linux用户管理及权限设置

Linux用户管理及权限设置

Linux 系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。实现用户账号的管理，要完成的工作主要有如下几个方面：

·用户账号的添加、删除与修改。

·用户口令的管理。

·用户组的管理。

注：此说明适用于Debian、Redhat、suse、Ubuntu、Fedora等众多linux系统，并对多少位没有区别。

一、Linux系统用户账号的管理

用户账号的管理工作主要涉及到用户账号的添加、修改和删除。

添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。

1、添加新的用户账号

添加新用户帐号使用useradd命令，其语法如下：

代码:

useradd 选项用户名

其中各选项含义如下：

代码:

-c comment 指定一段注释性描述。

-d 目录指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。

-g 用户组指定用户所属的用户组。

-G 用户组，用户组指定用户所属的附加组。

-s Shell文件指定用户的登录Shell。

-u 用户号指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。用户名指定新账号的登录名。

例1：

代码:

# useradd –d /home/olcs -m olcs

此命令创建了一个用户sam，

其中-d和-m选项用来为登录名sam产生一个主目录/home/olcs（/home为默认的用户主目录所在的父目录）。

例2：

代码:

# useradd -s /bin/bash -g olcs –G olcs,root

此命令新建了一个用户gem，该用户的登录Shell是/bin/bash，它属于olcs用户组，同时又属于root用户组，其中olcs用户组是其主组。

这里可能新建组：#groupadd olcs

增加用户账号就是在/etc/passwd文件中为新用户增加一条记录，同时更新其他系统文件如/etc/shadow, /etc/group等。

Linux提供了集成的系统管理工具userconf，它可以用来对用户账号进行统一管理。

2、删除帐号

如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd 等系统文件中的该用户记录删除，必要时还删除用户的主目录。删除一个已有的用户账号使用userdel命令，其格式如下：

代码:

userdel 选项用户名

常用的选项是-r，它的作用是把用户的主目录一起删除。

例如：

代码:

# userdel -r olcs

此命令删除用户olcs在系统文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的记录，同时删除用户的主目录。

3、修改帐号

修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。

修改已有用户的信息使用usermod命令，其格式如下：

代码:

usermod 选项用户名

常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等，这些选项的意义与useradd命令中的选项一样，可以为用户指定新的资源值。另外，有些系统可以使用如下选项：

代码:

-l 新用户名

这个选项指定一个新的账号，即将原来的用户名改为新的用户名。

例如：

代码:

# usermod -s /bin/csh -d /home/zinglabs –g olcsteam olcs

此命令将用户olcs的登录Shell修改为csh，主目录改为/home/zinglabs，用户组改为olcsteam。

4、用户口令的管理

用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令，但是被系统锁定，无法使用，必须为其指定口令后才可以使用，即使是指定空口令。

指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令，普通用户只能用它修改自己的口令。命令的格式为：

代码:

passwd 选项用户名

可使用的选项：

代码:

-l 锁定口令，即禁用账号。

-u 口令解锁。

-d 使账号无口令。

-f 强迫用户下次登录时修改口令。

如果默认用户名，则修改当前用户的口令。

例如，假设当前用户是olcs，则下面的命令修改该用户自己的口令：

代码:

$ passwd

Old password:******

New password:*******

Re-enter new password:*******

如果是超级用户，可以用下列形式指定任何用户的口令：

代码:

# passwd olcs

New password:*******

Re-enter new password:*******

普通用户修改自己的口令时，passwd命令会先询问原口令，验证后再要求用户输入两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而超级用户为用户指定口令时，就不需要知道原口令。

为了系统安全起见，用户应该选择比较复杂的口令，例如最好使用8位长的口令，口令中包含有大写、小写字母和数字，并且应该与姓名、生日等不相同。

为用户指定空口令时，执行下列形式的命令：

代码:

# passwd -d olcs

此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。

passwd命令还可以用-l(lock)选项锁定某一用户，使其不能登录，例如：

代码:

# passwd -l olcs

备注：/usr/bin/passwd 是修改用户密码的程序密码记录在/etc/shadow

/etc/passwd是用户数据库，其中的域给出了用户名、加密口令和用户的其他信息. /etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件。影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中，而后者只对超级用户( r o o t )可读。Linux /etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。

5、口令时效

口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage []

下面列出了chage命令的选项说明：

-m days：指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

-M days：指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

-d days：指定从1970年1月1日起，口令被改变的天数。

-I days：指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

-E date：指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

-W days：指定口令过期前要警告用户的天数。

-l：列出指定用户当前的口令时效信息，以确定帐号何时过期。

例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，并且口令过期前5天通知用户

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用户user1当前的口令时效信息：chage -l user1

提示：1）可以使用chage 进入交互模式修改用户的口令时效。

2）修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

二、Linux系统用户组的管理

每个用户都有一个用户组，系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同，如Linux下的用户属于与它同名的用户组，这个用户组在创建用户时同时创建。

用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。

1、增加一个新的用户组

增加一个新的用户组使用groupadd命令，其格式如下：

代码:

groupadd 选项用户组

可以使用的选项有：

代码:

-g GID 指定新用户组的组标识号（GID）。

-o 一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。

例1：

代码:

# groupadd olcs

此命令向系统中增加了一个新组olcs，新组的组标识号是在当前已有的最大组标识号的基础上加1。

例2：

代码:

#groupadd -g 101 group1

此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。

2、删除已有用户组

如果要删除一个已有的用户组，使用groupdel命令，其格式如下：

代码:

groupdel 用户组

例如：

代码:

#groupdel group1

此命令从系统中删除组group1。

3、修改用户组的属性

修改用户组的属性使用groupmod命令。其语法如下：

代码:

groupmod 选项用户组

常用的选项有：

代码:

-g GID 为用户组指定新的组标识号。

-o 与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。-n新用户组将用户组的名字改为新名字

例1：

代码:

# groupmod -g 102 group1

此命令将组group1的组标识号修改为102。

例2：

代码:

# groupmod –g 10000 -n group2 group1

此命令将组group1的标识号改为10000，组名修改为group2。

4、用户在用户组间切换

如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。例如：

代码:

