linux-centos7-服务器命令课件教程第3章用户与用户组.ppt

1、,第3章用户与用户组,Linux系统管理与服务器配置 基于CentOS 7,目录,3.1项目一：用户账号与用户组的创建 3.1.1用户与用户组概念 3.1.2与用户管理相关的系统文件 3.1.3用户管理 3.1.4用户组管理 3.1.5知识扩展 3.2项目二：文件属性的读取和修改 3.2.1文件属性 3.2.2修改文件属性 本章小结,3.1项目一：用户账号与用户组的创建,服务器管理员通过公司各部门对服务器的使用需求分析得出：设计部目前有两个项目组分别称为Web组，系统开发组，都需要通过远程方式登录服务器，在服务器上完成各自项目部署和测试等工作。而公司其他部门暂时不需要直接访问服务器。 因此为了

2、方便项目组员工对服务器的访问，管理员需要为每个项目组创建若干账号，在创建过程中要考虑每个项目组账号的分组管理和账号命名的统一规范。,3.1项目一：用户账号与用户组的创建,3.1.1用户与用户组概念,Linux是一个多用户、多任务的服务器操作系统，多用户多任务指可以在系统上建立多个用户，而多个用户可以在同一时间内登录同一个系统执行各自不同的任务，而互不影响。 Linux用户是根据角色定义的，具体分为三种角色： 超级用户：拥有对系统的最高管理权限，默认是root用户。 普通用户：只能对自己目录下的文件进行访问和修改，具有登录系统的权限，例如上面提到的www用户、ftp用户等。 虚拟用户：也叫“伪”

3、用户，这类用户最大的特点是不能登录系统，它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。,3.1.1用户与用户组概念,用户和用户组的对应关系有：一对一、一对多、多对一和多对多。 Linux系统中每一个用户都至少属于一个用户组，管理员可以通过对用户组的管理来设置用户对系统的访问权限，从而在一定程度上保证了对系统访问的安全性。 在使用useradd命令创建用户的时候，系统除创建该用户外，默认情况下还会创建一个同名的用户组，作为该用户的用户组，同时还会在/home目录下创建同名的目录作为该用户的主目录。如果一个用户属于多个组，那么记录在/etc/passwd文件中的组称为该用户的主

4、组，其他的组称为附属组。 主要组（主组）：每个用户有且只有一个主要组。 附属组（补充组）：用户可以是零个或多个附属组成员。一般用于帮助确保用户具有对系统中文件 及其他资源的访问权限。,3.1.2与用户管理相关的系统文件,1用户信息配置文件/etc/passwd 在Linux系统中，用户信息被存放在系统的/etc/passwd文件中，系统的每一个合法用户对应于该文件中的一行记录。这行记录定义了该用户的属性。由于所有的用户对passwd文件均有读取的权限，因此密码信息并未保存在该文件中，而是保存在了/etc/shadow配置文件中。 在passwd配置文件中，每行均由7个字段构成，各个字段之间用“

5、：”分隔，每个字段都代表该用户某方面的信息。,3.1.2与用户管理相关的系统文件,3.1.2与用户管理相关的系统文件,在passwd配置文件中，从左到右各个字段的含义如下： 用户名：用户登录系统时使用的用户名。 口令：存放加密的口令，被/etc/shadow文件保护。 用户标识号(UID)：系统内部用它来标识用户，每个用户的UID都是唯一的。 用户组标识号(GID)：系统内部用它来标识用户所属的组，这里的GID是主组GID。 注释性描述：为了方便管理和记忆该用户而添加的信息。 用户主目录：也称家目录，用户登录系统后所进入的目录。 命令解释器：指示该用户使用的Shell，CentOS Linux

6、 7默认的是bash。如果指定Shell为/sbin/nologin，则代表用户无法登录系统。,3.1.2与用户管理相关的系统文件,2用户密码配置文件/etc/shadow 为了加强系统安全性，Linux操作系统提供了专门的密码管理文件。 该文件对一般用户不可读，只有root用户才能够读取。 在/etc/shadow文件中，一行对应一个用户的密码信息，每行均由9个字段构成，各个字段之间用“：”分隔。,3.1.2与用户管理相关的系统文件,在shadow配置文件中，从左到右各个字段的含义如下： 用户名：用户账户名。 密码：用户的加密密码。 最后一次修改的时间：从1970年1月1日起，到用户最后一次

