UNIT4 用户管理_2011.ppt

UNIT 5 　用户管理 ?用户管理配置文件 ?用户管理命令 ?用户授权 §1　用户管理配置文件 ★用户信息文件：/etc/passwd ★密码文件：/etc/shadow 　用户组文件：/etc/group 　用户配置文件：/etc/login.defs 　登录信息文件：/etc/motd 　　　　 　　　/etc/issue 1. 用户信息文件：/etc/passwd 　文件的权限是：rw-r--r-- 　该文件保存了每一个用户账号的相关信息，每一行是一个用户账号记录，有几行就代表在该系统中有几个注册的用户账号。一个账号记录有7个字段，各字段之间由冒号分隔，依次是： 　　账号:密码位:UID:GID:备注:主目录:所用shell 　■用户账号 ：是用户在系统中注册所使用的名字，是用户在系统中的符号标识，建议只使用英文字母，一般不要超过8位，UNIX有此限制，它对超过8位的账号实际只取前8位。 　■密码位：早先的UNIX是把密码放在该字段中的，因该文件是对所有用户开放的，易被窃取，为安全起见后来就将密码移至加密的/etc/shadow文件中，但该字段依然保留着，其值恒为“x”。 　■UID：用户标识码。在UNIX系统中内核是不认识字母的，只认识数字代码，内核操作的每一个对象，不管是进程、用户、用户组，还是文件，都需要有一个标识它的数字代码ID，内核是通过ID来识别对象的。UID就是用户账号的ID。 　■GID：用户组标识码。在UNIX/Linux中为便于分类管理，每个用户至少应归于一个用户组。用户组是同类型用户的集合，即由具有某种相同属性的若干用户组成，如组织内的同一部门、同一project组、同一职业、同一活动团体等，同组的用户对系统资源享有相同的权限。一个用户可以同时是多个组的成员，GID是其初始组／默认组的组标识码，即在用户注册时所指定的组，如果用户自己没指定，系统也会自动地为其创建或指定一个默认组。 　　　这里涉及一个基本概念，在真正的Linux服务器管理过程中，在新用户注册时，系统管理员必须将新用户加入进一个用户组，绝不能使该用户不属于任何一个组而成为散兵游勇，否则，只能说明你的管理策略很失败，你将不能有效地管理系统中的所有用户。因为你添加一个用户总是有目的的，这个用户需要做什么事情呢？你应该把他加入到相应的组中，或者至少应该按部门划分，把他加入到他所在的部门组中。 　　　注意：Linux用户组与Windows用户组在概念上有所不同，在Windows中，用户组可以是嵌套组，即一个用户组的成员可以是另一个用户组；而Linux用户组是不能嵌套的。 　■备注：是对用户账号的注释性描述，通常是指明用户的实际姓名（全名）与身份，可缺省。但在真正管理一个服务器时，有经验的系统管理员一般不会遗漏此项内容。 　■主目录：每个新用户在注册时都会被创建一个他自己的主目录，如果用户自己不指定，则系统会自动为其创建一个与他账号名同名的主目录。 　■所用shell：默认是bash 用户账号类型及其对应的UID 　　超级用户：　UID=0 　　普通用户：　UID=500~60000 　　伪用户：　　UID=1~499 　■超级用户：UID=0，默认账号名为root，具有最高的权限，是为系统管理员专门设置的。但Linux允许有多个UID为0的账号，即超级用户不仅仅是root！当超级用户在/etc/passwd中把某个普通用户账号的UID改为0，该用户也同样成为超级用户了，与root享有同样的权限。可见，“超级用户就是root”这句话并不完全对，应该是“UID为0的用户是超级用户”。不过，设置多个超级用户账号需特别慎重。 　■普通用户：UID对应于500~60000，默认从500开始自动分配，也可以指定。事实上，目前的Linux版本已经可以支持到232-1。 　■伪用户：也称虚用户或特殊用户。伪用户是专为一些系统进程和服务器进程而设置的，由系统在启动时默认创建。在Linux系统中任何一个进程执行都必须对应有一个用户账号，对于一些系统进程和服务器进程，不能将它们都归属于root用户，因为一旦有人通过某种手段得到了这些进程的权限就等于窃取到了root的权限，这样非常危险。因此，就为这些进程设置了相应的伪用户（如）。所以伪用户的最大作用就是在一些系统进程和服务器进程启动时调用的用户账号而已。伪用户的特点是，它是不能登录系统的，因为它既没有可验证的密码也没有宿主目录，所以即便你获得伪用户的权限，你也没有办法登录到Linux Server上进行任何的操作，这就让一些服务和系统取得了一定的安全性。 2. 密码文件/etc/shadow 　只有超级用户可读写的文件，即权限为：r-w------ 　 　/etc/shado