05.用户及用户组管理

Linux操作系统与云计算

（基于华为openEuler）第5章用户及用户组管理程和侠程和生编著学习内容回顾-4.1案例引入-4.2目录查看操作-4.3文件系统层次结构标准-4.4空目录创建与删除-4.5文件操作-4.6复制、删除、移动、重命名-4.7硬链接和符号链接-4.8归档（压缩与解压缩）-4.9小结5.1案例引入案例5.1：权力就是责任。思政教学目标：在Linux系统中，用户和用户组是一组权限的集合，用户严格在自己的权限范围内操作，权力越大，责任越大。Linux系统管理员通常具有最高的权限，可以对系统进行任何操作。这包括但不限于安装、删除软件，修改系统设置，管理用户账户等。然而，这种强大的权力也意味着巨大的责任。如果系统管理员不小心删除了一个重要的系统文件，可能会导致整个系统崩溃。本章主要内容-5.1案例引入-5.2用户与用户组的概念-5.3用户管理-5.4用户组管理-5.5文件权限管理-5.6提升权限-5.7用户聊天工具*-5.8小结5.2用户与用户组的概念(1)用户分类超级用户即root用户，是系统管理员账号，root用户具有操作系统的一切权利。所以限制权限运行是计算机系统的一个基本知识，非执行管理任务时不建议使用root账户登录系统。普通用户一般只在用户自己的主目录中拥有完全权限。程序用户又称系统账户，用于维持系统或某个程序的正常运行。例如:bin、daemon、ftp、mail等用户就是系统账户。(2)uid和gid每个用户或用户组系统都会分配一个uid或gid，用于系统识别。root用户的uid固定值为0、root组账号的gid固定值为0；1~999的uid/gid默认保留给程序用户使用，“useradd-r”选项时分配；普通用户/用户组的uid/gid号在1000～60000之间。(3)私有组和标准组私有组中只包含同名用户，不能加入其他用户。标准组可以加入多个用户。例如：root组是私有组；wheel与sudo组是标准组，表示次级管理员组。(4)默认用户组和附加组一个用户可以属于多个组；其所属的第一个组称为默认用户组，即gid所对应的组名；其他的组称为附加组，即groups对应的组列表。用户隶属于某个组就具备该组的权限，用户组权限的效力等同用户权限的效力，所以要学会习惯将用户组看成一类特殊的用户。本章主要内容-5.1案例引入-5.2用户与用户组的概念-5.3用户管理-5.4用户组管理-5.5文件权限管理-5.6提升权限-5.7用户聊天工具*-5.8小结5.3用户管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.1useradduseradd命令添加一个用户账号，然后为新账号分配用户号、用户组、主目录和登录Shell等资源。[例5.1]创建用户。有些程序需要一定的权限运行，创建系统账户可以让运行程序具备特定权限。通过指定登录Shell为/sbin/nologin，可以限制用户登录。在Linux系统中，除了要了解命令本身操作之外，还要掌握命令相关的配置文件，配置文件提供了更丰富的功能。用户账号管理相关的配置文件有:/etc/passwd:用户文件，记录用户账户信息。/etc/shadow:用户影子文件，记录用户补充信息，需要超级权限才能访问。/etc/default/useradd:创建用户时的默认配置信息。/etc/passwd文件是Linux系统中的一个重要文件，它存储着系统中所有用户的信息。在/etc/passwd文件中，每行代表一个用户，每个用户的信息由多个字段组成，这些字段用冒号“:”分隔。每个字段的含义如下：(1)用户名：用户的登录名。(2)密码：用户的密码，但在现代的Linux系统中，实际的密码通常存储在/etc/shadow文件中，这个字段通常设置为“x”或其它的占位符。(3)用户uid：这是用户的唯一ID，用于识别用户。(4)gid：这是用户所属组的ID。(5)用户全名或描述信息。(6)用户主目录：用户登录后默认的工作目录。(7)登录Shell：用户登录后默认使用的Shell程序。/etc/shadow文件是Linux系统中的一个重要文件，它存储着系统中所有用户的密码信息。这个文件是只有root用户才有权限读取或修改。在/etc/shadow文件中，每行代表一个用户，每个用户的信息由多个字段组成，这些字段用冒号“:”分隔。每个字段的含义如下：(1)用户名：用户的登录名。(2)密码的加密形式：密码是由一个“$”符号开始，后面跟着一个标识符和盐值（salt）。(3)上次密码更改的天数：从上次密码更改到现在经过的天数。(4)密码更改后最小天数：用户必须等待的最小天数，才能更改其密码。(5)密码更改后最大天数：用户必须等待的最大天数，才能更改其密码。(6)密码过期前警告天数：在密码过期前多少天开始发出警告。(7)密码过期后宽限天数：在密码过期后多少天内，用户仍可以登录系统。(8)账号失效天数：从账号创建到现在经过的天数，之后该账号将被禁用。(9)保留：保留字段，目前未使用。