Linux系统管理与服务器配置（基于CentOS 8）（微课版）彭亚发 项目3 管理CentOS的用户与组v0.38.10

更多资源，请关注微信公众号【正月十六工作室】项目3管理CentOS的用户与组正月十六工作室出品学习目标项目背景项目分析相关知识项目实施练习与实践目录学习目标掌握系统用户和组的概念与应用。掌握系统中用户和组的常用命令。掌握用户和组权限的继承性概念与应用。掌握企业组织架构下用户和组的部署业务实施流程。学习目标项目背景项目背景Jan16公司信息中心由信息中心主任黄工、网络管理组张工和李工、系统管理组赵工和宋工等5位工程师组成，组织架构图如图3-1所示。组织架构图项目背景信息中心在一台服务器上安装了CentOS

8系统用于部署公司网络服务，信息中心所有员工均需要使用该

服务器。系统管理员根据员工的岗位工作管理职责，为每一个岗位规划了相应权限，员工具体权限如表3-1所示。隶属组姓名黄工用户账户HuangSysadmins权限

系统管理员备注信息中心主任Netadmins网络管理虚拟化管理网络管理组张工李工ZhangLiSysadmins

系统管理员信息中心员工账户信息表系统管理组赵工宋工ZhaoSong项目分析项目需求分析Linux系统是一个多用户多任务的系统，系统中的用户可以是一个对应真实物理用户的账号，也可以是特定应用程序使用的身份账号。Linux系统通过定义不同的用户，来控制用户在系统中的权限。系统的每个文件都有设计成属于相应的用户和组，不同的用户则决定了其对系统内哪些文件是否可以访问，写入或执行。因此，本项目需要工程师熟悉CentOS

8的用户和组管理，涉及以下工作任务：管理信息中心的用户账户，为信息中心员工创建用户账户。管理信息中心的组账户，为信息中心各岗位创建组账户，根据岗位工作任务分配用户访问权限。相关知识相关知识Linux操作系统是多用户多任务的操作系统，允许多个用户同时登陆系统，使用系统资源。用户账户是用户的身份标识，用户通过用户账号可以登录到系统，并且访问已经被授权的资源。系统依据账户来区分属于每个用户的文件、进程、任务，并给每个用户提供特定的工作环境，使每个用户都不能不受干扰地独立工作。3.1用户类型在Linux中，主要分为以下三种用户类型：root用户：在Linux系统中，root用户的uid为0，该用户对所有的命令和文件具有访问、修改、执行的权限，一旦操作失误很容易对系统造成损坏，在生产环境中，不建议使用root用户直接登录系统。普通用户：系统中大多数的用户为普通用户，需要管理员用户进行创建，拥有的权限收到一定的限制，一般只在用户自己的主目录拥有完全权限，提升权限时，需要使用sudo命令。系统用户：通常会用于一个守护进程或者软件，这类用户在安装系统后默认存在，且默认情况下通常不允许通过shell的交互式登录系统，但此类用户方便系统管理，对于系统的正常运行是必不可缺的。相关知识3.2用户配置Linux系统中用于用户账号相关配置的文件主要有两个：/etc/passwd和/etc/shadow。前者用户保存用户的基本信息，后者用户保存用户的密码信息，这两个文件是互补的。/etc/passwd文件是文本文件，包含用户登录的相关信息，每行代表一个用户的信息，该文件对所有用户可读。例如，下面是/etc/passwd文件的部分输出：[root@localhost

~]#

cat

/etc/passwdroot:x:0:0:root:/root:/bin/bash相关知识上述/etc/passwd文件输出对应的解析如下：用户名：代表用户账号的字符串。口令：存放加密后用户登录的密码，由于/etc/passwd文件对所有人可读，基于安全性考虑用户密码存放在/etc/shadow文件中。用户标识号：每个用户都有uid，并且是唯一的，0是超级用户root的标识号，用户的角色和权限都是通过uid实现的。组标识号：组的gid，该字段记录了用户所属的用户组，对应着/etc/group文件中的一条记录。注释：用户的注释信息，可填写与用户相关的一些信息，该字段可选。主目录：用户登录到系统后默认所处的目录。默认shell：用户登录所用的shell类型，默认为/bin/bash。用户名:口令:用户标识号:组标识号:注释:主目录:默认shell相关知识/etc/shadow文件包含用户密码的加密信息及其他相关安全信息。为了安全起见，只有root用户才有权限读取shadow文件中的内容，普通用户无法查看。例如，下面是/etc/shadow文件的部分输出：[root@localhost

