麒麟操作系统应用活页式教程 课件 项目4 用户和用户组管理

项目4用户和用户组管理麒麟操作系统应用活页式教程学习目标Ø知识目标1．了解麒麟操作系统的用户管理体系2．掌握麒麟操作系统中添加用户的命令3．掌握麒麟操作系统中修改和删除用户的命令4．掌握麒麟操作系统中添加和删除用户组的命令Ø

能力目标1．能够使用命令添加、删除、修改、查看用户2．能够对用户进行有效管理3．能够使用命令添加、删除、修改用户组4．能够对用户组进行有效管理

Ø素养目标1．培养团队合作精神2．树立创新意识3．提高信息安全意识任务1.用户和用户管理contents目录任务2.用户组和用户组管理任务1用户和用户管理任务1麒麟操作系统的安装添加用户删除用户查看与用户相关的系统文件任务流程解锁用户修改用户登录名步骤1：添加用户Jim和Andy。任务1用户和用户管理知识链接：1．认识用户每个用户账户都拥有唯一的用户名和密码。用户在登录时输入正确的用户名和密码后，就能够进入系统和自己的主目录了。麒麟操作系统是一个多用户的操作系统，支持多个用户同时登录系统，并能响应每个用户的需求，可以更加方便地管理麒麟操作系统服务器。任何一个要使用系统资源的用户，都必须先向系统管理员申请一个账户，再以这个账户身份进入系统。用户账户可以帮助系统管理员跟踪使用系统的用户，并控制他们对系统资源的访问；还可以帮助用户组织文件，并为用户提供安全性保护。步骤1：添加用户Jim和Andy。知识链接：1．认识用户

用户账户有多种类型，有可以直接登录的用户账户，也有系统的管理账户，它们代表着登录和使用系统的身份，这些都和用户的属性和权限有关。在我们登录系统时，需要输入用户名和密码。实际上系统并不会直接读取用户名，而是读取用户名对应的UID。每个用户都有其对应的UID（UserIdentity，用户标识号），不可随意更改，默认UID长度为32位，默认UID编号从0开始，通常UID编号限制在60000以下。任务1用户和用户管理步骤1：添加用户Jim和Andy。知识链接：1．认识用户

麒麟操作系统中的用户可以分为以下3类。

超级用户：系统管理员，又被称为root用户，类似于Windows操作系统中的administrator用户，可以完成对系统的所有管理功能。root用户具有对系统的最高的管理权限，其UID为0。

系统用户：在安装麒麟操作系统及部分应用程序时，会添加一些特定的低权限用户账户，一般不允

许这些用户登录系统，它们仅用于维持系统或某个应用程序的正常运行。例如，bin、daemon、ftp、mail等伪用户一般不会用于登录系统，它主要用于维持某个服务的正常运行，其UID一般在1～999。普通用户：普通用户账户是由root用户或其他管理员用户创建的，该用户具有的权限受到一定限制，一般只在用户自己的宿主目录中具有完整权限，其UID在1000以上。任务1用户和用户管理步骤1：添加用户Jim和Andy。知识链接：

2．添加用户

添加用户就是在系统中创建一个新账户，使用的命令是useradd。useradd命令的格式如下。useradd[选项]用户名

常用选项如下。-c：即comment，指定一段注释性描述，用于描述新用户账户，通常为用户全名。-d：目录，设置用户主目录，目录名默认为用户的登录名，放在/home目录下。-g：用户组，指定用户所属的用户组，该组在指定前必须存在。-G：用户组。指定用户所属的附属组。-m：当指定用户的主目录不存在时，创建主目录。-M：不创建主目录。-s：Shell文件，设定用户的登录Shell。-u：用户号，指定用户的UID，要求该UID未被其他用户使用，即唯一。任务1用户和用户管理经验分享：用户家目录。当成功创建用户后，系统会自动创建和用户名同名的家目录，或者通过命令“useradd-d指定目录新的用户名”给新创建的用户指定家目录。不论是超级用户还是普通用户，登录系统后，会有一个初始登录位置，这个初始登录位置就被称为用户的家目录。一般而言，超级用户root的家目录是/root，普通用户的家目录是/home/用户名。例如，用户Jim的家目录是/home/Jim。

