Linux系統(tǒng)管理基礎(chǔ)項目教程課件 V4-1 Linux用戶和用戶組概述VIP

Linux操作系統(tǒng)Linux用戶和用戶組的基本概念目錄/Contents0102Linux用戶和用戶組基本概念Linux用戶與用戶組相關(guān)文件03Linux用戶密碼文件01Linux用戶和用戶組基本概念用戶和用戶組基本概念Linux是一個多用戶操作系統(tǒng)，支持多個用戶同時登錄操作系統(tǒng)用戶帳戶用于在可以運行命令的不同人員和程序之間提供安全界限。系統(tǒng)通過分配唯一標識號(UID)來區(qū)分不同的用戶帳戶。root用戶是系統(tǒng)超級管理員，擁有最高的權(quán)限用戶用戶組用戶組是需要共享文件和其他系統(tǒng)資源訪問權(quán)限的用戶集合。用戶組可用于向一組用戶授予文件訪問權(quán)限，而非僅僅向一個用戶授予訪問權(quán)限。在Linux系統(tǒng)中創(chuàng)建每個用戶時，將自動創(chuàng)建一個與其同名的基本用戶組。在系統(tǒng)內(nèi)部，系統(tǒng)通過分配的唯一標識號（組ID或GID）來區(qū)分不同的組。用戶類型Linux操作系統(tǒng)具有多用戶、多任務(wù)的特點，用戶是使用和管理操作系統(tǒng)的基礎(chǔ)。Linux操作系統(tǒng)中的用戶可以分為3種：超級用戶、系統(tǒng)用戶和普通用戶。需要注意的是，用戶名是用來標識用戶的名稱，可以是由字母和數(shù)字組成的字符串，且字母區(qū)分大小寫。超級用戶：Linux超級用戶指root用戶，它在Linux操作系統(tǒng)中擁有最高的權(quán)限，可以對任意文件進行增、刪和權(quán)限修改等。Linux操作系統(tǒng)的管理員之所以是root，并不是因為其叫作root，而是因為該用戶的UID（UserIdentification，用戶標識）為0。在Linux操作系統(tǒng)中，UID相當于人們的身份證號碼，具有唯一性，因此可通過UID來判斷用戶身份。系統(tǒng)用戶：Linux操作系統(tǒng)為了避免因某個服務(wù)程序出現(xiàn)漏洞而被黑客提權(quán)至整臺服務(wù)器，默認服務(wù)程序由獨立的系統(tǒng)用戶負責運行，這樣可以有效控制被破壞的范圍。在RHEL9、CentOSStream9中，系統(tǒng)用戶的UID為1～999。普通用戶：普通用戶是由管理員創(chuàng)建的用于日常工作的用戶，在RHEL9、CentOSStream9中，普通用戶的UID從1000開始。查詢用戶相關(guān)信息使用id命令顯示有關(guān)當前已登錄用戶的信息。[user01@host~]$iduid=1000(user01)gid=1000(user01)groups=1000(user01)context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.C1023將用戶名作為參數(shù)傳遞給id命令，查看有關(guān)其他用戶的基本信息將用戶名作為參數(shù)傳遞給id命令。[user01@host~]$iduser02uid=1002(user02)gid=1001(user02)groups=1001(user02)context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023使用ls-l命令，查看文件的所有者。[user01@host~]$ls-lfile1-rw-rw-r--.1user01user010Feb511:10file1使用ls-ld命令，要查看目錄的所有者，在下列輸出中，第三列顯示用戶名。[user01@host~]$ls-lddir1drwxrwxr-x.2user01user016Feb511:10dir1主要組和補充組在Linux系統(tǒng)中，用戶組（Group）用于組織和管理多個用戶賬戶。用戶組使得系統(tǒng)管理員可以方便地管理一組用戶的權(quán)限和資源訪問。