第三章 用户登录与账户管理主要内容：用户登录 用户管理 组的管理1 . 用户登录Linux作为多用户、多任务的操作系统， 其系统资源是所有用户共享的。任何要使用系 统资源者必须先在系统内登记、注册，即开设 用户账户，该账户包含用户名、口令、所用的 shell、使用权限等等；为了计算机系统的安全 ，Linux会对每一个要求进入系统的用户验证 他们的用户名和口令，如果验证通过则用户登 录成功，否则系统拒绝登录。1 用户登录根据用户在本地终端还是通过网络登录 Linux系统，分为两类： （1）用户的终端登录 （2）远程登录注：这里的网络可以是局域网，如学校计算机实 验室；也可以是网际网，如Internet。（1）终端登录当成功启动系统后，如果系统运行级 为5，则登录时会看到如图3-1所示界面 ；如果运行级为3，则登录时会看到如图 3-2所示界面。用户必须先后输入用户名 、口令才可以登录Linux系统。1 用户登录图3-1运行级5的登录界面图3-2运行级3的登录界面注: (1)如果以超级用户的root账户登录，则终端提 示符为#。如果以普通用户登录，则终端提示 符为$。 (2)Linux系统提供了六个虚拟控制台终端，每 个虚拟终端都可以登录系统。这六个虚拟终 端之间用组合键Ctrl+Alt+Fx进行切换，Fx表 示F1到F6键。如果系统运行级是5，则任何时 候要返回到图形界面只要按Ctrl+Alt+F7即可 。(2 )远程登录 所谓“远程登录”是指用户在某一台计算机上通 过网络登录其他联网的计算机系统，使用该系统中 的资源，如执行命令、查找文件等，以达到资源共 享的目的。相互连通的计算机可以是处于同一个局域网、 城域网和广域网，甚至世界上任何一台连接到 Internet的计算机。当用户发出远程登录请求时， Linux系统会像在本地终端登录一样要求用户输入用 户名和口令；一旦登录成功，如果你有足够的权限 、你的计算机就像远程那台计算机的终端一样，你 通过键盘所发出的命令，就会在该远程计算机上执 行、执行的结果会通过网络显示在你的显示器上。在Linux操作系统中，实现远程登录的 命令主要有: (1)telnet (2)rsh (3)rlogin (4)ssh远程登录命令 注： （1） 它们要在系统提供相应服务的基础上使用 ；换句话说、要使用远程登录必须先开启所用 远程登录命令对应的服务，例如、要使用 telnet命令就要先开启系统的telnet服务。一般 这些系统服务没有必要全部开启，这样既浪费 系统资源、造成运行速度降低又可能留下安全 隐患，可以根据实际使用哪些命令来开启相关 的系统服务。 （2）本章仅仅介绍远程登录的使用，不涉及远 程登录的安全问题。问题：如何对系统服务的进行查看、开启和关闭 ？远程登录命令（1 ）telnet命令 telnet命令是最常用的远程登录命令，但是它 只能在基于终端的环境下使用，即要么在虚拟控制 台终端上使用、要么在X Window系统的终端窗口 中使用。telnet命令的选项和参数很多，但在实 际使用中往往只要用到其基本用法。这里我们先介 绍如何最基本地使用该命令，然后给出该命令的完 整用法。 基本用法： $telnet host 其中，host是你要登录到的远程计算机的名字 或IP地址。以下是使用telnet命令基本用法的示例： rootlocalhost root# telnet 192.168.248.133 Trying 192.168.248.133. Connected to 192.168.248.133 (192.168.248.133). Escape character is . Red Hat Linux release 9 (Shrike) Kernel 2.4.20-8 on an i686 login: zxj Password: Last login: Sun Feb 4 15:12:32 from 192.168.248.131 zxjlocalhost zxj$ cd / zxjlocalhost /$ ls bin dev home lib misc opt root tftpboot usr boot etc initrd lost+found mnt proc sbin tmp var zxjlocalhost /$ cd /home zxjlocalhost home$ ls lost+found zxj zxjlocalhost home$ logout onnection closed by foreign host.完整用法：telnet -8 -E -F -K -L -S tos -X authtype -a -c -d-e escapechar -f -k realm -l user -n tracefile -r -xhost port 如果telnet命令不带任何命令选项，则进入 telnet命令模式、显示telnet提示符，执行？或help 命令可以查询所有可用的命令；执行？命令名或 help命令名，则显示该命令的在线帮助信息。 表3-1列出了telnet命令的选项和说明。命令选项选项选项说选项说 明-8允许许使用8位的操作，这这将使输输入与输输出都使用TELNET BINARY选项选项 。默认认情况下telnet不使用8位的操作-E禁止escape（转义转义 ）字符的功能，即将escape字符设为设为 空字符-F把本地主机的认证认证 数据上传传到远远程主机-K不自动动登录远录远 程主机-L允许输许输 出使用8位操作，这这使输输出使用BINARY选项选项 。