任务1用户和用户管理任务1用户和用户管理知识链接：

用户密码管理。用户管理的一项重要内容是用户密码管理。在用户账户刚被创建时，必须为其指定密码后才可以使用。用户密码管理使用的命令是passwd，超级用户root可以为自己和其他用户指定密码，普通用户只能修改自己的密码。passwd命令的格式如下。passwd[选项]用户名常用选项如下。-1：锁定密码，即禁用账户。-u：密码解锁。-d：关闭使用者的密码认证功能，使用者在登录时可以不用输入密码，只有具备root权限的使用者方可使用。-f：强制用户在下次登录时修改密码。-s：显示指定使用者的密码认证种类，只有具备root权限的使用者方可使用。-n：设置修改密码的最短天数。-x：设置修改密码的最长天数。-w：设置用户在密码过期前多少天收到警告信息。任务1用户和用户管理经验分享：普通用户修改密码。当普通用户修改自己的密码时，passwd命令会先询问原密码，验证后再要求用户输入两遍新密码，在输入密码时，密码不会显示在屏幕上，如果两次输入的密码一致，则将这个密码指定给用户。而当超级用户为用户指定密码时，就不需要知道原密码了。

职业素养提升：这样设置密码才安全。计算机安全的第一道防线就是账户和密码，大部分计算机系统和网络服务都毫不例外地利用密码来保护自身的安全。但仍有用户因个人密码被泄露而造成损失，主要原因是所设密码的安全性太低，同时用户缺少网络安全保护意识及自我保护意识。那么怎样设置密码才安全呢？1．避免弱口令（1）不要使用登录名的一部分；（2）不要使用“密码”（password）作为密码；（3）不要使用自己的名字或家庭成员的名字；（4）不要使用字母或数字的重复序列；（5）不要使用键盘上相邻的键，如qwerty；（6）不要使用可轻易获得的且与个人相关的信息，如电话、地址等。2．设置强口令（1）至少包含8个字符；（2）至少包含大写字母和小写字母；（3）至少包含一个数字；（4）至少包含一个特殊字符；（5）不同系统设置不同的用户名和密码；（6）利用歇后语等技巧设置和记忆密码。任务1用户和用户管理步骤2：删除用户Tom。任务1用户和用户管理知识链接：

删除用户。当一个用户账户不再被使用时，可以将其从系统中删除。删除用户账户使用的命令是userdel。userdel命令的格式如下。userdel[选项]用户名常用选项如下。-f：强制删除用户，即使用户当前已登录。-r：删除用户的同时，删除与用户相关的所有文件。如果用户目录下有重要的文件，则请在删除前备份。任务1用户和用户管理步骤3：查看与用户相关的系统文件。知识链接：

/etc/passwd文件。/etc/passwd文件是用户管理过程中涉及的最重要的一个文件。麒麟操作系统中的每个用户都在/etc/passwd文件中有一个对应的记录行，它记录了用户的一些基本属性。这个文件对所有用户都是可读的。图4-7/etc/passwd文件部分内容任务1用户和用户管理

在/etc/passwd文件中，一行记录对应着一个用户，每行记录又被冒号（:）分隔为7个字段，其格式和具体含义如下。

用户名:密码:用户标识号:组标识号:注释性描述:主目录:登录Shell

用户名是表示用户账户的字符串。通常长度不超过8个字符，并且由大小写字母和“/”或数字组成。需要注意的是，用户名中不能包含冒号（:）。

密码。在etc/passwd文件的密码字段中只存放一个特殊的字符“x”。由于/etc/passwd文件对所有用户都可读，因此即使这个字段存放的只是用户密码的加密串，不是明文，也仍是一个安全隐患。在麒麟操作系统中，真正被加密的用户密码字段存放在/etc/shadow文件中。