通過將多個用戶分配到同一個用戶組，管理員可以對這組用戶進行統(tǒng)一管理，而不需要單獨為每個用戶配置權(quán)限。主組（PrimaryGroup）：每個用戶在Linux系統(tǒng)中都會有一個主組，通常與用戶的用戶名相同。用戶在創(chuàng)建時會默認加入一個與其用戶名相同的主組。附加組（SecondaryGroup）：一個用戶可以同時屬于多個附加組，這些附加組是非主要的組。用戶可以加入多個附加組，以便共享該組分配的權(quán)限。下面的示例中，user03將組user03作為自己的主要組(gid)。groups項目列出了該用戶的所有組。除了主要組user03外，用戶還有組wheel和group01作為補充組。[user03@host~]$id#查找用戶的組成員身份uid=1003(user03)gid=1003(user03)groups=1003(user03),10(wheel)z10000(group01)02Linux用戶與用戶組相關(guān)文件Linux用戶與用戶組相關(guān)文件在Linux操作系統(tǒng)中，與用戶和用戶組相關(guān)的文件有多個，如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/login.defs等，其作用如下表所示。序號文件名作用1/etc/passwd保存用戶名、UID、GID、用戶描述信息、家目錄路徑以及默認Shell等信息2/etc/shadow保存用戶的加密密碼、密碼過期信息、密碼策略等。它只能由root用戶讀取和寫入，用于存儲用戶的安全信息3/etc/group保存組名、GID、組成員等信息4/etc/gshadow保存用戶組的加密密碼以及組的管理信息5/etc/login.defs保存系統(tǒng)中用戶登錄的默認設(shè)置，如密碼最短長度、密碼過期時間、UID和GID范圍等信息用戶信息文件在Linux操作系統(tǒng)中，所有創(chuàng)建的用戶及其相關(guān)信息（密碼除外）均放在/etc/passwd配置文件中，/etc/passwd文件的每一行代表一個用戶，有幾行就代表系統(tǒng)中有幾個用戶。，/etc/passwd文件的每一行都包含了有關(guān)某個用戶的信息。它分為七個以冒號分隔的字段。以下是/etc/passwd中某一行的示例：user01:x:1000:1000:UserOne:/home/user01:/bin/bash字段含義user01該用戶(user01)的用戶名。x用戶的密碼曾以加密格式存儲在此處?，F(xiàn)在它已移至/etc/shadow文件。1000該用戶帳戶的UID號(1000)。1000該用戶帳戶的主要組的GID號(1000)。UserOne該用戶的真實姓名(UserOne)。/home/user01該用戶的主目錄(/home/user01)。這是shell啟動時的初始工作目錄，改目錄中包含有用戶數(shù)據(jù)和配置設(shè)置。/bin/bash該用戶的默認shell程序，會在登錄時運行(/bin/bash)。對于普通用戶，這通常是提供用戶命令行提示符的程序。如果系統(tǒng)用戶不允許進行交互式登錄，該用戶可能會使用/sbin/nologin。rootx0root/root/bin/bash0::::::用戶名用戶密碼用戶默認shell用戶UID用戶GID用戶備注信息用戶家目錄用戶默認配置文件/etc/login.defs文件用于在創(chuàng)建用戶時，對用戶的一些基本屬性做默認設(shè)置，例如指定用戶UID和GID的范圍，用戶的過期時間，密碼的最大長度等。選項功能說明PASS_MAX_DAYS99999密碼有效期，99999是自1970年1月1日起密碼有效的天數(shù)，相當于273年，可理解為密碼始終有效。PASS_MIN_DAYS0表示自上次修改密碼以來，最少隔多少天后用戶才能再次修改密碼，默認值是0。PASS_MIN_LEN5指定密碼的最小長度，默認不小于5位，但是現(xiàn)在用戶登錄時驗證已經(jīng)被PAM模塊取代，所以這個選項并不生效。