用户、组、权限

一、用户与组
系统识别用户的权限不是取决于用户的名字,而是UID(组同样取决于GID)。
UID=0的用户为系统超级管理员。
1-999为系统程序用户(centos6中1-499)。
1000+之后都是普通用户(6中为500+)。
通过UID和GID的不同,每个用户和组的权限也不一样。每个用户必须有一个主组,还可以拥有多个辅助组。

问题一:当系统超级用户被删除(root的UID被改为1000+)系统宕机如何恢复。
系统重启,按住向上键,屏幕下方选项 ‘a’ 或者‘e’键(非救援模式)。 CentOS6 在最后一行后面 跟上 init=/bin/sh 然后回车 输入

    #mount –o rw,remount  / 
    #nano /etc/passwd

将root的UID改回为0即可。 CentOS7中 在开头为Linux16 的那一段最后面加上 selinux=0 init=/bin/sh 后面操作同上。

二、用户与组的主要配置文件

/etc/passwd:用户及其属性信息 文件格式##name:password:UID:GID:GECOS:directory:shell
/etc/group 组及其属性信息
/etc/shadow 用户密码及其相关属性
etc/gshadow 组密码及其相关属性 因为系统安全的缘故,以前密码都是在passwd里的。现在分到shadow文件里了。 可以用pwunconv 命令将密码还原回passwd文件中(不建议使用,为了系统安全)。 现在的密码都是用sha512加密的,也可以修改加密算法:
authconfig –passalgo=sha256 –update
将密码修改为256位加密。
问题二:随机设计一个30位的密码
]# openssl rand –base64 30 8co+TVhe2detV1NozQxQa1XCWyTs+1WdcUGMbL4n(选取前30位即可)
密码的复杂性策略: 使用数字、大小写字母及特殊字符中的至少3种 足够长
使用随机密码 定期更换,不要使用最近曾经使用过的密码

三、用户与组的管理命令

1 . useradd 创建用户

-u UID 指定用户的UID
-o 配合-u 指定用户的UID 并不检查UID的唯一性
-g 指定用户的所属主组,可为组名,也可以是GID 必须是已存在的。 -c 给用户添加注释信息 “ ”
-d 给用户指定家目录的路径
-s 设置用户的默认的shell程序
-G 为用户知名辅助组,组必须事先存在
-N 不创建使用组为主组,使用users组做主组
-r 创建系统用户 UID 范围在系统用户里选择
-m 强制创建家目录用于系统用户 (单单创建系统用户不会生成家目录) -M 强制不创建家目录 用于非系统用户
-D 显示或更改默认设置 -s SHELL –b BASE_DIR -g GROUP
命令所在目录 /etc/default/useradd

问题三:创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息…,创建名字为admins 的组,创建用户natasha ,使用admins 作为附属组,创建用户harry ,也使用admins 作为附属组,创建用户sarah ,不可交互登录系统,且不是admins 的成员,,设置natasha ,harry ,sarah 密码都是centos

useradd -c "Gentoo Distribution" -G bin,root -s /bin/csh gentoo 
groupadd admins 
useradd -G admins natasha 
useradd -G admins harry 
useradd -s /sbin/nologin sarah 
echo centos |passwd --stdin natasha
echo centos |passwd --stdin harry 
echo centos |passwd --stdin sarah 

用户家目录里的数据源 /etc/skel/*
如果用户家目录被删除了可以用cp -r /etc/skel /home/username 恢复初始数据
/etc/login.defs 用户创建时给用户加上的初始属性文档(UID、SUID、email路径、密码的加密机制和日期属性)
批量创建用户可以使用 newusers user.txt (注意文件格式要和passwd中一样)这样可以批量创建文件中的用户 cat passwd.txt |chpasswd