$ newgrp root

这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。

让Linux系统中的普通用户也有超级用户的权限

三、目录权限管理

1、3种基本权限

在Linux中，将使用系统资源的人员分为4类：超级用户、文件或目录的属主、属主的同组人和其他人员。超级用户拥有对Linux系统一切操作权限，对于其他3类用户都要指定对文件和目录的访问权限。

代表字符对应数值权限对文件的含义对目录的含义r 4 读可以读文件的内容可以列出目录中的文件列表

w 2 写可以修改该文件可以在目录中创建删除文件

x 1 可执行可以执行该文件可以使用cd命令进入该目录

- 0 无

2、查看文件和目录的权限

可以使用带l参数的ls命令查看文件或目录的权限

每一行显示一个文件或目录的信息，这些信息包括文件的类型、文件的权限、文件的属主和文件的所属组，还有文件的大小以及创建时间和文件名。输出列表中每一行第一列的第一个字母指示了该文件的类型。各种文件类型及代表字符如下：

-：普通文件

b：块文件设备，是特殊的文件类型

d：目录文件，事实上在ext2fs中，目录是一个特殊的文件

c：字符文件设备，是特殊的文件类型

l：符号链接文件，实际上它指向另一个文件

s、p：管道文件，这些文件关系到系统的数据结构和管道，通常很少见到第一列的其余9个字母可分为三组，3个字母一组，这3组分别代表：文件属主的权限、文件所属组的权限和其他用户的权限。每组中的3个栏位分别表示读、写、执行权限。

第2～10个字符当中的每3个为一组，左边三个字符表示所有者权限，中间3个字符表示与所有者同一组的用户的权限，右边3个字符是其他用户的权限。这三个一组共9个字符，代表的意义如下：

r(Read，读取)：对文件而言，具有读取文件内容的权限；对目录来说，具有浏览目录的权限。

w(Write,写入)：对文件而言，具有新增、修改文件内容的权限；对目录来说，具有删除、移动目录内文件的权限。

x(eXecute，执行)：对文件而言，具有执行文件的权限；对目录了来说该用户具有进入目录的权限。

－：表示不具有该项权限。

3、更改操作权限（chmod/chown）

系统管理员和文件属主可以根据需要来设置文件的权限，有两种设置方法：文字设定法和数值设定法。

（1）文字设定法

chomd的文字设定法的格式为：chmod [ugoa][+-=][rwxugo]

第1个选项表示要赋予权限的用户，具体说明如下：

u：属主 g：所属组用户 o：其他用户 a：所有用户

第2个选项表示要进行的操作，具体说明如下：

+：增加权限 -：删除权限 =：分配权限，同时将原有权限删除第3个选项是要分配的权限，具体说明如下：

r/x/w：允许读取/写入/执行 u/g/o：和属主/所属组用户/其他用户的权限相同例如：

chmod go -r users //取消组用户和其他用户对文件users的读取权限

chmod u+x users //对文件users的属主增加招待权限

chmod u+x,go-r users //对文件users的属主添加执行权限，同时取消组用户和其

他用户对文件的读取权限

（2）数值设定法

chmod的数值设定法的格式为：chmod n1n2n3

其中n1、n2、n3分别代表属主的权限、组用户的权限和其他用户的权限，这三个选项

都是八进制数字。

例如：

chmod 755 adduser //对文件adduser的属设置可读、写和执行的权限，所属组和

其他用户只设置读和执行权限，没有写权限

chmod 600 user1 //取消组用户和其他用户对文件user1的一切权限（原权限

为-rw-rCrC）

备注：加入想一次修改某个目录下所有文件的权限，包括子目录中的文件权限也要修改，要使用参数－R表示启动递归处理。

4、更改属组或同组人

改变文件的属主和组可以用chown命令，命令格式为：chown [-R] 。

例如：

chmod osmond user1 //将文件user1的属主改为osmond

chmod osmond.osmond user1 //将文件user1的属主和组都改成osmond

chmod -R osmond.osmond mydir //将mydir目录及其子目录下的所有文件或目录的属主和组都改成osmond

5、设置文件和目录的生成掩码

用户可以使用umask命令设置文件夹的默认生成掩码。默认的生成掩码告诉系统当创建一个文件或目录时不应该赋予哪些权限。如果用户将umask命令放在环境文件（.bash_profile）中，就可以控制所有的新建文件或目录的访问权限。其命令格式为：umask [u1u2u3]其中，u1、u2、u3分别表示的是不允许属主有的权限、不允许同组人有的权限和不允许其他人有的权限。

例如：

umask 022 //设置不允许同组用户和其他用户有写权限 umask //显示当

前的默认生成掩码

用法非常简单，只需执行umask 777 命令，便代表屏蔽所有的权限，因而之后建立的文件或目录，其权限都变成000，依次类推。通常root帐号搭配umask命令的数值为022、

027和077，普通用户则是采用002，这样所产生的权限依次为755、750、700、775。

用户登录系统时，用户环境就会自动执行rmask命令来决定文件、目录的默认权限。6、特殊权限设置

（1）SUID、SGID和sticky-bit

除了上述的基本权限之外，还有所谓的特殊权限存在。由于特殊权限会拥有一些“特权”，因而用户若无特殊需要，不应该去打开这些权限，避免安全方面出现严重漏洞，甚至摧毁系统。下面列出了3个特殊权限的说明：

SUID：当一个设置了SUID位的可执行文件被执行时，该文件以所有者的身份运行，也就是说无论谁来执行这个文件，他都拥有文件所有者的特权，可以任意存取该文

件拥有者能使用的全部系统资源。如果所有者是root，那么执行人就有超级用户的特权了。

SGID：当一个设置了SGID位的可执行文件被执行时，该文件将具有所属组的特权，任意存取整个组所能使用的系统资源；若一个目录设置了SGID，则所有被复制到这个目录下的文件，其所属的组都会被重设为和这个目录一样，除非在复制文件时加上-p（preserve，保留文件属性）参数，才能保留原来所属的群组设置。

sticky-bit：对一个文件设置了sticky-bit之后，尽管其他用户有写权限，也必须由属主执行删除、移动等操作，对一个目录设置了sticky-bit之后，存放在该目录下的文件仅允许其属主执行删除、移动等操作。

