账户管理和权限管理账户实质 账户文件 账户设置 权限表示 权限设置5.1账户概述 账户实质上就是一个用户在系统上的标识，系统依据账 户来区分每个用户的文件、 进程、任务，给每个用户提 供特定的工作环境（如用户的工作目录、shell版本、 以 及X-Windows环境的配置等），使每个用户的工作都能 独立不受干扰地进行。 Linux中的账户包括 用户账户 超级用户：UID=0，GID=0 普通用户：UID=500 伪用户：0 说明：usermod可用来修改用户帐号的各项设定。 常用选项：-d 修改用户登入时的目录。 -g 修改用户所属的群组。 -G 修改用户所属的附加群组。-l 修改用户帐号名称。 -L 锁定用户密码，使密码无效。 -s 修改用户登入後所使用的shell。-u 修改用户ID。-U 解除密码锁定。 操作举例： # usermod -l user2 user1 # usermod -G softgroup jjh # usermod -L user1 # usermod -U user1 删除用户账号 命令： userdel 常用选项：-r 用于删除用户的宿主目录 操作举例： # userdel user2 # userdel -r user1 注意：删除账户时要一并把该账户所占资源回收。如该用 户的目录，邮箱，定时运行的程序等。查找并显示用户信息finger -lmsp帐号名称.说明：finger指令会去查找，并显示指定帐号的用户相关信息，包括本地与 远端主机的用户皆可，帐号名称没有大小写的差别。单独执行finger指令，它会 显示本地主机现在所有的用户的登陆信息，包括帐号名称，真实姓名，登入终 端机，闲置时间，登入时间以及地址和电话。参 数：-l 列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell ，登入时间，转信地址，电子邮件状态，还有计划文件和方案文件内容。-m 排除查找用户的真实姓名。-s 列出该用户的帐号名称，真实姓名，登入终端机，闲置时间，登入时 间以及地址和电话。-p 列出该用户的帐号名称，真实姓名，用户专属目录，登入所用的Shell ，登入时间，转信地址，电子邮件状态，但不显示该用户的计划文件和方案文 件内容。 口令时效 强制用户在一段时间之后更改口令的机制称为口令时效。 chage命令 命令格式：# chage 常用选项： -m days：指定用户必须改变口令所间隔的最少天数。如果值为 0 ，口令就不会过期。 -M days：指定口令有效的最多天数。 当该选项指定的天数加上-d 选项指定的天数小于当前的日期，用户在使用该账号前就必须改变 口令。 -d days：指定自从1970年1月1日起，口令被改变的天数。 -I days：指定口令过期后，账号被锁前不活跃的天数。 如果值为0 ，账号在口令过期后就不会被锁。 -E date：指定账号被锁的日期，日期格式为YYYY-MM-DD。 若不 用日期，也可以使用自1970年1月1日后经过的天数。 -W days：指定口令过期前要警告用户的天数。 -l：列出指定用户当前的口令时效信息，以确定账号何时过期。操作举例： 用户user1两天内不能更改口令，并且口令最长的存活期 为30天， 并在口令过期前5天通知user1。 # chage -m 2 -M 30 -W 5 user1 查看用户user1当前的口令时效信息。 # chage -l user15.3 使用命令管理用户组1创建用户组账户命令groupadd2更改用户组账户属性命令groupmod3管理用户组中用户的命令gpasswd4删除组账户的命令groupdel19创建新组 命令：groupadd -g GID -r mygroup 常用选项： -r：用于创建系统组账号（GID小于500 ） -g：用于指定GID 操作举例： # groupadd mygroup # groupadd -r sysgroup # groupadd -g 888 group2修改组账号 命令： groupmod 常用选项： -g：改变组账号的GID ，组账号名保持不变。 -n：改变组账号名。 操作举例： # groupmod -g 503 mygroup # groupmod -n newgroup mygroup管理组用户 命令： gpasswd 只有root和组管理员能够改变组的成员： 操作举例： 把student1加入student组 gpasswd a student1 student 把student1退出student组 gpasswd d student1 student 把student的管理员指派给yz gpasswd A yz student 删除组账号 命令格式：# groupdel 注意事项： 被删除的组账号必须存在 当有用户使用组账号作为私有组时不能删除 与用户名同名的私有组账号在使用userdel命令删除用 户时被同时删除 操作举例： # groupdel mygroup启动用户管理器该管理器是图形界面的应用程序，需要先进入图形界面，点击 “系 统管理用户和组群”，或在虚拟终端窗口中输入下面的命令 :system-config-users5.4 用户管理器管理用户用户管理器中各项含义如表所示。 项目说明用户页该页中显示所有的普通用户组账 号，不显示系统用户组账 号。 可以在该页中选定相应的用户组，再圣其进行操作，如修改属 性、删除等。组群页该页中显示所有的普通用户账号，不显示系统用户账号。