7、更改密码的天数。 最小时间间隔：从1970年1月1日起，到用户可以更改密码的天数，(0表示随时可以变更)。 最大时间间隔：从1970年1月1日起，到必须更改密码的天数，否则密码将过期，(99999表示永远不过期)。 警告时间：在密码过期之前多少天提醒用户更新，默认值是7天。 不活动时间：在用户密码过期之后到禁用账户的天数。 失效时间：从1970年1月1日起，到账户被禁用的天数。 标志：保留位。,3.1.2与用户管理相关的系统文件,3用户组配置文件/etc/group 将用户进行分组是Linux系统对用户进行管理及控制访问权限的一种手段。一个组中可以有多个用户，一个用户也可以属于多个组。系统中所

8、有的组信息存放于/etc/group文件，其中一行对应一个用户组的信息，每行均由4个字段构成，各个字段之间用“：”分隔。,3.1.2与用户管理相关的系统文件,/etc/group文件中各字段的含义从左到右分别是： 组名：组的名称。 组口令：用户组的口令，用x表示口令是被/etc/gshadow文件保护的。 组标识号(GID)：系统内部用它来标识用户组，每个用户组的GID都是唯一的。 组成员：该组的成员。,3.1.2与用户管理相关的系统文件,4用户组密码配置文件/etc/gshadow 该文件用于定义用户组口令、组管理员等信息，该文件只有root用户可读。,3.1.2与用户管理相关的系统文件,/

9、etc/gshadow文件中各字段的含义从左到右分别是： 组名：组的名称。 组口令：用户组的口令，保存已加密的口令。 组的管理员帐号：组的管理员帐号，管理员有权对该组添加、删除帐号。 组成员：该组的成员，多个用户用“，”分开。,3.1.3用户管理,1用useradd命令创建用户 创建或添加新用户要用useradd命令来实现。 命令格式： useradd 选项 用户名,3.1.3用户管理,例3.1创建用户tom。 #useradd tom 在使用useradd命令创建用户tom，由于没有为tom指定用户组和主目录，所以系统会创建同名用户组tom作为tom用户的用户组，同时在/home目录下创建同

10、名tom目录作为tom的主目录，并且在/var/spool/mail和/var/mail下创建与tom同名的文件，作为tom用户的邮件日志文件和备份。,3.1.3用户管理,例3.2创建一个名为zhangqi的用户，设置主目录为：/var/zhangqi，作为root组的成员，加注释：101school，指定用户Shell为：/bin/sh。 #useradd d /var/zhangqi g root c 101school s /bin/sh zhangqi 创建完成后，可以查看/etc/passwd的最后一行。,3.1.3用户管理,2用usermod命令修改用户属性 对于已经创建好的用户，

11、可以使用usermod命令来修改和设置账户的各项属性，包括用户名、用户主目录、用户所属组、使用Shell类型等。 命令格式： usermod 选项 用户名,3.1.3用户管理,例3.3修改用户zhangqi为zhangqiming。 #usermod -l zhangqiming zhangqi 注意原用户名和新用户名的顺序。 例3.4修改zhangqiming的主目录为/var/zhangqiming。 #usermod -d /var/zhangqiming zhangqiming 注意如果新的主目录不存在则需要先创建该主目录。,3.1.3用户管理,例3.5修改zhangqiming的注释

12、信息为neusoft。 #usermod -c neusoft zhangqiming 操作完成后，查看passwd文件zhangqiming用户，可以发现相关信息都已经做出了修改，因此可以发现uesrmod命令是对passwd文件的修改。,3.1.3用户管理,3用userdel命令删除用户 在Linux操作系统当中，可以在userdel命令后直接加用户名，删除指定的用户。若使用选项-r，则在删除该用户的同时，将该用户对应的主目录一起删除。 命令格式： userdel -r 用户名 例3.6删除zhangqiming用户及其主目录以及该用户的相关文档。 #userdel -r zhangqim