~]#

cat

/etc/shadowroot:$6$6SCTc3Uz3kXN7tQL$a9I6hiw6zMygSGgZvSbCaQUiaZdJEFwYMFQq9ixzcLrNINRDPrVI.iFNIyWu.qCgariKDbu6iTl.gxMTxv1x5.::0:99999:7:::完整格式如下：相关知识用户名：代表用户账号的字符串。加密口令：$为分隔符，首先是使用的加密算法，其次是随机数，最后才是加密的密码，如果该字段是

“*”、“！”、“x”等字符，则对应的用户不能登录系统。最后一次修改时间：从1970年1月1日算起，距离最近一次密码被修改的天数。最小时间间隔：密码最近更改日期到下次允许更改日期之间的天数。最大时间间隔：表示两次修改密码之间的最大时间间隔。警告事件：表示从系统开始警告用户到密码正式失效之间的天数。密码禁用期：表示当密码失效后，自动禁用账户的天数，密码禁用期设置为-l代表账户永不禁用。失效时间：表示账户的生存期。失效时间为-1表示该账户为启用。保留字段：保留域，用于日后功能拓展。相关知识3.3群组在Linux系统中，为了方便管理员的管理和用户工作的方便，产生了群组的概念，群组就是具有相同特征的用户集合体，使用群组有利于系统管理员按照用户的特性组织和管理用户，提高工作效率，为用户设置群组，在做资源授权时可以把权限赋予某个群组，群组中的成员即可获得对应的权限，并且方便系统管理员检查，用户组可以更高效地管理用户权限。用于保存主账号基本信息的文件是/etc/group，存储格式为group_name:password:GID:user_list。每行信息包括四个字段。例如，下面是/etc/group文件的部分输出：[root@localhost

~]#

cat

/etc/grouproot:x:0:完整格式如下：相关知识组名：用户组的名称。组口令：用占位符x表示，加密后的密码存放在/etc/gshadow文件下。GID：群组的ID号，Linux系统通过GID来区分用户组。用户列表：每个群组包含的所有用户，这里列出的是以改组为附加值的用户列表，以此组为主组的用户并没有被列出。/etc/gshadow是/etc/group的加密文件，两个文件为互补的关系，对于大型的生产环境，设置明确的用户和组，定制关系结构比较复杂的权限模型，设置用户组密码是很有必要的，/etc/gshadow文件以冒号进行分隔，

每行信息包括四个字段。例如，下面是/etc/gshadow文件的部分输出：[root@localhost

~]#

cat

/etc/gshadowroot:::相关知识完整格式如下：用户组名:用户组密码:用户组管理员名称:群组成员列表用户组名：用户组的名称。用户组密码：大部分用户通常不设置组密码，因此该字段常为空。字段中出现”!”则代表群组没有密码也不设置群组管理员。用户组管理员的名称：该字段可为空，也可设置多个群组管理组。群组成员列表：该字段显示群组中有哪些附加用户，与/etc/group中的附加值显示内容相同。相关知识用户和用户组的对应关系有：一对一、一对多、多对一和多对多，对四种关系的解析如下：一对一：即一个用户可以存在一个组中，也可以是组中的唯一成员。一对多：即一个用户可以存在多个用户组中。那么此用户具有多个组的共同权限。多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限。多对多：多个用户可以存在多个组中。其实就是上面三个对应关系的扩展。在LINUX的设计中，每个用户都有一个对应的组，组即是多个（含一个）成员用户为同一目的组成的组织，组内的成员对属于该组下的文件拥有相同的权限。默认情况下，LINUX用户拥有自己的私人组（usr

private

group,UPG），当一个新用户被创建时，同时会创建一个和用户名相同的用户私人组。项目实施任务3-1管理信息中心的用户账户-任务规划为满足公司信息中心对安装了Centos