一个设置了SUID的典型例子是passwd程序，它允许普通用户改变自己的口令，这是通过改变/etc/shadow文件的口令字段来实现的。然而系统管理员决不允许普通用户拥有直接改变/etc/shadow文件的权限。解决方法是将passwd程序设置SUID，当passwd被执行时将拥有超级用户的权限，而passwd程序运行结束又回到普通用户的权限，下面是显示passwd 程序的权限：

一个设置了sticky-bit的典型例子是系统临时文件目录/tmp，这避免了不守法的用户存心搞鬼，恣意乱删其他用户存放的文件。下面显示/tmp 目录的权限：

（2）SUID、SGID和sticky-bit的表示

从上面的显示可以看出，SUID是占用属主的x位置为表示的；SGID是占用组的x位置来表示的；sticky-bit是占用其他人的x位置来表示的。在表示上有大小定之分，假若同时设置执行权限和SUID、SGID和sticky-bit，权限标识字符是小写的；倘若关闭执行权限，则标识字符会变成大写。

（3）设置特殊权限

使用chmod命令设置特殊权限，仍然有字符设定法和数值设定法之分。使用字符设定法时，可以使用s和t权限字符，

例如：

chmod u+s /usr/bin/myapp //为程序/usr/bin/myapp添加SUID权限

chmod g+s /home/groupspace //为目录/home/groupspace添加SGID权限

chmod o+t /home/share //为目录/home/share添加sticky-bit权限

使用chmod的数值设定法时，要使用4位八进制数值，其中第一位八进制数用于设置特殊权限，后三位八进制数用于设置基本权限。

例如：

chmod 4755 /usr/bin/myapp //设置SUID

chmod 2755 /home/groupspace //设置SGID

chmod 1755 /home/share //设置sticky-bit

附录：

1、用户和组状态命令

whoami：用于显示当前用户的名称

groups []：用于显示指定用户所属的组，若未指定用户，则显示当前用户所属的组id：用于显示用户当前的UID、GID和用户所属的组列表

su [-][]：用于转换当前用户到指定的用户帐号，若不指定用户名则转换当前用户到root；

若使用参数“-”，则在转换当前用户的同时转换用户工作环境。

newgrp []：用于转换用户的当前组到指定的附加组，用户必须属于该组才可以进行。

2、Linux下的帐户系统文件

Linux下的帐户系统文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow 4个。（1）/etc/passwd文件中每行定义一个用户帐号，一行中又划分为多个不同的字段定义用户帐号的不同属性，各字段用“：”隔开。

各字段定义如下：

第一字段：用户登录系统时使用的用户名，它在系统中是唯一的。

第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；第三字段：UID, 是一个整数，系统内部用它来标识用户。每个用户的UID都是唯一的。root 用户的UID是0，1~499是系统的标准帐户，普通用户从500开始。

第四字段：GID, 是一个整数，系统内部用它来标识用户所属的组。

第五字段：注释性描述，例如存放用户名全称等信息，这是可选的

第六字段：用户home目录所在位置，即用户登录系统后进入的目录。

第七字段：批示该用户使用的shell，Linux默认为bash。

例：

给linux系统添加一个帐号:

useradd -g mysql -d /home/test -m test(:新建一个用户test, 属于mysql组,开始目录是/home/test)

然后进入/etc/passwd,可以看到刚加的用户的信息。如下

test:x:504:501::/home/test:/bin/bash

（2）/etc/passwd文件对任何用户均可读，为了增加系统安全性，用户的口令通常用shadow passwords保护。/etc/shadow只对root用户可读。在安装系统时，会询问用户是否启用shadow passwords功能。在安装好系统后也可以用pwconv命令和pwunconv来启动或取消shadow

passwords保护。经过shadow passwords保护的帐户口令和相关设置信息保存在/etc/shadow 文件里。

各字段意义如下：

第一字段：用户的帐户名同/etc/passwd ，字段非空；

第二字段：用户的口令，是加密过的；

第三字段：上次修改口令的时间；从1970年1月1日起，到用户最后一次更改口令的天数；第四字段：两次修改口令间隔最少的天数；字段值为空，帐号永久可用；

第五字段：两次修改口令间隔最多的天数；字段值为空，帐号永久可用；(99999表示不需要变更)

第六字段：在用户口令过期之前多少天提醒用户更新；字段值为空，帐号永久可用；

第七字段：在口令过期之后多少天禁用此用户；如果这个字段的值为空，帐号永久可用；第八字段：在用户口令过期之后到禁用帐户的天数（从1970年的1月1日开始的天数），字段值为空，帐号永久可用；

第九字段：标志，保留位；

（3）/etc/group文件。将用户分组是Linux中对用户进行管理及控制访问权限的一种手段。当一个用户同时是多个组的成员时，在/etc /passwd中记录的是用户所属的主组，也就是登录时所属的默认组，而其他的组称为附加组。用户要访问附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组的成员。组的所有属性都存放在/etc/group中，此文件对任何用户均可读。

各字段意义如下：

第一字段：用户组名称；

第二字段：用户组口令，由于安全性原因，已不使用该字段保存口令，用“x”占位；

第三字段：GID，组的识别号，和UID类似，每个组都有自己独有的ID号，不同组的GID 不会相同

第四字段：用户列表，每个用户之间用,号分割；本字段可以为空；如果字段为空表示用户

组为GID的用户名

（4）/etc/gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取。

各字段意义如下：

第一字段：用户组名称，该字段与group文件中的组名称对应；

第二字段：用户组口令，该字段用于保存已加密的口令；

第三字段：组的管理员帐号，管理员有权对该组添加、删除帐号；

第四字段：属于该组的用户成员列表，用“，”分隔；

提示：帐户管理的实质就是管理上述的4个帐户系统文件。

3、Chmod命令详解

指令名称: chmod

使用权限: 所有使用者

使用方式: chmod [-cfvR] [--help] [--version] mode file...

