1、Linux操作系統(tǒng)實(shí)用教程,第5章 Red Hat Linux 9用戶管理 5.1 認(rèn)識(shí)用戶和組 5.2 root 賬號(hào) 5.3 管理用戶賬號(hào) 5.4 管理用戶組,第5章 Red Hat Linux 9用戶管理,本章概述 用戶管理是Red Hat Linux系統(tǒng)工作中重要的一環(huán)，用戶管理包括用戶與組賬號(hào)的管理。所謂賬號(hào)管理是指賬號(hào)的新增、刪除和修改、賬號(hào)規(guī)劃以及權(quán)限的授予等問題。本章主要闡述了Red Hat Linux 9的賬戶管理機(jī)制，包括用戶管理和組管理。在本章的最后介紹了Red Hat Linux 9中常用的用戶管理工具。,5.1 認(rèn)識(shí)用戶和組,在Linux系統(tǒng)中，不論是由本機(jī)或是遠(yuǎn)程登

2、錄系統(tǒng)，每個(gè)系統(tǒng)都必須擁有一個(gè)賬號(hào)，并且對(duì)于不同的系統(tǒng)資源擁有不同的使用權(quán)限。在Red Hat Linux中系統(tǒng)賬號(hào)可分為兩種類型： （1）用戶賬號(hào)：通常一個(gè)操作者擁有一個(gè)用戶賬號(hào)，這個(gè)操作者可能是一個(gè)具體的用戶，也可能是應(yīng)用程序的執(zhí)行者，比如apache、ftp賬號(hào)。每個(gè)用戶都包含一個(gè)惟一的識(shí)別碼，即用戶ID（UID，User Identity），以及組識(shí)別碼，即組ID（GID，Group Identity）。在Linux系統(tǒng)中可以有兩種用戶賬號(hào)：管理員root用戶和普通用戶。 （2）組賬號(hào)：一組用戶賬號(hào)的集合。通過使用組賬號(hào)，可以設(shè)置一組用戶對(duì)文件具有相同的權(quán)限。管理員以組為單位分配對(duì)資源

3、的訪問權(quán)限，例如讀取、寫入或執(zhí)行的權(quán)限，從而可以節(jié)省日常的維護(hù)時(shí)間。,5.1 認(rèn)識(shí)用戶和組,1. 標(biāo)準(zhǔn)用戶 在Red Hat Linux 9安裝的過程中，系統(tǒng)會(huì)自動(dòng)創(chuàng)建許多用戶賬號(hào)，而這些默認(rèn)的用戶就稱為“標(biāo)準(zhǔn)用戶”。這些用戶賬號(hào)除了“root”代表超級(jí)用戶之外，其余賬號(hào)都是系統(tǒng)賬號(hào)，也就是應(yīng)用程序在執(zhí)行時(shí)的身份。需要注意的是，標(biāo)準(zhǔn)賬號(hào)是操作系統(tǒng)安裝時(shí)，自動(dòng)建立的用戶啟動(dòng)相應(yīng)的應(yīng)用程序，超級(jí)用戶在向系統(tǒng)添加普通用戶的時(shí)候，不能和系統(tǒng)中已有的標(biāo)準(zhǔn)用戶同名。系統(tǒng)中的部分標(biāo)準(zhǔn)賬號(hào)見下表。,5.1 認(rèn)識(shí)用戶和組,Linux系統(tǒng)的部分標(biāo)準(zhǔn)賬號(hào),5.1 認(rèn)識(shí)用戶和組,2. 標(biāo)準(zhǔn)組 在Red Hat Lin

4、ux 9安裝的過程中，系統(tǒng)除了會(huì)自動(dòng)創(chuàng)建默認(rèn)的用戶賬號(hào)外，也會(huì)新增“標(biāo)準(zhǔn)組”賬號(hào)。同樣，除了“root”組是用來組織管理者之外，其余的賬號(hào)都是提供給應(yīng)用程序在執(zhí)行時(shí)使用。Red Hat Linux 9的部分標(biāo)準(zhǔn)組見下表。,Linux系統(tǒng)的部分標(biāo)注組賬號(hào),5.2 root 賬號(hào),Linux系統(tǒng)中的root賬號(hào)通常用于系統(tǒng)的維護(hù)和管理，它對(duì)Linux操作系統(tǒng)的所有部分具有不受限制的訪問權(quán)限。 值得注意的是，系統(tǒng)真正關(guān)心的并不是該賬號(hào)的用戶名，而是該賬號(hào)的用戶ID，即UID。/etc、passwd文件中定義的超級(jí)用戶UID為0，也就是說，如果某個(gè)賬號(hào)的uid為零，系統(tǒng)將會(huì)認(rèn)為該用戶就是超級(jí)用戶。在L

