Linux基础与服务管理课件 第9讲 账户与权限管理-用户和组管理

项目三：账户与权限管理任务1：用户和组管理CONTENT目录课堂引入任务分析与实施—用户和组的管理合作探究：用户和组的操作命令使用010203总结与拓展05教学内容技能拓展04教学重点与难点

教学重点（1）用户和组的操作命令（2）口令管理命令>教学难点（1）掌握用户和组之间的相关命令（2）相关配置文件课堂导入01课堂活动：

1.windows下有几种用户类型？Linux下有几种？

2.什么是用户组？用户和组管理：>主要介绍在Linux系统中，用户和组的定义，以及不同用户能实现的一些操作和权限。同时了解一些基本的操作命令，和一些相关的配置文件。用户账号和组账号：1、用户账号：在Linux系统中，根据系统管理的需要将用户账号分为不同的类型，其拥有的权限、担任的角色也各不相同，主要包括超级用户、普通用户和程序用户。2、组账号：（1）基本组（私有组）：这个组称为该用户的基本组（或私有组）

（2）附加组（公共组）：每一个用户账号至少属于一个组，若该用户同时还包含在其他的组中，则这些组称为该用户的附加组（或公共组）。超级用户:root用户是Linux系统中默认的超级用户账号，对本主机拥有最高的权限，类似于Windows系统中的Administrator用户。只有当进行系统管理、维护任务时，才建议使用root用户登录系统，日常事务处理建议只使用普通用户账号。普通用户：普通用户账号需要由root用户或其他管理员用户创建，拥有的权限受到一定限制，一般只在用户自己的宿主目录中拥有完整权限。系统用户：在安装Linux系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp、mail等。UID号（UID的范围是16bits二进制数字：2^16=0-65535）Linux系统中的每一个用户账号都有一个数字形式的身份标记，称为UID（userIDentity用户标识号），对于系统核心来说，UID作为区分用户的基本依据，原则上每个用户的UID号应该是唯一的。root用户账号的UID号为固定值0，而程序用户账号的UID号默认为1~999，1000~60000的UID号默认分配给普通用户使用。和一些相关的配置文件。Centos7UID范围：0~65535Root用户的UID为0，表示管理员系统用户：UID1~999普通用户：UID1000~60000其他用户：1~65535管理员：0

其他用户：1-65535

系统用户：1-499(Centos6),1-999(Centos7)

普通用户：500-60000(Centos6),1000-60000(Centos7)任务分析与实施用户和组的管理的相关知识02创建用户（useradd：通式：useradd[选项]…用户名）

-b 新账户的主目录的基目录

-c 新账户的GECOS字段

-d 修改新用户的主目录（当与-M一起使用时，不生效）

-D 显示或更改默认的useradd配置

-e 指定用户的过期时间，可使用YYYY-MM-DD的日期格式。

-f 新账户的密码不活动期

-g 修改用户的基本组名-G 新账户的附加组列表

-h 显示此帮助信息并推出

-k 使用此目录作为骨架目录-K 不使用/etc/login.defs中的默认值-l 不要将此用户添加到最近登录和登录失败数据库

-m 创建用户的主目录

-M 不创建用户的主目录

-N 不创建同名的组

-o 允许使用重复的UID创建用户

-p 加密后的新账户密码

-r 创建一个系统账户

-R chroot到的目录

-s 新账户的登录shell-u 新账户的用户UID,要求该UID号码未被其他用户使用。-U 创建与用户同名的组

-Z 为SELinux用户映射使用指定SEUSER创建用户（useradd：通式：useradd[选项]…用户名）

例：如图我们执行“useradd-d+指定目录+用户名”命令添加用户A到opt目录下，并执行“-s+/sbin/nologin”命令指定该用户不能用Shell登录。创建组（groupadd：通式：groupadd[选项]…组名）

-f 如果组已经存在则成功退出 -g 为新组使用GID，并且如果GID已经存在则取消-g-h 显示此帮助信息并推出

-K 不使用/etc/login.defs中的默认值

-o 允许创建有重复GID的组

-p 为新组使用此加密过的密码

-r 创建一个系统账户

-R chroot到的目录例：添加一个标识号为1009的B组查询账号信息（1）查询用户所属的组（2）查询用户身份标识（3）查询用户账号的详细信息例：查询A用户身份标识Uid是用户id，为1002说明是一个普通用户；gid是组id，同uid的判断方式相同，1002是普通组相关配置文件

（1）/etc/passwd用于保存用户名称、宿主目录、登录Shell等基本信息。passwd文件中的配置行格式如下。例：查看A用户的信息相关配置文件

（2）/etc/shadow用于保存用户的密码、账号有效期等信息。shadow文件中的配置各字段含义如下。例：查看/etc/shadow文件中A的相关信息第1字段：用户账号名称。

第2字段：使用SHA-512（哈希算法中的一种）加密的密码字串信息，当为“”或“!!”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统。