8的访问，系统管理员根据表3-1，为每一个员工创建用户账户，管理员可通过向导式菜单为员工创建账户，并通过用户属性管理界面修改账户的相关信息。用户使用新用户登录系统时，可自行修改登录密码。在Centos

8终端中为信息中心员工创建用户，可通过以下操作步骤实现。通过useradd命令创建用户。通过不同的参数去修改用户的属性。在任务验证中使用新用户登录系统，测试新用户第一次登录是否需要更改密码。任务3-1管理信息中心的用户账户-任务实施1.通过终端为员工创建账户（1）管理员Root身份登录到服务器，打开【终端】，创建用户黄工，备注为信息中心主任。代码如下：[root@Jan16

~]#useradd-c"信息中心主任"Huang[root@Jan16

~]#

echo

“1qaz@WSX”

|

passwd

--stdin

Huang创建用户时-c参数代表加上备注文字，备注文字保存在passwd备注栏中。（2）查看黄工用户创建是否成功，代码如下：[root@Jan16

~]#

cat

/etc/passwduang:x:1001:1001:信息中心主任:/home/Huang:/bin/bash任务3-1管理信息中心的用户账户-任务实施（3）需要限制黄工在第一次登陆时必须修改密码，代码如下：“-d

<N>”选项应该被设成密码的“有效期”(自密码上一次更改时间1970年1月1日以来的天数)。所以，“-d0”表明该密码是在1970年1月1日更改的，这实际上让当前密码到期失效，从而让密码在下一次登录时被更改。（4）切换用户查看是否能够成功限制黄工登陆，注意不能使用Root用户进行切换，因为Root用户切换用户不需要输入密码，使用新建的Test用户对Huang用户进行测试，切换用户输入正确密码后，提示管理员强制要求立即更改密码，输入当前密码后，提示输入新密码，测试完成。代码如下：[root@Jan16

~]#

chage

-d0

Huang[Test@Jan16

~]$

su

-

HuangPassword:You

are

required

to

change

your

password

immediately

(administrator

enforced)Current

password:任务3-1管理信息中心的用户账户-任务实施[root@Jan16

~]#useradd

Zhang-c"网络管理组"[root@Jan16

~]#useradd-c"网络管理组"LiZhang:x:1002:1002:网络管理组:/home/Zhang:/bin/bashLi:x:1003:1003:网络管理组:/home/Li:/bin/bash（5）使用同样的方法创建Zhang、Li、Zhao、Song四个用户，代码如下：[root@Jan16

~]#useradd-c"系统管理组"Zhao（6）查看用户创建的情况，代码如下：[root@Jan16

~]#useradd-c"系统管理组"Song[root@Jan16

~]#

cat

/etc/passwdHuang:x:1001:1001:信息中心主任:/home/Huang:/bin/bash任务3-1管理信息中心的用户账户-任务验证（1）用户创建后，注销【ROOT】账户后，在CentOS

8登录界面可以看到【信息中心主任】、【网络管理组】登录账户选项，创建用户时的注释为登录名，结果如图3-2所示。CentOS

8登录界面任务3-1管理信息中心的用户账户-任务验证（2）选择登录【Huang】账户，以【Huang】账户登录到服务器，系统会出现如图3-3所示的“you

are

requiredto

change

your

password

immediately(administrator

enforced)管理员强制要求您需要立即更改密码”提示信息。选择【Huang】账户登录任务3-1管理信息中心的用户账户-任务验证（3）更改密码后，CentOS

8系统将以【Huang】账户登录，结果如图3-4所示。账户【Huang】成功登录系统的界面任务3-2管理信息中心的组账户-任务规划公司信息中心网络管理组员工试用了基于CentOS

8系统的服务器一段时间后，决定在服务器上部署业务系统进行系统测试，等确定该系统能稳定支撑公司业务后再做业务系统迁移，并在这台服务器上创建共享，同时将系统测试文档统一存放在网络共享中。公司业务系统的管理涉及信息中心网络管理组和系统管理组的所有员工，公司信息中心需要为每一位员工账户授予管理权限。根据图3-1中描述的信息中心组织架构、表3-1描述的信息中心员工岗位工作任务背景和CentOS

