2.4 工作任務5——Linux用戶及權限管理

2.4.1 任務目的

Linux操作系統用戶也是一些服務的默認本地用戶，如FTP、NFS和postfix等服務。新星公司決定搭建屬于自己的Linux服務器，信息中心決策層認識到，對于初次接觸到服務器技術的管理員來說，必須要熟練掌握Linux用戶及權限的管理技能。因此公司決定開展培訓，讓管理員掌握Linux用戶及用戶組管理、權限管理的操作技能。

2.4.2 任務規劃

新星公司開展Linux用戶及用戶組管理、權限管理的培訓，培訓的內容包括：認識RedHat Enterprise Linux 6.4的用戶文件、用戶組文件，掌握用戶及用戶組管理工作技能，權限管理工作技能。

2.4.3 Linux用戶文件

Linux用戶文件包括/etc/passwd、/etc/shadow兩個文件。

1./etc/passwd用戶賬號文件

Linux用戶被劃分為3類：根用戶、系統用戶和普通用戶。根用戶（root用戶），也稱為超級用戶，root用戶不允許修改用戶名。根用戶是系統的所有者，對系統擁有最高的權力，可以對所有文件、目錄進行訪問，可以執行系統中的所有程序。系統用戶是Linux系統正常工作所必需的內建的用戶。普通用戶是為了讓使用者能夠使用Linux系統資源而建立的，它的權限由系統管理員規定。

在Linux操作系統中，每一個用戶都有一個唯一的身份標識，稱為用戶ID（UID），root用戶的UID為0，普通用戶的UID大于等于500，系統用戶的UID介于1和499之間。

Linux系統所有用戶的信息保存在/etc/passwd文件中，該文件中每個用戶占用一行，每行有7個字段，各字段之間用“：”隔開，格式為：

username：即用戶名，是用戶所在系統的標識，通常長度不超過8個字符，由字母、數字和下劃線或句點組成。

password：即密碼，該字段存放加密后的用戶密碼，通常用一個特殊字符“x”表示，真正的密碼已轉移到/etc/shadow文件中。

UID：即用戶標識號，UID是系統中的唯一標識號，必須是整數，通常和用戶名一一對應。

GID：即用戶組標識號，該字段記錄用戶所屬的基本用戶組。

userinfo：即個人信息，該字段記錄用戶的真實姓名、電話、地址和郵編等個人信息，各項之間用“，”分隔，該字段內容可以為空。

home：即用戶屬主目錄，該目錄是用戶登錄系統后的默認目錄，普通用戶的屬主目錄是/home目錄下的同名目錄，root用戶的屬主目錄為/root。

shell：用戶以文本方式登錄系統后啟動的shell。

2./etc/shadow用戶密碼文件

操作系統將用戶的口令加密之后放在另一個文件/etc/shadow中，并且對該文件設置嚴格的權限，只有根用戶root可以讀取該文件。/etc/shadow文件中每個用戶密碼占用一行，每行有9個字段，各字段之間用“：”分隔，其格式為：

username：該字段是用戶的登錄名。

encypted password：該字段是已加密的用戶口令（即密碼）。

number of days：該字段表示從1970年1月1日到上次修改密碼的天數。

minimum password life：該字段表示兩次修改口令之間至少要經過的天數。

maximum password life：該字段表示口令有效期的最大天數，如果是99999則表示密碼永不過期。

warning period：該字段表示在密碼失效前，提醒用戶密碼即將失效的天數。

disable account：該字段表示密碼過期之后，停用該賬號的天數。

account expiration：該字段表示賬號失效、禁止登錄的時間。

reserved：該字段暫未使用，系統保留。

2.4.4 Linux用戶管理命令

用戶管理主要包括用戶的添加、修改密碼和刪除等操作。

1.添加新用戶

useradd命令用于創建新用戶，只有超級用戶root才能使用此命令。使用useradd命令創建用戶后，應利用passwd命令為新用戶設置密碼。例如，添加用戶bob、mary的命令如下：

可用cat或tail指令查看用戶信息：

可以看到，用戶bob、mary添加成功，同時還添加了許多其他的默認設置。

2.修改用戶密碼

通過passwd命令可以完成為新建用戶設置口令。比如要為剛才創建的用戶設置口令，命令如下：

修改用戶的密碼需要兩次輸入以進行確認。密碼是保證系統安全的一個重要措施，在設置密碼時，不要使用過于簡單的密碼。Linux中輸入密碼的時候，沒有任何字符提示，這不同于Windows系統有“*”或其他符號提示。

3.刪除用戶

userdel命令可刪除用戶，只有超級用戶root才能使用此命令，例如要刪除用戶bob：

2.4.5 Linux用戶組文件

Linux用戶組文件是/etc/group文件。用戶組的信息保存在/etc/group文件中，所有用戶都可讀取該文件，該文件存儲著用戶組的相關信息，/etc/passwd文件中每個組占用一行，每行有4個字段，各字段之間用“:”隔開，格式為：

組名：組密碼：用戶組標識（GID）：組成員列表

組名：是用戶組所在系統的標識。

組密碼：用戶組的密碼，由于安全原因，相應內容已轉到gshadow文件中，在此用“x”表示。一般不設組密碼。

用戶組標識（GID）：數字在系統內必須唯一，0是root組的組標識，1~499為系統組標識，普通組標識在500～65535之間。

組成員列表：組內的成員，多個成員之間用“,”隔開。

2.4.6 Linux用戶組管理

用戶組的管理主要包括用戶組的添加、修改和刪除等操作。這些操作與系統中的/etc/group文件密切相關。

1.添加用戶組

groupadd，添加新用戶組，其命令格式為：

groupadd用戶組名

例如，添加一個新的用戶組student，命令如下：

用戶組添加成功后，該組的信息將保存在/etc/group文件中。

2.刪除用戶組

groupdel，刪除用戶組，命令格式為：

groupdel用戶組名

例如，刪除用戶組student，命令如下：

3.修改組成員

gpasswd，修改組內成員，命令格式為：

gpasswd [選項] 用戶名 組名

其中，選項“-a”實現向組內添加用戶，選項“-d”實現從組中刪除用戶。用戶必須是系統中已經存在的用戶，若用戶不存在，必須首先用useradd指令添加。組名也必須是已經存在的組，若組不存在，必須事先用groupadd指令添加。