说明: Linux/Unix 的档案存取权限分为三级: 档案拥有者、群组、其他。利用chmod 可以藉

以控制档案如何被他人所存取。

mode : 权限设定字串，格式如下: [ugoa...][[+-=][rwxX]...][,...]，其中u 表示该档案的拥有者，g 表示与该档案的拥有者属于同一个群体(group)者，o 表示其他以外的人，a 表示这三者皆

是。

+ 表示增加权限、- 表示取消权限、= 表示唯一设定权限。

r 表示可读取，w 表示可写入，x 表示可执行，X 表示只有当该档案是个子目录或者该档案已经被

设定过为可执行。

-c : 若该档案权限确实已经更改，才显示其更改动作

-f : 若该档案权限无法被更改也不要显示错误讯息

-v : 显示权限变更的详细资料

-R : 对目前目录下的所有档案与子目录进行相同的权限变更(即以递回的方式逐个变更)

--help : 显示辅助说明

--version : 显示版本

范例:将档案file1.txt 设为所有人皆可读取:

chmod ugo+r file1.txt

4、Chown命令详解

指令名称: chown

使用权限: root

使用方式: chown [-cfhvR] [--help] [--version] user[:group] file...

说明: Linux/Unix 是多人多工作业系统，所有的档案皆有拥有者。利用chown 可以将档案的拥

有者加以改变。一般来说，这个指令只有是由系统管理者(root)所使用，一般使用者没有权限可以

改变别人的档案拥有者，也没有权限可以自己的档案拥有者改设为别人。只有系统管理者(root)才

有这样的权限。

user : 新的档案拥有者的使用者

IDgroup : 新的档案拥有者的使用者群体(group)

-c : 若该档案拥有者确实已经更改，才显示其更改动作

-f : 若该档案拥有者无法被更改也不要显示错误讯息

-h : 只对于连结(link)进行变更，而非该link 真正指向的档案

-v : 显示拥有者变更的详细资料

-R : 对目前目录下的所有档案与子目录进行相同的拥有者变更(即以递回的方式逐个变更) --help : 显示辅助说明

--version : 显示版本

范例:

将档案file1.txt 的拥有者设为users 群体的使用者jessie :

chown jessie:users file1.txt

统一用户及权限管理系统概要设计说明书范文

统一用户及权限管理系统概要设计说 明书

统一用户及权限管理系统 概要设计说明书 执笔人：K1273-5班涂瑞 1．引言 1．1编写目的 在推进和发展电子政务建设的进程中，需要经过统一规划和设计，开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台能够实现用户一次登录、网内通用，避免多次登录到多个应用的情况。另外，能够对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理，实现多层次统一授权，审计各种权限的使用情况，防止信息共享后的权限滥用，规范今后的应用系统的建设。 本文档旨在依据此构想为开发人员提出一个设计理念，解决在电子政务整合中遇到的一些问题。 1．2项目背景 随着信息化建设的推进，各区县的信息化水平正在不断提升。截至当前，在各区县的信息化环境中已经建设了众多的应用系统并投入日常的办公使用，这些应用系统已经成为电子政务的重要组成部分。 各区县的信息体系中的现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的，如：邮件系统、政府内

部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中，大多数都有自成一体的用户管理、授权及认证系统，同一用户在进入不同的应用系统时都需要使用属于该系统的不同账号去访问不同的应用系统，这种操作方式不但为用户的使用带来许多不便，更重要的是降低了电子政务体系的可管理性和安全性。 与此同时，各区县正在不断建设新的应用系统，以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。 1．3定义 1.3.1 专门术语 数据字典：对数据的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述，其目的是对数据流程图中的各个元素做出详细的说明。 数据流图：从数据传递和加工角度，以图形方式来表示系统的逻辑功能、数据在系统内部的逻辑流向和逻辑变换过程，是结构化系统分析方法的主要表示工具及用于表示软件模型的一种图示方法。 性能需求：系统必须满足的定时约束或容量约束。 功能需求：系统必须为任务提出者提供的服务。 接口需求：应用系统与她的环境通信的格式。 约束：在设计或实现应用系统时应遵守的限制条件，这些

LINUX如何判断指定用户对指定目录具有的权限具体介绍

脚本名：power.sh 脚本内容： 代码如下: #!/bin/sh username3=$1 dir_name2=$2 # get existing directory file_path=$dir_name2 while true do if [ -d $file_path ];then break; fi file_path=${file_path%/*} done dir_name2=$file_path # Judge whether the user exists grep ^$username3: /etc/passwd ;/dev/null if [ $? -ne 0 ];then echo This user $username3 does not exist. exit 4 fi

#echo username : $username3 group4=` grep ^$username3: /etc/passwd |awk -F : {'print $4'}|xargs -i grep {} /etc/group|cut -d: -f1` #echo group : $group4 su -l $username3 -c test -r $dir_name2 is_read=$? su -l $username3 -c test -x $dir_name2 is_exe=$? su -l $username3 -c test -w $dir_name2 is_write=$? $is_read_str $is_exe_str $is_write_str if [ $is_read -eq 0 ];then is_read_str=r else is_read_str=- fi if [ $is_exe -eq 0 ];then is_exe_str=x else is_exe_str=-

系统用户及权限管理制度

航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名；用户ID的主数据的建立；用户ID的增加、修改；用户ID的终止；用户密码的修改；用户ID的锁定和解锁；临时用户的管理；应急用户的管理；用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员（以下简称系统管理员）在系统中不得任意增加、修改、删除用户ID，必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作，并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全，不得对外泄漏，防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况，防止非法授权用户恶意登录系统，保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责，各部门领导要对本部门用户的行为负责。

第六条 用户ID的命名由系统管理员执行，用户ID命名应遵循用户ID的命名规则，不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一，在用户ID发生改变时，用户管理员应及时保证主数据库的更新，并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档，不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一： 1、因工作需要新增或修改用户ID； 2、用户ID持有人改变； 3、用户ID封存、冻结、解冻； 4、单位或部门合并、分离、撤消； 5、岗位重新设置； 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条

linux 新建用户、用户组及用户权限

Linux 系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。 实现用户账号的管理，要完成的工作主要有如下几个方面： ·用户账号的添加、删除与修改。 ·用户口令的管理。 ·用户组的管理。 一、Linux系统用户账号的管理 用户账号的管理工作主要涉及到用户账号的添加、修改和删除。 添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目录和登录Shell 等资源。刚添加的账号是被锁定的，无法使用。 1、添加新的用户账号使用useradd命令，其语法如下： 代码: useradd 选项用户名 其中各选项含义如下： 代码: -c comment 指定一段注释性描述。 -d 目录指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。 -g 用户组指定用户所属的用户组。 -G 用户组，用户组指定用户所属的附加组。 -s Shell文件指定用户的登录Shell。 -u 用户号指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。 用户名指定新账号的登录名。 例1： 代码: # useradd –d /usr/sam -m sam 此命令创建了一个用户sam， 其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam（/usr为默认的用户主目录所在的父目录）。 例2： 代码: # useradd -s /bin/sh -g group –G adm,root gem 此命令新建了一个用户gem，该用户的登录Shell是/bin/sh，它属于group用户组，同时又属于

