第8章 用户和组群账户管理1
03用户及组管理
2. passwd命令
格式: passwd [<选项>] [<用户名>] 功能:设置、修改用户的口令以及口令的属性,超级用户使用 useradd命令创建用户账户之后,需要使用passwd命令设 置初始口令,否则该用户不能被允许登录。 选项: -d用户名(delete) 删除用户的口令,则该用户账号无需口 令即可登录。 -l 用户名(lock) 暂时禁用指定的用户账号。 -u用户名(unlock) 恢复禁用用户账号。 -S用户名(status) 显示指定用户账号的状态
普通用户是在系统安装后由超级用户创建的, 通常完成指定权限的操作,而且也只能操作自 己所拥有权限的文件和目录,UID值500~6000
1.2 用户账号管理文件
用户帐号管理文件构成: 1)用户账号文件/etc/passwd 2)用户影子文件/etc/shadow 用户账号信息文件/etc/passwd组成: a.用户名:在系统中是唯一的,可由字母、数字和 符号组成。 b.口令:此字段存放加密口令。第二级 c.用户ID :系统内部用它来标识用户且唯一。 超级用户:UID=0,GID=0; 普通用户:UID≥500; 系统用户:0<UID<500。
5.其他的shell命令 1)id命令 格式:id [<选项>]用户名 功能:查看一个用户的UID和GID 选项: -g 只显示用户的组的GID -G 只显示用户的附属组的GID -u 只显示UID
2)whoami命令 格式:whoami 功能:用于显示当前用户的名称。
3)su命令
格式:su [-][<用户名>] 功能:转换当前用户到指定的用户账号。 选项: -用户名 在转换当前用户的同时转换用户工作环 境;若不指定用户名则转换当前用户到 root。
网络操作系统管理用户和组(1-3)
何规范用户权限的?
回答:通过用户账户来区分不同的用户,并且将用户帐户添加 到组中,通过规范组的权限来规范用户的权限。
课题引入-项目背景
Linux操作系统是一个多用户多任务的操作系统,允
许多个用户同时登录到系统,使用系统资源。为了使所有
用户的工作顺利进行,保护每个用户的文件和进程,规范 每个用户的权限,需要区分不同的用户,就产生了用户帐
创建用户账户时为 用户创建主目录
项目问题2- 用户账户的创建和管理
1. 新建用户 2. 设置用户账户口令 3. 用户帐户的维护
项目问题2- 新建用户
使用useradd或者adduser命令 Useradd命令的格式是: useradd [选项] <username> 例如:创建ph用户 若新建用户已经存在
用户邮箱目录
用户密码最长有效天数
用户密码最短有效天数 用户密码的最小长度 用户密码过期前提前警告的天数
项目问题1- /etc/login.defs文件
建立用户帐户时根据/etc/login.defs文件的配置设置用户帐户的某些 选项。
自动产生的最小UID 自动产生的最大UID 自动产生的最小GID 自动产生的最大GID 如果定义,则表示“删 除用户时,同时删除用 户的相关作业”
4.熟悉用户帐户管理器的使用方法
课题引入-应达到的职业能力
1.能熟练新建与管理用户账户 2.能熟练管理与维护组群账户 3.能熟练使用用户管理器管理用户和组群 4.能熟练使用账户管理的常用命令
项目问题1- 用户和组群文件
1. 用户和组群概述 2. 用户账户文件 3. 组群文件
项目问题1-用户和组群概述
项目问题2- passwd命令案例
实验三-用户和组的管理
实验项目3 用户和组的管理一、实验目的●熟悉Linux用户的访问权限。
●掌握在Linux系统中增加、修改、删除用户或用户组的方法。
●掌握用户账户管理及安全管理。
二、项目背景某公司有60个员工,分别在5个部门工作,每个人工作内容不同。
需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。
并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。
三、实验内容●用户的访问权限.●账号的创建、修改、删除。
●自定义组的创建与删除。
四、实验步骤子项目1.用户的管理● 创建一个新用户user01,设置其主目录为/home/user01:● 查看/etc/passwd文件的最后一行,看看是如何记录的。
● 查看文件/etc/shadow文件的最后一行,看看是如何记录的。