5、inux中超級(jí)用戶登錄系統(tǒng)的時(shí)候，系統(tǒng)不會(huì)對(duì)該用戶進(jìn)行存取限制和安全性驗(yàn)證，所以超級(jí)用戶root可以操作任何人的文件或者就像文件的擁有者一樣管理文件。,5.2 root 賬號(hào),在大多數(shù)版本的Linux中，都不推薦直接使用root賬號(hào)登錄系統(tǒng)。當(dāng)系統(tǒng)管理員需要從普通用戶切換到超級(jí)用戶時(shí)，可使用su或su -命令，然后輸入root賬號(hào)的密碼即可，而不用重新登錄。 例如，使用su命令切換用戶： tommyhost tom$ su 在tom賬號(hào)下使用su命令 Password： 輸入root賬號(hào)密碼 rootmyhost tom# 進(jìn)入root賬號(hào) 使用su 命令切換用戶： tommyhost tom

6、$ su - 在tom賬號(hào)下使用su命令 Password： 輸入root賬號(hào)密碼 rootmyhost root# 進(jìn)入root賬號(hào),5.2 root 賬號(hào),需要返回原來的普通用戶賬號(hào)時(shí)，直接輸入exit命令即可。如果要進(jìn)入別的普通用戶賬號(hào)，可在su命令后直接加上其他賬號(hào)，然后輸入密碼。 su和su 命令不同之處在于，su -切換到對(duì)應(yīng)的用戶時(shí)會(huì)將當(dāng)前的工作目錄自動(dòng)轉(zhuǎn)換到切換后的用戶的主目錄。輸入后，系統(tǒng)將提示輸入相應(yīng)用戶的口令，只有輸入的口令正確才能完成身份的轉(zhuǎn)換。如果su命令后沒有攜帶用戶名，系統(tǒng)默認(rèn)從當(dāng)用戶切換到超級(jí)用戶，并提示用戶輸入超級(jí)用戶口令。,5.3 管理用戶賬號(hào) 5.3.1

7、Linux的影子密碼體系,5.3.1 Linux的影子密碼體系 在Linux的早期版本中，用戶的賬號(hào)數(shù)據(jù)，包括用戶名、用戶ID、組ID、用戶的主目錄和用戶使用的shell等都保存在/etc/passwd文件中。由于該文件對(duì)于任何用戶都是可讀的，因而存在口令安全隱患。在RedHat Linux 9中，為了確保用戶的口令安全，在/etc/passwd文件中不再保存用戶的口令數(shù)據(jù)，用戶的口令被加密后存放在/etc/shadow文件中，passwd文件仍然保持了所有用戶的可讀性，而shadow文件只有root賬號(hào)才可讀。這種機(jī)制稱為影子密碼體系。在默認(rèn)安裝RedHat Linux 9的時(shí)候，shado

8、w文件中的口令使用MD5加密。,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,1用戶賬號(hào)信息/etc/passwd 通常在Linux中的所有賬戶信息都記錄在/etc/passwd中，該文件的存取屬性為644，也就是對(duì)所有用戶可讀，但只用root組中的用戶才能修改。 在/etc/passwd文件中，每一行都代表一個(gè)用戶的賬號(hào)信息，而每個(gè)用戶的信息都是以“:”來分隔不同的字段記錄，其中包含7個(gè)字段，見下表。,/etc/passwd中包含的字段,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,各字段的含義如下： 用戶名：是用戶登錄系統(tǒng)時(shí)的登錄名，它由root或是具有和roo

9、t相同權(quán)限的管理員指定，每個(gè)用戶在登陸系統(tǒng)時(shí)都必須使用指定的登錄名。 口令：即用戶的登錄系統(tǒng)時(shí)使用的密碼。通常該字段是一個(gè)“x”，表示是一個(gè)經(jīng)過加密處理的口令，加密后的密碼給放置在/etc/shadow文件中，且該文件只能被root組的賬號(hào)訪問。如果該字段顯示“*”則表示對(duì)應(yīng)賬號(hào)停用。 UID：每個(gè)賬號(hào)唯一的識(shí)別號(hào)，最大可謂65535。UID在500之前的賬號(hào)是提供系統(tǒng)服務(wù)使用的，管理員新增的第一個(gè)普通用的UID為500，然后依次是501、502以此類推。,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,GID：組賬號(hào)的唯一的識(shí)別號(hào)。用戶組的信息被存放在/etc/group文件中，

