用户与文件权限管理项目目标 管理员应tom的要求更改了他用户的SID号，tom却发现他不能访问自己原来的文件了，为什么？ 技术部员工bob临时被调到售前部门协助工作，他如何才能访问售前部门的资料？所需知识点 SID与用户名的关系 更改用户属性涉及到的命令4 用户和组操作命令 useradd、usermod、userdel、passwd、su groupadd、groupmod、groupdel id、groups、finger、w、who 文件权限操作命令 chown、chmod本章结构管理用户和组帐号用户和组帐号概述用户帐号管理查看文件/目录的权限和归属组帐号管理管理用户和 文件权限管理文件/目录的权 限和归属设置文件/目录的权限设置文件/目录的归属用户和组帐号查询使用附加权限1-1、用户与用户组 基于用户身份对资源访问进行控制 Unix用户分为以下三种： 超级用户root 普通用户 程序用户 超级用户root：在系统中是唯一的，能完成所有系统管理工 作。 程序用户：一些系统程序或服务在运行过程中，对操作系统 的资源有怎样的权限，取决于该程序或服务对应的程序用户 所拥有的权限，程序用户不能登陆系统。 普通用户：能够登陆系统，只有有限的权限，通常只对自己 的家目录有完全的控制权1-1、用户与用户组7 基于用户身份对资源访问进行控制 Unix用户分为以下三种：超级用户root普通用户程序用户超级用户root：在系统中是唯一的，能完成所有系统管理工作。程序用户：一些系统程序或服务在运行过程中，对操作系统的资源有怎样的权限，取决于该程序或服务对应的程序用户所拥有的权限，程序用户不能登陆系统。普通用户：能够登陆系统，只有有限的权限，通常只对自己的家目录有完全的控制权8 设置用户名必须满足以下条件： 在系统中必须是唯一的； 含有2-8个字母数字组成的混合串。注意：第一个字符必须是 字母，而且至少有一个字符必须是小写字母； 不包括下划线和空格。 一个用户一般可以加入两种类型的组： primary group：用户必须选一个组作为其主要组（私有组） secondary group：除了主要组外，用户所加入的其他组都称 为secondary group（公共组）。 一般而言，用户最多可以加入16个secondary group. 系统保留组：root、daemon、bin、sys、tty、mail9 UID和GID： UID（User Identity，用户标识号） GID（Group Identify，组标识号） UID在系统中唯一标识了用户。UID必须是一个小于或等于60000的数 字。 root用户的UID的固定值为0、root组帐号的GID号为固定值0 。 下面将给出一些系统保留的UIDS： 0-99,主要分配给一些系统帐号，如：root,deamon,sys,bin等。 10060000,这些UIDs主要是给一般用户的。 60001,nobody，没有被鉴别的用户。 60002，noaccess, 这个主要是为了和以前版本的solaris2.x兼容1-2、用户帐号文件 passwd 用于保存用户的帐号基本信息 文件位置：/etc/passwd 每一行对应一个用户的帐号记录 字段1：用户帐号的名称 字段2：用户密码字串或者密码占位符“x” 字段3：用户帐号的UID号 字段4：所属基本组帐号的GID号 字段5：用户全名 字段6：宿主目录 字段7：登录Shell信息rootlocalhost # tail -2 /etc/passwdsabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologinbenet:x:500:500:BENET Student User:/home/benet:/bin/bash1-3、用户帐号文件 shadow 用于保存密码字串、密码有效期等信息 文件位置：/etc/shadow 每一行对应一个用户的密码记录rootlocalhost # tail -2 /etc/shadowsabayon:!:14495:0:99999:7:benet:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:14495:0:99999:7: 字段1：用户帐号的名称 字段2：加密的密码字串信息 字段3：上次修改密码的时间 字段4：密码的最短有效天数，默认值为0 字段5：密码的最长有效天数，默认值为99999 字段6：提前多少天警告用户口令将过期，默认值为7 字段7：在密码过期之后多少天禁用此用户 字段8：帐号失效时间，默认值为空 字段9：保留字段（未使用）1-4、组帐号文件 group 与用户帐号文件相类似 /etc/group：保存组帐号基本信息rootlocalhost # grep “adm“ /etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon组帐号名 组成员列表1-5、添加组帐号 groupadd命令 格式：groupadd -g GID 组帐号名rootlocalhost # groupadd -g 1000 marketrootlocalhost # tail -1 /etc/groupmarket:x:1000:添加组帐号market1-6、修改组账号 