最经典用户权限管理模块设计

实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要，C/S系统因为具有特殊的客户端，所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现，而B/S中，浏览器是每一台计算机都已具备的，如果不建立一个完整的权限检测，那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测，让经过授权的用户可以正常合法的使用已授权功能，而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其下员工逐一分配系统操作权限的话，是件耗时且不够方便 的事情。所以，系统中就提出了对“组”进行操作的概念，将权限一致 的人员编入同一组，然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用，而不是每开发一套 管理系统，就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权限的管理，而另外一种则是资源权限的管理，在不同系统 之间，功能权限是可以重用的，而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念，在设计阶段，系统设计人员无须考虑程序结构的设计，而是从程序流程以及数据库结构开始入手。为了实现需求，数据库的设计可谓及其重要，无论是“组”操作的概念，还是整套权限管理系统的重用性，都在于数据库的设计。 我们先来分析一下数据库结构： 首先，action表（以下简称为“权限表”），gorupmanager表（以下简称为“管理组表”），以及master表（以下简称为“人员表”），是三张实体表，它们依次记录着“权限”的信息，“管理组”的信息和“人员”的信息。如下图：

Linux目录和权限设置

Linux文件和目录访问权限设置 一、文件和目录权限概述 在linux中的每一个文件或目录都包含有访问权限，这些访问权限决定了谁能访问和如何访问这些文件和目录。 通过设定权限可以从以下三种访问方式限制访问权限：只允许用户自己访问；允许一个预先指定的用户组中的用户访问；允许系统中的任何用户访问。同时，用户能够控制一个给定的文件或目录的访问程度。一个文件活目录可能有读、写及执行权限。当创建一个文件时，系统会自动地赋予文件所有者读和写的权限，这样可以允许所有者能够显示文件内容和修改文件。文件所有者可以将这些权限改变为任何他想指定的权限。一个文件也许只有读权限，禁止任何修改。文件也可能只有执行权限，允许它想一个程序一样执行。 三种不同的用户类型能够访问一个目录或者文件：所有着、用户组或其他用户。所有者就是创建文件的用户，用户是所有用户所创建的文件的所有者，用户可以允许所在的用户组能访问用户的文件。通常，用户都组合成用户组，例如，某一类或某一项目中的所有用户都能够被系统管理员归为一个用户组，一个用户能够授予所在用户组的其他成员的文件访问权限。最后，用户也将自己的文件向系统内的所有用户开放，在这种情况下，系统内的所有用户都能够访问用户的目录或文件。在这种意义上，系统内的其他所有用户就是other用户类。 每一个用户都有它自身的读、写和执行权限。第一套权限控制访问自己的文件权限，即所有者权限。第二套权限控制用户组访问其中一个用户的文件的权限。第三套权限控制其他所有用户访问一个用户的文件的权限，这三套权限赋予用户不同类型（即所有者、用户组和其他用户）的读、写及执行权限就构成了一个有9种类型的权限组。 我们可以用-l参数的ls命令显示文件的详细信息，其中包括权限。如下所示： [root@localhost ~]# ls -lh 总用量 368K -rw-r--r-- 1 root root 12K 8月 15 23:18 conkyrc.sample drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop -r--r--r-- 1 root root 325K 10月 22 21:08 libfreetype.so.6

实验五、用户管理与权限管理

实验五、用户管理和权限管理 一、实验目的 1、掌握对系统用户和组的建立与管理。 2、掌握linux的文件访问权限和访问权限类型。 3、掌握如何设置文件访问权限。 二、实验重点与难点 1、学会使用useradd、usermod和userdel命令 2、学会使用chmod设置文件权限 三、实验内容及步骤 1)查看/etc/passwd文件和/etc/shadow文件内容，识别该文件中记录的信 息内容。 2)使用YaST创建新用户user1和用户组group1，将用户user1加入到组 group1。 3)用useradd命令建立2个用户admin和geeko（注意要求创建用户主目 录），设定好对应的用户密码，再用groupadd命令建立一个用户组school。 4)使用命令将admin用户改名为administrator。 5)使用命令将administrator账户锁定，然后再使用该账户登录系统，观 察会发生什么？然后再将账号解除锁定。 6)将linux系统注销使用geeko账号登录，在geeko的主目录下创建两个 新的文件K1,K2。在/tmp目录下创建两个文件W1,W2。 7)删除geeko账号及其主目录。并尝试删除所有属于geeko用户的文件。 8)在/tmp目录中创建两个新文件newfile，test，将newfile文件访问权限 设置为rwxrw-rw-，test文件访问权限设置为rwxr--r-- 。 9)使用su命令将用户身份切换至administrator，将“I can read and write”写入newfile文件中，并保存。是否可以对test文件进行编辑？ 10)如果要实现其他用户对test文件的编辑权限，应该如何设置该文件的 权限？写出操作的命令。 11)创建一个目录directory，将目录访问权限设置为rwxrwxrw-。

linux用户权限的管理

linux用户权限的管理 linux用户权限的管理 Posted on 2009-09-24 10:13 Prayer 阅读(2405) 评论(0) 编辑收藏引用所属分类: U基础管理 在Linux操作系统中，root的权限是最高的，也被称为超级权限的拥有者。普通用户无法执行的操作，root用户都能完成，所以也被称之为超级管理用户。在系统中，每个文件、目录和进程，都归属于某一个用户，没有用户许可其它普通用户是无法操作的，但对root除外。root用户的特权性还表现在root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除（在系统正常的许可范围内）；对可执行程序的执行、终止；对硬件设备的添加、创建和移除等；也可以对文件和目录进行属主和权限进行修改，以适合系统管理的需要（因为root是系统中权限最高的特权用户）；一、对超级用户和普通用户的理解；1、什么是超级用户；在所有Linux系统中，系统都是通过UID来区分用户权限级别的，而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作，所以说超级用户