10、root組的GID為0。管理員創(chuàng)建的第一個(gè)組的GID為500，然后依次是501、502以此類推。 賬號(hào)信息：主要存放用戶的附加信息，如用戶名稱、電話或該用戶的詳細(xì)說明等。用戶可以使用finger命令來查看該字段的內(nèi)容，還可以利用chfn命令來修改其內(nèi)容。 主目錄：用戶登錄后直接進(jìn)入的目錄，在默認(rèn)的狀態(tài)下，每個(gè)用戶都有一個(gè)主目錄。root用戶的主目錄為/root，管理員創(chuàng)建的用戶的主目錄通常為/home/，如tom用戶主目錄為/home/tom。,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,登錄shell：用戶在登錄系統(tǒng)時(shí)使用的shell，Red Hat Linux 9默認(rèn)使用的

11、是/bin/bash，用戶可以使用chsh命令更改自己的登錄shell。如果用戶只是系統(tǒng)通過該用戶賬號(hào)獲取系統(tǒng)的某種服務(wù)，而不希望該用戶能夠登錄Linux工作站，可以將此登錄shell修改為/bin/false、/bin/true、/dev/null和/sbin/nologin等其中之一。 2. 用戶口令文件/etc/shadow 在Linux系統(tǒng)中通常使用影子口令機(jī)制（Shadow Password），用戶的身份信息被存放在/etc/passwd文件中，用戶的口令信息加密后保存在另一個(gè)文件/etc/shadow中，并只設(shè)置root賬號(hào)的可讀屬性，因而大大提高了系統(tǒng)的安全性能。,5.3 管理用

12、戶賬號(hào) 5.3.1 Linux的影子密碼體系,在/etc/shadow文件中有9個(gè)字段，每個(gè)字段使用“：”分隔。其中保存了用戶名、加密后的口令等信息。各字段的含義見下表。,/etc/shadow中包含的字段,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,使用影子密碼機(jī)制可以提供以下的優(yōu)點(diǎn)： （1）將原本/etc/passwd文件中的密碼移至/etc/shadow文件中，而shadow文件只允許管理員root賬戶讀取，可以提,5.3 管理用戶賬號(hào) 5.3.1 Linux的影子密碼體系,高系統(tǒng)的安全性。而且其中的密碼是采用MD5算法加密的，root賬戶也無法直接獲得口令的內(nèi)容，但是r

13、oot賬戶可以變更用戶密碼或停用每個(gè)賬戶。 （2）可記錄密碼變更的時(shí)間。 （3）可以設(shè)置密碼使用的時(shí)間，以避免用戶的密碼變更過于頻繁。 （4）可以使用/etc/login.defs文件來設(shè)置密碼的安全性原則，例如密碼的最小長度或密碼最短的使用時(shí)間等。 用戶管理的工作包括建立一個(gè)合法的賬號(hào)、設(shè)置和管理用戶的口令、修改賬號(hào)的屬性以及在必要時(shí)刪除賬號(hào)。雖然在絕大部分的類UNIX系統(tǒng)中，都支持直接修改/etc/passwd文件來管理賬號(hào)的信息，但是，如果存在/etc/shadow文件，這種方式便會(huì)失效。,5.3 管理用戶賬號(hào) 5.3.2 setuid和setgid,5.3.2 setuid和setgi

14、d 用戶存儲(chǔ)用戶信息的/etc/passwd文件只有超級(jí)用戶才能進(jìn)行修改，而用于存儲(chǔ)用戶口令的文件/etc/shadow甚至只有超級(jí)用戶才可以訪問。只有在普通用戶執(zhí)行passwd命令的時(shí)候，能夠讀取和修改/etc/passwd和/etc/shadow文件，才能使普通用戶修改自己的口令。為了解決在用戶修改口令時(shí)，文件系統(tǒng)存取權(quán)限矛盾，Linux給/usr/sbin/passwd命令設(shè)置了setuid屬性。 setuid是一種文件的擁有者具備的特殊屬性，它使得被設(shè)置了setuid位的程序無論被哪個(gè)用戶啟動(dòng)，都會(huì)自動(dòng)具有文件擁有者的權(quán)限，在Linux中典型擁有setuid屬性的文件就是/usr/bi