用户标识号UID是一个整数，系统内部用它来标识用户。

组标识号GID。该字段记录的是用户所属的用户组，它对应/etc/group文件中的一行记录。

注释性描述。该字段记录着用户的一些个人情况，存放的是一段任意的注释性描述文字，作为finger命令的输出。

主目录，即用户的起始工作目录，是用户在登录系统后所处的目录。

登录Shell。用户在登录系统后，需要启动一个进程，而该进程负责将用户的操作传给内核，它是用户登录系统后运行的命令解释器或某个特定的程序，即Shell。任务1用户和用户管理知识链接：

/etc/shadow文件。/etc/shadow文件中的记录行与/etc/passwd文件中的记录行一一对应，它的文件格式也与/etc/passwd文件格式类似，由若干字段组成，字段之间使用（:）分隔。其格式和具体含义如下。用户名:加密密码:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留字段

用户名，与/etc/passwd文件中的用户账户名一致。

加密密码，存放的是加密后的用户密码。

最后一次修改时间，表示从某个时刻起，到用户最后一次修改密码时的天数。

最小时间间隔，表示两次修改密码之间所需的最少天数。

最大时间间隔，表示密码保持有效的最多天数。

警告时间，表示从系统开始警告用户到用户密码正式失效之间的天数。

不活动时间，表示用户没有登录活动，但账户仍能保持有效的最多天数。

失效时间，给出的是一个绝对的天数，如果使用了这个字段，就给出相应账户的生存期。期满后，该账户就不再是一个合法的账户，也就不能再用来登录了。

保留字段，暂未开始使用。职业素养提升：为什么设置“shadow（影子）文件”？我们知道/etc/passwd文件是全局可读的，加密的算法是公开的，所以一旦恶意用户取得了/etc/passwd文件，便极有可能破解密码。在计算机性能日益提高的今天，对账户文件进行字典攻击的成功率越来越高，速度也越来越快。因此，针对这种安全隐患，可以采用“shadow（影子）文件”机制，将加密的密码转移到/etc/shadow文件里。/etc/shadow文件只有root用户可读，对应/etc/passwd文件的密码字段会显示为一个“x”，从而最大限度地降低了密文泄露的风险。任务1用户和用户管理任务1用户和用户管理步骤4：解锁用户。知识链接：

usermod命令。usermod命令用于修改用户信息，如用户账户、主目录、用户组、登录Shell等。usermod命令的格式如下。usermod[选项]用户名常用选项如下。-a：添加用户到附属组中。-c：备注，修改用户账户的备注文字，对应/etc/passwd文件中第5列用户信息的注释性描述部分。-d：登录时的目录，修改用户登录时的目录，对应/etc/passwd文件中第6列用户的home目录部分。-e：有效期限，修改用户的有效期限，后面的日期参数格式为MM/DD/YY或YYYY-MM-DD。对应/etc/shadow文件中第8列账户的失效时间部分。-f：缓冲天数，修改在密码失效后多少天关闭该账户，当后面的值为0时，账户立即失效；当为-1时，关闭此功能，默认值为-1。对应/etc/shadow文件中第7列密码失效后能够宽限的天数部分。任务1用户和用户管理-g：用户组，修改用户所属的用户组。用户组必须是现有组中的一个，改变用户的初始化用户组id，对应/etc/passwd文件中第4列的部分。-G<用户组>：修改用户所属的附属组。用户组必须是现有组中存在的组，对应/etc/group文件。-l<账户名称>：修改用户账户名称，对应/etc/passwd文件中第1列的部分。-L：暂将用户的密码锁定，禁止其登录，即更改/etc/shadow的密码栏，在密码栏前面加上“!”。-s<Shell>：修改用户登录后使用的Shell。-u<uid>：修改用户的UID，该UID不能与系统中已经存在的UID相同，对应/etc/passwd文件中第3列的部分。-U：暂时将用户的密码解锁，即去掉其/etc/shadow密码栏前面的“!”。任务1用户和用户管理步骤5：将Jim用户的登录名修改为Jim_admin。usermod-lJim_adminJim步骤6：查看用户Jim_admin的UID。知识链接：