● 给用户user01设置密码:#passwd user01。
● 再次查看文件/etc/shadow文件的最后一行,看看有什么变化。
● 使用user01用户登录系统,看能否登录成功。
● 锁定用户user01:#passwd —l user01。
● 查看文件/etc/shadow文件的最后一行,看看有什么变化。
● 再次使用user01用户登录系统,看能否登录成功.● 解除对用户user01的锁定:#passwd -u user01● 更改用户user01的帐户名为user02:#usermod –l user02 user01。
● 查看/etc/passwd文件的最后一行,看看有什么变化。
● 删除用户user02.子项目2.组的管理● 创建一个新组,stuff:#groupadd stuff。
● 查看/etc/group文件的最后一行,看看是如何设置的。
● 创建一个新帐户user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff –G stuff user02。
● 查看/etc/group文件中的最后一行,看看有什么变化。
网络账号内部管理制度模板
网络账号内部管理制度模板第一章总则第一条为规范网络账号内部管理行为,提高账号管理效率,保证账号安全稳定运行,特制定本制度。
第二条本制度适用于公司、组织等单位的网络账号管理,包括但不限于企业微信、企业邮箱、办公系统等。
第三条网络账号内部管理应遵循依法合规、合理合规、有序管理、激励合理、奖惩分明、公平公正的原则。
第二章账号权限管理第四条公司网络账号使用分为管理员账号和普通账号两种,管理员账号拥有对所有账号进行管理、修改、删除的权限,普通账号只能进行自己账号的日常使用。
第五条普通账号的权限分为基本权限和高级权限,基本权限包括登录、浏览、发表内容等,高级权限包括编辑、删除、审核等。
第六条不同职位的员工拥有不同的网络账号权限,根据员工的工作内容和职责分配相应的账号权限。
第七条管理员应定期对账号权限进行审核和调整,确保账号权限与员工职责相匹配。
第三章安全管理第八条账号的登录密码应定期更改,强制要求包括字母、数字、符号组合,并不少于8位。
禁止使用简单密码。
第九条禁止员工将账号密码告知他人,如有泄露应及时通知管理员并修改密码。
第十条禁止员工随意更改权限,改动系统设置,或进行其他影响账号安全的行为。
第十一条严禁使用未经授权的账号进行系统登录。
第十二条定期备份账号数据,以应对可能发生的数据丢失或系统崩溃情况。
第四章行为规范第十三条禁止以任何形式发布、传播违反国家法律法规、政策的信息,包括但不限于淫秽色情、暴力恐怖、诽谤诋毁等。
第十四条员工发表的言论应当负责任,不得发表不实言论、恶意攻击他人。
第十五条员工在使用网络账号时应保护公司机密信息,不得泄露公司重要数据或商业秘密。
第十六条网络账号不得用于私人用途,禁止用于进行个人交易或非法活动。
第五章监督与抽查第十七条针对账号管理情况,公司应设立专门的监督部门,对账号管理情况进行监督与抽查。
第十八条对于发现账号管理违规行为,公司应当及时采取相应的惩罚措施,包括但不限于警告、处罚甚至解除劳动合同。
实验3+用户和组管理
实验3+用户和组管理一、操作题:在表格中输入需要命令的语句1、系统里添加三个用户:bob、peter 和 anna。
他们都属于次要组AsiaDep。
为bob添加特殊备注,设置peter使用csh Shell ,anna的账户2021年年中到期。
命令语句 groupadd asiadep useradd -G asiadep -c ‘asd’ bob 命令语句命令语句3、将peter的用户名改为pick。
命令语句4、修改anna次要组为EuroDep,并将她的userid改为888。
命令语句5、锁住bob的账户命令语句6、删除bob的userid 并(递归)删除他的主目录。
命令语句userdel - r bob usermod -L bob usermod -G euroDep -u 888 anna usermod -l pick peter useradd -G asiadep -s csh peter useradd -G asiadep -e 2021-7-1 asiadep 二、操作题:在表格中输入需要命令的语句添加三个用户:eden、maxwell和 neo。