15、n/passwd程序，見下圖。通常setuid屬性只會(huì)設(shè)置在可執(zhí)行的文件上，因?yàn)楸M管理論上可以給不可執(zhí)行的文件加上setuid屬性，但是這樣做通常是沒有意義的。,5.3 管理用戶賬號(hào) 5.3.2 setuid和setgid,文件屬性中的s占據(jù)的位即為setuid位，“s”代表對(duì)應(yīng)的文件被設(shè)置了setuid屬性，因?yàn)閜asswd程序的擁有者是超級(jí)用戶root，因此passwd程序執(zhí)行的時(shí)就自動(dòng)獲取了超級(jí)用戶的權(quán)限，所以無論是哪個(gè)用戶執(zhí)行了passwd程序都可以修改系統(tǒng)的口令文件。 要給一個(gè)文件加上setuid屬性，可以使用如下的命令： chmod u+s 或 chmod 4xxx ,passwd

16、文件的setuid屬性,5.3 管理用戶賬號(hào) 5.3.2 setuid和setgid,其中，u+s表示給文件的擁有者添加setuid屬性，其屬性字為4000，xxx代表文件原來的存取屬性。 setgid與setuid類似，只是setgid是文件歸屬的組具備的特殊屬性，具有setgid的可執(zhí)行文件運(yùn)行時(shí)，自動(dòng)獲取文件對(duì)應(yīng)的組權(quán)限，因?yàn)榻M權(quán)限不像用戶權(quán)限那樣精確，所以使用setgid的程序很少。要給某個(gè)文件添加setgid屬性，可以命令： chmod g+s 或 chmod 2xxx 其中，g+s表示給文件的歸屬組添加setgid屬性，其屬性字為2000，xxx代表文件原來的存取屬性。 setui

17、d和setgid屬性都是對(duì)正常的Linux安全機(jī)制開的后門，原則上，只有在明確的非用不可的功能中才使用它們。特別是，具有超級(jí)用戶權(quán)限的setuid屬性的應(yīng)用程序經(jīng)常是系統(tǒng)遭受攻擊的目標(biāo)。因此要千萬慎用。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,5.3.3 使用命令行管理用戶 1添加用戶賬號(hào) 在RedHat Linux 9中添加用戶賬號(hào)可以使用adduser或useradd命令，因?yàn)閍dduser命令是指向useradd命令的一個(gè)鏈接，因此，這兩個(gè)命令的使用格式完全一樣。 useradd命令的使用格式如下： useradd 參數(shù) 新建用戶賬號(hào) 常用參數(shù)和含義見下表。,useradd

18、命令的參數(shù)及含義,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.1 建立jack賬號(hào)，其主目錄為/home/tom、歸屬于tom組、賬號(hào)信息為general user、用戶shell為/bin/bash、賬號(hào)有效期到2008年12月1日。命令的執(zhí)行過程如圖所示。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,rootmyhost root# useradd d /home/tom g 500 -c “general user” s /bin/bash e 2008-12-1 jack,2變更用戶口令 在Linux系統(tǒng)中，每個(gè)用戶除了擁有賬號(hào)外，還應(yīng)該擁有相應(yīng)的口令。系統(tǒng)管

19、理員root應(yīng)該在創(chuàng)建用戶賬號(hào)的時(shí)候?yàn)槊總€(gè)用戶指定一個(gè)初始密碼，用戶利用此密碼登錄系統(tǒng)后，再自行修改。用戶應(yīng)該選擇一個(gè)自己容易記憶的口令，同時(shí)還應(yīng)該保證該密碼的健壯性。,useradd命令示例,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,由于入侵者可以使用自動(dòng)化的工具軟件多次嘗試登錄系統(tǒng)，簡單的口令很容易被破解，因此，一個(gè)健壯性高的口令應(yīng)該具備以下特點(diǎn)：不包含個(gè)人信息，不存在鍵盤順序規(guī)律，不使用字典中的單詞，最好包含非字母符號(hào)，長度不小于8位，同時(shí)還用方便記憶。 在RedHat Linux 9中，超級(jí)用戶可以使用passwd命令為普通用戶設(shè)置或修改用戶口令。用戶也可以直接使用該命令來