可以完成系统管理的所有工具；我们可以通过/etc/passwd 来查得UID为0的用户是root，而且只有root对应的UID 为0，从这一点来看，root用户在系统中是无可替代的至高地位和无限制权限。root 用户在系统中就是超级用户；2、理解UID 和用户的对应关系当系统默认安装时，系统用户和UID 是一对一的对关系，也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的，我们在《用户（user）和用户组（group）配置文件详解》中的UID 的解说中有谈到?UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名；把几个用户共用一个UID 是危险的，比如我们把普通用户的UID 改为0，和root共用一个UID ，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo 来实现；切不可随意让一个用户和root分享同一个UID ；?在系统中，能不能让UID 和用户是一对多的关系？是可以的，比如我们可以把一个UID为0这个值分配给几个用户共同使用，这就是UID 和用户的一对多的关系。但这样做的确有点危险；相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后，事实上这个普通用户就具有了超级权限，他的能力和权限和root用户一样；用户beinan所有的操作都将被标识为root 的操作，因为beinan的UID为0,而UID为0的用户是root ，

统一用户及权限管理

文件编号： 统一用户及权限管理平台 解决方案及设计报告 版本号0.9

拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________

目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理.......................................................................................................... 错误！未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)

实训-Linux下用户和组的管理和权限命令操作

实训4 Linux下用户和组的管理、权限及相关命令 一.实验目的： 1．掌握在Linux系统下利用命令方式实现用户和组的管理； 2．掌握Linux权限命令的基本使用； 二.实验内容： 1．用户和组的建立和管理； 2．Red Hat Linux 9.0系统下权限操作命令的使用； 三.实验步骤： 1.用户的管理 1) 创建一个新用户user01，设置其主目录为/home/user01： #useradd -d /home/user01 -m user01 #useradd -m -u 2046 -g 1000 -d /tmp/hdf -s /bin/tcsh -c friend hdf 2) 查看文件/etc/passwd和文件/etc/shadow的最后2行，查看是如何记录的。 #more /etc/passwd #more /etc/shadow #more /etc/group 3)给用户user01设置密码： #passwd user01 4) 再次查看文件/etc/passwd和文件/etc/shadow的最后一行，看看有什么变化。 #more /etc/passwd # more /etc/shadow 5)使用Putty连接主机，在终端上用user01用户登录系统，看能否登录成功。 登录成功后显示user01的当前工作目录： $pwd 6) 锁定用户user01，在主机上使用：

#passwd -l user01 7) 查看文件/etc/shadow文件的最后一行，看看有什么变化。 # more /etc/shadow 8) 再次使用Putty连接主机，在终端上用user01用户登录系统，看能否登录成功。 9) 解除对用户user01的锁定： #passwd -u user01 10) 查看usermod命令的联机手册： #man usermod 11) 使用usermod给user01加上注释：”this is a test user”，如何操作， 给出操作命令，并查看文件/etc/passwd的最后一行，看看有什么变化： #less /etc/passwd 12) 使用usermod更改用户user01的帐户名为user03，如何操作，给出操作命令， 并查看文件/etc/passwd的最后一行，看看有什么变化： #less /etc/passwd 2.组的管理 1) 创建一个新组stuff，gid为10000： #groupadd -g 10000 stuff 2) 查看/etc/group文件的最后一行，看看是如何设置的。 # cat /etc/group 3) 创建一个新帐户user02，并把他的起始组和附属组都设为stuff： #useradd –g stuff –G stuff user02 4) 查看/etc/group文件的最后一行，看看有什么变化。 # cat /etc/group 5) 将用户user01增加到组stuff中： #usermod –G 10000 user01

MYSQL用户管理和权限管理

MYSQL用户管理和权限管理 MYSQL是一个多用户的数据库，MYSQL的用户可以分为两大类： 1.超级管理员用户（root），拥有全部权限 Root用户的权限包括：创建用户、删除用户和修改普通用户密码等管理权限。 2.普通用户，由root创建，普通用户只拥有root所分配的权限（普通用户只拥有创建用户是赋予它的权限。） 普通用户的权限包括：管理用户的账户、权限等。 一、权限表 最重要：user表、db表、host表； 除此之外还有tables_priv表、columns_priv表和proc_priv表等。 二、账户管理 1.登陆与退出MySQL服务器 2. 新建普通用户 （1）用CREATE USER语句新建普通用户 （2）用INSERT语句新建普通用户 A： B: （3）用GRANT语句来新建普通用户

3.删除普通用户 （1）用DROP USER语句删除普通用户 （2）用DELETE语句删除普通用户 4.root用户修改自己的密码 Root用户拥有最高的权限，因此必须保证root用户的密码的安全。（1）使用mysqladmin命令修改root用户的密码 （2）修改mysql数据库下的user表 （3）使用SET语句修改root用户的密码 5.root修改普通用户的密码 root用户不仅能修改自己的密码，还可以修改普通用户的密码。（1）使用SET语句修改普通用户的密码 （2）修改mysql数据库下的user表

（3）用GRANT语句修改普通用户的密码 6.普通用户修改密码 7.Root用户密码丢失的解决办法 （1）使用--skip-grant-tables选项启动MySQL服务 （2）登陆root用户，并且设置新密码 通过以上的方式启动MySQL服务后，可以不输入密码就登陆root用户。 登陆以后用UPDATE语句来修改密码。 （3）加载权限表 修改完密码后必须用FLUSH PRIVILEGES语句来加载权限表。加载权限后，新密码开始有效。而且，MySQL服务器开始进行权限认证。用户必须输入用户和密码才能登陆MySQL数据库。 三、权限管理 1.MySQL的各种权限