groupmod命令 格式： groupmod 选项 组名 功能：修改用户组的组名和组号 可使用的选项： -g 组号：把用户组号改为指定的组号 -n 组名：把用户组名改为指定的组名1-7、删除组帐号15 groupdel命令 格式：groupdel 组帐号名rootlocalhost # groupdel marketrootlocalhost # grep “market“ /etc/grouprootlocalhost #删除组帐号market1-8、创建用户过程 分别在/etc/passwd,/etc/shadow和/etc/group文件中 添加一笔记录 创建用户宿主目录 在用户目录中设置默认的配置文件 设置用户初始口令1-9、创建用户账号 创建用户命令 useradd -u uid | -g group | -G group,group. |-d dir | -s shell | -m | loginname 范例： # useradd -d /export/home/tom -s /usr/bin/bash -u 500 -g 500 -m tom -u 用户id -g 基本组id -G 附加组id -d 家目录 -s 登陆shell -m 建立用户的同时建立家目录1-10、用户账号的初始配置文件 用来定义用户环境 $HOME目录下添加初始配置文件 Shell 配置文件 - C shell .login .cshrc B shell .profile 文件来源 新建用户帐号时，从 /etc/skel 目录中复制而来 在/etc/skel中，有四个缺省初始配置文件 local.profile：用户每次登录时执行 local.cshrc：每次进入新的csh环境时执行 local.login：用户每次退出登录时执行 .profile：环境配置文件1-11、设置/更改用户口令 passwd命令 格式：passwd 选项. 用户名 常用命令选项 -d：清空用户的密码，使之无需密码即可登录 -l：锁定用户帐号 -s：查看用户帐号的状态（是否被锁定） -u：解锁用户帐号1-12、修改用户账号的属性 usermod命令 格式：usermod 选项. 用户名 常用命令选项 -l：更改用户帐号的登录名称 以下选项与useradd命令中的含义相同 -u、-d、-e、-g、-G、-s1-13、删除用户账号 userdel命令 格式：userdel -r 用户名 添加 -r 选项时，表示连用户的宿主目录一并删除1-14、转换用户身份 su命令：不需用户注销即可转成另一用户 格式：su - username 举例： # su tom tom用户继承了su命令之前的用户环境 # su - tom tom用户使用了自己的用户环 境1-15、用户和组账号查询 id命令 用途：查询用户身份标识 格式：id 用户名 groups命令 用途:查询用户所属的组 格式：groups 用户名 finger命令 用途：查询用户帐号的详细信息 格式：finger -l 用户名 w 、who命令 用途：查询已登录到主机的用户信息项目目标 开发部员工tom最近出差，由员工bob暂时接替tom未完成的一个开发项目，如何让bob能管理控制tom留下的文档？ Tom和bob共同实施一个项目，要求两人的工作在一个共享的目录里完成，两人能互相浏览对方的文档，但是不能修改删除对方的文档。所需知识点 建立用户和组 修改用户缺省权限 修改文件所有者身份 使用unix特殊权限位来实现上述两个目标2-1、文件与系统用户的关系 文件与系统用户的关系有三种： 文件的所有者：通常是文件的创建者用户 同组用户 ：与文件的创建者在同一个用户组的其他用户 其他人 ：既不是文件的所有者，也不是文件的同组用户 $ ls -l /export/home/tom/tomfile -rw-r-r- 1 tom develop 5 Sep 6 13:52 /export/home/tom/tomfile 其中的第三个字段（tom）代表文件的所有者 第四个子段（develop）代表文件所属的用户组2-1、文件与系统用户的关系28 文件与系统用户的关系有三种： 文件的所有者：通常是文件的创建者用户 同组用户 ：与文件的创建者在同一个用户组的其他用户 其他人 ：既不是文件的所有者，也不是文件的同组用户 $ ls -l /export/home/tom/tomfile -rw-r-r- 1 tom develop 5 Sep 6 13:52 /export/home/tom/tomfile 其中的第三个字段（tom）代表文件的所有者 第四个子段（develop）代表文件所属的用户组2-2、文件/目录的权限和归属 访问权限 读取：允许查看文件内容、显示目录列表 写入：允许修改文件内容，允许在目录中新建、移 动、删除文件或子目录 可执行：允许运行程序、切换目录 归属（所有权） 属主：拥有该文件或目录的用户帐号 属组：拥有该文件或目录的组帐号2-3、查看文件/目录的权限和归属权限项读写执行读写执行读写执行字符表示rwxrwxrwx数字表示421421421权限分配文件所有者文件所属组其他用户rw-r-r-420400400644rootlocalhost # ls -l install.log-rw-r-r- 1