要求如下:1、eden用的是默认时效参数,也就是说没有密码过期时间;(注:不加选项)2、maxwell的密码有效期为90 天,警告期是过期前14 天,并有 5 天的宽限期,他在两次更换密码之间必须等待7 天;3、neo的密码的有效期为 1年,再加一年的宽限期,没有最小期限。
命令语句命令语句 useradd eden useradd maxwell Change -M 90 -w 14 -E 5 -m 7 maxwell 命令语句 Useradd neo Chage -M 365 -E 365 -m 0 neo 命令语句命令语句命令语句命令语句命令语句命令语句三、综合操作题:在表格中输入需要命令的语句使用 groupadd 命令添加三个组salesdept、finaldept、supportdept。
2.用户和组的管理
1)用户的管理●创建一个新用户user01,设置其主目录为/home/user01:输入useradd -d /home/user01 user01输入ls /home 查看是否已经建立user01的主目录●查看/etc/passwd文件的最后一行:输入tail -1 /etc/passwd显示user01:x:501:501::/home/user01:/bin/bash●查看/etc/shadow文件的最后一行:输入t ail -1 /etc/shadow显示user01:!!:15046:0:99999:7:::●给用户user01设置密码口令:[root@localhost ~]# passwd user01Changing password for user user01.New UNIX password:注意比较不同BAD PASSWORD: it is too simplistic/systematicRetype new UNIX password:passwd: all authentication tokens updated successfully.●查看/etc/shadow的最后一行有什么变化:[root@localhost ~]# tail -1 /etc/shadowuser01:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7:::[root@localhost ~]# passwd -l user01 //锁定用户user01Locking password for user user01.passwd: Success[root@localhost ~]# tail -1 /etc/shadowuser01:!!$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7::://密码域前多了!![root@localhost ~]# passwd -u user01 //解除对user01的锁定禁用Unlocking password for user user01.passwd: Success.[root@localhost ~]# usermod -l user02 user01 //更改用户user01的账户名为user02[root@localhost ~]# tail -1 /etc/passwduser02:x:501:501::/home/user01:/bin/bash[root@localhost ~]# tail -1 /etc/shadowuser02:$1$tePv1IAP$6ZqAEcRjYnFQPfG2r66bO0:15046:0:99999:7:::[root@localhost ~]# userdel user02 //删除user02,如果加上-r选项会一并删除用户主目录[root@localhost ~]# ls /homehetaoboy user01//因为使用userdel 命令没有使用-r选项,所以主目录仍然存在[root@localhost ~]# tail -1 /etc/groupuser01:x:501: //考察组文件,发现主组账户依然存在,名称不变[root@localhost ~]# tail -1 /etc/gshadow//考察组文件,发现主组账户依然存在,名称不变(2)组的管理[root@localhost ~]# groupadd group1 //创建一个新组group1[root@localhost ~]# tail -4 /etc/group //查看组群文件的组群账户信息radiusd:x:95:hetaoboy:x:500:user01:x:501:group1:x:502:[root@localhost ~]# useradd -g group1 -G group1 user02//创建一个新账户user02,并指定他的主组群和附属组的主组群名称设置为group1[root@localhost ~]# tail -4 /etc/group //查看群组文件radiusd:x:95:hetaoboy:x:500:user01:x:501:group1:x:502:user02//user02已经加入到group1群组的组成员列表中。
linux用户和用户组
linux⽤户和⽤户组Linux 是多⽤户多任务操作系统,换句话说,Linux 系统⽀持多个⽤户在同⼀时间内登陆,不同⽤户可以执⾏不同的任务,并且互不影响。
不同⽤户具有不问的权限,毎个⽤户在权限允许的范围内完成不间的任务,Linux 正是通过这种权限的划分与管理,实现了多⽤户多任务的运⾏机制。
因此,如果要使⽤ Linux 系统的资源,就必须向系统管理员申请⼀个账户,然后通过这个账户进⼊系统(账户和⽤户是⼀个概念)。
通过建⽴不同属性的⽤户,⼀⽅⾯可以合理地利⽤和控制系统资源,另⼀⽅⾯也可以帮助⽤户组织⽂件,提供对⽤户⽂件的安全性保护。
每个⽤户都有唯⼀的⽤户名和密码。
在登录系统时,只有正确输⼊⽤户名和密码,才能进⼊系统和⾃⼰的主⽬录。
⽤户组是具有相同特征⽤户的逻辑集合。
简单的理解,有时我们需要让多个⽤户具有相同的权限,⽐如查看、修改某⼀个⽂件的权限,⼀种⽅法是分别对多个⽤户进⾏⽂件访问授权,如果有 10 个⽤户的话,就需要授权 10 次,那如果有 100、1000 甚⾄更多的⽤户呢?显然,这种⽅法不太合理。
最好的⽅式是建⽴⼀个组,让这个组具有查看、修改此⽂件的权限,然后将所有需要访问此⽂件的⽤户放⼊这个组中。
那么,所有⽤户就具有了和组⼀样的权限,这就是⽤户组。
将⽤户分组是 Linux 系统中对⽤户进⾏管理及控制访问权限的⼀种⼿段,通过定义⽤户组,很多程序上简化了对⽤户的管理⼯作。
关于⽤户和⽤户组的命令:groupmems 更改和查看组成员useradd :新建⽤户格式:[root@localhost ~]#useradd [选项] ⽤户名选项含义-u UID⼿⼯指定⽤户的 UID,注意 UID 的范围(不要⼩于 500)。
-d 主⽬⼿⼯指定⽤户的主⽬录。
主⽬录必须写绝对路径,⽽且如果需要⼿⼯指定主⽬录,则⼀定要注意权限;录-c ⽤户⼿⼯指定/etc/passwd⽂件中各⽤户信息中第 5 个字段的描述性内容,可随意配置;说明-g 组名⼿⼯指定⽤户的初始组。
实验2:Linux系统用户与组操作与管理
实验2:Linux系统用户与组操作与管理一、实验目的1、掌握用户帐户和组管理1)理解/etc/passwd和/etc/group文件的含义。
2)掌握桌面环境下管理用户与组群的方法。
3)掌握利用Shell命令管理用户与组群的方法。
二、实验步骤1.桌面环境下管理用户与组群新建两个用户账号,其用户名为xuser1和xuser2,口令为“el2ut59er”和“wfult28er”。
锁定xuer2用户账号。
删除xuer2用户。
新建两个组群,分别是myusers和temp。
修改myusers组群属性,将xuser1用户加入myusers组群。
删除temp组群。
2.使用命令行管理用户和组a)创建测试用户test,并修改用户名为test1useradd/adduser/passwd /usermodb)查看用户ID,组ID,用户所属主组的信息,修改test1用户名为test2、用户ID更改为1110、将其添加到root组中id/usermodc)查看当前登陆系统的用户,删除账户test2who/w/last/d)在普通用户和超级用户间切换sudo/sue)创建组grouptest并查看,修改指定组的属性,删除指定组groupadd/groupmod/groupdelf)新建一名为duser的用户,其口令是“tdd63u2”,主要组群为myusers。
将duser用户设置为不需口令就能登录。
查看duser用户的相关信息。
普通用户duser切换为超级用户。
一次性删除duser用户及其工作目录。
新建组群mygroup。
将mygroup组群改名为newgroup。