20、修改自己的口令，而無需在命令后面使用用戶名。該命令的常用格式為： passwd 參數(shù) 用戶名 常用的參數(shù)及含義如表所示。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.2 使用passwd的-stdin參數(shù)為例5.1中建立的jack賬戶設(shè)置初始口令。 在終端中輸入如下命令，結(jié)果如圖所示。 rootmyhost root# passwd jack -stdin,passwd命令的參數(shù)及含義,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.3 tom登錄系統(tǒng)后，更變自己的口令。命令執(zhí)行的過程如下圖所示。 rootmyhost tom# passwd,root賬號(hào)設(shè)置jac

21、k用戶初始口令,tom用戶變更自己口令,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,3查看用戶信息 1) whoami命令 該命令用戶查看當(dāng)前系統(tǒng)當(dāng)前賬號(hào)的用戶名。由于系統(tǒng)管理員通常需要使用多種身份登錄系統(tǒng)，例如通常使用普通用戶登錄系統(tǒng)，然后再以su命令切換到root身份對(duì)傳統(tǒng)進(jìn)行管理。這時(shí)候就可以使用whoami來查看當(dāng)前用戶的身份。 該命令的使用格式如下： whoami 2) who命令 該命令用于查看當(dāng)前所有登錄系統(tǒng)的用戶信息，使用格式如下： who 選項(xiàng) 常用的參數(shù)及含義如下表所示。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.4 使用who命令查看當(dāng)前登錄系

22、統(tǒng)的用戶詳細(xì)信息。在終端中輸入如下命令，結(jié)果如圖所示。 rootmyhost root# who uH,who命令的參數(shù)及含義,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,其中，IDLE字段顯示為“.”表示該用戶前一秒仍然在操作系統(tǒng)。who命令輸出的常用標(biāo)題及含義如下表所示。,who命令查看登錄賬號(hào),who命令輸出的常用標(biāo)題,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,3) w命令 該命令也可以查看登錄當(dāng)前系統(tǒng)的用戶信息。與who命令相比，w命令的功能更強(qiáng)大，它不但可以顯示當(dāng)前有哪些用戶登錄到系統(tǒng)，還可以顯示這些用戶正在進(jìn)行的操作，并給出更加詳細(xì)和科學(xué)的統(tǒng)計(jì)數(shù)據(jù)。 w命令的

23、格式如下： w 選項(xiàng) 用戶名 如果w命令攜帶用戶名，則只顯示指定用戶的信息，否則顯示當(dāng)前所有登錄用戶的信息。其常用參數(shù)和含義如表所示。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.5 使用w命令查看當(dāng)前登錄系統(tǒng)的用戶的詳細(xì)信息，顯示結(jié)果如下圖所示。,who命令的參數(shù)及含義,w命令查看登錄賬號(hào)信息,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,w命令輸出的常用標(biāo)題及含義如下表所示。,4) finger命令 該命令用于查找指定用戶，并顯示該用戶的相關(guān)信息。該命令常用格式如下： finger 參數(shù) 用戶名,w命令輸出的常用標(biāo)題,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理

24、用戶,該命令常用的參數(shù)有-l，可以顯示特定用戶的詳細(xì)信息。finger -l命令的執(zhí)行結(jié)果如下圖所示。,4修改用戶信息 1) chfn命令 該命令用于修改系統(tǒng)中存放的用戶信息。這些用戶信息包括：用戶全名、工作單位、工作電話和家庭電話等。,finger l命令執(zhí)行,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,在新建一個(gè)用戶時(shí)，通常沒有設(shè)置用戶信息，如果需要可以使用chfn命令設(shè)置，這些信息也是finger命令顯示的內(nèi)容，如果chfn命令沒有攜帶任何用戶名，表示更改當(dāng)前登錄系統(tǒng)的用戶的信息，此時(shí)系統(tǒng)會(huì)出現(xiàn)一個(gè)交互式界面等待用戶輸入，錄入完畢后，信息將被保存到/etc/passwd文件的賬

25、號(hào)信息字段中。 該命令使用格式如下： chfn 用戶名 例如，修改root賬號(hào)的信息，如圖所示。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,2) usermod命令 在RedHat Linux 9中，除了在添加用戶時(shí)指定用戶的主目錄、登錄時(shí)的shell和所屬的組外，還可以在用戶創(chuàng)建后，使用usermod命令來修改用戶的這些信息。usermod命令的使用格式如下：,chfn命令修改root信息,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,usermod 選項(xiàng) 用戶名 常用參數(shù)和含義見下表。,usermod命令的參數(shù)及含義,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶

26、,例5.6 將jack用戶歸于root組（GID為0），主目錄指定到/home/jack。命令執(zhí)行如下圖所示。 rootmyhost root# usermod G 0 d /home/jack,5刪除用戶 為了保證系統(tǒng)的安全，在Linux系統(tǒng)中，如果某個(gè)用戶賬號(hào)不再使用，就應(yīng)該從系統(tǒng)中刪除。在Linux系統(tǒng)中可以通過直,usermod命令執(zhí)行,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,接刪除/etc/passwd和/etc/shadow文件中對(duì)應(yīng)行的辦法來刪除系統(tǒng)賬號(hào)，但這種方法不利于初學(xué)者，更增加了管理員的負(fù)擔(dān)。因此在Linux系統(tǒng)中提供了userdel命令來實(shí)現(xiàn)從系統(tǒng)中刪除已

27、有賬戶。 該命令的使用格式如下： userdel -r 用戶名 如果使用參數(shù)-r，則表示在刪除用戶的同時(shí)，將該用戶的主目錄一并刪除。 6. 在登錄的用戶間傳遞消息 在Linux系統(tǒng)中，提供了幾個(gè)用于向登錄用戶發(fā)送消息的工具，以便管理員在需要的時(shí)候使用這些工具向其他登錄用戶發(fā)送系統(tǒng)消息。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,1) mesg命令 該命令用于設(shè)置終端機(jī)的寫入權(quán)限，即如果mesg使用y參數(shù)表示允許其他用戶將消息傳到自己的終端機(jī)界面上。如果mesg使用n參數(shù)表示不允許其他用戶將消息傳到自己的終端機(jī)界面上。該命令的使用格式如下： mesg 選項(xiàng) 常用參數(shù)和含義見下表。,m

28、esg命令的參數(shù)及含義,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,2) wall命令 該命令能將消息內(nèi)容發(fā)送給每一個(gè)在線的用戶，但是該用戶的必須首先使用mesg命令允許其他用戶將消息傳到其終端上。改名的使用格式如下： wall 也可以直接使用wall，然后輸入信息，不過信息結(jié)束時(shí)需加上 EOF (使用鍵盤鍵Ctrl+D)。 3) write命令 該命令可以向指定的用戶發(fā)送信息。該命令的使用格式如下： write ttyname 其中參數(shù)ttyname是可選項(xiàng)，當(dāng)一個(gè)用戶多次登錄系統(tǒng)時(shí)，可以選擇使用該參數(shù)指定其登錄的終端。,5.3 管理用戶賬號(hào) 5.3.3 使用命令行管理用戶,例5.

29、7 通過write命令向tom用戶發(fā)送消息。 rootmyhost root# write tom 然后輸入欲發(fā)送的消息，然后使用EOF(使用鍵盤鍵Ctrl+D)結(jié)束消息。如下圖所示。,write發(fā)送消息,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),5.3.4 批量建立用戶賬號(hào) 在Red Hat Linux 9中，提供了newusers和chpasswd工具用戶創(chuàng)建批量用戶，以減輕管理員的工作量，并減少錯(cuò)誤的發(fā)生率。步驟如下： （1）創(chuàng)建用戶信息文件。其中按照/etc/passwd文件的字段格式和次序，一行一個(gè)用戶信息。 （2）執(zhí)行newusers工具，讀取用戶信息。 （3）將讀取的信

30、息依次在/etc/passwd和/etc/shadow文件中創(chuàng)建記錄，以新建批量用戶。 以下配合一個(gè)實(shí)例，來介紹如何使用RedHat Linux 9提供的newusers和chpasswd等工具新建批量用戶賬號(hào)。,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),1創(chuàng)建用戶信息文件 批量創(chuàng)建用戶的第一步就是為用戶準(zhǔn)備信息文件，該用戶信息文件必須按照/etc/passwd定義的字段含義和次序來創(chuàng)建。同時(shí)，每個(gè)用戶賬號(hào)的名稱及用戶ID都不能相同，而口令字段可以先使用空白，或使用x代替以增加安全性。假設(shè)新增用戶的信息存放在/root/account.txt文件中，其內(nèi)容見下圖。,account.t

