第六篇第六篇 系统维护篇系统维护篇一、管理用户和用户组一、管理用户和用户组一、管理用户和用户组LinuxLinux系统是一个多用户多任务的分时操作系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。然后以这个账号的身份进入系统。用户账号的添加、删除与修改。用户账号的添加、删除与修改。用户口令的管理。用户口令的管理。用户组的管理。用户组的管理。每个用户都具有一个唯一的身份标识每个用户都具有一个唯一的身份标识UIDUIDLinuxLinux系统中的用户可以分为系统中的用户可以分为3 3类：类：超级用户（超级用户（ROOTROOT）管理用户管理用户普通用户普通用户基本概念的理解基本概念的理解ROOTROOT用户：用户：可以使用所有的程序可以使用所有的程序操作所有的文件操作所有的文件访问系统每一个角落访问系统每一个角落ROOTROOT这种至高无上的权利可以指派给任何这种至高无上的权利可以指派给任何一个用户，但一定要谨慎！一个用户，但一定要谨慎！用户用户IDID计算机本身是数字的产物，只认识计算机本身是数字的产物，只认识0 0和和1 1，屏幕上显示的字母名称只是为了使用上的屏幕上显示的字母名称只是为了使用上的方便。方便。所以使用数字所以使用数字IDID来标识用户更为直接和方来标识用户更为直接和方便。便。管理用户的管理用户的IDID位于位于1 9991 999的范围内的范围内超级用户的用户标识号为超级用户的用户标识号为 0 0普通用户从普通用户从10001000开始编号。开始编号。普通用户普通用户IDID和用户组和用户组IDID的默认起始编号为的默认起始编号为10011001因为安装系统时创建的第一个用户占用了编号因为安装系统时创建的第一个用户占用了编号10001000的的IDID超级用户超级用户ROOTROOT是一个特殊的用户，拥有至是一个特殊的用户，拥有至高无上的访问权限，但超级用户经常是被高无上的访问权限，但超级用户经常是被锁定的。管理员可以有多个，锁定的。管理员可以有多个，但但ROOTROOT用户用户只有一个。只有一个。每一个用户想要使用每一个用户想要使用ubuntuubuntu系统都要申请系统都要申请一个账户。管理员需要配置一个账户。管理员需要配置/etc/passwd/etc/passwd文文件。件。/etc/passwd /etc/passwd 保存每个用户的信息。保存每个用户的信息。每一个条目信息包含：用户名、口令、用户每一个条目信息包含：用户名、口令、用户ID ID 及及组组IDID、用户信息、用户主目录和默认登录的、用户信息、用户主目录和默认登录的shellshell共共7 7项内容。项内容。root:root:x x:0:0:root:/root:/bin:bash:0:0:root:/root:/bin:bash密码另外保存在密码另外保存在 /etc/shadow /etc/shadow文件中。如果是明文件中。如果是明文，随着硬件的发展，几分钟就可以破解口令，文，随着硬件的发展，几分钟就可以破解口令，所以大多数所以大多数linuxlinux系统把口令单独放在一个不是所系统把口令单独放在一个不是所有人都能读的文件中。有人都能读的文件中。管理用户账号添加用户账号添加用户账号语法如下：语法如下：useradd useradd 选项选项 用户名用户名1 1创建一个用户名为创建一个用户名为peterpeter的账号，给其分的账号，给其分配一个主目录配一个主目录/home/peter/home/peter。2 2创建一个用户名为创建一个用户名为kenken的账号，给其的账号，给其ShellShell资源并分配用户组。资源并分配用户组。-s shell-s shell使用者登入后使用的使用者登入后使用的shellshell名称。预设为不填写，这样系统会帮你指名称。预设为不填写，这样系统会帮你指定预设的登入定预设的登入shellshell。 -m-m使用者目录如不存在则自动建立。使用者目录如不存在则自动建立。 -u uid-u uid使用者的使用者的IDID值必须为唯一值。值必须为唯一值。-g default_group-g default_group新帐号起始群组名新帐号起始群组名或或IDID。 1) useradd -m peter1) useradd -m peter2) useradd -s /bin/bash -g ken2) useradd -s /bin/bash -g ken 删除用户账号删除一个已有的用户账号的命令语法如下：删除一个已有的用户账号的命令语法如下：userdel userdel 选项选项 用户名用户名例如要删除用户账号例如要删除用户账号peterpeter及其主目录，可以及其主目录，可以运行以下命令：运行以下命令：userdel -r peteruserdel -r peter使用使用userdeluserdel的好处：的好处：只需一个命令即可删除只需一个命令即可删除passwdpasswd、shadowshadow、 groupgroup文件中的相应用户和用户组信息，同文件中的相应用户和用户组信息，同时还会把用户主目录中的所有文件和目录时还会把用户主目录中的所有文件和目录一起删除。一起删除。