

newgrp[<组名>]：用于转换用户的当前组到指定的附加组，用户必须属于该组才可以进行。二、权限管理

1、3种基本权限距跳编

在Li稻nux中，涂将使用系统峡资源的人员缠分为4类：口超级用户、景文件或目录脏的属主、属纹主的同组人裁和其他人员钩。超级用户诊拥有对Li优nux系统适一切操作权党限，对于其牌他3类用户筐都要指定对防文件和目录炒的访问权限梳。需奥喷照代表字符

丧距销

权限

辨俭也验鸡对文件的含竹义

驶晴抄塔冬对目录的含慨义鸽唐耗征答r

她滋价

读权限浑耽徒下

可以读酱文件的内容锄楚驱旅

可以列色出目录中的详文件列表桐渗馅封

w迅黄哥著写权限

存拐尤庄

可以修挠改该文件

傅他运绑

可以在严目录中创建厚删除文件薯识蝇标

x浓视梦距执行权限

返嚼沈寄

可以执行禽该文件

备形暮敲

可以使用辣cd命令进如入该目录

赏窗惑贷

2、查看颈文件和目录借的权限平嚼担

可以使崭用带l参数伐的ls命令黑查看文件或刚目录的权限允轻匪翁侮捧

每一行袜显示一个文疾件或目录的穗信息，这些浇信息包括文侦件的类型、江文件的权限痰、文件的属漆主和文件的汁所属组，还多有文件的大婶小以及创建首时间和文件别名。输出列义表中每一行唯第一列的第忧一个字母指疑示了该文件恼的类型。各锹种文件类型隶及代表字符夸如下：买心掉

-：普来通文件

离

b并：块文件设问备

黄

d：目箩录文件

盏

c糊：字符文件挺设备

并

l：增符号链接文墙件

由

p：管援道文件拦录闭

第一列寄的其余9个亩字母可分为斗三组，3个亏字母一组，槽这3组分别蛙代表：文件繁属主的权限茎、文件所属惊组的权限和变其他用户的夸权限。每组毙中的3个栏谱位分别表示榆读、写、执称行权限。垦可

3、更改阻操作权限（袭chmod铃）东萌金

系统管劳理员和文件续属主可以根蚁据需要来设凤置文件的权工限，有两种反设置方法：片文字设定法抱和数值设定娱法。疤凯霸

（1）集文字设定法贼谋客或

ch辉omd的文估字设定法的所格式为：驱chmod遇[ugo够a][+-颗=][rw豆xugo]横<文件名题或目录名>扩匆于谱祝

其中寇第1个选项印表示要赋予家权限的用户谜，具体说明复如下：

划辜原西雀

u：豪属主

抱

g：榆所属组用户鸟泰

o：其他俊用户

导

a：郑所有用户盛费臭挡

第2贵个选项表示遥要进行的操亭作，具体说餐明如下：许森座危

+：不增加权限

钱属-：删除权苍限

冬

=：分爸配权限，同讯时将原有权蕉限删除撕什矿错

第3禽个选项是要棚分配的权限探，具体说明呀如下：意姑痒础

r/诉x/w：允扩许读取/写钻入/执行

厨揉

u/g瑞/o：和属虾主/所属组揭用户/其他悬用户的权限挎相同衣圾哄题

例如钢：俱起婚前君chmod用go-适ruse姜rs鸡杰剂//取消组良用户和其他瞎用户对文件宽users壳的读取权限怕侍障永芒chmod饺u+x芽users宝螺航//对文件域users红的属主增加赵招待权限竖斩域况矛chmod粒u+x,轰go-r战users纳遗离//对文件辅users屈的属主添加疾执行权限，温同时取消组欢用户和其他维用户对文件贵的读取权限伐餐因

（2）撇数值设定法总铺惊可

ch芳mod的数摩值设定法的升格式为：甘chmod幸n1n2漫n3<文晶件名或目录模名>伪师宣延

其中插n1、n2孕、n3分别饿代表属主的委权限、组用抱户的权限和滥其他用户的崇权限，这三蒸个选项都是阴八进制数字淋。例如：讽南户飘倡chmod三755典addus桨er看护型//对文件催addus摇er的属设糖置可读、写慨和执行的权恋限，所属组聋和其他用户些只设置读和绝执行权限，臭没有写权限斧不悟傍驾chmod敬600餐user1逃扁习//取消组太用户和其他守用户对文件墨user1兄的一切权限播（原权限为蜂-rw-r堂–r–）五快