第3字段：上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数。

第4字段：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制。

第5字段：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制。

第6字段：提前多少天警告用户密码将过期，默认值为7。

第7字段：在密码过期之后多少天内禁用此用户。

第8字段：账号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算），默认值为空，表示账号永久可用。

第9字段：保留字段，目前没有特定用途。相关配置文件

（3）/etc/group用于保存组账号的基本信息。第一个字段：组名第二个字段：用户组的口令，用占位符x表示，一般linux用户组都没有口令第三个字段：组标识号（gid）第四个字段：用户列表，注意，这里列出的是以该组为附加组的用户列表，以此组为主组的用户并没有被列出（4）/etc/gshadow文件包含组密码的加密信息，与/etc/shadow文件类似，只能被root用户访问第一个字段：用户组的名称，由字母和数字构成第二个字段：用户组密码，这个字段可以是空或“！”，如果是空的或“！”，表示没有密码第三个字段：组管理者，这个字段也可以为空，如果有多个用户组管理者，用逗号分隔第四个字段：组内用户列表，如果有多个成员，用逗号分隔合作探究用户和组的操作命令的使用03修改用户和组的属性（usermod/groupmod[选项]…用户名）-c GECOS字段的新值

-d 用户的新主目录

-e 设定帐户过期的日期为EXPIRE_DATE-f 过期INACTIVE天数后，设定密码为失效状态

-g 强制使用GROUP为新主组

-G 新的附加组列表GROUPS-a 将用户追加至上边-G中提到的附加组中，

并不从其它组中删除此用户

-h 显示此帮助信息并推出

-l 新的登录名称

-L 锁定用户帐号

-m 将家目录内容移至新位置(仅于-d一起使用)-o 允许使用重复的(非唯一的)UID-p 将加密过的密码(PASSWORD)设为新密码

-R chroot到的目录

-s 该用户帐号的新登录shell-u 用户帐号的新UID-U 解锁用户帐号

-Z 用户账户的新SELinux用户映射-g 将组ID改为GID-h 显示此帮助信息并推出

-n 改名为NEW_GROUP-o 允许使用重复的GID-p 将密码更改为(加密过的)PASSWORD-R chroot到的目录例：修改A用户的组为B例：更改B的组标识，并更改密码删除用户和组（userdel/groupdel…用户名）

-r 删除主目录和邮件池

-R chroot到的目录

-Z 为用户删除所有的SELinux用户映射例：删除用户A*注：不能使用groupdel命令随意删除组。此命令仅适用于删除那些"不是任何用户初始组（主组）"的组，换句话说，如果有组还是某用户的初始组（主组），则无法使用groupdel命令成功删除。添加删除组成员（gpasswd[选项]…组账号名）-a 向组GROUP中添加用户USER-d 从组GROUP中添加或删除用户

-h 显示此帮助信息并推出

-Q 要chroot进的目录-R 向其成员限制访问组GROUP-M 设置组GROUP的成员列表

-A 设置组的管理员列表除非使用-A或-M选项，不能结合使用这些选项。例：将A用户添加到B组用户账号的初始配置文件

(1)“~/.bashrc_profile”文件中的命令将在该用户每次登录时被执行。

(2)“~/.bashrc”文件中的命令会在每次加载“/bin/Bash”程序时（当然也包括登录系统）执行。

(3)“~/.bash_logout”文件中的命令将在用户每次退出登录时执行。理解这些文件的作用，可以方便我们安排一些自动运行的后台管理任务。

如图我们执行“cd/opt/用户名|ls-a”命令去查看一下个用户账号的配置文件。为用户设置密码（passwd[选项]…用户名）

-k 保持身份验证令牌不过期

-d 删除已命名帐号的密码(只有根用户才能进行此操作)-l 锁定指名帐户的密码(仅限root用户)-u 解锁指名账户的密码(仅限root用户)-e 终止指名帐户的密码(仅限root用户)-f 强制执行操作

-x 密码的最长有效时限(只有根用户才能进行此操作)-n 密码的最短有效时限(只有根用户才能进行此操作)-w 在密码过期前多少天开始提醒用户(只有根用户才能进行此操作)例：为A用户设置登录密码更改用户密码过期信息（chage[选项]…用户名）

-d 后面接日期，修改shadow第三字段(最近一次更改密码的日期)，格式YYYY-MM-DD

-E 后面接日期，修改shadow第八字段(账号失效日)，格式YYYY-MM-DD-I(i大写)后面接天数，修改shadow第七字段(密码失效日期)

-l(L小写)列出该账号的详细密码参数

-m 后面接天数，修改shadow第四字段(密码最短保留天数)

-M 后面接天数，修改shadow第五字段(密码多久需要进行变更)-W 后面接天数，修改shadow第六字段(密码过期前警告日期)例：给A用户设置密码过期警告技能拓展04任务实施1：#include<stdio.h>main(){intn,m,sign;printf("inputn:\n");scanf("%d",&n);m=2;sign=1;while(m<=n/2){if(n%m==0)sign=0;m++;}if(sign==1)printf("素数\n");elseprintf("不是素数\n");}使用for如何实现？创建组distro，其GID为2016。计算1！+2！+3！+...+10!穷举性：使用for语句完成

>第1步：找规律（i表示项数，s表示每项的值，sum表示前i项的和。）i=1;s=1;sum=1i=2;s=1*2;sum=1+1*2i=3;s=1*2*3sum=1+1*2+1*2*3第2步：找规律表达式：i++;s=s*i;sum=sum+s第3步：指定初始值：i=1;s=1;sum=0;第4步：找循环条件：i<=10第5步：确定循环的三要素，按照编程思路编程技能拓展1：

下面程序的功能是用do-while语句求1～1000之间满足“用3除余2；用5除余3；用7除余2”的数，且一行只打印5个数。#include<stdio.h>voidmain(){inti=1,j=0;do{if(

){printf("%4d",i);j=j+1;