31、xt用戶信息文件,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),2使用newusers工具批量創(chuàng)建用戶 在/usr/sbin/目錄下的newusers工具主要的功能就是利用用戶信息文件來更新或創(chuàng)建用戶賬號(hào)。在Linux系統(tǒng)中，提供了輸入重定向符和來將account.txt文件作為newusers工具的輸入。newusers工具使用很簡單，系統(tǒng)會(huì)根據(jù)用戶信息文件中的數(shù)據(jù)來新建用戶賬號(hào)，如下圖所示。 rootmyhost root# newusers /root/account.txt,利用newusers工具創(chuàng)建用戶,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),3取消影子口令機(jī)制

32、在Linux系統(tǒng)的/usr/sbin目錄下，提供的pwunconv程序能夠?qū)?etc/shadow產(chǎn)生的影子口令譯碼，然后回寫到/etc/passwd文件中，同時(shí)也將/etc/shadow文件中的口令字段刪除，以取消影子口令機(jī)制。該命令的執(zhí)行及執(zhí)行后/etc/passwd文件和/etc/shadow文件的變化如下圖所示。 rootmyhost root# pwunconv,取消影子口令機(jī)制,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),4創(chuàng)建密碼文件 按照account.txt文件的賬號(hào)創(chuàng)建對(duì)應(yīng)的口令表文件，該文件僅需兩個(gè)字段，第一個(gè)字段是account.txt文件中的用戶名，第二個(gè)字段

33、是明文口令，以“：”分隔。這里以新增的/root/password.txt文件為例，其內(nèi)容如下圖所示。,密碼文件password.txt,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),5使用chpasswd工具設(shè)置用戶口令 在創(chuàng)建對(duì)應(yīng)的密碼表文件后，需要使用工具chpasswd程序?qū)⒚艽a文件中的口令導(dǎo)入/etc/passwd文件。該工具通過利用管道符，使得密碼表文件/root/password.txt作為輸入，其用法如下圖所示。 rootmyhost root# chpasswd /root/password.txt,向/etc/passwd文件導(dǎo)入口令,5.3 管理用戶賬號(hào) 5.3.4

34、 批量建立用戶賬號(hào),該工具執(zhí)行成功是沒有任何信息，此時(shí)再次查看/etc/passwd文件時(shí)，發(fā)現(xiàn)其中的口令已經(jīng)被更改。這說明對(duì)應(yīng)的密碼表文件中的口令已經(jīng)被導(dǎo)入了。為了確保系統(tǒng)口令的安全性，接著應(yīng)該恢復(fù)系統(tǒng)的影子口令機(jī)制。 6重設(shè)影子口令機(jī)制 在成功地將用戶口令寫入/etc/passwd文件之后，就應(yīng)該啟用系統(tǒng)的影子口令機(jī)制，以增強(qiáng)系統(tǒng)的安全性能。在這一步驟可以使用/usr/sbin/pwconv工具，將密碼進(jìn)行MD5加密后，寫入/etc/shadow文件中。在執(zhí)行/usr/sbin/pwconv程序后，原來出現(xiàn)在/etc/passwd文件中的密碼會(huì)使用“x”記號(hào)取代。該命令執(zhí)行的過程見下圖。

35、rootmyhost root# pwconv,5.3 管理用戶賬號(hào) 5.3.4 批量建立用戶賬號(hào),完成第六步后，就可以利用新建的賬戶登錄系統(tǒng)了。使用上述的方法在向系統(tǒng)新增大量用戶的時(shí)候是非常有效的。如果能夠配合shell腳本使用上面的工具，就可以大大降低管理員在批量創(chuàng)建用戶時(shí)的工作負(fù)擔(dān)，同時(shí)也能防止由于管理員的過失而導(dǎo)致的錯(cuò)誤，增進(jìn)系統(tǒng)的日常維護(hù)能力。,重設(shè)影子口令,5.4 管理用戶組 5.4.1理解組賬號(hào)信息文件/etc/group,在Linux中通常將已有的用戶賬號(hào)歸屬于某個(gè)組，這樣在進(jìn)行賬號(hào)管理時(shí)，就可以組為基本單位，然后再授予組對(duì)某些資源的存取權(quán)限，此后，該組中的所有成員都可以擁有對(duì)