13、ing 删除zhangqiming用户后，查看passwd文件，发现该文件中已经不存在zhangqiming用户的信息。,3.1.3用户管理,4用passwd命令管理用户登录密码 用户必须设置密码之后才能登录系统。 root用户有权设置指定用户的密码 普通用户只能设置或修改自己的密码。 passwd不加用户名，可以设置当前用户的密码。 命令格式： passwd 选项 用户名称 passwd还可以选项管理用户的密码。,3.1.3用户管理,例3.7root管理员创建bob用户，并为其设置密码为“123456”，然后查看/etc/shadow文件中bob用户的密码。然后将bob的密码锁定，使bob无

14、法登录系统，查看/etc/shadow文件的变化，再解锁bob的密码，恢复bob对系统的访问权，再次查看/etc/shadow文件的变化。,3.1.3用户管理,例3.8查询bob用户的密码状态，加锁后再查询bob用户的密码。 若用户密码的当前状态是解锁状态，则结果是“Password set，SHA512 crypt”。其中“SHA512 crypt”指的是密码加密方式。若用户密码被锁定，则查询用户密码状态的结果是“Password locked.”。,3.1.4用户组管理,1用groupadd命令创建用户组 用户组是用户的集合，通常将用户进行分类归组，便于进行访问控制。 用户与用户组属于多对

15、多的关系，一个用户可以同时属于多个用户组，一个用户组可以包含多个不同的用户。 命令格式： groupadd 选项 用户组名称 常用选项是-r，功能是创建系统用户组。 例3.9创建用户组student。 #groupadd student,3.1.4用户组管理,2用groupmod命令修改用户组属性 对于已经创建好的用户组，可以使用groupmod命令来修改其属性。 命令格式： groupmod 选项 组名 例3.10修改用户组student为teacher。 #groupmod -n teacher student,3.1.4用户组管理,3用groupdel命令删除用户组 在Linux系统当中

16、，可以在groupdel命令后直接加用户组名，删除指定的用户组。 命令格式： groupdel 组名 在删除用户组时，被删除的用户组不能是某个用户的主组，否则无法删除。若必需删除，则应先删除该用户，然后再删除用户组。,3.1.4用户组管理,4用gpasswd命令维护组中成员 gpasswd命令可用于把一个用户添加到组、把一个用户从组中删除、把一个用户设为组管理员。 命令格式： gpasswd 选项 用户名 组名,3.1.4用户组管理,例3.11将lili用户添加到tescher组。 #gpasswd -a lili teacher 例3.12将lili设置为teacher组的管理员。用户组管理

17、员具有可以向该组添加用户和移除用户的权限。作为组的管理员也可以使用gpasswd命令给组设置口令，只有设置了组口令，其他用户才可以通过newgrp命令切换成该组的成员身份，否则只有本组成员才能使用该组身份。 #gpasswd -A lili teacher 例3.13将lili从teacher组中删除。 #gpasswd -d lili teacher,3.1.5知识扩展,1查看用户信息的id命令 id命令用于显示用户当前的UID，GID以及所属群组的组列表。 命令格式： id 选项 用户名称 直接执行id命令不带选项表示显示当前用户的ID信息，否则只需要在id命令后面直接加上要查询的用户名即

18、可。,3.1.5知识扩展,例3.14查看lili用户的ID信息。 通过命令执行结果可以清楚地看到lili用户UID和GID信息。,3.1.5知识扩展,2输出指定用户所在组的groups命令 命令格式： groups 选项 用户名 例如显示用户lili所在的组。,3.1.5知识扩展,3查看当前登录用户whoami命令 whoami命令用于显示登录者自身的用户名称，本指令相当于执行“id un”指令，whoami显示当前用户更详细的登录信息。这一系列相关的还有w，who，whoami。,3.1.5知识扩展,4查看当前用户的w命令 系统管理员在任何时刻都可以查看用户的行为，在终端提示符下输入w命令。