Linux超级用户权限控制

在Linux操作系统中，root的权限是最高的，也被称为超级权限的拥有者。普通用户无法执行的操作，root用户都能完成，所以也被称之为超级管理用户。 在系统中，每个文件、目录和进程，都归属于某一个用户，没有用户许可其它普通用户是无法操作的，但对root除外。root用户的特权性还表现在root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除（在系统正常的许可范围内）；对可执行程序的执行、终止；对硬件设备的添加、创建和移除等；也可以对文件和目录进行属主和权限进行修改，以适合系统管理的需要（因为root是系统中权限最高的特权用户）； 一、对超级用户和普通用户的理解； 1、什么是超级用户； 在所有Linux系统中，系统都是通过UID来区分用户权限级别的，而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作，所以说超级用户可以完成系统管理的所有工具；我们可以通过/etc/passwd 来查得UID为0的用户是root，而且只有root对应的UID为0，从这一点来看，root用户在系统中是无可替代的至高地位和无限制权限。root用户在系统中就是超级用户； 2、理解UID 和用户的对应关系 当系统默认安装时，系统用户和UID 是一对一的对关系，也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的，我们在《用户（user）和用户组（group）配置文件详解》中的UID 的解说中有谈到“UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名；把几个用户共用一个UID 是危险的，比如我们把普通用户的UID 改为0，和root共用一个UID ，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID ；” 在系统中，能不能让UID 和用户是一对多的关系？是可以的，比如我们可以把一个UID为0这个值分配给几个用户共同使用，这就是UID 和用户的一对多的关系。但这样做的确有点危险；相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后，事实上这个普通用户就具有了超级权限，他的能力和权限和root用户一样；用户beinan

实验5 账户与权限管理(答案)

实验六账户与权限管理 1.目的和要求 （1）练习Linux的账号管理命令。 （2）了解计算机用户和工作组的基本概念。 （3）掌握计算机用户的相关管理方法 2.实验环境 硬件：PC机软件：ubuntu操作系统、虚拟机 3.实验步骤 任务1：用户与组管理 1)新建用户student useradd student 2)修改student的密码为student123 passwd student Passwd: student123 ReType：student123 3)切换到第二个虚拟终端，并以student登录ctrl+alt+f2 4)切换到root权限su - 5)新建组students groupadd students 6)删除组students groupdel students 7)新建用户stu，并修改密码为stu123 useradd stu passwd stu123 8)修改stu的主目录为/root usermod –d /root stu 9)请问stu这个用户能登录么？为什么？ 10)修改stu用户的主目录为/home/stu usermod –d /home/stu stu 11)切换到另一个虚拟终端，并以stu登录 12)查询目前登陆到系统的用户who 13)发送广播hello（发送后切换到其他终端看看收到消息了么？然后切换回来） wall “hello”

14)结束会话。Ctrl+d 任务2：权限管理 1)设置文件权限 ●在用户主目录下创建目录test，进入test 目录创建空文件file1。并以 长格形式显示文件信息，注意文件的权限和所属用户和组。 ●对文件file1 设置权限，使其他用户可以对此文件进行写操作。并查看 设置结果。 ●取消同组用户对此文件的读取权限。查看设置结果。 ●用数字形式为文件file1 设置权限，所有者可读、可写、可执行；其他 用户和所属组用户只有读和执行的权限。设置完成后查看设置结果。 ●用数字形式更改文件file1 的权限，使所有者只能读取此文件，其他任 何用户都没有权限。查看设置结果。 ●为其他用户添加写权限。查看设置结果。

Linux用户权限管理之二(用户管理工具)

Linux用户权限管理之二（用户管理工具） 一.添加、切换、删除用户组命令groupadd/newgrp/groupdel 1．groupadd命令 用来新建一个用户组。语法格式为： groupadd [-g gid [-o]] [-r] [-f] group 各个选项具体含义如下： -g：指定新建用户组的GID号，该GID号必须唯一，不能和其它用户组的GID号重复。-o：一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。-n group_name：修改用户组名为group_name 例如： 创建一个linuxfans的用户组和一个fanslinux用户组，GID分别为1020和1030 [root@localhost ~]# groupadd -g 1020 linuxfans [root@localhost ~]# groupadd -g 1030 fanslinux [root@localhost ~]# more /etc/group|grep linuxfans linuxfans:x:1020: [root@localhost ~]# more /etc/group|grep fanslinux fanslinux:x:1030: 思考：如果实现下列两个命令 1：现在如果我想再创建一个组，组名为abc，gid为1030 2．newgrp命令

如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限，newgrp主要用于在多个用户组之间进行切换，语法格式为： newgrp <用户组> 例子：下面通过实例讲述newgrp的用法： 首先建立了3个用户组group1、group2和group3. [root@localhost ~]# groupadd group1 [root@localhost ~]# groupadd group2 [root@localhost ~]# groupadd group3 下面创建了一个用户user1，同时指定user1的主用户组为group1，附加用户组为group2和group3 [root@localhost ~]# useradd -g group1 -G group2,group3 user1 [root@localhost ~]# more /etc/group|grep user1 group2:x:501:user1 group3:x:502:user1 下面是对用户user1设置密码 [root@localhost ~]# passwd user1 Changing password for user user1. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. 下面是切换到user1用户下，通过newgrp切换用户组进行的一系列操作，从中可以看出newgrp的作用。

linux用户管理系统及权限设置

Linux用户管理及权限设置 Linux 系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。实现用户账号的管理，要完成的工作主要有如下几个方面： ·用户账号的添加、删除与修改。 ·用户口令的管理。 ·用户组的管理。 注：此说明适用于Debian、Redhat、suse、Ubuntu、Fedora等众多linux系统，并对多少位没有区别。 一、Linux系统用户账号的管理 用户账号的管理工作主要涉及到用户账号的添加、修改和删除。 添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。 1、添加新的用户账号 添加新用户帐号使用useradd命令，其语法如下： 代码: useradd 选项用户名 其中各选项含义如下： 代码: -c comment 指定一段注释性描述。 -d 目录指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。 -g 用户组指定用户所属的用户组。 -G 用户组，用户组指定用户所属的附加组。 -s Shell文件指定用户的登录Shell。 -u 用户号指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。用户名指定新账号的登录名。 例1： 代码:

医院信息系统用户和权限管理制度

洛阳市第六人民医院医院 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行，防范应用风险，特制定本制度。 第二条本制度适用于基于角色控制和方法设计的各型信息系统，以及以用户口令方式登录的信息系统等。 第三条信息系统用户、角色、权限的划分和制定，以人事处对部门职能定位和各部门内部分工为依据。 第四条各系统用户和权限管理由医院办公室、医教科、人事处负责，所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是： （一）用户、权限和口令设置由系统管理员全面负责。 （二）用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。 （三）用户、权限和口令管理采用实名制管理模式。 （四）严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统用户管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信