8权限情况，网络工程师对用户隶属组账户做了如下分析。任务3-2管理信息中心的组账户-任务规划该公司信息中心黄工是信息中心主任，具有完全控制权限，并且可以向其他用户分配用户权利和访问控制权限，拥有服务器管理的最高权限，即Root账户，该账户应隶属于root组。网络管理组由张工和李工两位工程师组成，需要对该服务器的网络服务做相关配置和管理，负责服务器的网络管理权限。网络管理组可以更改网卡配置方面的文件，并更新和发布TCP/IP地址，两位工程师没有修改其他用户密码和结束其他用户进程的权限，张工和李工两个账户应隶属于Netadmins组系统管理组由赵工和宋工两位工程师组成，需对系统进行修改、管理和维护，系统管理组需要对系统具有完全控制权限，赵工和宋工两个账户应隶属于ROOT组。从信息中心内部组织架构和后续权限管理需求出发，需要分别为网络管理组和系统管理组创建组账户：

Netadmins和Sysadmins，并将组成员添加到自定义组中。综上，网络工程师对信息中心所有用户的操作权限和系统内置组做了映射，结果如表3-2所示。任务3-2管理信息中心的组账户-任务规划隶属自定义组用户账号

ZhaoNetadmins权限

网络管理虚拟化管理Song

HuangZhangLiSysadmins系统管理员表3-2服务器系统自定义组规划表任务3-2管理信息中心的组账户-任务规划因此，本任务的操作主要步骤如下。创建对应用户账号。创建群组，并将对应用户账号添加到对应群组中。设置用户账户的隶属群组，赋予用户适配的系统权限。任务3-2管理信息中心的组账户-任务实施1.创建本地组账户，并配置其隶属的系统内置组（1）使用Root账户，在终端界面创建Netadmins组和Sysadmin组，代码如下：（2）创建完成后，查看配置文件，验证两个组是否创建成功，代码如下：[root@Jan16

~]#

groupadd

Netadmins[root@Jan16

~]#

groupadd

Sysadmins[root@Jan16

~]#

cat

/etc/groupSysadmins:x:1006:2.N设e设tad置min用s:x户:100账7:户的隶属组账户（1）将Zhao用户和Song用户加入到Netadmins组，并查看用户的组ID是否变更，代码如下：[root@Jan16

~]#

usermod

-g

Netadmins

Zhao[root@Jan16

~]#

usermod

-g

Netadmins

Song[root@Jan16

~]#

cat

/etc/passwdZhao:x:1004:1007:系统管理组:/home/Zhao:/bin/bashSong:x:1005:1007:系统管理组:/home/Song:/bin/bash任务3-2管理信息中心的组账户-任务实施（2）使用同样的方法将Huang用户、Zhang用户、Li用户加入到Sysadmins组，并查看用户的组ID是否变更，代码如下：[root@Jan16

~]#

usermod

-g

Sysadmins

Huang[root@Jan16

~]#

usermod

-g

Sysadmins

Zhang[root@Jan16

~]#

usermod

-g

Sysadmins

Li[root@Jan16

~]#

cat

/etc/passwdHuang:x:1001:1006:信息中心主任:/home/Huang:/bin/bashZhang:x:1002:1006:网络管理组:/home/Zhang:/bin/bash（3）为Huang用户加入Root组，并为Huang用户提升权限为系统管理员，使得该用户拥有对系统的完全控制权限，代Li:码x:10如03:下100：6:网络管理组:/home/Li:/bin/bash[root@Jan16

~]#

usermod

-g

root

Huang[root@Jan16

~]#

cat

/etc/passwdHuang:x:1001:0:信息中心主任:/home/Huang:/bin/bash任务3-2管理信息中心的组账户-任务实施（4）修改配置文件，为Huang用户授予管理员的权限，使用Root用户修改/etc/sudoer文件，添加对应的红色字体的权限，并使用wq！进行保存并退出，此时Huang用户已经获取Root用户的权限，切换到Huang用户下可以

使用sudo-i命令输入密码后，去执行系统管理员拥有权限对应的操作，如查看/etc/sudoers文件。代码如下：[root@Jan16

~]#

vim

/etc/sudoers##

Allow

root

to

run

any

commands

anywhererootALL=(ALL)

