@[TOC]
用户、组、权限
1.用户账号和群组账号的作用
1.1用户User
Linux用户:Username/UID
管理员:root,0
普通用户:1-60000,系统自动分配
系统用户:1-499,1-999(参考Centos7,多守护进程获取资源进行权限分配)
登录用户:500+,1000+(参考Centos7)(交互式登录)
1.2组group
Linux组:Groupname/GID
管理员:root,0
系统组:1-499,1-999(参考Centos7)
普通组:500+,1000+(参考Centos7)
Linux组的类别:
主要组:一个用户有且只能有一个主组
附属组:相对主组来说不重要,可有可无。可以有多个、又称辅助组、附加组。
1.3用户和组的配置文件路径
User用户:
/etc/passwd(用户及其属性相关信息如名称、UID、GID……)
/etc/shadow(用户密码及其相关属性)
Group组:
/etc/group(组及其属性相关信息)
/etc/gshadow(组密码及其相关属性)
*1.4passwd文件格式
login name:登录用名(sun)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
1.5shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
1.6密码期限
单向加密:哈希算法,原文不同,密文必不同
相同算法定长输出,获得密文不可逆推出原始数据
雪崩效应:初始条件的微小改变,引起结果的巨大改变
md5: message digest, 128bits
sha1: secure hash algorithm, 160bits
#以上128bits和160bits的密码加密算法已被我国密码学家王小云成功破解
sha224: 224bits
sha256: 256bits
sha384: 384bits
sha512: 512bits
更改加密算法:authconfig --passalgo=sha256 --update
#所以我们应该如下管理自己的密码
足够长
使用数字、大写字母、小写字母及特殊字符中至少3种
使用随机密码
定期更换,不要使用最近曾经使用过的密码
2.用户和群组管理的相关命令
2.1管理用户の相关命令
useradd:创建用户
usermod:修改用户属性
userdel:删除用户
2.1.1用户创建
useradd [options] LOGIN
-u #指定创建用户的UID
-o #配合-u 选项,不检查UID的唯一性
-g #GID 指明用户所属基本组,可为组名,也可以GID
-c #"COMMENT" 用户的注释信息
-d #HOME_DIR 以指定的路径(不存在)为家目录
-s #SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G #GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N #不创建私用组做主组,使用users组做主组
-r #创建系统用户 CentOS 6: ID<500,CentOS 7: ID<1000
-m #创建家目录,用于系统用户
-M #不创建家目录,用于非系统用户
[root@localhost ~]# useradd linux
[root@localhost ~]# getent passwd linux
linux:x:1002:1002::/home/linux:/bin/bash
# 上例中,我们只是指定了用户名,其他内容都是默认生成的。创建用户的默认的配置,由/etc/default/useradd定义,参考以下范例说明。
# 显示或者更改默认设置需要使用:useradd -D
[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 # 在useradd使用N或/etc/login.defs中USERGROUPS_ENAB=no时表示创建用户时不创建同用户名的组,而使用此处指定的组做为主组
HOME=/home # 把用户的家目录建在/home中
INACTIVE=-1 # 是否启用账号过期设置,-1表示不启用
EXPIRE= # 账号过期时间,不设置表示不启用
SHELL=/bin/bash # 新建用户默认的shell类型
SKEL=/etc/skel # 指定模板目录,新建用户是会自动复制此目录作为新建用户的家目录内容
CREATE_MAIL_SPOOL=yes # 是否创建用户mail文件
新建用户相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs
newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令
# 批量新建用户时需要使用vim创建的文件类型,密码格式是:username:passwd
练习
创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息为"Gentoo Distribution"
答:useradd gentoo -G [bin,root] -s "/bin/csh" -c "Gentoo Distribution"
创建下面的用户、组和组成员关系
名字为webs 的组
答:[root@localhost ~]# groupadd webs
用户nginx,使用webs 作为附加组
答:[root@localhost ~]# useradd nginx -G webs
用户varnish,使用webs 作为附加组
答:[root@localhost ~]# useradd varnish -G webs
用户mysql,不可交互登录系统,且不是webs 的成员,nginx,varnish,mysql密码都是magedu
答:[root@localhost ~]# useradd mysql -s "/sbin/nologin"
# 密码问题统一用passwd username 进行设定
2.1.2用户属性修改
usermod [OPTION] login
-u #UID: 新UID
-g #GID: 新主组
-G #GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s #SHELL:新的默认SHELL
-c #'COMMENT':新的注释信息
-d #HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l #login_name: 新的名字
-L #lock指定用户,在/etc/shadow 密码栏的增加 !
-U #unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e #YYYY-MM-DD: 指明用户账号过期日期
-f #INACTIVE: 设定非活动期限
2.1.3删除用户
userdel [OPTION]... login
-f:强制删除用户
-r:同时删除用户以及家目录
2.2切换用户
su [options...] [-] [user [args...]]
