Linux系统与应用课件项目三

中国水利水电出版社项目三

Linux用户与组群管理【项目导入】Linux操作系统是一个多用户多任务的操作系统，允许多个用户同时登录到系统，使用系统资源。为了使所有用户的工作顺利进行，保护每个用户的文件和进程，规范每个用户的权限，需要区分不同的用户，就产生了用户帐户和组群。中国水利水电出版社【知识目标】

了解用户和组群配置文件掌握Linux下用户及组群的创建与维护管理理解文件及目录权限的含义掌握权限的设置方法中国水利水电出版社【能力目标】

学会管理用户及组群学会修改用户账户的属性掌握文件及目录权限的修改方法中国水利水电出版社3.1用户与组群的配置3.1.1用户与组群介绍1.用户ID与用户账号用户在登录Linux主机的时候，输入的是用户的账号。但是其实Linux主机并不会直接识别用户的的账号，它只能认识用户ID。Linux上的用户有三种：超级用户（root）、普通用户和系统用户。超级用户：即root用户，拥有计算机系统的最高权限。普通用户：由超级用户创建，普通用户帐户在系统上的任务是进行普通工作，权限有限。系统用户：是与系统服务相关的用户，通常在安装软件包时自动创建，一般不需要改变其默认设置。中国水利水电出版社2./etc/passwd文件用来存放除了用户口令之外的用户帐户信息。该文件中有七个字段，各字段之间用：隔开，名字及含义如下：用户名：对应uid。密码：uid：这就是用户的识别码。GID：组ID。用户描述：这个字段用来解释账户的作用。主目录：用户的家目录。登录Shell：用于当你执行命令后，各硬件接口之间的通信。中国水利水电出版社3./etc/shadow文件用以存放用户口令，只有超级用户才能查看其内容。共9个字段用来表示用户属性信息。从左至右各字段含义如下：用户名，排列顺序和/etc/passwd文件保持一致。34位加密口令，若是“！！”，则表示这个账户无口令，不能登录。上次改动密码的日期。密码不可被改动的天数。密码需要重新变更的天数。密码变更期限快到前的警告期。账户失效日期。账户取消日期。保留域。中国水利水电出版社4.用户组群组是用户的集合，在系统中组有两种：私人组群和系统组群。5./etc/group文件用以存放组群帐户信息，所有用户都可以查看其内容。6./etc/gshadow文件根据/etc/group文件而产生，用以存放组群口令、管理员等管理信息内容，和/etc/shadow文件类似，只有超级用户才能查看。中国水利水电出版社3.1.2管理用户及组群命令1.useradd命令格式：useradd[-uUID][-g私人群组][-G附加群组][-mM]功能：useradd可用来建立用户账号。例：建立一个新用户账户jordan，并设置ID为523。[root@localhost~]#useraddjordan-u523中国水利水电出版社2.passwd命令格式：passwd[选项][用户]功能：设置或修改用户的密码。该命令可选参数如下：-l：暂时锁定指定帐户。-u：解除指定用户帐号的锁定。例：为jordan设置初始口令。[root@localhost~]#passwdjordan中国水利水电出版社3.usermod命令格式：usermod[参数]用户名功能：修改用户帐号的属性。常用选项如下：-g<群组>：修改用户所属的群组。-G<群组>：修改用户所属的附加群组。-l<帐号名称>：修改用户帐号名称。-L：锁定用户密码，使密码无效。-u<uid>：修改用户ID。-U：解除密码锁定。中国水利水电出版社4.userdel命令格式：userdel[-r][用户帐号]功能：删除用户帐号。5.chage命令格式：chage[选项]username功能：修改帐号和密码的有效期限。中国水利水电出版社6.groupadd命令格式：groupadd[选项][用户组]功能：增加一个新的用户组使用。常用选项：-gGID：指定新用户组的组标识号（GID）。例：创建一个wangkai群组。[root@localhosthome]#groupaddwangkai中国水利水电出版社7.groupmod命令语法：groupmod[-g<群组识别码>][-n<新群组名称>][群组名称]功能：更改群组识别码或名称。8.groupdel命令格式：groupdel[群组名称]功能：删除指定群组。中国水利水电出版社9.gpasswd命令格式：gpasswd[选项]组帐号功能：将用户添加到指定的组，使其称为改组的成员。常用选项：-a：添加用户到组。-d：从组删除用户。-A：为组指定管理员。-M：指定多个组成员。中国水利水电出版社10.用户和组群的维护命令（1）id命令（2）finger命令（3）chfn命令（4）chsh命令