id命令。查看不同用户的UID来区分用户的类别是超级用户、系统用户还是普通用户。查看用户UID的命令是id。id命令的格式如下。id[选项]用户名常用选项如下。-u：user，只输出有效UID。任务1用户和用户管理经验分享：对于普通用户来说，可以使用文本编辑器打开

/etc/passwd

文件来获取系统上所有用户的UID。每行记录都包含相应用户的有关信息，包括UID等。需要注意的是，当以root用户身份进行操作时，要小心修改该文件。步骤7：查看当前登录用户。知识链接：

w命令。使用w命令可以显示当前系统上登录用户的详细信息，包括用户名、终端、登录时间、运行时间、当前操作，以及所登录的远程主机信息等。w命令的格式如下。w[选项]常用选项如下。-f：开启或关闭显示用户从何处登录系统。-h：不显示各栏位的标题信息列。-l：使用详细格式列表，此为预设值。-s：使用简洁格式列表，不显示用户登录时间，以及终端机阶段作业和程序所耗费的CPU时间。-u：忽略执行程序的名称，以及该程序耗费CPU时间的信息。-V：显示版本信息。1．使用w命令显示当前登录的用户任务1用户和用户管理2．使用who命令显示所有已登录的用户知识链接：

who命令。使用who可以命令显示目前已登录的用户信息，包括用户名、终端、登录时间，以及从何处登录。所有用户都有权限使用who命令。who命令的格式如下。who[选项]常用选项如下。-a：完整显示。-H：显示各栏位的标题信息列。-m：相当于“WhoamI”。-q：显示登录系统的用户名和总人数。任务1用户和用户管理3．使用last命令显示目前与过去登录系统的用户相关信息任务1用户和用户管理知识链接：

last命令。last命令是一个非常有用的命令行实用程序，用于显示近期用户或终端的登录情况，管理员可以获知谁曾经或者企图连接系统。当需要跟踪用户活动或调查可能的安全漏洞时，此命令非常有用。last命令的格式如下。last[选项][参数]常用选项如下。任务1用户和用户管理-a：把从何处登录系统的主机名称或IP地址显示在最后一行。-d：将IP地址转换成主机名称显示。-f<记录文件>：指定记录文件。-n<显示列数>或-<显示列数>：设置列出名单的显示列数。-R：省略主机名hostname的列。-x：显示系统关机、重新开机，以及执行等级的改变等信息。-i：显示指定IP地址登录的情况。-t：显示指定时间之前的信息。-F（-fulltime）：显示完整的登录时间和日期。经验分享：使用last命令的注意事项。last命令需要管理员或特权用户才能查看所有用户的登录历史记录。任务1用户和用户管理任务2用户组和用户组管理步骤1：添加用户组plan。知识链接：1．认识用户组麒麟操作系统中的用户组就是具有相同特性的用户集合。将用户分组是操作系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，在很大程度上简化了运维管理工作。当需要让多个用户具有相同的权限时，如查看、修改某个文件或目录，如果使用用户组，则这种需求在授权时就很容易实现，只需要把授权的用户都加入同一个用户组，并通过修改该文件或目录的对应用户组权限，让用户组具有符合需求的操作权限，这样用户组下的所有用户对该文件或目录就会具有相同的权限。用户和用户组的对应关系有一对一、一对多、多对一和多对多4种。一对一：一个用户可以存在于一个组中，也可以是组中的唯一成员，如root。一对多：一个用户可以存在于多个组中，这个用户就具有这些组的权限。多对一：多个用户可以存在于一个组中，这些用户就具有和组相同的权限。多对多：多个用户可以存在于多个组中。并且几个用户可以归属相同的组。多对多的关系是前面3种关系的扩展。任务2用户组和用户组管理