2 . 用户属性修改命令 usermod

-u 修改UID
-g 修改所属主组
-G 新增的附加组 覆盖原有附加组,用-a 选项可以保留原有附加组
-s 修改默认SHELL
-d 修改新的家,不会自动创建新的家目录,使用-m 可以创建新的家并且移动原数据
-c 新的注释信息
-l 修改用户名字
-L 指定用户在密码栏添加! 等同于 /sbin/nologin -U 指定用户在密码栏去掉!
-e y-m-d指定用户账户有效期,到期账户失效
-f密码过期后密码失效缓冲期
chage 可以修改口令的一些时间设置

口令时间格式: 17485:3:42:7:10:设定账户有效期:

17485变为0 ,口令及时失效,需要修改密码,他记录的创建时间距离1970年一月一日总共多少天。
:::3天内不可以改口令,:::3天到42天可以 改口令,最大有效期42天
:::10天之内还可以改口令,10天结束之后口令失效,账户无法登陆了 。
:::设定账户有效期y-m-d: ::

chage 帮助文档 chage [options] LOGIN

-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有效的最大天数。
-w:用户密码到期前,提前收到警告信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
-d:上一次更改的日期。
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。
示例: chage -d 0 tom 下一次登录强制重设密码
chage -m 0 –M 42 –W 14 –I 7 tom
chage -E 2016-09-10 tom

3 . userdel删除用户

-r删除用户家目录(清除干净)
vipw 直接打开 passwd文件 拥有文件检查功能 改动语法错误 可以检查出来
vigr 直接打开group 文件 功能同上 pwck 检查用户账号 发现问题和检查语法 grpck 检查组账号 发现问题和检查语法

4 . groupadd 创建组

-g 指定组号GID
-r 创建系统的组

5 . groupmod 组属性修改

-n 修改为新的名字

6 . groupdel 删除组

7 . id 显示指定用户的ID信息

-u 显示UID
-g 显示GID
-G 显示用户所属组的ID
-n 显示名称

8 . su 切换用户

su userName 不完全切换,切换用户不改变当前目录
su - UserName 完全切换,切换至用户的家目录 root用户切换至其他用户不需要密码,其他用户切换时,都需要密码。
su UserName -c ‘COMMAND’ 换个用户执行一条命令

9 . passwd UserName 修改指定用户的密码(仅root用户权限)

passwd 修改自己的密码
-l 锁定指定用户
-u 解锁用户
-e 强制用户下次登录修改密码
-n 指定最短使用期限
-x 最大使用期限
-w warndays 提前多少天开始警告
-i inactivedays 非活动期限
--stdin 从标准输入接收用户密码 echo password | passwd --stdin arno

10 . gpasswd 组密码

-a user 将user 添加至指定组中
-d 从指定组中删除指定用户
-A 设置有管理权限的用户列表

11 . groupmems 更改和查看组成员

-g 更改为指定组(只有root)
-a 指定用户加入组
-d 从组中删除用户
-p 从组中清除所有成员

12 . 相关命令

groups 查看用户所属组列表
newgrp 临时切换主组(如果用户不属于此组,则需要组密码)
chfn 指定书写个人信息
chsh 指定更改用户
shell finger 查看指定用户的信息

四、 文件权限管理 文件属性
drwxr-xr-x. 4 root root 4096 Nov 14 11:47 app
r read 读取文件 (列出目录文件)
w write 写权限 (可以在目录中修改创建或删除文件 需要x 权限)
x excute 执行权限 (目录基本权限,只有执行权限才能有其他操作)

1 . chown root用户 更改文件的所属用户

chown OWNER:GROUP (:group 命令中的冒号可用 . 替换)
-R 递归 (-- reference == f1 f2 引用f1的属性 来设置 f2的属性)

2 . chmod 修改文件权限

chmod who opt per filename
who :u,g,o,a 用户
opt :+,-,= 增加 减去 覆盖
per:r,w,x
-R 递归文件夹内的所有文件属性

  • X 只给目录x权限,不给文件
    u+s 给文件加s的权限,让该文件可以让所有用户继承文件所有者的所有权限
    g+s 让所有用户在该文件夹下创建文件默认组为该文件夹所属组
    o+t 加 t的权限,只能作用在目录文件上,让该目录下的文件只有文件拥有者才能删除自己的文件。
    --reference f1 f2 参考 f1权限 设置f2权限