（5）whoami命令（6）su命令中国水利水电出版社3.1.3用户管理器的使用中国水利水电出版社任务3-1：在图形界面下添加用户和组群1.任务描述某高校配置Linux操作系统，需要在该系统上添加三个账户user1、user2、user3，为了便于管理，还需要将这三个用户添加students群组中。2.操作步骤中国水利水电出版社中国水利水电出版社3.2文件权限管理3.2.1文件权限的含义1.访问权限读取权限（read）：浏览文件/目录中内容的权限。写入权限（write）：对文件而言是修改文件内容的权限；对目录而言是删除、添加和重命名目录内文件的权限。执行权限（execute）：对可执行文件而言是允许执行的权限；而对目录来讲是进入目录的权限。 中国水利水电出版社2.与文件权限相关的用户分类文件所有者（Owner）：建立文件或目录的用户。同组用户（Group）：文件所属组群中的所有用户。其它用户（Other）：既不是文件所有者，又不是同组用户的其他所有用户。中国水利水电出版社3.访问权限的表示法字母表示数字表示权限含义---0无任何权限--x1可执行（eXecute）-w-2可写（Write)-wx3可写和可执行r--4只读（Read）r-x5只读和可执行rw-6可读和可写rwx7可读、可写和可执行中国水利水电出版社3.2.2修改文件权限的shell命令1.chmod命令格式：chmod[参数][模式]文件功能：用于改变文件或目录的访问权限，用它控制文件或目录的访问权限。模式分为数字模式和功能模式。数字模式为一组三位数字，如755、644等。中国水利水电出版社功能模式可由以下三部分组成。（1）对象u：用户。g：群组。o：其他用户。a：所有的用户及群组。（2）操作符＋：增加权限。－：删除权限。＝：赋予给定权限。（3）权限r(read)：读取权限。w(write)：写入权限。x(execute)：执行权限。例：针对helen用户的2015文件增加所有用户对文件的执行权限。[root@localhosthelen]#chmoda+x2015//使用功能模式增加所有用户的执行权限中国水利水电出版社2.chown命令格式：

chown[选项][所有者][：[组群]]文件功能：通过chown改变文件的拥有者和群组。例：将test文件的所有者和所属组群设置为helen用户和helen组群。[root@localhosthelen]#chownhelen：helentest