可以 在该页中选定相应的用户账号，再圣其进行操作，如修改属性 、删除等。添加用户按 钮选择该 按钮添加新的用户添加组群按 钮选择该 按钮添加新的用户组属性按钮设置选定的用户或组的属性删除按钮删除选定的用户或组5.5 操作权限概述 Linux是多用户的操作系统，允许多个用户同时在系统上 登录和工作。 为了确保系统和用户的安全，Linux采取了很多的安全措 施。 通过用户的代号（UID）来确定每个用户在登录系统后都 做了些什么， 也可以用来区别不同用户所建立的文件或 目录。 Linux文件系统安全模型是通过给系统中的文件赋予三个 属性来起作用的，这三个赋予每个文件的属性称为所有者 、组和访问权限。 Linux下每一个文件必须严格地属于一 个用户和一个组。使用 Linux 系统资源的四类人员 在Linux中，将使用系统资源的人员分为四类： 超级用户 文件或目录的属主 属主的同组人 其他人员 由于超级用户具有操作Linux系统的一切权限，所以不用 指定超级用户对文件和目录的访问权限。 对于其他三类 用户都要指定对文件和目录的访问权限。 用户只能不受限制的操作自家目录及其子目录下的所有文 件。 对系统中其他目录的访问受到同组和其他人的访问 限制。查看文件和目录的权限使用如下命令查看权限 $ ls -l 常见的权限字符串及其含义p146B9-10 字符 数值 说明-rw- 600 只有属主才有读取和写入的权限。 -rw-r-r- 644 只有属主才有读取和写入的权限；同组人和其他人只有读取的权限。-rwx- 700 只有属主才有读取、写入、和执行的权限。-rwxr-xr-x 755 属主有读取、写入、和执行的权限；同组人和其他人只有读取和执行的权限。 -rwx-x-x 711 属主有读取、写入、和执行权限；同组人和其他人只有执行权限。 -rw-rw-rw- 666 每个人都能够读取和写入文件。 -rwxrwxrwx 777 每个人都能够读取、写入、和执行。 drwx- 700 只有属主能在目录中读取、写入。 drwxr-xr-x 755 每个人都能够读取目录，但是其中的内容却只能被属主改变。权限的文字设定法chmod ugoa+-=rwxugo 人员标识 属主（u）,同组（g）,其他人（o）,所有的人员（a） 设定方法 + ：增加权限, - ：删除权限 = ：分配权限，同时删除旧的权限 权限字符 r（读）,w（写）,x（执行）,u（和属主的权限相同） g（和所属组用户的权限相同）,o（和其他用户的权限相同） 操作举例：对文件addusers1的属主添加执行权限，同时取消组用户和其他用户对 文件的读取权限# ll addusers -rw-r-r- 1 root root 399 May 2 18:14 addusers1# chmod u+x,go-r addusers1 # ll addusers1 -rwx- 1 root root 399 May 2 18:14 addusers1 权限的数值设定法 chmod命令的数值设定法格式 chmod n1n2n3 n1n2n3 其中n1代表属主的权限，n2代表组用户的权限，n3代表其 他用户的权限 n1、n2、n3选项都是8进制数字，其意义如下：p148B9-14 操作举例：取消组用户和其他用户对文件users1的一切权限# ll users1 -rw-r-r- 1 root root 24 May 2 18:15 users1 # chmod 600 users1 # ll users1 -rw- 1 root root 24 May 2 18:15 users1 更改属主和组 chown命令 功能：更改属主和组。 格式： # chown -R 参数-R：表示对目录及其子目录进行递归设置。 举例： 将文件users1的属主改成osmond # chmod osmond users1 将文件users1的组改成staff # chmod .staff users1 将文件users的属主和组都改成osmond # chown osmond.osmond users 将mydir目录及其子目录下的所有文件或目录的属主和组都改成 osmond # chown R osmond.osmond mydir三种特殊权限简介 SUID 当一个设置了SUID 位的可执行文件被执行时，该文件将以所有 者的身份运行， 也就是说无论谁来执行这个文件，他都有文件 所有者的特权。 如果所有者是 root 的话，那么执行人就有超级用户的特权了。 SGID 当一个设置了SGID 位的可执行文件运行时，该文件将具有所属 组的特权， 任意存取整个组所能使用的系统资源。 若一个目录设置了SGID，则所有被复制到这个目录下的文件， 其所属的组都会被重设为和这个目录一样，除非在复制文件时加 上-p （preserve，保留文件属性）的参数，才能保留原来所属的 群组设置。 sticky-bit 对一个文件设置了sticky-bit之后，尽管其他用户有写权限， 也 必须由属主执行删除、移动等操作。 对一个目录设置了sticky-bit之后，存放在该目录的文件仅准许其 属主执行删除、 移动等操作。特殊权限实例 SUID的典型例子是passwd程序 # ll /usr/bin/passwd -r-s-x-x 1 root root 16336 Feb 14 2003 /usr/bin/passwd 设置了sticky-bit的典型例子是系统临时文件目录/tmp # ll -d