模板
教程
环境
性能
功能
管理
Linux的用户和组群管理
发表于:2007-07-04来源:作者:点击数:
标签:
Linux 是一个多用户的>操作系统 ,用户和用户组的管理是系统管理员的重要工作之一。本文的内容包括如何利用图形化工具 rfuser 和在命令行界面下完成用户账号、工作组的建立和维护,并正确设置用户权限和 安全 性问题。 利用图形配置工具 rfuser 与使用命令进
Linux 是一个多用户的>操作系统,用户和用户组的管理是系统管理员的重要工作之一。本文的内容包括如何利用图形化工具 rfuser 和在命令行界面下完成用户账号、工作组的建立和维护,并正确设置用户权限和安全性问题。利用图形配置工具 rfuser 与使用命令进行用户/用户组管理完成的是同样的工作,不同之处在于图形工具的操作界面友好直观,用户也不必去记忆大量的命令和参数。
概述
在 Linux 系统中,每个用户对应一个帐号。Red Flag Server 4.1 安装完成后,系统本身已创建了一些特殊用户,它们具有特殊的意义,其中最重要的是超级用户,即 root。
超级用户承担了系统管理的一切任务,可以不受限制地进行任何操作,因此建议只有在完全必要的情况下才以 root 身份进行操作。
由超级用户创建允许登录系统的普通用户,一般超级用户也需要为自己建立一个用来处理一般事务的普通帐户。
下面是用户和组群管理的一些基本概念:
用户名: 系统中用来标识用户的名称,可以是字母、数字组成的字符串,区分大小写。
用户标识UID: 系统中用来标识用户的数字。
用户主目录: 系统为每个用户配置的单独使用环境,即用户登录系统后最初所在的目录,用户的文件都放置在此目录下。
登录shell: 用户登录后启动以接收用户的输入并执行输入相应命令的程序,如/bin/bash、
/bin/csh。
用户组/组群: 具有相似属性的多个用户被分配到一个组中。
组标识GID: 用来表示用户组的数字标识
超级用户在系统中的用户ID和组ID都是0。
普通用户的用户 ID(UID)从500开始编号,并且默认属于与用户名同名的组。组 ID(GID)
也从500开始编号。
用su命令改变身份
用户在系统使用过程中可以随时使用 su 命令来改变身份。例如,系统管理员在平时工作时可以用普通帐号登录,在需要进行系统维护时用 su 命令获得 root 权限,之后再用 su 回到原帐号。
su 的语法为:su
username 是要切换到的用户名,如果不指定用户名,则默认将用户身份切换为 root,系统会要求给出正确的口令。
默认情况下,只要知道 root 口令,任何用户都可以通过 su 命令切换到 root 身份,这是一个安全漏洞。所以我们强烈建议:只有 wheel 组成员才可以通过 su 命令转换为root。实现的办法是修改 /etc/pam.d/su 文件,取消对如下一句“auth required
/lib/security/$ISA/pam_wheel.so use_uid”的注释。
系统中的用户管理配置文件
/etc/passwd 文件
Red Flag Server 4.1 系统中用于管理用户帐号的基本文件是 /etc/passwd,该文件中包含了系统中所有用户的用户名和它们的相关信息。每个用户帐号在文件中对应一行,并且用冒号(;)分为七个域。
每一行的形式如下:
用户名:加密的口令:用户ID:组ID:用户的全名或描述:登录目录:登录shell
下面是 root 用户在此文件中对应的行:
root:X:0:0:root:/root:/bin/bash
Linux 系统将每一个用户仅仅看成是一个数字,即用每个用户惟一的用户 ID 来识别,配置文件
/etc/passwd 给出了系统用户 ID 与用户名之间及其他信息的对应关系。
/etc/passwd 文件对系统的所有用户都是可读的,这样的好处是每个用户都可以知道系统上有哪些用户,但缺点是其他用户的口令容易受到攻击(尤其当口令较简单时)。所以在红旗 Linux 中使用影子口令格式,将用户的口令存储在另一个文件 /etc/shadow 中,该文件只有根用户 root 可读,因而大大提高了安全性。
/etc/shadow 文件
为了保证系统的安全性,系统通常对用户的口令进行 shadow 处理,并把用户口令保存到只有超
级用户可读的 /etc/shadow 文件中。该文件包含了系统中所有用户和用户口令等相关信息。
每个用户在该文件中对应一行,并且用冒号分成九个域。每一行包括以下内容:
1、 用户登录名
2、 用户加密后的口令,(若为空,表示该用户不需口令即可登录,若为 * 号,表示该帐号被禁
止)
3、 从1970年1月1日至口令最近一次被修改的天数
4、 口令在多少天内不能被用户修改
5、 口令在多少天后必须被修改
6、 口令过期多少天后用户帐号被禁止
7、 口令在到期多少天内给用户发出警告
8、 口令自1970年1月1日被禁止的天数
9、 保留域
/etc/group 文件
在 Linux 中,使用组来赋予用户访问文件的不同权限。组的划分可以采用多种标准,一个用户可
同时包含在多个组内。管理用户组的基本文件是 /etc/group,其中包含了系统中所有用户组的相关信息。每个用户组对应文件中的一行,并用冒号分成四个域。其中每一行的形式如下:
用户组名:加密后的组口令:组ID:组成员列表
下面是用户组 sys 在 /etc/group 中对应的一行:
sys:x:3:root,bin,adm
代表的信息包括:系统中有一个称为 sys 的用户组,设有口令,组 ID 为3,组中的成员有 root、
bin、adm 三个用户。
Red Flag Server 4.1 在安装中同样创建了一些标准的用户组,在一般情况下,建议您不要对这些用户组进行删除和修改,除非您完全明白它们的用途和意义。
/etc/skel 目录
一般来说,每个用户都有自己的主目录,用户成功登录后就处于自己的主目录下。主目录中存放有与用户相关的文件、命令和配置。当为新用户创建主目录时,系统会在新用户的主目录下建立一份
/etc/skel 目录下所有文件的拷贝,用来初始化用户的主目录。
使用rfuser管理用户与组群
利用 rfuser 用户和组群管理工具,可以轻松的管理系统中的用户和用户组,包括完成新建、查看、管理帐号、密码、权限等所有操作。
在控制面板的“系统配置”项中选择“本地用户和组”,或在 KDE 桌面环境下使用命令 rfuser ,
即可打开本地用户和组管理器。
rfuser 工具需要以超级用户身份运行。
系统缺省创建的用户和组群对于系统管理和应用程序的使用有重要的意义,不要随意修改或删除它们,尤其是 root 用户,否则有可能导致系统异常甚至崩溃。
查看用户和用户组
在图2-1所示的本地用户和组管理主界面中,点击“用户”标签列出本地用户及其基本信息,包括用户名、用户 UID、所属主组群、用户描述信息、登录 shell 和用户的主目录信息;点击“组”标
签显示系统中组群信息,包括