/etc/default/useradd文件是Linux系统中的一个配置文件，它存储着关于用户添加命令的默认设置。5.3用户管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.2passwdpasswd命令修改用户口令。用户口令的管理是用户管理的一项重要内容。用户账号刚创建时没有口令，被系统锁定无法使用，必须为其指定口令后才能使用。[例5.2]修改用户密码。5.3用户管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.3usermodusermod修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。[例5.3]“-G”选项设定用户附加组列表，未出现在列表中的组会直接被移除。直接使用“-G”选项会造成莫名的组被移除，一般建议使用“-a-G”表明直接加入某个指定组，不会移除其它组。Shell运行环境Shell脚本的执行需要一个能解释执行的脚本解释器，即Shell运行环境。临时切换Shell，可以输入Shell名，打开一个看不见的窗口，该窗口的运行环境即为对应的Shell。可以使用“-s”永久修改登录Shell。/sbin/nologin不是真实Shell，只是限制用户登录，在禁止用户登录时，可以将该用户Shell设置为/sbin/nologin。5.3用户管理5.3.1useradd5.3.2passwd5.3.3usermod5.3.4userdel5.3.4userdel[例5.4]userdel删除用户zs001。注意：请不要轻易使用“-r”选项；它会删除用户的同时删除用户所有相关的文件和目录。如果用户目录下有重要的文件，在删除前请备份。本章主要内容-5.1案例引入-5.2用户与用户组的概念-5.3用户管理-5.4用户组管理-5.5文件权限管理-5.6提升权限-5.7用户聊天工具*-5.8小结5.4用户组管理用户组就是具有相同特征用户的集合体。我们把用户都定义到同一用户组，通过修改文件或目录的权限，让用户组具有一定的操作权限，这样用户组下的用户对该文件或目录都具有相同的权限。5.4用户组管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.1groupaddgroupadd命令用于创建一个新的用户组。[例5.5]向系统中增加一个新组“group1”，新组的gid是在当前已有的最大gid的基础上加1。5.4.2gpasswd用户组的管理也是通过配置文件的更新来完成的。相关配置文件包括：/etc/group:用户组信息/etc/gshadow:用户组补充信息gpasswd命令是Linux下组文件/etc/group和/etc/gshadow的管理工具。[例5.6]“-A”选项设定管理员列表，管理员有权限向组添加或删除成员，不再需要系统管理员或sudo命令提权。“-a”选项添加用户到组。“jsj”已经是“group1”组的管理员，可以直接执行下面的命令:“-d”选项从组中删除用户。5.4用户组管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.3groupmodgroupmod命令更改组gid或名称。-g<用户组gid>：设置使用的用户组gid；-o：重复使用用户组gid；-n<新用户组名称>：设置欲使用的用户组名称。5.4.4groupdelgroupdel命令用于删除指定的用户组。[例5.7]删除用户组“group1”。5.4用户组管理5.4.1groupadd5.4.2gpasswd5.4.3groupmod5.4.4groupdel5.4.5newgrp5.4.5newgrp有效用户组是指用户创建文件时，新文件默认隶属于的那个用户组。本章主要内容-5.1案例引入-5.2用户与用户组的概念-5.3用户管理-5.4用户组管理-5.5文件权限管理-5.6提升权限-5.7用户聊天工具*-5.8小结案例引入案例5.2：权限的合理划分。思政教学目标：在一个大型软件开发公司中，IT部门需要管理大量的开发人员。每个开发人员都需要访问特定的代码库和工具来完成他们的工作。然而，由于不同的开发人员负责不同的项目，他们对资源的需求也各不相同。为了解决这个问题，IT部门决定使用Linux用户及用户组管理功能来进行权限的合理划分。在Linux系统中，我们可以创建多个用户组，并将不同的用户分配到不同的用户组中。每个用户组都有自己的权限。5.5文件权限管理5.5.1查看权限5.5.2chmod5.5.3chown5.5.4umask5.5.1查看权限每行前10个字母代表的含义就是文件的权限。第一个字符代表文件（-）、目录（d）、链接（l）；其余字符每3个一组（rwx），读（r）、写（w）、执行（x）。表5.1Linux文件权限表权限项读写执行读写执行读写执行字符表示rwxrwxrwx数字表示421421421权限分配u:所有者