息系统、提供用户操作培训和技术指导。 第七条用户职责 用户须严格管理自己用户名和口令，遵守保密性原则，除获得授权或另有规定外，不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。 第三章用户管理 第八条用户申请和创建 由人事处将人员名单报医教科，医教科报信息中心进行维护； 第九条用户变更和停用 （一）科室发现医师权限与实际情况不符由本人提出书面申请，经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。 （二）调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心，信息中心及时取消权限或调整相应权限。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规，遵守公司的规章制度，确保国家秘密和企业利益安全。 第十三条口令管理 （一）系统管理员创建用户时，应为其分配独立的初始密码，并单独告知申请人。

用户权限管理设计方案

用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理，需要建立用户、角色和权限等数据库表，并且建立之间的关系，具体实现如下。 1.1 用户 用户仅仅是纯粹的用户，用来记录用户相关信息，如用户名、密码等，权限是被分离出去了的。用户（User）要拥有对某种资源的权限，必须通过角色（Role）去关联。 用户通常具有以下属性： 编号，在系统中唯一。 名称，在系统中唯一。 用户口令。 注释，描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位，拥有一定数量的权限，通过角色赋予用户权限，通常具有以下属性： 编号，在系统中唯一。 名称，在系统中唯一。 注释，描述角色信息

1.3 权限 权限指用户根据角色获得对程序某些功能的操作，例如对文件的读、写、修改和删除功能，通常具有以下属性： 编号，在系统中唯一。 名称，在系统中唯一。 注释，描述权限信息 1.4 用户与角色的关系 一个用户（User）可以隶属于多个角色（Role），一个角色组也可拥有多个用户，用户角色就是用来描述他们之间隶属关系的对象。用户（User）通过角色（Role）关联所拥有对某种资源的权限，例如 用户（User）： UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… 角色（Role）： RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员

…… 用户角色（User_Role）： UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色 “系统管理员” 2 2 02 用户“李四”被分配到角 色“监控人员” 3 2 03 用户“李四”被分配到角色 “调度人员” …… 从该关系表可以看出，用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色（Role）可以拥有多个权限（Permission），同样一个权限可分配给多个角色。例如： 角色（Role）： RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 ……

linux用户权限及管理

1、创建组 groupadd test 修改组 groupmod -n test2 test 将名字改为test2 删除组 groupdel test 查看组 groups root 2、用户操作： -b 设置基本路径作为用户的登陆目录 usermod -b /home root; -c 对用户的注释… -d 设置用户的登陆目录 usermod -d /home root; -D 改变设置 usermod -D -e 设置用户的有效期 usermod -e 2013-2-1; -f 用户过期后，让密码无效 usermod -f root; -g 使用户只属于某个组 usermod -f www group2; -G 使用户加入某个组 usermod -f www group1; -h 帮助 -k（skel_dir）指定其他的skel目录（存放用户启动文件的目录） -k（key=value） -m 自动创建登陆目录 -l 不把用户加入到lastlog文件中 -M 不自动创建登陆目录 -r 建立系统账号 -o 允许用户拥有相同的UID -p 为新用户使用加密密码； -s 登录时候的shell… -u 为新用户指定一个UID;

-Z 删除用户：userdel www; 查看用户：w/who 查看自己的用户名： whoami 查看单个用户信息： finger root、id root; 查看用户登陆记录： last、lastb（成功和不成功） Linux 用户和用户组管理 Linux系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对 系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。 每个用户账号都拥有一个惟一的用户名和各自的口令。 用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。 实现用户账号的管理，要完成的工作主要有如下几个方面： 用户账号的添加、删除与修改。 用户口令的管理。 用户组的管理。 一、Linux系统用户账号的管理 用户账号的管理工作主要涉及到用户账号的添加、修改和删除。 添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、 主目录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。 1、添加新的用户账号使用useradd命令，其语法如下：

用户权限管理设计方案

盛年不重来，一日难再晨。及时宜自勉，岁月不待人。 用户权限管理设计方案 用户认证管理设计方案 1 设计思路 为了设计一套具有较强可扩展性的用户认证管理，需要建立用户、角色和权限等数据库表，并且建立之间的关系，具体实现如下。 1.1 用户 用户仅仅是纯粹的用户，用来记录用户相关信息，如用户名、密码等，权限是被分离出去了的。用户（User）要拥有对某种资源的权限，必须通过角色（Role）去关联。 用户通常具有以下属性： ?编号，在系统中唯一。 ?名称，在系统中唯一。 ?用户口令。 ?注释，描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位，拥有一定数量的权限，通过角色赋予用户权限，通常具有以下属性： ?编号，在系统中唯一。 ?名称，在系统中唯一。 ?注释，描述角色信息 1.3 权限 权限指用户根据角色获得对程序某些功能的操作，例如对文件的读、写、修改和删除功能，通常具有以下属性： ?编号，在系统中唯一。 ?名称，在系统中唯一。 ?注释，描述权限信息 1.4 用户与角色的关系 一个用户（User）可以隶属于多个角色（Role），一个角色组也可拥有多个用户，用户角色就是用来描述他们之间隶属关系的对象。用户（User）通过角色

（Role）关联所拥有对某种资源的权限，例如 ●用户（User）： UserID UserName UserPwd 1 张三xxxxxx 2 李四xxxxxx …… ●角色（Role）： RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●用户角色（User_Role）： UserRoleID UserID RoleID UserRoleNote 1 1 01 用户“张三”被分配到角色“系 统管理员” 2 2 02 用户“李四”被分配到角色“监 控人员” 3 2 03 用户“李四”被分配到角色“调 度人员” …… 从该关系表可以看出，用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色（Role）可以拥有多个权限（Permission），同样一个权限可分配给多个角色。例如： ●角色（Role）： RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员 …… ●权限（Permission）： PermissionID PermissionName PermissionNote 0001 增加监控允许增加监控对象 0002 修改监控允许修改监控对象 0003 删除监控允许删除监控对象 0004 察看监控信息允许察看监控对象 …… ●角色权限（Role_Permission）： RolePermissionID RoleID PermissionID RolePermissionNote