19、 第一行显示系统的汇总信息，字段分别表示系统当前时间、系统运行时间、登录用户总数及系统平均负载信息。,3.1.5知识扩展,5查看登录用户who命令 系统管理员若想知道某一时刻有哪些用户登录到系统，可以使用系统提供的who命令，该命令可以查看当前登录系统的用户及其他相关系统信息。 6查看登录用户历史last命令 系统管理员可以随时查看用户登录的历史行为。,3.1.5知识扩展,7用于修改用户口令有效期限的chage命令。 密码时效是通过chage命令来管理的。 命令格式：chage 选项 用户名,3.1.5知识扩展,例3.15查看root用户的密码信息。,3.1.5知识扩展,8修改用户注释信息的c

20、hfn命令 chfn命令可以修改用户的注释信息。 命令格式： chfn 选项 用户名,3.1.5知识扩展,9修改用户Shell类型的chsh命令 命令格式： chsh 选项 用户名 例3.16查看系统安装的Shell。,3.1.5知识扩展,例3.17将tom用户的Shell修改为/bin/csh。 本例还可以执行#chsh -s /bin/csh tom 命令来完成。如果只执行chsh命令那么修改的是当前用户的Shell。 使用chsh命令修改用户Shell其实修改的就是/etc/passwd文件里和该用户名相对应的那一行所定义的Shell字段。,3.1项目一：用户账号与用户组的创建,操作过程

21、： #groupadd dgroups01 #useradd -g dgroups01 dguser0101 #passwd dguser0101 #useradd -g dgroups01 dguser0102 #passwd dguser0102 #groupadd dgroups02 #useradd -g dgroups02 dguser0201 #passwd dguser0201 #useradd -g dgroups02 dguser0202 #passwd dguser0202 #tail -4 /etc/passwd,3.2项目二：文件属性的读取和修改,设计部Web项目组近期

22、招聘了两名在校大学生到项目组实习，并为他们做了关于Linux基础应用方面的培训。两人为了尽快熟悉Linux系统，共享学习心得打算在系统的/tmp目录下创建一个名为ourfile文件，用于分享学习收获。因此两用户需要可以随时读取和修改ourfile文件的内容。,3.2.1文件属性,每一行代表对应文件或目录的详细信息。从左到右具体的含义是文件属性、文件数、拥有者、所属的组、文件大小、建立月份、建立日期、建立年份或时间、以及文件名。其中“建立年份或时间”字段，如果文件是今年建立的，则显示具体时间，如果是往年建立的，则显示年份。,3.2.1文件属性,文件属性由10个字母组成，其中第一个字母表示文件类型

23、，后九个字母分为三组，表示文件的访问权限。 文件属性的第一个字母是类型标识，用来说明文件的类型。在Linux操作系统中，共有七种文件类型，分别是： d(directory)目录文件。 l(link)符号链接。 s(socket)套接字文件。 b(block)块设备文件，二进制文件。 c(character)字符设备文件。 p(pipe)命名管道文件。 -普通文件，或者更准确地说，不属于以上几种类型的文件。,3.2.1文件属性,用户对文件的操作权限分为读、写和执行三种，分别用r、w、x表示。若用户没有某个权限，则在相应权限位用“-”占位，代表无此权限。 若文件具有x属性，是可执行的文件。具有x属

24、性的文件一般是二进制程序文件或可执行的脚本文件。若目录具有x属性，则表示允许打开该目录中的文件，并且可用cd命令进入该目录。 只有root用户和文件拥有者才可以修改文件访问权限。,3.2.2修改文件属性,1修改文件访问权限的chmod命令 (1)绝对权限方法 文件的九位权限除了可用r、w、x来表示外，还可用一个3位的十进制数字来表示。 比如644，其百位上的数字代表文件拥有者的权限，十位上的数字代表所属用户组的权限，个位上的数字代表其他用户对该文件的权限。这种采用数字来表示权限的方法，称为绝对权限表示法也称为数字权限表示法。 由于用户的权限是用rwx来表示的，没有的权限对应位置上用“-”表示，