中国水利水电出版社3.chgrp命令格式：chgrp[选项]组群文件（目录）功能：改变文件（目录）的所属组群。例：将letter文件的所属组群由helen改为root。[root@localhosthelen]#chgrprootletter中国水利水电出版社3.2.3设置文件特殊权限在Linux中除了常见rwx即读、写、执行的权限外，还有三个特殊权限，分别为suid、sgid、stickkey。1．SetUIDs或S（SUID，SetUID）：作用是让普通用户拥有root用户的权限，可执行只有root才能执行的程序。例：设置shutdown的suid，使得普通用户可以执行该命令关闭系统。[root@localhosttmp]#chmod4755/sbin/shutdown//设置suid中国水利水电出版社2．SetGIDs或S（SGID，SetGID）：设置在可执行文件上，其效果与SUID相同，普通用户组成员可以执行“只有root组成员才能执行的”可执行文件。例：设置没有SGID标志的/home/helen/tmpdir具有此权限。[root@localhosthelen]#chmod2755tmpdir[root@localhosthelen]#ll|greptmpdirdrwxr-sr-x.2rootroot40968月1909：29tmpdir中国水利水电出版社3．StickyBit（SBIT）粘贴位，用于限制用户对共享资源的修改、删除权限。带有sticky属性的目录，其下面的文件及子目录只能被其所有者或root用户修改和删除，其他用户不能删除或修改。例3：设置没有sbit位的目录/home/helen/sticktest具有SBIT位，且所有用户对该目录具有写权限。[root@localhosthelen]#ls-ldsticktestdrwxr-xr-x.2rootroot40968月1909：58sticktest[root@localhosthelen]#chmod1777sticktest中国水利水电出版社3.2.4访问控制列表1.ACL定义ACL是由一系列的AccessEntry所组成的。它有以下几个类型：（1）ACL_USER_OBJ：文件（夹）所有者的权限。（2）ACL_USER：定义了额外的用户可以对此文件或文件夹的权限。（3）ACL_GROUP_OBJ：文件（夹）所属组的权限。（4）ACL_GROUP：定义了额外的组可以对此文件或文件夹拥有的权限。（5）ACL_MASK：定义了ACL_USER，ACL_GROUP_OBJ和ACL_GROUP的最大权限。（6）ACL_OTHER：其它用户的权限。中国水利水电出版社2.ACL命令（1）getfacl命令格式：getfacl[选项][文件]功能：取得文件或目录的ACL设置信息。例：查看/home/xiaohua目录的ACL权限。[root@localhosthelen]#getfacl/home/xiaohuagetfacl：Removingleading'/'fromabsolutepathnames#file：home/xiaohua//定义目录名#owner：xiaohua//定义所有者#group：xiaohua//定义所属组群user：：rwx//定义目录所有者的权限group：：---//定义目录属组的权限other：：---//定义其他用户对目录的权限中国水利水电出版社（2）setfacl命令格式：setfacl[参数][文件]功能：设置文件或目录的ACL设置信息。例：设置helen对/home/xiaohua目录具有rwx权限。[root@localhosthelen]#setfacl-mu：helen：rwx/home/xiaohua/中国水利水电出版社

任务3-2：基本权限及特殊权限的应用1.任务描述设系统中有两个用户账号，分别是wangkai与wangguan，这两个人除了在以自己名为群组名的私人群组中之外还共同加入了一个名为project的群组。请以传统权限和SGID的功能设置，使得这两个用户共同拥有/srv/programe/目录的开发权，且该目录不许其他人进入查阅。中国水利水电出版社2.操作步骤（1）首先添加这两个账号的相关信息，如下所示：[root@localhost~]#groupaddproject[root@localhost~]#useradd–Gprojectwangkai[root@localhost~]#useradd–Gprojectwangguan[root@localhost~]#idwangkaiuid=501(wangkai)gid=502(wangkai)groups=502(wangkai)，501(project)[root@localhost~]#idwangguanuid=502(wangguan)gid=502(wangguan)groups=503(wangguan)，501(project)中国水利水电出版社（2）然后建立所需要开发的项目目录。[root@localhost~]#mkdir/srv/programe[root@localhost~]#ll–d/srv/programedrwxr-xr-x2rootroot4096june2823：22/srv/programe（3）设置该目录的群组应为project，权限应为770:[root@localhost~]#chgrpproject/srv/programe[root@localhost~]#chmod770/srv/programe[root@localhost~]#ll–d/srv/programedrwxrwx---2rootproject4096june2823：25/srv/programe中国水利水电出版社（4）分别用wangkai、wangguan及其他用户jack建立文件进行测试。[root@localhost~]#suwangkai[wangkai@localhost~]#cd/srv/programe[wangkai@localhost~]#touchtest[wangkai@localhost~]#exit[root@localhost~]#suwangguan[wangguan@localhost~]#cd/srv/programe[wangguan@localhostprograme]$touchtest2[wangguan@localhostprograme]$su