而采用手工方式，则需要编辑三个文件，而采用手工方式，则需要编辑三个文件，还要删除主目录的文件还要删除主目录的文件修改用户账号修改用户账号就是根据实际情况更改用户修改用户账号就是根据实际情况更改用户的有关属性，如用户标识号、主目录、用的有关属性，如用户标识号、主目录、用户组、登录户组、登录ShellShell等。修改已有用户信息的等。修改已有用户信息的命令语法如下：命令语法如下：usermod usermod 选项选项 用户名用户名管理用户口令管理用户口令修改用户口令的命令语法如下：修改用户口令的命令语法如下：passwd passwd 选项选项 用户名用户名普通用户只能修改自己的口令，超级用户普通用户只能修改自己的口令，超级用户可以指定其他用户的口令可以指定其他用户的口令管理用户组管理用户组每个用户都必须属于一个用户组，系统可以对一每个用户都必须属于一个用户组，系统可以对一个用户组中的所有用户进行集中管理。个用户组中的所有用户进行集中管理。不同不同Linux Linux 系统对用户组的规定有所不同，如系统对用户组的规定有所不同，如UbuntuUbuntu下的用户属于与其同名的用户组，这个用下的用户属于与其同名的用户组，这个用户组在创建用户时同时创建。户组在创建用户时同时创建。组的添加、删除和修改实际上就是对组的添加、删除和修改实际上就是对/etc/group/etc/group文件的记录更新。文件的记录更新。添加用户组添加用户组在命令行下添加用户组的语法如下：在命令行下添加用户组的语法如下：groupadd groupadd 选项选项 用户组用户组以下举例说明添加用户组的方法以下举例说明添加用户组的方法1 1添加用户组添加用户组 newgroup1 newgroup1。2 2添加组标识号为添加组标识号为10011001的新用户组的新用户组 newgroup2newgroup2。命令格式groupadd newgroup1groupadd newgroup1groupadd -g 1001 newgroup2groupadd -g 1001 newgroup2注意：添加新组的标识注意：添加新组的标识IDID时，要在当前已时，要在当前已拥有的最大组标识号的基础上加拥有的最大组标识号的基础上加1 1删除用户组删除用户组如果一个用户组不再使用，可以从系统中删如果一个用户组不再使用，可以从系统中删除。删除用户组的命令语法如下：除。删除用户组的命令语法如下：# groupdel # groupdel 用户组用户组例如要删除用户组例如要删除用户组newgroup1newgroup1，可以运行以下，可以运行以下命令：命令：# groupdel newgroup1# groupdel newgroup1此命令从系统中删除组此命令从系统中删除组newgroup1newgroup1。修改用户组修改用户组修改已有用户组信息的命令语法如下：修改已有用户组信息的命令语法如下：# groupmod # groupmod 选项选项 用户组用户组例如要修改用户组例如要修改用户组newgroupnewgroup的标识号，可以的标识号，可以运行以下命令：运行以下命令：# groupmod -g 1002 newgroup# groupmod -g 1002 newgroup此命令将组此命令将组newgroupnewgroup的组标识号修改为的组标识号修改为10021002。例如要修改用户组例如要修改用户组newgroup2newgroup2的标识号和组名，的标识号和组名，可以运行以下命令：可以运行以下命令：# groupmod -g 1100 -n newgroup3 # groupmod -g 1100 -n newgroup3 newgroup2newgroup2此命令将组此命令将组newgroup2newgroup2的标识号改为的标识号改为11001100，组，组名修改为名修改为newgroup3newgroup3。用户组切换用户组切换如果一个用户同时属于多个用户组，那么如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其用户可以在用户组之间切换，以便具有其他用户组的权限。用户可以在登录后，使他用户组的权限。用户可以在登录后，使用以下命令切换到其他用户组。用以下命令切换到其他用户组。# newgrp root# newgrp root这条命令将当前用户切换到这条命令将当前用户切换到rootroot用户组，用户组，前提条件是前提条件是rootroot用户组确实是该用户的主用户组确实是该用户的主组或附加组。组或附加组。组的概念组的概念主组：就是用户默认登录时所属于的那个主组：就是用户默认登录时所属于的那个组组附加组：其他组都称作附加组，用于享受附加组：其他组都称作附加组，用于享受附加组的权限和访问附加组的文件附加组的权限和访问附加组的文件使用图形化工具管理用户和用户组单击【系统】|【系统管理】|【用户和组】命令，弹出【用户设置】对话框。使用该图形化工具添加一个用户和用户组的操作步骤：1添加一个用户。2添加一个用户组。与用户账号有关的系统文件与用户和用户组相关的信息都存放在一些系统文件中。这些文件包括/etc/passwd、/etc/shadow、/etc/group等。用户的帐号信息是由/etc/passwd、/etc/shadow文件共同维护的。每个用户都有一个相应的记录输入用户名和密码以后，系统会检查/etc/passwd中是否有相同的文件名根据用户输入的密码与/etc/shadow文件密码字段比较，如果都通过了验证，则用户即可进入自己的主目录，访问系统。