PASS_WARN_AGE7指定在密碼到期前多少天，系統(tǒng)就開始通知用戶密碼即將到期，默認為7天。UID_MIN500指定最小UID為500，也就是說，添加用戶時，默認UID從500開始。注意，如果手工指定了一個用戶的UID是550，那么下一個創(chuàng)建的用戶的UID就會從551開始，哪怕500~549之間的UID沒有使用。UID_MAX60000指定用戶最大的UID為60000。-iinactivedays密碼失效日期，即/etc/shadow第7列的內(nèi)容CREATE_HOMEyes指定在創(chuàng)建用戶時，是否同時創(chuàng)建用戶主目錄，yes表示創(chuàng)建，no則不創(chuàng)建，默認是yes。UMASK077用戶主目錄的權(quán)限默認設(shè)置為077。用戶組信息文件/etc/group文件的每一行都包含了有關(guān)某個組的信息。每個組條目被分為四個以冒號分隔的字段。以下是/etc/group中某一行的示例：group01:x:10000:user01,user02,user03字段含義group01該組的組名稱(group01)。x過時的組密碼字段。該字段始終應(yīng)為x。10000該組的GID號(10000)。user01,user02,user03屬于作為補充組的該組成員的用戶列表(user01、user02、user03)。本節(jié)稍后將對主要組(或默認組)和補充組進行討論。03Linux用戶密碼文件Linux用戶密碼文件/etc/shadow文件是Linux系統(tǒng)中用于存儲用戶密碼的文件。它包含了每個用戶的加密密碼、密碼過期信息和賬戶的相關(guān)安全設(shè)置。與/etc/passwd文件相似，每一行記錄代表一個用戶，且以“:”隔開，不同之處在于/etc/passwd中每行記錄被分為九個字段。比如rhca:$6$NVmMlagmpyiS68Pa.YW3bhKYaCp6BhrhshIvn1:19209:0:99999:20:::rhca$6$.SbRZSfWFvj192099999970::用戶名加密密碼密碼過期后的寬限時間最后一次修改時間最小修改時間間隔密碼有效期密碼需要變更前的警告天數(shù)賬號失效時間保留字段::::::序號字段位置含義1第1個字段用戶的名稱，與/etc/passwd文件中的用戶名相對應(yīng)

2第2個字段用戶密碼的加密哈希值，如果賬戶被鎖定，通常會在哈希前添加!或*。$6$：表示使用SHA-512加密算法。yYJUSmwTDVgneIpz：表示鹽值，用于增加密碼哈希的復(fù)雜性和安全性。在用戶登錄時，系統(tǒng)將輸入的密碼進行相同的哈希處理，并與存儲的哈希值進行比較以驗證密碼的正確性3第3個字段上次更改密碼的日期，通常是從某個固定日期（如1970-01-01）開始的天數(shù)4第4個字段兩次更改密碼之間的最小天數(shù)，限制用戶更改密碼的頻率。0表示用戶可以隨時更改密碼，沒有時間限制5第5個字段密碼有效的最大天數(shù)，99999表示密碼永不過期，用戶不需要定期更改密碼6第6個字段密碼過期前開始警告用戶的天數(shù)。7表示在密碼過期前7天，系統(tǒng)將提醒用戶更改密碼，以確保用戶有足夠的時間更新密碼，避免賬戶被鎖定7第7個字段密碼過期后，賬戶可以保持未激活狀態(tài)的天數(shù)，超過此期限后，用戶必須重新激活賬戶才能使用，空值表示未設(shè)置此限制，賬戶在密碼過期后仍然可以正常使用8第8個字段賬戶過期的日期，通常是從某個固定日期（如1970-01-01）開始的天數(shù)?？罩当硎疚丛O(shè)置過期日期，賬戶不會因為此字段被鎖定。9第9個字段預(yù)留供將來使用，為未來可能增加的功能或字段預(yù)留位置，目前通常為空Linux用戶密碼文件/etc/shadow文件只有超級用戶（root用戶）具有讀權(quán)限，其他用戶均沒有權(quán)限，從而保證了用戶密碼的安全性。密碼在經(jīng)由/etc/shadow保護后，在/etc/passwd文件