36、該資源同樣的存取權(quán)限，管理員也可以節(jié)省日常維護(hù)的時(shí)間。 5.4.1理解組賬號(hào)信息文件/etc/group 在RedHat Linux 9中，所有的組賬號(hào)信息被放置在/etc/group文件中，和/etc/passwd文件類似，/etc/group文件的每一行都代表一個(gè)組，并且每個(gè)字段使用“：”進(jìn)行分隔，各字段的含義如下表所示。,5.4 管理用戶組 5.4.1理解組賬號(hào)信息文件/etc/group,/etc/group中包含的字段,和用戶影子口令機(jī)制類似，/etc/group文件也包含了一個(gè)對(duì)應(yīng)的/etc/gshadow文件，用來提升其口令的安全性。如果系統(tǒng)中啟用了/etc/gshadow文件，

37、那么直接利用/etc/group文件創(chuàng)建組賬號(hào)的方法就會(huì)失敗，因而必須使用稍后介紹的專用工具。,5.4 管理用戶組 5.4.2 使用命令行方式管理組,5.4.2 使用命令行方式管理組 1. groupadd命令 該命令用于向系統(tǒng)新增一個(gè)組，新增的組賬號(hào)在默認(rèn)的情況下最小從500開始。通常的情況下，其命令格式如下： groupadd 選項(xiàng) 組名 groupadd工具無需使用參數(shù)，但在某些特殊情況下，需要使用如下表所示的參數(shù)。,groupadd命令的參數(shù)及含義,5.4 管理用戶組 5.4.2 使用命令行方式管理組,例5.7 向系統(tǒng)新增一個(gè)系統(tǒng)組testg組，其GID為480。具體操作如下，完成后用

38、使用tail命令查看詳細(xì)情況，過程如下圖所示。 rootmyhost root# groupadd g 480 testg,新增testg組,2. groupmod命令 管理員有時(shí)候可能需要更改組賬號(hào)的內(nèi)容，此時(shí)可以使用groupmod命令。其命令格式如下：,5.4 管理用戶組 5.4.2 使用命令行方式管理組,groupmod 選項(xiàng) 組名 常用參數(shù)和含義如下表所示。,groupmod命令的參數(shù)及含義,例5.8 將testg組更名為troot，其GID變更為0，具體操作如下，操作完成后使用more命令查看結(jié)果，如下圖所示。 rootmyhost root# groupmod g 0 o n t

39、root testg,5.4 管理用戶組 5.4.2 使用命令行方式管理組,groupmod命令示例,3. groupdel命令 在向系統(tǒng)創(chuàng)建用戶賬號(hào)的時(shí)候，系統(tǒng)會(huì)自動(dòng)創(chuàng)建與該賬號(hào)同名的組，但是在刪除該用戶賬號(hào)的時(shí)候，系統(tǒng)并不會(huì)自動(dòng)刪除該組，因此需要系統(tǒng)管理員手動(dòng)刪除該組賬號(hào)。groupdel命令提供了刪除特定組賬號(hào)的工具，該命令無需任何參數(shù)。其使用格式如下： groupdel ,5.4.3 使用圖形界面管理用戶和組,在前面的章節(jié)中，介紹了使用命令工具管理系統(tǒng)的用戶賬號(hào)和組賬號(hào)，在RedHat Linux 9中，同時(shí)提供了基于圖形界面的用戶管理工具“RedHat用戶管理器”。 單擊“主菜單”“

40、系統(tǒng)設(shè)置”“用戶和組群”菜單項(xiàng)，打開“Red Hat用戶管理器”窗口，如圖所示。在該窗口中存在兩個(gè)選項(xiàng)卡，一個(gè)是“用戶”選項(xiàng)卡，用于用戶管理，另一個(gè)是“組群”選項(xiàng)卡，用于組群管理。,“Red Hat用戶管理器”窗口,5.4.3 使用圖形界面管理用戶和組,1. 新增用戶賬號(hào) 切換到“用戶”選項(xiàng)卡，單擊工具欄中的“添加用戶”工具按鈕，彈出“創(chuàng)建新用戶”對(duì)話框，如圖1所示。在此窗口中，除了需要填寫新增的用戶賬號(hào)名稱外，還可以設(shè)置賬號(hào)的全稱、口令、登錄shell和主目錄等信息。在默認(rèn)情況下，系統(tǒng)會(huì)自動(dòng)為新增的用戶賬號(hào)建立一個(gè)同名的私人組群。如果不希望這樣，就可以取消“為該用戶創(chuàng)建私人組群”前的復(fù)選框，單擊“確定”按鈕即可創(chuàng)建新用戶。如果要將其添加到群組中，可以選中該用戶，然后單擊“屬性”按鈕，在彈出的“用戶屬性”對(duì)話框中選擇“組