07-Linux系统管理-账号和权限管理v1.0分析.ppt

学员练习1 创建用户和组 设置用户账号密码 实验案例：用户和文件权限管理3-2 40分钟内完成 学员练习2 创建共用的数据存储目录 设置各用户和组的相关权限 实验案例：用户和文件权限管理3-3 40分钟内完成 * * * 超级用户，即root用户，类似于Windows系统中的Administrator用户，非执行管理任务时不建议使用root用户登录系统 普通用户帐号一般只在用户自己的宿主目录中有完全权限 程序用户：用于维持系统或某个程序的正常运行，一般不允许登录到系统。例如：bin、daemon、ftp、mail等 root用户的UID的固定值为0、root组帐号的GID号为固定值0 1~499的UID、GID默认保留给程序用户使用，普通用户/组使用的UID、GID号在500～60000之间 * 教员详细讲解7个部分中，每个部分的含义 基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改 在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患 后来经改进后，将密码转存入专门的shadow文件中（见下页）并严格控制全新，而passwd文件中仅保留密码占位符“x” 字段1：用户帐号的名称 字段2：用户密码字串或者密码占位符“x” 字段3：用户帐号的UID号 字段4：所属基本组帐号的GID号 字段5：用户全名 字段6：宿主目录 字段7：登录Shell信息 * 字段1：用户帐号的名称 字段2：加密的密码字串信息 字段3：上次修改密码的时间 字段4：密码的最短有效天数，默认值为0 字段5：密码的最长有效天数，默认值为99999 字段6：提前多少天警告用户口令将过期，默认值为7 字段7：在密码过期之后多少天禁用此用户 字段8：帐号失效时间，默认值为空 字段9：保留字段（未使用） 默认只有root用户能够读取文件中的内容，并且不允许root直接编辑该文件中的内容 上次修改密码的时间，表示从1970年01月01日（可理解为Unix系统的诞生日）算起到最近一次修改密码时间隔的天数 * 教员演示 最简单的用法是，不添加任何选项，只使用用户名作为useradd命令的参数，按系统默认配置建立指定的用户帐号 演示添加用户的操作，重点演示 -d、-e、-g、-G、-s 等几个选项的用法，例如： ——创建名为st02的用户帐号，并将其UID号指定为504 [root@localhost ~]# useradd -u 504 st02 [root@localhost ~]# tail -1 /etc/passwd st02:x:504:504::/home/st02:/bin/bash ——创建一个考试测试用的帐号exam01，指定属于users组，该帐号于2009-07-30失效 [root@localhost ~]# useradd -g users -e 2009-07-30 exam01 展示/etc/passwd、/etc/shadow文件中的变化 说明：使用adduser命令也可以添加用户帐号，在RHEL5系统中adduser命令实际上是useradd命令的符号链接 * 对应的基本组mike、ftpuser必须存在，添加组账号的方法后面会讲解 * 充分理解这些文件的作用，便于我们安排一些自动运行的后台管理任务，例如：.bashrc文件中默认设置了一些命令别名 在后面学习完Shell脚本编写以后，将可以充分利用这些文件减轻系统管理员的负担 默认情况下，用户宿主目录下的初始配置文件只对当前用户有效，而全局配置文件对所有用户有效 * 教员演示 * 讲解时与useradd、passwd命令中的相关选项进行对比，简单演示一下即可 usermod有两个选项“-L”、“-U”，分别用于锁定、解锁用户帐号，这两个选项与passwd命令的“-l”、“-u”选项作用基本相同，只不过大小写存在区别 * 当系统中的某个用户帐号已经不再需要使用时（如该员工已经从公司离职等情况），可以使用userdel命令将该用户帐号删除 使用userdel命令需要指定帐号名称作为参数，添加“-r”选项时可以将该用户的宿主目录一并删除。 * 与组帐号相关的配置文件也有2个，分别是/etc/group、/etc/gshadow /etc/gshadow文件的应用极少，仅作简单介绍即可 group文件内的最后一个字段中列出属于该组的用户成员（一般不包括基本组对应的用户帐号），多个成员之间以逗号“,”分隔 * * 教员演示 删除组帐号后，从/etc/group文件中将查不到相应的记录 简单演示添加组帐号、组成员、删除组成员、组帐号的操作步