删除newgroup组群。
3.完成本章PPT最后作业,将截图粘贴在下面三、实验仪器设备和材料清单计算机一台。
四、实验报告新建文档,命名为:“实验二+学号后四位+姓名”,将以上操作结果截屏粘贴在实验报告中,并附上实验心得。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从1970年1月1日算起到最后一次修改口令的时间间隔
(天数)
这个账号的口令在最近一次被更改后需要经过几天才可以
再被修改!如果是 0 的话, 表示口令随时可以被修改的意
思。!如果配置为 20 天的话,那么当你配置了口令之后,
20 天之内都无法改变这个口令
5
Linux操作系统 5.口令需要更 换的天数
例3:锁定“lyd”用户,使其不能登录。 # usermod –L lyd
9
Linux操作系统
南阳理工学院
用户和用户组的对应关系
用户和用户组的对应关系是:一对一、多对一、一
对多或多对多:
一对一:某个用户可以是某个组的唯一成员; 多对一:多个用户可以是某个唯一的组的成员,不归 属其它用户组; 一对多:某个用户可以是多个用户组的成员; 多对多:多个用户对应多个用户组,并且几个用户可 以是归属相同的组;其实多对多的关系是前面三条的 扩展。
• root :x:0:0:root:/root:/bin/bash
• passwd文件中每行定义一个用户账号,一行中又划分为
7个字段定义用户的账号的不同属性,各字段用“:”隔
开。
1
Linux操作系统
南阳理工学院
字
段
含
义
用户名
也称为登录名,在系统内用户名应该具有唯一性。在本例中,zhangsan就是用 户名
Linux操作系统
南阳理工学院
/etc/passwd 文件结构
• 这个文件的构造是这样的:每一行都代表一个账号,有
几行就代表有几个账号在你的系统中! 不过需要特别留 意的是,里头很多账号本来就是系统正常运行所必须要 的,我们可以简称他为系统账号,例如 bin, daemon, adm, nobody 等等,这些账号请不要随意的杀掉他呢! 这个文件的内容有点像这样:
当账号的口令有效期限快要到的时候 (第 5 字段),系统会
依据这个字段的配置,发出『警告』言论给这个账号,提醒 他『再过 n 天你的口令就要过期了,请尽快重新配置你的口 令!』,如下面的例子,则是口令到期之前的 7 天之内,系 统会警告该用户。
root:$1$/30QpE5e$y9N/D0bh6rAACBEz.h
南阳理工学院
经常变更口令是个好习惯!为了强制要求用户变更口令,这
个字段可以指定在最近一次更改口令后, 在多少天内需要再 次的变更口令才行。必须要在这个天数内重新配置你的口令, 否则这个账号的口令将会『变为过期特性』。而如果设置为 99999 的话,那就表示口令的变更没有强制性之意。
6.口令更换前 警告的天数
登录Shell 用户使用的Shell类型,当用户登陆系统后就会取得一个 Shell 来与系统 的核心沟通以进行用户的操作任务。Fedora 8系统默认使用的Shell是
/bin/bash。有一个 shell 可以用来替代成让账号无法取得 shell 环境的登
陆动作!那就是 /sbin/nologin
qo00:14126:0:99999:7:::
6
Linux操作系统 7. 账 户 被 取 消 激活前的天数
南阳理工学院
口令有效日期为『更改口令日期(第3字段)』+『重新变更日期(第
5字段)』,过了该期限后用户依旧没有更换口令,那该口令就算过
口 令 过 期 后 的 期了。不过如果口令过期了, 那当你登陆系统时,系统会强制要求 账号宽限时间 你必须要重新配置口令才能登陆继续使用,这就是口令过期特性。 (口令失效日)
使用。就是所谓的『账号失效』,此时不论你的口令是否有过期, 这个『账号』都不能再被使用! 指定用户账户禁用的天数(从1970年的1月1日开始到账户被禁用 的天数),如果这个字段的值为空,账户永久可用。
9.保留字段 目前为空,以备将来Linux系统发展时用
7
Linux操作系统
南阳理工学院
举 例
• 例1:在系统上创建用户student,并指定组群为root。
[root@lab9 root]# id –u ab
12
3
Linux操作系统
南阳理工学院
/etc/shadow 文件结构
• shadow文件在/etc目录下,每行定义了一个用户信
息,行中各字段以“:”作为分隔符。为进一步提