-S tos将telnet连连接的IP tos（type-of-service，服务类务类 型）选项设选项设 置成tos的值值（以十进进制、十六进进制或八进进制） 。 -X authtype关闭闭指定的认证认证 形式-a试图试图 自动动登录远录远 程系统统。如果远远程系统统支持，本参数会读读取环环境变变量USER所设设置的用户户名称作为为登录账录账 号-c不读读取用户专户专 属目录录里的.telnetrc文件（隐隐含文件）-d启动调试动调试 （debug）模式-e esccapechar设设置escape（转义转义 ）字符。如果使用该项该项 参数却没有指定escape字符，则则telnet指令将不会使用escape字符 。 -f与-F参数相同-k realm使用Kerberos认证时认证时 ，加上这这个参数让远让远 程主机采用指定的领领域名称，而不是该该主机的域名-l user指定要登录远录远 程主机的用户户名称。如果没有使用该该参数，则则telnet会要求输输入登录录的用户户名。该该参数隐隐含了-a 参数 -n tracefile指定文件记录记录 相关信息-r使用类类似rlogin命令的用户户界面。在这这种模式中，除非使用参数-e改变变，否则预设则预设 的escape字符是“”-x启用数据流加密。当该该参数使用时时，如果无法通过认证过认证 或加密数据无法打开则则telnet将退出。host 指定远远程主机的名称、别别名或IP地址port指定远远程主机的端口号。如果不使用端口号，则则telnet使用缺省的端口号为为23（2 ）rlogin命令 rlogin命令与telnet命令无论在使用方法还是选项功能 上都非常类似；它也是用来在远程计算机上登录。如果登录 成功，就可以在远程计算机上执行该注册账户权限所允许的 任何操作。 基本用法： $rlogin rhost 其中，rhost是你要登录到的远程计算机的名字或IP 地址。 完整用法： 低版本rlogin命令： rlogin -8EL-e char-l username rhost高版本rlogin命令：rlogin rhost -ec -8 -c -a -f -F -t termtype -n -7 -PN | -PO -d -k realm -x -L -l username 从rlogin命令的完整用法可以看到，该命令中 的rhost参数是必需的，代表远程主机名或IP地址； 其他的是命令选项且是可选的。表3-2列出了rlogin 命令的选项和说明。 该版本的rlogin命令与低版本的rlogin命令在 选项个数和功能上有较大的差别。命令选项选项选项说选项说 明-ec把escape（转义 ）字符设置为c。该参数在ec之间没有空格和其他escape字符分隔。-8任何时候都允许8位的数据输入通路。如果不使用该参数，则输 入数据中的奇偶校验位将被删除，除非远程计算 机的启动和停止字符不是Ctrl-S和Ctrl-Q。8位模式是默认的。-c通过“.”命令断开连接前要求证实 。-a通过发 送空的本地计算机用户名，强制要求远程计算机验证 密码。该参数选项 只有在UCB远程登录（rlogin）命 令代替Kerberos rlogin命令执行时才有效。-E阻止任何字符被当作escape字符。当该参数与-8参数一起使用时，将提供一个完整的透明连接。-e char设置转义 字符为char。默认的转义 字符为“”。char可以是一个普通的字符，也可以是用八进制ASCII码形式定义 的字符。-f与-F参数相同-F把本地主机的认证 数据上传到远程主机-t termtype用指定的终端类型termtype代替，把该终 端类型传给远 程计算机。-n通过“Z”或“Y”组合键防止rlogin命令终止。-7强制使用7位传输 。-PN明确地要求Kerberos远程命令协议 的新版本（-PN）或旧版本（-PO）。新协议 版本避免了许多在旧协议 中发现 的安全问题 ，但它与旧服务器并不兼容。 如果两个都不指定，系统将采用某些简单 的试探法来确定。-PO参见-PN选项 。-d打开TCP socket的socket调试 开关-k realm使用Kerberos认证时 ，加上这个参数让远 程主机采用指定的领域名称，而不是该主机的域名-x打开DES加密程序，对rlogin会话传输 的数据进行加密。使用该参数会影响系统的响应时间 和CPU利用率，但增 加了通信的安全性-L使rlogin的会话按litout模式运行。参见tty用户手册-l username指定要登录远 程主机的用户名称。如果没有使用该参数，则rlogin会使用该用户在本地计算机上的用户名作为登 录到远程计算机上所用的用户名。因此、该参数省略时，系统不要求输入登录的用户名，而只要求输入口令（3） rsh命令 rsh命令用来启动远程计算机上的shell并让该shell执 行权限范围内指定的命令。 基本用法： $rsh host command 注： （1）host是你要登录到的远程计算机的名字或IP地 址 （2）command为要远程计算机shell执行的命令。 如果省略了参数command，则rsh命令将调用rlogin 命令登录到远程计算机上。 完整用法： 低版本rsh命令： rsh -dn -l username host command高版本rsh命令： rsh host -l username -n -d -k realm -f | -F -x -PN | -PO command 从rsh命令的完整用法可以看到，该命令 中的host参数是必需的，其他的是命令选项 且是可选的。表3-3列出了rsh命令的选项和说 明。命令选选 项项选项说选项说 明-l use rna me指定要登录远程主机的用户名称。如果没有使用该参数 ，则rlogi