g:所属组

o:其他用户

其中:u-user；g-group；o-other；a-all。0-无权限；1-执行权限；2-写权限；4-读权限。目录的x权限与能否进入该目录有关，没有x权限的目录不可访问。5.5文件权限管理5.5.1查看权限5.5.2chmod5.5.3chown5.5.4umask5.5.2chmodchmod(changefilemode)变更文件或目录的权限。[例5.8]5.5文件权限管理5.5.1查看权限5.5.2chmod5.5.3chown5.5.4umask5.5.3chown同Windows系统不同，Linux系统如果要共享文件，不仅要分享文件，还要共享权限。修改所属者/所属组可以将文件权限共享给指定用户。chown命令可以改变某个文件或目录的所有者和所属组，该命令可以向某个用户授权，使该用户变成指定文件的所有者；也可以改变文件所属组实现文件共享。[例5.9]将目录/home/jsj及其下面的所有文件、子目录的文件所有者改成“jsj”。5.5文件权限管理5.5.1查看权限5.5.2chmod5.5.3chown5.5.4umask5.5.4umask文件初创建时带有默认权限，umask是文件权限掩码，可以通过掩码修改创建新文件的默认权限。“0022”表示“g-2,o-2,a-1”，即文件所属组和其他用户默认移除写权限。本章主要内容-5.1案例引入-5.2用户与用户组的概念-5.3用户管理-5.4用户组管理-5.5文件权限管理-5.6提升权限-5.7用户聊天工具*-5.8小结5.6提升权限Linux系统为我们提供了su、sudo两种用户权限提升机制，其中su主要是用来切换用户身份提权，而sudo用来提升一次执行权限。5.6提升权限5.6.1su5.6.2sudo5.6.1su使用su（switchuser）命令，可以切换为指定的另一个用户，从而具有该用户的所有权限。[例5.10]当普通用户切换root身份时，需要输入root的密码。选项“su-”，表示切换用户时，并切换工作环境。注意：默认情况下，任何用户都被允许使用su命令切换身份，从而有机会反复尝试其他用户的登录密码，带来安全隐患。为了加强su命令的安全控制，可以借助于pam_wheel认证模块，只允许特定用户使用su命令。5.6提升权限5.6.1su5.6.2sudo5.6.2sudo使用sudo命令提升权限时，不需要使用管理员密码验证，只需要使用用户自己的密码验证即可。可以说，sudo是对su命令的一个非常重要的补充和替代。sudo权限范围经历了三代调整，变化不大，但是需要了解和掌握。第一代sudo权限设定所有命令都可以使用sudo提升权限。第二代sudo权