高安全性,shadow文件中保存的是已加密的口令。
• 共有9个字段啊,这9个字段的用途是:
root:$1$/30QpE5e$y9N/D0bh6rAACBEz.hqo0 0:14126:0:99999:7:::
• # useradd -g root student
• 例2:新建帐户s1,把主目录名称改为sss • # useradd –d /home/sss s1
例3:建立一个新用户账户zhangsan,并设置UID为505: # useradd -u 505 zhangsan 冲突。因为Linux安装后会建立一些特殊用户,一般0到499 之间的值留给bin、mail这样的系统账号。
8
– 需要说明的是,设定UID值时尽量要大于等于500,以免
Linux操作系统
南阳理工学院
• 例1:把用户名“student”改为“neuq”。 • # usermod -l neuq student • 例2:把用户名“zhangsan”的登录目录改为 /home/zs • # usermod -d /home/zs zhangsan
这个字段的功能是:在口令过期几天后,如果使用者还是没有登
陆更改口令,那么这个账号的口令将会『失效』, 亦即该账号再也 无法使用该口令登陆了。要注意口令过期与口令失效并不相同 。表
示用户口令过期多少天后,系统会禁用此用户,也就是说系统会不让此用
户登录,也不会提示用户过期,是完全禁用的 8. 用 户 账 户 过 这个日期跟第三个字段一样,都是使用 1970 年以来的总日数配 期日期 置。这个字段表示: 这个账号在此字段规定的日期之后,将无法再
10
Linux操作系统
南阳理工学院
• 【例8.30】 把用户it添加到kk组群中。 [root@lab9 root]# gpasswd –a it kk • 【例8.31】 从kk组群中删除用户it。 [root@lab9 root]# gpasswd –d it kk • 【例8.32】 设置kk组群的口令。 [root@lab9 root]# gpasswd kk
4
Linux操作系统
南阳理工学院
从上图中可以看出,“/etc/shadow”文件中的每个记录用“:”
隔开为9个域,每个域的含义分别为:
字 1.用户名 2.加密口令 3.用户最后一次更改口令 的日期 4.口令允许更换前的天数 段 含 义
这里的用户名和/etc/passwd中的用户名必须是相同的
口令已经加密,如果有些用户在这里显示的是“ !!”,则表示这个 用户还没有设置口令,不能登录到系统。
• 【例8.33】 取消kk组群密码。
[root@lab9 root]# gpasswd –r kk
11
Linux操作系统
南阳理工学院
• 【例8.47】 查询用户ab的UID、GID 以及归属组群的情况。
[root@lab9 root]# id ab • 【例8.48】 显示用户ab所属主组群的GID。 [root@lab9 root]# id –g ab • 【例8.49】 显示用户ab所属组群的GID。 [root@lab9 root]# id –G ab • 【例8.50】 显示用户ab的UID。
口令
存放加密的口令,在本例中看到的是一个x,其实口令已被映射到/etc/shadow
文件中了。早期 Unix 系统的口令就是放在这字段上!但是因为这个文件的特 性是所有的程序都能够读取,这样很容易造成口令数据被窃取, 因此后来就将 这个字段的口令数据给他改放到/etc/shadow 中了。
用户标识号 在系统内用一个整数标识用户ID号,每个用户的UID都是唯一的,root用户的 UID UID是0,普通用户的UID默认从500开始
2
Linux操作系统
南阳理工学院
组群标识
号
与 /etc/group 有关!其实 /etc/group 的观念与 /etc/passwd 差不多,只是他
是用来规范组名与GID 的对应而已!在系统内用一个整数标识用户所属 的组群的ID号,每个组群的名描述,可以不设置。这个字段基本上并没有什么重要用途,只是 用来解释这个账号的意义而已! 用户登录系统后首先进入的目录,这是用户的家目录,root 的主目录在 /root ,所以当 root 登陆之后,就会进入到 /root 目录里头啦!默认的用 户家目录在/home/yourIDname 如果你有个账号的使用空间特别的大,你想要将该账号的家目录移动到 其他的硬盘去,可以在这个字段进行修改!