第三章用户管理和配置管理 用户管理负责系统中所有用户使用系统资源时的权限管理: 配置管理负责系统中所有软件运行环境的配置。 31用户管理 32配置管理
第三章 用户管理和配置管理 3.1 用户管理 3.2 配置管理 用户管理负责系统中所有用户使用系统资源时的权限管理; 配置管理负责系统中所有软件运行环境的配置
3.1用户管理 3.1.1用户功能 3.1.2举例
3.1 用户管理 3.1.1 用户功能 3.1.2 举例
3.1.1用户功能 用户身份:认证通过之后一一生成相应 用户身份的she进程一一在shel中运行的 新进程也继承同样的用户身份 系统资源中的权限设置(属主和访问权 限):静态资源如文件、设备,动态资 源如进程 控制进程对资源的访问控制:进程的用 户身份与资源的权限设置比较;
3.1.1 用户功能 • 用户身份:认证通过之后--生成相应 用户身份的shell进程--在shell中运行的 新进程也继承同样的用户身份 • 系统资源中的权限设置(属主和访问权 限):静态资源如文件、设备,动态资 源如进程; • 控制进程对资源的访问控制:进程的用 户身份与资源的权限设置比较;
3.1.2举例 3.1.2.1UNIX 3.1.2.2 Windows nt
3.1.2 举例 3.1.2.1 UNIX 3.1.2.2 Windows NT
3.1.2.1UNIX 1.用户 用户的控制台/远程登录(logn):给出用户名和口令 su变为其他用户 用户 ID(user ID):是一个整数。Uid为0的是超级用户或特权 用户( (super-user or privileged user); 用户名( user name):字符串,通常超级用户是"root"(对所 有资源均有全部访问权,执行所有系统调用)。 etc/ passwd文件:文本文件,每行对应一个用户,包括:用 户名、用户ID、用户组ID、用户全名、用户根目录、默认 shell如:" root: x:0:1: Super-User://sbin/sh"为该文件中与root 用户对应的行。 有关user的例程: getuidO; setuidO
3.1.2.1 UNIX • 用户的控制台/远程登录(login):给出用户名和口令; – su变为其他用户 • 用户ID(user ID):是一个整数。Uid为0的是超级用户或特权 用户(super-user or privileged user); • 用户名(user name):字符串,通常超级用户是 "root"(对所 有资源均有全部访问权,执行所有系统调用)。 • /etc/passwd文件:文本文件,每行对应一个用户,包括:用 户名、用户ID、用户组ID、用户全名、用户根目录、默认 shell;如:"root:x:0:1:Super-User:/:/sbin/sh"为该文件中与root 用户对应的行。 – 有关user的例程:getuid(); setuid(); 1. 用户
为防止口令失窃,用户口令放在/etc/ /shadow文件中 只有超级用户进程可以读取。如 "yong6YD6 YIXYUOAGk:10624:该文件中对应 于用户yong的加密口令 创建新用户( useradd):命令"/ useradd test l"会对文件 " passwd"进行修改,以创建一个新的用户" test l'" 删除已有用户( userdel):命令"/ userdel test 1"会对文件 " passwd"进行修改,以删除已有用户" testl
• 为防止口令失窃,用户口令放在 /etc/shadow文件中, 只有超级用户进程可以读取。如: "xyong:6YD6YlXYuOAGk:10624::::::"为该文件中对应 于用户xyong的加密口令。 • 创建新用户(useradd):命令"./useradd test1"会对文件 "passwd"进行修改,以创建一个新的用户"test1"。 • 删除已有用户(userdel):命令"./userdel test1"会对文件 "passwd"进行修改,以删除已有用户"test1
2.用户组 用户组ID(goup):是一个整数。Uid为0的是超级用户组;用户 组名:字符串,通常超级用户组是"root" etc/ group文件:文本文件,每行对应一个用户组,包括:用户 组名、用户组ID、组内的各用户。如: "sys:3;root:bin,sys,adm, root"为该文件中与sy组对应的行。 有关 group的例程: initgroupso; netgroups(; netgroups; getid;, setgid(; 创建新用户组( grouped):命令"/ groupadd test"会对文件" group 进行修改,以创建一个新的用户组"test"。 把一个用户加入一个组( usermod):命令"/ usermod- G group user"会对文件"goup"进行修改,把用户"user"加入用户组 group 在文件管理功能中有相应命令进行资源所有者及其所在用户组 的控制。如命令" chgrp group directory"可修改目录" directory"所 在的用户组为" group
2. 用户组 • 用户组ID(group):是一个整数。Uid为0的是超级用户组;用户 组名:字符串,通常超级用户组是 "root"。 • /etc/group文件:文本文件,每行对应一个用户组,包括:用户 组名、用户组ID、组内的各用户。如: "sys::3:root,bin,sys,adm,rootc"为该文件中与sys组对应的行。 – 有关group的例程:initgroups(); getgroups(); setgroups(); getgid(); setgid(); • 创建新用户组(groupadd):命令"./groupadd test"会对文件"group" 进行修改,以创建一个新的用户组"test"。 • 把一个用户加入一个组(usermod):命令"./usermod -G group user"会对文件"group"进行修改,把用户"user"加入用户组 "group"。 • 在文件管理功能中有相应命令进行资源所有者及其所在用户组 的控制。如命令"chgrp group directory"可修改目录"directory"所 在的用户组为" group