25、有权限的位置可用1表示，没有权限的位置用0来表示，这样就会形成一个3位的二进制编码，然后将该二进制数转换成对应的十进制数，这样就得到一个07的数，从而就可以实现十进制数来表示用户对文件的权限。,3.2.2修改文件属性,1修改文件访问权限的chmod命令 (1)绝对权限方法 命令格式： chmod 选项 绝对权限值 要修改的文件或目录名称 chmod命令常用的选项是-R，其功能是可以递归设置指定目录下的全部文件(包括子目录和子目录中的文件)的权限。 例3.18修改当前目录下test文件的访问权限使所有用户对该文件均有读写权限。 #chmod 666 test,3.2.2修改文件属性,1修改文件访

26、问权限的chmod命令 (2)相对权限方法 使用相对权限方法修改文件权限，命令格式： chmod 修改对象 运算符 用户权限 要修改的文件或目录名称 其中修改对象位置上可以是u(文件拥有者)、g(同组用户)、o(其他用户)、a(全体用户)的任意组合。运算符位置上可以是+(添加)、-(删除)、=(只赋值)中的任意一个。 用户权限上写的是r、w、x的任意组合。 例如，对文件test的组用户添加写权限，则执行命令：chmod g + w aaa。,3.2.2修改文件属性,1修改文件访问权限的chmod命令 (2)相对权限方法 例3.19修改当前目录下test文件的访问权限使所有用户对该文件均有读写权

27、限。 #chmod a+rw test 或者 #chmod ugo+rw test 例3.20增加组用户对当前目录下file文件的写权限，取消其他用户对file文件的读权限。 #chmod g+w file #chmod o-r file 如果修改前file文件的权限是644，那么修改后file文件权限是660。,3.2.2修改文件属性,2修改文件所有者的chown命令 文件或目录的创建者，一般是该文件或目录的拥有者，对文件具有最高的使用权。 root用户可以将一个文件或目录的拥有权转让给其他用户，使其他用户成为该文件或目录的拥有者。 通过chown命令还可以修改文件所属的组。 命令格式： c

28、hown 选项 新所有者.新用户组 要修改的文件或目录名称 chown命令常用的选项是-R，其功能是可以递归设置指定目录下的全部文件(包括子目录和子目录中的文件)的所属关系。,3.2.2修改文件属性,2修改文件所有者的chown命令 例3.21将当前目录下的file文件的拥有者修改为tom，所属组改为tom组。 #chown tom.tom file 或者 #chown tom:tom file 例3.22将当前目录下的file文件的所属组改为tom组。 #chown .tom file 或者 #chown :tom file 注意“.”或“:”的作用。,3.2.2修改文件属性,3提升用户权限

29、 （1）使用su命令切换用户 在su命令后加用户名称，可以切换系统当前用户身份。在用户切换的时候，从root用户向普通用户可以直接进行切换，反之则需要root账号密码。这是因为root用户是系统中权限最高的用户，可以切换到任意身份不需要密码。普通用户之间切换需要密码验证。 在切换用户身份时，通常需要增加“-”选项，例如#su - tom命令表示切换到tom用户。“-”选项表示：切换用户时，使环境变量(home，Shell，user，logname，path等)和欲切换的用户相同，不使用该选项则取得的只是用户的临时权限。,3.2.2修改文件属性,3提升用户权限 （2）使用sudo命令提升权限 r

30、oot用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，登记在/etc/sudoers文件中，即完成对该用户的授权（此时该用户称为“sudoer”）。 sudoer用户需要取得特殊权限时，可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行，对于普通用户来讲不需要知道root用户的密码，这样可以提高系统的安全性。,3.2.2修改文件属性,3提升用户权限 例3.23root用户需要创建一个普通用户teacherli具有管理员权限，并执行系统的日常维护工作，则可以把teacherli用户设为sudoer。具体方法如下： 第1步：查看是否已经安装了sudo #rpm qa | grep sudo sudo-1