用户组和权限管理
1.Linux相关用户
1.1资源分派:
• Authentication:认证,验证用户身份
• Authorization:授权,不同的用户设置不同权限
• Accouting|Audition:审计
• 当用户登录成功时,系统会自动分配令牌token,包括:用户标识和组成员等信息
1.2用户
• Linux中每个用户是通过User Id (UID)来唯一标识的
• 管理员:root 0
• 系统用户:1-499(centos6以前) 1-99(centos7以后)
对守护进程获取资源进行权限分配
• 普通用户:500+(centos6以前) 1000+(centos7以后)
给普通用户使用
1.3用户和组的关系
• 用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自 动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
• 用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
2.用户和组的配置文件
2.1主要配置文件
• /etc/passwd:用户及其属性信息(名称、UID、主组ID等)
(1)login name:登录用名
(2)passwd:密码
(3)UID:用户身份编号
ο root不一定是管理员的称呼,但UID为0的一定是管理员
(4)GID:登录默认所在组编号 (1000)
(5)GECOS:用户全名或注释
(6)home directory:用户主目录 (/home/wang)
(7)shell:用户默认使用shell (/bin/bash)
• /etc/shadow:用户密码及其相关属性
(1)登录用名
(2)用户密码:一般用sha512加密
(3)从1970年1月1日起到密码最近一次被更改的时间
(4)密码再过几天可以被变更(0表示随时可被变更)
(5)密码再过几天必须被变更(99999表示永不过期)
(6)密码过期前几天系统提醒用户(默认为一周)
(7)密码过期几天后帐号会被锁定
(8)从1970年1月1日算起,多少天后帐号失效
• /etc/group:组及其属性信息
(1)群组名称:就是群组名称
(2)群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
(3)GID:就是群组的 ID
(4)以当前组为附加组的用户列表(分隔符为逗号)
• /etc/gshadow:组密码及其相关属性
(1)群组名称:就是群的名称
(2)群组密码:
(3)组管理员列表:组管理员的列表,更改组密码和成员
(4)以当前组为附加组的用户列表:多个用户间用逗号分隔
3.用户和组的管理命令
3.1 用户管理命令
(1)useradd 可以创建Linux新用户
常见选项:
♦ -u UID
♦ -o 配合-u 选项,不检查UID的唯一性
♦ -g GID 指明用户所属基本组,可为组名,也可以GID
♦ -c "COMMENT“ 用户的注释信息
♦ -d HOME_DIR 以指定的路径(不存在)为家目录
♦ -s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
♦ -G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
♦ -N 不创建私用组做主组,使用users组做主组
♦ -r 创建系统用户 CentOS 6之前: ID<500,CentOS 7以后: ID<1000
♦ -m 创建家目录,用于系统用户
♦ -M 不创建家目录,用于非系统用户1.1显示或更改默认设置 useradd 命令默认值设定由/etc/default/useradd定义
♦ useradd -D
♦ useradd –D -s SHELL
♦ useradd –D –b BASE_DIR
♦ useradd –D –g GROUP1.2 新建用户的相关文件
♦ /etc/default/useradd
♦ /etc/skel/*
♦ /etc/login.defs
(2)usermod 可以修改用户属性
常见选项:
♦ -u UID: 新UID
♦ -g GID: 新主组
♦ -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用 -a选项
♦ -s SHELL:新的默认SHELL
♦ -c 'COMMENT':新的注释信息
♦ -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
♦ -l login_name: 新的名字
♦ -L: lock指定用户,在/etc/shadow 密码栏的增加 !
♦ -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
♦ -e YYYY-MM-DD: 指明用户账号过期日期
♦ -f INACTIVE: 设定非活动期限,即宽限期
(3)userdel 可以删除用户
常见选项:
♦ -f, --force 强制
♦ -r, --remove 删除用户家目录和邮箱
3.2 组账号维护命令
(1)groupadd 创建组命令
常见选项:
♦ -g GID 指明GID号;[GID_MIN, GID_MAX]
♦ -r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
(2)groupmod 组属性修改
常见选项:
♦ -n group_name: 新名字
♦ -g GID: 新的GID
(3)groupdel 删除组
常见选项:
♦ -f, --force 强制删除,即使是用户的主组也强制删除组
(4)gpasswd 更改组密码
常见选项:
♦ -a user 将user添加至指定组中
♦ -d user 从指定附加组中移除用户user
♦ -A user1,user2,... 设置有管理权限的用户列表
(5)groupmems 可以管理附加组的成员关系
♦ -g, --group groupname #更改为指定组 (只有root)
♦ -a, --add username #指定用户加入组
♦ -d, --delete username #从组中删除用户
♦ -p, --purge #从组中清除所有成员
♦ -l, --list #显示组成员列表
4.文件的权限管理
4.1 chown 设置文件的所有者
格式:
♦ OWNER #只修改所有者
♦ OWNER:GROUP #同时修改所有者和属组
♦ :GROUP #只修改属组,冒号也可用 . 替换
♦ --reference=RFILE #参考指定的的属性,来修改
♦ -R #递归,此选项慎用,非常危险!
4.2 chgrp 设置文件的属组信息
格式:chgrp admins f1.txt
4.3 文件的权限
♦ chmod 修改文件权限
♦ 属主:u 属组:g 其他:o
♦ 三种权限 只读 :r 写:w 执行: x
♦八进制数字表示:
• --- 000 0
• --x 001 1
• -w- 010 2
• -wx 011 3
• r-- 100 4
• r-x 101 5
• rw- 110 6
• rwx 111 7格式:chmod u+x f1.txt 给属主增加x权限
5.ACL权限
5.1 ACL相关命令
♦ setfacl 可以设置ACL权限
♦ getfacl 可查看设置的ACL权限5.2 ACL的设置
♦ setfacl -m u:fang:rwx -R file|directory
♦ setfacl -m d:u:fang:rwx -R file|directory5.3 查看 ACL
♦ getfacl file|directory
5.4 清除所有的ACL权限
♦ setfacl -b file1
5.5 mask权限
♦ mask只影响除所有者和other的之外的人和组的最大权限
♦ mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)
♦ 用户或组的设置必须存在于mask权限设定范围内才会生效
6.命令总结
6.1 su 命令可以切换用户身份,并且以指定用户的身份执行命令
♦ su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完切换
♦ su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
♦ 说明:root su至其他用户无须密码;非root用户切换时需要密码
♦ 注意:su 切换新用户后,使用 exit 退回至旧的用户,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
6.2 id 命令 查看用户的相关信息
♦ -u: 显示UID
♦ -g: 显示GID
♦ -G: 显示用户所属的组的ID
♦ -n: 显示名称,需配合ugG使用
6.3 passwd 设置密码,修改指定用户密码
♦ -d:删除指定用户密码
♦ -l:锁定指定用户
♦ -u:解锁指定用户
♦ -e:强制用户下次登录修改密码
♦ -f:强制操作
♦ -n mindays:指定最短使用期限
♦ -x maxdays:最大使用期限
♦ -w warndays:提前多少天开始警告
♦ -i inactivedays:非活动期限
♦ --stdin:从标准输入接收用户密码,Ubuntu无此选项