3.资源访问权限 资源中的用户信息: 文件:uid,gid-- chown it: uid, gid, euid, egid--setuido), getuido (real ID 对应于调用进程ID, effective ID对应被执行文件的用 户ID) 资源访问权限对用户的划分:ugoa 资源所有者: the user who owns it(u 同组用户: other users in the file's group(g) 一非同组用户: other users not in the file's group(O) 所有用户: all users(a)(这种情况相当于前三种的组 合a=u+g+o)
3. 资源访问权限 • 资源中的用户信息: – 文件:uid, gid――chown() – 进程:uid, gid, euid, egid――setuid(), getuid() (real ID 对应于调用进程ID,effective ID对应被执行文件的用 户ID) • 资源访问权限对用户的划分:ugoa – 资源所有者:the user who owns it (u) – 同组用户:other users in the file's group (g) – 非同组用户:other users not in the file's group (o) – 所有用户:all users (a)(这种情况相当于前三种的组 合a=u+g+o)
文件访问权限的分类: rwxXstugo前三种是基本权限,中间三 种是高级执行权限(在不同系统上会有不同意义),后三种 是用户权限的简便描述; 读权限:read(r),读文件内容或列目录中的文件列表 写权限:wite(w),修改文件内容或在目录中创建和删除文件; 可执行权限(仅对目录和可执行文件有意义): execute(or access for directories)(x),把文件作为程序执行或访问目录中的文件 仅对目录有效的可执行权限: execute only if the file is a directory or already has execute permission for some user(X) 执行时设置进程的用户或组标识: set user or group Id on execution(s) 对换权限: save the program's text image on the swap device so it will load more quickly when run( called the" sticky bit").为了快速运行程序而 在对换区中创建程序映像; 所有者的权限: the permissions that the user who owns the file currently has for it(u) 同组用户权限: the permissions that other users in the file's group have for it(g 其他用户权限: the permissions that other users not in the file's group have for it(o)
• 文件访问权限的分类:rwxXstugo前三种是基本权限,中间三 种是高级执行权限(在不同系统上会有不同意义),后三种 是用户权限的简便描述; – 读权限:read (r),读文件内容或列目录中的文件列表; – 写权限:write (w),修改文件内容或在目录中创建和删除文件; – 可执行权限(仅对目录和可执行文件有意义):execute (or access for directories) (x),把文件作为程序执行或访问目录中的文件; – 仅对目录有效的可执行权限:execute only if the file is a directory or already has execute permission for some user (X) – 执行时设置进程的用户或组标识:set user or group ID on execution (s) – 对换权限:save the program's text image on the swap device so it will load more quickly when run (called the "sticky bit").为了快速运行程序而 在对换区中创建程序映像; – 所有者的权限:the permissions that the user who owns the file currently has for it (u) – 同组用户权限:the permissions that other users in the file's group have for it (g) – 其他用户权限:the permissions that other users not in the file's group have for it (o)
3.1.2.2 Windows nt 1. Windows nt的用户权限 用户 (account)在控制台/远程登录( logon):给出用户 名、口令和域名 域( domain):由若干计算机组成,包含用户和用户组 ( group)。域控制器只负责自己一个域,而域控制器 和域中成员计算机均可以访问多个域的资源 用户和用户组由安全标识符(SID)识别。SID是在用户 或用户组创建时生成的唯一字符串:用户名不同则 SID不同,同一用户名的几次创建则SID不同。如 文件A属于用户" user1",删除用户 user1然后重新创建, 则A不属于任何用户
3.1.2.2 Windows NT • 用户(account)在控制台/远程登录(logon):给出用户 名、口令和域名 • 域(domain):由若干计算机组成,包含用户和用户组 (group)。域控制器只负责自己一个域,而域控制器 和域中成员计算机均可以访问多个域的资源。 • 用户和用户组由安全标识符(SID)识别。SID是在用户 或用户组创建时生成的唯一字符串:用户名不同则 SID不同,同一用户名的几次创建则SID不同。如: 文件A属于用户"user1",删除用户user1然后重新创建, 则A不属于任何用户 1. Windows NT的用户权限