linux运维之道 2.3 账户与安全
2.groupadd 创建组账号
-g
1.创建tom组
#groupadd tom
2.创建GID为1000的组jerry
#groupadd -g 1000 jerry
2.3.3 修改账户及组
1.passwd 更新账号认证信息。
每条选项下都可以执行不同指令。
-l 锁定账户,仅root可使用选项
–stdin 从文件或管道读取密码
-u 解锁账户
-d 快速清空账号密码,仅root使用
1.为当前用户设置新密码
#passwd
2.指定修改yom密码
#passwd yom
3.设置tom的密码为qwer0987
#echo “qwer0987” |passwd --stdin tom
4.锁定账户tom
#passwd -l tom
5.解锁账户tom
#passwd -u tom
6.清空账户root密码(无密码可登陆系统)
#passwd -d tom
2.suemod 修改账户信息
-d 修改账户家目录
-e 修改账户失效日期
-g 需要账户所属基本组
-G 修改账户所属附加组
-s 修改账户登陆
-u 修改账户UID
1.修改tom的家目录,/home/tomcat/目录必须存在
#usermod -d /home/tomcat tom
2.修改账户tom的基本组为mail
#usermod -g mail tom
3.修改user2 登陆shell为bash
#usermod -s /bin/bash user2
4.修改tom的UID为1001
#usermod -u 1001 tom
2.3.4 删除账户及组
1.userdel 删除账户及相关文件
-r 删除账号及相关文件
1.删除账户tom,但该账户的文件不能删除
#userdel tom
2.删除账户tom,并删除相应的家目录
很显然了用-r选项来删除账户的相关内容。
#userdel -r tom
2.groupdel 删除组账户
不用举例了后面直接跟你想删除的组即可!
2.3.5 账户与组文件解析
1.账户信息被保存在/etc/passwd文件中,通过命令cat/etc/basswd查看文件内容如下:
root:x:0:0::toot:/root:/bin:/bash
解释:文件以冒号为分隔符,第一列为账户名称,第二列为密码占位符(x代表该账户需要密码才可以登录,为空时,账户无需密码即可登录),第三列为账户UID,第四列为GID第五列为账户附加基本信息,一般存储账户名全称,联系方式等信息,第六列为账户家目录位置,第七列账户登录shell,/bin/bash为可登录系统shell,/sbin/nologin表示账户无法登录系统
2.账户密码文件
账户密码信息被保存在/etc/shadow文件中,通过命令cat/etc/shadow查看文件内容如下:
略略略…
3.组账户信息文件
组账户密码信息被保存在/etc/group文件中,通过命令cat/etc/group查看内容如下:
wheel:x:10:
mail:x:12:mail,postfix,admin
uucp:x:14:
解释:文件以冒号为分隔符,第一列为组账户名称,第二列为密码占位符,第三列为GID,第四列为组成员信息
4.组账户密码文件
组账户密码信息被保存在/etc/gshadow文件中,通过命令cat/etc/gshadow查看内容如下:
root:::
bin:::bin,daemon,admin
daemon:::bin,daemon
dba:!::otacle
tom:!::
解释:文件以冒号为分隔符第一列为组账号名称,第二列为组密码(一般为组管理员密码),第三列为组管理员,第四列为组成员 (与/etc/gooup第四列相同)
2.3.6 文件及目录
1.linux权限主要为 读,写,执行 三种控制,使用ls -l命令查看文件或目录信息时,系统会显示为r(读取权限),w(写入权限)x(执行权限)。
r 可读 4
w 可写 2
x 可执行 1
2.修改文档熟悉
1.chmod改变文件或目录权限
–reference=RFILE
-R 递归将权限应用于所有的子目录与子文件
chmod命令参数中,u代表所有者,g代表所有组,o代表其他用户,a代表所有人。
2.3.7 账户管理案例
创建组账户
mkdir -p /var/{teach,office,finance,admin,market}
创建组管理员账户
useradd -g teach op_teach
创建普通员工账户
useradd -g teach endy
添加组管理员
gpasswd -A op_teach teach
2.3.8 ACL访问控制权限
1.setfacl 设置文档访问控制列表。
-b 删除所有的ACL条目
-m 添加AC条目
-x 删除指定的ACL条目
-R 递归处理所有的子文件与子目录
1.添加ACL条目,使用户user1对test.txt文件可读可写
#setfacl -m u:userl:rw test.txt
2.添加ACL条目,使user1组队test.txt文件可读
#setfacl -m g:userl:r test.txt
3.删除user1组的ACL条目
#setfacl -x g:userl:r test.txt