/etc/passwd文件有7个字段，每个用户信息占用一行。$cat /etc/passwdUsername : passwd : uid : gid : Username : passwd : uid : gid : comment : home_dir : login_shellcomment : home_dir : login_shell/etc/shadow文件存有加密形式的用户密码，每个用户的密码信息占用一行，每一行有9个字段。$cat /etc/shadowUsername : passwd : lastchanged : Username : passwd : lastchanged : mindays : maxdays : warn : mindays : maxdays : warn : inactive : expire : reserveinactive : expire : reserve赋予普通用户特殊权限在在LinuxLinux系统中，管理员往往不止一人，若系统中，管理员往往不止一人，若每位管理员都用每位管理员都用rootroot身份进行管理工作，身份进行管理工作，会造成混乱。会造成混乱。因此最好的方式就是管理员创建一些普通因此最好的方式就是管理员创建一些普通用户，分配一部分系统管理工作给这些普用户，分配一部分系统管理工作给这些普通用户。通用户。二、备份和恢复导致数据损坏的原因：自然灾害，如火灾、水灾、地震等直接摧毁计算机系统。磁盘或其他存储介质被损坏导致数据无法访问。文件系统被损坏导致文件和目录被删除。软件问题致使重要文件被误删除。用户误操作致使重要文件被误删除。Linux备份工具Linux提供了许多工具来实现备份和恢复。有些工具可以实现本地备份和恢复，还有些能通过网络实现多台主机的网络备份。本地备份和恢复工具命令行工具来实现本地备份和恢复1tar工具2cpio工具3dump和restore工具网络备份工具Linux还有一些工具可以用来通过网络实现多台主机的网络备份，系统管理员可以在一台中央主机上创建和管理远程多台主机的备份。1Amanda2BackupPC3BaculaBackupPC，强有力的备份工具Ubuntu默认没有安装BackupPC.如果没有GNOME桌面环境（通常在Ubuntu服务器情况下），可以使用命令行安装BackupPC；如果有GNOME桌面环境，可以使用新立得安装BackupPC。总之，让Ubuntu成为BackupPC中央服务器是极其简单的事1命令行安装BackupPC2新立得安装BackupPC配置BackupPC开始用BackupPC备份开始用BackupPC备份三、系统安全许多人认为Linux操作系统不会受到黑客攻击和病毒的骚扰，这种观念是错误的。Linux和其他任何操作系统一样都不安全，因为他们都要在网络上进行通信。如果要让Linux绝对安全，只有一种可能性，就是使其无法连接网络，和其他任何设备隔开并封闭在屏蔽了电磁辐射的房间里。这样，计算机就失去了意义。网络防火墙防火墙主要分为3类：包过滤、服务代理和状态检查。以下简单说明这3种防火墙。1包过滤防火墙2服务代理防火墙3状态检查防火墙用Fwbuilder配置防火墙Firewall Builder（Fwbuilder）是一个可以配置数据包过滤的图形化应用程序。安装Fwbuilder非常简单。单击【系统】|【系统管理】|【新立得软件包管理器】命令，打开【新立得软件包管理器】窗口。使用ClamAV拒绝病毒ClamAV的主要特征是：命令行扫描程序。高效，多线程后台程序。支持数字签名的病毒库升级程序。支持病毒扫描C语言库。支持按访问扫描。病毒库每天多次升级。内置支持RAR（2.0），Zip，Gzip，Bzip2，Tar，MS OLE2，MS Cabinet files，MS CHM（压缩的HTML），MS SZDD压缩格式。内置支持mbox，Maildir和原始邮件文件格式。内置支持UPX，FSG，和Petite压缩的PE可执行文件。安装和配置ClamAV安装ClamAV：单击【系统】|【系统管理】|【新立得软件包管理器】命令，打开【新立得软件包管理器】窗口。寻找“clamav”，找到后标记并安装。ClamAV主要有两个配置文件，分别说明如下：1病毒库更新配置文件2ClamAV守护进程配置文件使用ACL拒绝没有授权的访问用户权限管理始终是Linux系统管理中最重要的环节。在日常的用户权限管理中，为了实现一些比较复杂的权限管理，往往不得不创建很多的组，并加以详细的记录和区分。使用ACL（访问控制列表）使用户权限管理变得更加灵活。一个文件或目录的访问控制列表，可以针对任意指定的用户或组分配读、写、执行权限。安装ACL安装ACL：单击【系统】|【系统管理】|【新立得软件包管理器】命令，打开【新立得软件包管理器】窗口。寻找“ACL”，找到后标记并安装。使用ACL（1）运行以下命令创建一个512KB的空白文件：sudo dd if=/dev/zero of=/opt/test count=512（2）运行以下命令使其和一个loop设备联系在一起：sudo losetup /dev/loop0 /opt/test（3）运行以下命令创建一个ext2的文件系统：sudo mke2fs /dev/loop0（4）运行以下命令挂载新建的文件系统：sudo mount -o rw,acl /dev/loop0 /mnt