例如，將用戶mary、bob添加到組staff，命令如下：

例如，將用戶bob從組staff中刪除，命令如下：

需要指出的是，Linux系統在添加用戶的時候，會自動生成一個同名用戶組。

2.4.7 Linux權限管理

Linux的文件或目錄被一個用戶擁有時，這個用戶稱為該文件的所有者，同時該文件還被指定的用戶組擁有，這個用戶組稱為文件所屬組。文件的權限由權限標志來決定，權限標志決定了文件的所有者、文件的所屬組、其他用戶對文件訪問的權限。

1.使用ls命令查看目錄或文件的權限

使用ls命令加-l參數（或使用ll命令），可以查看目錄或文件的參數：

ls-l 文件名或上級目錄

普通文件在文本界面下用白色表示，目錄文件用藍色表示。

第一列的第一個字符表示文件的類型，“-”表示普通文件，“d”表示目錄，“l”表示鏈接文件。第2—10個字符表示文件或目錄的權限，這9個字符每3個一組。第一組表示目錄或文件所有者的權限，r讀權限、w寫權限、x執行權限和-沒有權限；第二組表示所有者同組的用戶權限，第三組表示其他用戶的權限。

第三列表示所有者，第四列表示文件所屬的組。

2.chown命令

Linux為每個文件都分配了一個文件所有者，稱為文件主，對文件的控制取決于文件主或超級用戶（root）。文件的所有關系是可以改變的，chown命令用來改變某個文件或目錄的所有權。chown命令的格式為：

chown 用戶:組 文件1 [文件2…]

用戶可以是用戶名或用戶UID，組可以是組名或GID，文件是以空格隔開的文件列表，可以用通配符標識文件名。“：”與組名之間沒有空格。

例如：

3.文字表示法修改權限

Linux系統中的每個文件和目錄都有訪問許可權限，用它來確定誰可以通過何種方式對文件或目錄進行訪問與操作。訪問權限分為3種不同類型的用戶：文件所有者（u）、同組用戶（g）和可以訪問系統的其他用戶（o）。

訪問權限規定了3種訪問文件或目錄的方式：讀（r）、寫（w）和執行（x）。

chmod命令用于改變文件或目錄的訪問權限，用戶可用該指令控制文件或目錄的訪問權限。只有文件主或超級用戶root才有權用chmod指令改變文件或目錄的訪問權限。chmod命令的格式為：

chmod [ugoa][+-=][rwxugo] 文件名或目錄

其中，u表示文件所有者，g表示同組用戶，o表示其他用戶，a表示所有用戶，+表示增加權限，-表示減掉權限，=表示賦予權限。例如：

4.數字表示法修改權限

指定文件的權限還有一種更方便、更實用的方法，稱為數字權限。也就是用0～7這8個數字來表示文件的權限。在Linux中和一個文件相關的有3種類型的用戶：u、g、o。而每一類用戶又有3種訪問權限：r、w、x。把具體的訪問權限用二進制數來表示，就可以得到每一類用戶的權限的數字化表示形式。舉例說明如下：

用ls-l命令查看home目錄，顯示如下結果：

在上面的信息中，第一列表示了文件abc的權限是“rw-r--r--”，分別表示了u、g、o3類用戶的權限。其中所有者權限是“rw-”，同組用戶的權限是“r--”，其他用戶的權限是“r--”。我們將rwx看成二進制數，如果有則用1表示，沒有則用0表示，“rw-r--r--”就可以表示成為：“110100100”。這一串二進制數中每3位數一組，共3組，分別表示了3類用戶的權限。將二進制串每3位一組轉化為十進制數，就得到“644”。文件abc的權限用數字形式表示就是644。

更簡單的表示方法是將r、w、x權限分別用4、2、1來表示，沒有權限則是0，上例中每類用戶的權限相加也會得到文件abc的權限為644。

用數字來表示文件的權限是非常方便的，特別是體現在命令的書寫當中。在上面的例子中，假如要修改文件abc的權限為“rw-rw-r--”，即將文件權限設置為664，則可以用如下命令來修改：

[root@localhost home]#chmod 664 abc

2.4.8 拓展與提高

通過一個綜合案例來說明Linux用戶管理、權限管理。要求：以root賬戶登錄系統，新建jinan用戶、city用戶組，將jinan用戶添加到city用戶組。新建/root/sdcet文件，設置/root/sdcet文件的所有者為jinan、屬組為city。設置/root/sdcet文件權限為jinan用戶可讀、寫和執行，city組可讀、寫，其他成員可讀、寫。

1.用戶及用戶組設置

2.更改文件所有者

3.更改文件權限

[root@localhost～]#chmod 766 /root/sdcet //更改sdcet文件的權限

4.列表查看

2.4.9 任務小結

通過本任務，可以掌握Linux系統的用戶及用戶組管理、目錄或文件的權限管理。首先要熟悉有關用戶及用戶組的相關配置文件，掌握用戶及用戶組管理的工作技能。其次，熟悉目錄或文件權限的表示方法，掌握目錄或文件權限設置的技能。