3 . chgrp root 用户更改文件的所属组(如果普通用户在该组里,也可以更改)

4 . umask 可以用来保留在创建文件权限

新建文件夹的权限值为 777-mask(如果是文件 默认不能拥有执行权限) 操作示例: 误删除了用户arno 的家目录,请重建并恢复该用户家目录及相应的权限属性
cp -R /etc/skel /home/arno
chown arno:arno /home/arno

五、文件系统上的特殊权限

1 . SUID

SUID只作用在二进制程序上,不能作用在文本的脚步上
SUID将执行该程序的用户,会继承程序拥有者的所有权限 chmod u+s FileName

2 . SGID

SGID 作用在二进制程序上,执行sgid权限的程序时,此用户将继承程序所属组权限 SGID可以让文件夹下的新建文件默认归属于文件夹的组。

3 . sticky 粘滞位

只能作用在目录上 具有sticky权限的目录下,普通用户只能删除自己的文件

4 . 小工具

chattr +i FileName 文件不能修改 (+a 只能追加)
+A 不更新 Access查看的时间不更新
lsattr +i FlieName 查看 chattr 更改的 特殊属性

六、访问控制列表ACL

CentOS7 之前版本,默认手工创建的ext4 文件系统无ACL功能, 需手动增加 tune2fs –o acl /dev/sdb1 mount –o acl /dev/sdb1 /mnt/test
ACL生效顺序: owner ,users , groups , other

1 . getfacl 查看ACL列表

getfacl FILE (DIR) 其中的mask值 是设置最高 ACL列表的权限(除了拥有者和其他人不能限制)

2 . setfacl 设置访问列表

-m (-M)选项修改文件或目录的acl (M是用文件导入ac l权限)
-b 清空文件或目录的acl
对所属组设置 setfacl -m group (g): :rwx FileName
-x u: arno 在acl列表删除用户arno -R 设置acl 属性 递归到目录下的所有新建文件
-k DIR 删除默认权限 目录上的
setfacl -R –m d:apache:rw /app/html(d 的含义是默认)让这个目录下的所有文件默认有Apache 的ACL权限
getfacl f1 | setfacl --set-file =- f2 复制f1的ACL权限给f2
--set 删除原的ACL 权限 ,然后用新的权限覆盖。 -m是修改
setfacl --set u::rw,u:wang:rw,g::r,o::- file1

3 . 备份和恢复ACL

主要的文件操作命令cp 和mv 都支持ACL ,只是cp 命令需要加上-p 参数。但是tar 等常见的备份工具是不会保留目录和文件的ACL 信息
相对路径,只能在目录路径下执行
getfacl -R /tmp/dir1 > acl.txt 备份 目录 和该目录下的所有ACL权限
setfacl -R -b /tmp/dir1 清除所有 setfacl -R --set-file=acl.txt /tmp/dir1 还原备份
setfacl --restore acl.txt 还原备份
getfacl -R /tmp/dir1 查看目录 和目录下的所有文件

ACL权限 操作示例:

1.在/testdir/dir 里创建的新文件自动属于g1 组,组g2 的成员如:alice 能对这些新文件有读写权限,组g3的成员如:tom 只能对新文件有读权限,其它用户(不属于g1,g2,g3 )不能访问这个文件夹。

chown :g1 /testdir/dir 
chmod g+s /testdir/dir 
setfacl -m d:g:g2:rw /testdir/dir 
setfacl -m d:g:g3:r /testdir/dir 
chmod o=- /testdir/dir 

2.备份/testdir/dir 里所有文件的ACL 权限到/root/acl.txt 中,清除/testdir/dir 中所有ACL 权限,最后还原ACL 权限

getfacl –R ../dir > acl.xt 
etfacl –b /testdir/dir 
setfacl --restore acl.txt