su username :非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录(类似于去别的城市出差拎包就走,自己的家还在那。)
su - username :登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换(类似于搬家,把整个家都搬到另一个城市)
Tip:
1.超级用户root切换普通用户无需密码,例如“群主”想踢谁就踢谁
2.普通用户切换root,需要输入密码
3.普通用户权限较小,只能基本查看信息
4.$符号是普通用户命令提示符,#是超级管理员的提示符
2.3设计密码
passwd [OPTIONS] UserName
#passwd是用来修改指定用户的密码
常用选项:
-d #删除指定用户密码
-l #锁定指定用户
-u #解锁指定用户
-e #强制用户下次登录修改密码
-f #强制操作
-n #mindays:指定最短使用期限
-x #maxdays:最大使用期限
-w #warndays:提前多少天开始警告
-i #inactivedays:非活动期限
--stdin #从标准输入接收用户密码
非交互式设置密码(echo "redhat"|passwd --stdin oldboy && history -c)
2.4用户密码政策
chage [OPTION]... LOGIN
#chage是用来修改账号和密码的有效期限
常用选项:
-m #密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M #密码保持有效的最大天数。
-w #用户密码到期前,提前收到警告信息的天数。
-E #帐号到期的日期。过了这天,此帐号将不可用。
-d #上一次更改的日期。
-i #停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l #例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。
2.5创建组
groupadd [OPTION]... group_name
常用选项:
-g #GID 指明GID号;[GID_MIN, GID_MAX]
-r #创建系统组
CentOS 6: ID<500
CentOS 7: ID<1000
2.6修改和删除组
groupmod [OPTION]... group
组属性修改:groupmod
-n group_name: 新名字
-g GID: 新的GID
组删除:groupdel
groupdel GROUP
2.7更改组密码
gpasswd [OPTION] GROUP
组密码:gpasswd
-a user 将user添加至指定组中
-d user 从指定组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
newgrp命令:临时切换主组
如果用户本不属于此组,则需要组密码
2.8更改和查看组成员
groupmems [options] [action]
常用选项:
-g, --group groupname 更改为指定组 (只有root)
Actions:
-a, --add username 指定用户加入组
-d, --delete username 从组中删除用户
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表
groups [OPTION].[USERNAME]... 查看用户所属组列表
3.理解并学会设置文件的权限
3.1文件属性
什么是权限
在Linux中,每个文件都有所属的所有者,和所有组,并且规定了文件的所有者,所有组以及其他人对文件的,可读,可写,可执行等权限。对于目录的权限来说,可读是读取目录文件列表,可写是表示在目录内新增,修改,删除文件。可执行表示可以进入目录
1.文件类型
2.权限,第一个字母为文件类型,后续9个字母,每3个一组,是三种身份的权限
3.文件链接数
4.文件拥有者-属主
5.文件拥有组-属组
6.文件大小
7.最后一次被修改的时间日期
8.文件名
文件类型
- 一般文件
d 文件夹
l 软连接(快捷方式)
b 块设备,存储媒体文件为主
c 代表键盘,鼠标等设备
#权限这里测试不要用root实验!!!!root太牛逼了
#请用普通用户执行!!!!!测试文件、文件夹权限操作,请用普通用户
文件权限
r read可读,可以用cat等查看类工具获取其内容
w write写入,可以编辑修改这个文件
x executable 可以把此文件提请内核启动为一个进程
目录权限
r 可以对此目录执行ls列出所有文件
w 可在此目录中创建文件,也可删除此目录中的文件
x 可以cd进入这个目录,或者查看详细信息
3.2修改文件的属主和属组
chown [-cfhvR] [--help] [--version] user[:group] file...
修改文件的属主:chown
用法说明:
user : 新的文件拥有者的使用者 ID
group : 新的文件拥有者的使用者组(group)
-c #显示更改的部分的信息
-f #忽略错误信息
-h #修复符号链接
-v #显示详细的处理信息
-R #处理指定目录以及其子目录下的所有文件
--help #显示辅助说明
--version #显示版本
chgrp [-cfhRv][--help][--version][所属群组][文件或目录...]
chgrp [-cfhRv][--help][--reference=<参考文件或目录>][--version][文件或目录...]
-c #--changes 效果类似"-v"参数,但仅回报更改的部分。
-f #--quiet或--silent 不显示错误信息。
-h #--no-dereference 只对符号连接的文件作修改,而不更动其他任何相关文件。
-R #--recursive 递归处理,将指定目录下的所有文件及子目录一并处理。
-v #--verbose 显示指令执行过程。
--help #在线帮助。
--reference=<参考文件或目录> #把指定文件或目录的所属群组全部设成和参考文件或目录的所属群组相同。
--version #显示版本信息。
3.3文件权限操作
3.4修改文件权限
chmod
身份:u(user)、g(group)、o(other)、a(all)
参数:+(添加)、-(减去)、=(赋值)
文件:filename
权限设置示例
chgrp sales testfile
chown root:admins testfile
chmod u+wx,g-r,o=rx file
chmod -R g+rwX /testdir
chmod 600 file
chown mage testfile
4.默认权限
4.新建文件和目录的默认权限
umask
可以用来保留在创建文件权限
新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1
新建目录的默认权限: 777-umask
非特权用户umask是 002
root的umask 是 022
umask: 查看
umask # 设定
示例:umask 002
umask u=rw,g=r,o=
umask –S 模式方式显示
umask –p 输出可被调用
全局设置: /etc/bashrc 用户设置:~/.bashrc
练习
当用户docker对/testdir 目录无执行权限时,意味着无法做哪些操作?
答:无法打开进入到目录
当用户mongodb对/testdir 目录无读权限时,意味着无法做哪些操作?
答:无法查看到目录里的文件信息
当用户redis 对/testdir 目录无写权限时,该目录下的只读文件file1是否可修改和删除?
答:可修改无法删除
当用户zabbix对/testdir 目录有写和执行权限时,该目录下的只读文件file1是否可修改和删除?
答:可修改可删除
复制/etc/fstab文件到/var/tmp下,设置文件所有者为tomcat读写权限,所属组为apps组有读写权限,其他人无权限
答:cp /etc/fatab /var/tmp
chmod u=rw g=rw o=0
误删除了用户git的家目录,请重建并恢复该用户家目录及相应的权限属性
答:cp -R /etc/skel/. /home/git ;chown -R git:git git;chmod a=700 git