4、更改典属组或同组恢人神兆奸

改变文膨件的属主和妇组可以用c新hown命钳令，命令格路式为：雹chown酿[-R]率<用户[.风组]><休文件或目录童>毕。例如：茎隐膨璃chmod典osmo塑ndus产er1悦肃定//将文件失user1惕的属主改为速osmon符d盾倒们租chmod落osmo抚nd.os全mond鞭user1壶泪著//将文件英user1炕的属主和组彩都改成os绣mond甚峰分渡chmod染-Ro顿smond巡.osmo畜ndmy金dir燕担屠//将my析dir目录讲及其子目录架下的所有文钻件或目录的桐属主和组都漏改成osm序ond顿桌

5、设置兴文件和目录润的生成掩码级请通

用户膜可以使用u膝mask命臭令设置文件宋夹的默认生其成掩码。默贡认的生成掩漆码告诉系统瓣当创建一个租文件或目录薄时不应该赋梅予哪些权限林。如果用户逆将umas嚷k命令放在鸟环境文件坝（.bas库h_pro谷file）擦中，就可以歇控制所有的裤新建文件或需目录的访问穿权限。其命匹令格式为：糖umask宾[u1u俱2u3]请陶劝

其中，壶u1、u2清、u3分别爷表示的是不刊允许属主有逐的权限、不妖允许同组人蓬有的权限和宽不允许其他歼人有的权限陆。例如：狸齐出冬umask症022耗晕滥//设置不何允许同组用肚户和其他用听户有写权限极撑温率umask施龟咱樱//显示当栽前的默认生疯成掩码捕各

6、特殊斜权限设置可茄满

（1）权SUID、煌SGID和典stick贱y-bit炼皇敲略

除了真上述的基本挡权限之外，筛还有所谓的狠特殊权限存敲在。由于特克殊权限会拥轨有一些“特村权”，因而隙用户若无特棕殊需要，不烧应该去打开东这些权限，甘避免安全方讽面出现严重怎漏洞，甚至朗摧毁系统。态下面列出了宇3个特殊权粗限的说明：束或绪姨

SU境ID：当岁一个设置了便SUID位曾的可执行文升件被执行时选，该文件以幼所有者的身冈份运行，也锦就是说无论无谁来执行这粱个文件，他敲都拥有文件亡所有者的特端权，可以任痛意存取该文毕件拥有者纱能使用的全谎部系统资源静。如果所有端者是roo床t，那么执戴行人就有超咬级用户的特店权了。稿漆缘啊

SG耗ID：当一乳个设置了题SGID位造的可执行文饶件被执行时枯，该文件将惭具有所属组画的特权，任左意存取整个恰组所能使用痰的系统资源贞；若一个目森录设置了S示GID，则皱所有被复制绒到这个目录砌下的文件先，其所属的姓组都会被重饼设为和这个鞋目录一样，寄除非在复制扩文件时加上字-p（pr槽eserv岛e，保留文凡件属性）参窄数，才能保矩留原来所属捞的群组设置委。遮饿滔鸟

st将icky-真bit：对钓一个文件设叫置了sti赴cky-b荐it之后，葬尽管其他用酱户有写权限终，也必须由缩属主执行删蓬除、移动等违操作，对一沉个目录设置料了stic嘴ky-bi僵t之后，存苗放在该目录督下的文件仅哪允许其属主律执行删除、案移动等操作源。洲邀眠煌

一奸个设置了S幼UID的典膝型例子是p薄asswd愧程序，它允士许普通用户覆改变自己的贤口令，这是冷通过改变/测etc/s妹hadow贱文件的口令即字段来实现蠢的。然而系故统管理员定决不允许普元通用户拥有脚直接改变/魄etc/s盟hadow缠文件的权限献。