ALLHuangALL=(ALL)ALL任务3-2管理信息中心的组账户-任务实施（5）没有做配置的用户无法使用sudo-i获取系统管理员的权限，代码如下：（6）户可以执行/usr/bin、/bin下面的所有命令，但是为了保用户的密码和kill其他用户的进程，Li用户可以使用/bin障系统目录下目录下kill其他用户的进程和使用nmcli命令，在/etc/sudoers.d入以下配置。代码如下：[Huang@Jan16

~]$

su

-

LiPassword:[Li@Jan16

~]$

sudo

-i对于Zhang用户和Li用户进行限制，允许Zhang用

[的sud安o]p全ass性wor，d

fo需r

Li要:限制Zhang用户不可以修改其他面所有命令，但是不能修改其他用户的密码以及使用visudo命令创建与用户同名的策略文件并写Li

is

not

in

the

sudoers

file.

This

incident

will

be

reported.[root@Jan16

~]#

visudo

-f

/etc/sudoers.d/ZhangZhang

ALL=/usr/bin/,/bin/,!/usr/bin/passwd,!/bin/kill[root@Jan16

~]#

visudo

-f

/etc/sudoers.d/LiLi

ALL=/bin/,!/usr/bin/passwd,!/bin/kill任务3-2管理信息中心的组账户-任务实施visudo-安全地编辑sudoers文件需要超级用户权限。默认编辑/etc/sudoers文件。sudoers文件的默认权限是440，即默认无法修改。visudo可以在不更改sudoers文件权限的情况下，直接修改sudoers文件。-f,--file=sudoers指定sudoers文件的位置。（7）将Song用户和Zhao用户加入Root组，代码如下：[root@Jan16

~]#

usermod

-g

root

Zhao[root@Jan16

~]#

usermod

-g

root

Song[root@Jan16

~]#

cat

/etc/passwdZhao:x:1004:0:系统管理组:/home/Zhao:/bin/bashSong:x:1005:0:系统管理组:/home/Song:/bin/bash任务3-2管理信息中心的组账户-任务验证【Zhang】隶属Netadmins组，而该用户并不是系统管理员，但是该用户的权限为可以使用/usr/bin、/bin下面的所有命令，而不能使用kill和passwd命令去修改其他用户的密码和进程。代码如下：[Zhang@Jan16

~]$

sudo

cd[sudo]

password

for

Zhang:[Zhang@Jan16

~]$[Zhang@Jan16

~]$

pwd/home/Zhang任务3-2管理信息中心的组账户-任务验证【Li】隶属Netadmins组，而该用户并不是系统管理员，但是该用户的权限为可以使用/bin下面的所有命令，不予许使用kill和passwd命令去修改其他用户的密码和进程。代码如下：[Li@Jan16

~]$

su

-

LiPassword:[Li@Jan16

~]$

sudo

killSorry,

user

Li

is

not

allowed

to

execute

"/bin/kill"

as

root

on

J.[Li@Jan16

~]$

sudo

passwd[Li@Jan16

~]$

sudo

nmcliens33:

connected

to

ens33"Intel

82545EM"ethernet

(e1000),

00:0C:29:A1:19:D8,

hw,

mtu

1500ip4

defaultinet4

28/24练习与实践练习与实践一．理论习题D．touch

/jan16/test1.CentOS

8中默认的管理员账户是

。A．admin

B．root

C．supervisor

D．administrator2.需要展示Linux某个目录的目录结构时，可以使用的命令是

。A．tree

B．cd

C．mkdir

D．cat3.需要去创建一个名为/jan16/test的目录，可以使用的命令是

。A．mkdir

-pv

/jan16/test

B．touch

/jan16/test

C．rm

-rf

/jan16/test4.新建的磁盘需要进行永久挂载，需要修改的配置文件是

。A．/etc/fstab

B．/etc/sysconfig

C．/usr/local

D．/dev/cdrom5.临时修改selinux权限为允许，需要执行的命令为

。A．systemctl

stop

firewalld

B．setneforce

0

C．getenforce

D．nmcli

co