用户组分为主组和附属组。一个用户有且只有一个主组，但是可以有多个附属组；一个组可以作为多个用户的主组，也可以作为多个用户的附属组。附属组使一个用户可以具有主组的权限，还可以具有其他所在附属组的权限。每个用户必定属于一个主组，在默认情况下属于与其同名的用户组。从用户权限的角度看，主组和附属组其实差别不大，用户也会具有其附属组的组相关权限。在麒麟操作系统中，每个用户必须有一个主组。当创建用户账户时，系统会自动创建一个同名组作为该用户的主组。用户必须属于一个且只有一个主组，但用户可以属于零个或者多个附属组。

每个用户的ID有2种，一个是用户标识号（UserID，简称UID），另一个就是组标识号（GroupID，简称GID）。任务2用户组和用户组管理2．添加用户组在root权限下，通过groupadd命令可以为系统添加用户组信息。groupadd命令的格式如下。groupadd[选项]用户组名常用选项如下。-g：指定新用户组的组标识号（GID）。-o：一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。任务2用户组和用户组管理

3．tail命令tail命令用于显示文件的末尾内容，在默认情况下显示文件的最后10行内容。它可以接受许多选项参数来满足特定需求。tail命令的格式如下。tail[选项]文件名常用选项如下。-f：循环读取。-q：不显示处理信息。-v：显示详细的处理信息。-c<数目>：显示的字节数。-n<行数>：显示文件尾的n行内容。任务2用户组和用户组管理4．与用户组相关的系统文件任务2用户组和用户组管理当root用户使用useradd命令新建普通用户后，除了在/etc/passwd和/etc/shadow两个文件中分别写入一条记录，还在另外两个配置文件/etc/group和/etc/gshadow中分别增加了记录。1）/etc/group文件用户组的增加、删除和修改等管理实际上就是对/etc/group文件的更新。/etc/group文件是用户组管理过程中涉及的一个文件记录。我们可以使用cat命令来查看对应的内容，/etc/group文件部分内容如图4-19所示。任务2用户组和用户组管理图4-19

/etc/group文件部分内容任务2用户组和用户组管理/etc/group文件中的每行记录都与/etc/passwd文件中的用户相对应，也就是说每新建一个用户，就会在/etc/group文件中增加一条记录，每条记录都包含4个字段，其格式和具体含义如下。组名:组密码:组标识号GID:组成员组名：组的名字。组密码：和/etc/passwd文件一样，这里的“x”为密码标志，真正加密之后的组密码保存在/etc/gshadow文件中。组标识号GID：组的唯一识别码，系统是通过GID来区别不同的用户组的。组成员：属于该组的成员列表。需要注意的是，如果该用户组是这个用户的初始组，则该用户不会被写入这个字段。也就是说，被写入这个字段的用户是这个用户组的附加用户。任务2用户组和用户组管理2）/etc/gshadow文件/etc/gshadow文件记录了组密码、组管理员等信息，只有root用户可以读取，我们可以使用cat命令来查看对应的内容，/etc/gshadow文件部分内容如图4-20所示。图4-20/etc/gshadow文件部分内容/etc/gshadow文件中的每条记录都与/etc/group文件中的用户组相对应，每条记录都包含4个字段，其格式和具体含义如下。组名:组密码:组管理员:组成员组名：组的名字。组密码：组的密码。通常不建议直接设置组密码，因此该字段常为空，当显示“!”时，表示该组没有组密码。组管理员：管理员可以对该组进行添加、删除账户等操作。组成员：属于该组的成员列表，多个成员之间用“,”分隔。任务2用户组和用户组管理步骤2：删除用户组market。知识链接：

删除用户组。如果想要删除一个已存在的用户组，则可以使用groupdel命令。groupde