用户,组和权限管理

概述:在Linux中由于可以实现多用户和多任务的管理,所以在Linux中用户和组与文件的权限关系显得格外重要。如果出现混乱,那么在用户使用时会给系统造成很多不稳定性的因素。这也是linux系统相对于其它操作系统更安全的原因之一。

linux系统中用户分为:

 系统用户:
    centos6上的UID(1-499)
    centos7上的UID(1-999)
    注:系统用户无法登陆到系统之中
登录用户
    centos6上的UID(500+)
    centos7上的UID(1000+)待
    (通过交互式方式进行登录)
    注:只有管理员有创建用户的权限,普通用户无法创建用户

配置文件:
    /etc/passwd中存放着用户的账号信息,配置文件中用:号隔开了七个字段,其中的每一
    个
    字段都代表不同的含义
    如:root:x:0:0:root:/root:/bin/bash
        1:root:标识用户名
        2:x:用户密码的占位符
        3:0:用户的UID
        4:0:用户的GID
        5:root:用户的注释信息
        6:/root:用户的家目录所在的位置
        7:/bin/bash:用户所使用的shell
    /etc/shadow中存放着用户的账号密码的信息,配置文件也用:号分割成了好几段,
    每个字段同样有不同的含义
    如:root:$6$WPjpqSwxMbi2LSA//5M2Q0:17900:0:99999:7:::
        1:存放着用户的用户名
        2:存放着用户用来加密的密码,默认是用sum512算法进行加密
        3:最近更动密码的日期,默认是从1970年到现在的天数
        4:密码最短使用时间,代表在这个时间之内,不允许更改用户密码。默认是0,代指随时
        可以更改用户密码
        5:密码需要重新变更的天数,即密码的最长使用时间
        6:密码到期前的警告时间
        7:密码已经过期了之后,用户可以登录的时间,如果这个时候还不改密码,那么过了时
        间之后,该用户就无法登陆系统
        8:记录用户密码的实效时间
    注:用户密码的加密使用的是单向加密的算法,单向机密的特点是无论多长的密码串通过
    加密之后都会生成固定长度的密文,而且即使相同的密码生成的密文也会有细微的差别。
    为了提高机密性,单向加密的密码,即使是简单的改变其中的一个字符,加密之后的密
    文也会千差万别,这个称之为雪崩效应。单向加密的算法分别包括:
        1:md5
        2:sha128
        3:sha224
        4:sha256
        5:sha384
        6:sha512

相关命令:
    1,useradd(添加用户)
    2,userdel(删除用户)
    3,usermod(改用户的相关属性)
    4,su(切换用户)
        注:用su切换用户时中间要加上-号,将切换的用户初始化。当管理员切换到普通用户时
        不需要密码,普通用户之间切换时需要用户密码
    5,getent(看用户的/etc/passwd的相关属性)
    6,id(查看用户的用户组)

linux系统中用户组分为:

系统组:
    centos6上的GID(1-499)
    centos7上的GID(1-999)
普通组:
    centos6上的GID(500+)
    centos7上的GID(1000+)

作用:每个用户必须有一个主组,在创建用户时如果不指定,那么系统会默认创建一个和
用户名相同的组,做为这个用户的主组
在创建用户时还可以指定用户的附加组,附加组可以是一个或者多个。

配置文件:
    /etc/group中存放着用户组的相关信息,其中每个用户组也分为若干段,每段代表着不同
    的含义
    如:user9:x:511:user10
        1:组的名称
        2:组密码的占位符
        3:组的GID号
        4:以该组为附加组的用户
    /etc/gshadow中存放着用户的组密码,格式和用户密码的属性差不多
    如:gentoo:$6$bAR22/OrVWl/om$t2JQeQkuOSncUr2uqrLu3IrU***3loryJI9626d8C4ijz.Z.ZkQjZg0::

相关命令:
    1,groupadd(添加用户的用户组)
    2,groupdel(删除用户系统中的用户组)
    3,groupmod(修改组的相关属性)
    4,gpasswd(给组添加密码)
    5,groupmems(更改和查看组成员)

linux中文件的基本权限:

在linux中可以通过ll命令看到文件以及目录的权限信息,其中第一个字段就包含着这个文
件或目录的权限,第二个字段是此文件的属主以及属组
权限的分类:
    r:读权限,对应的二进制是4,标识用户可以读取文件中的内容
    w:写权限,对应的二进制是2,标识用户可以在文件中增添查改内容
    x:执行权限,对应的二进制是1,标识该文件可以执行。如果是目录,则标识该目录可
    以进入其中。
注:这三个权限结合成一组,每三组标识着文件以及目录的基本权限,其中第一组代表着
文件的属主,第二组代表文件的属组,第三组其他人的权限

文件或目录的属主和属组:
    在linux系统中每个文件或目录都会有属主和属组,这是基本权限的一个重要组成部分

目录和文件权限的异同点:
    1,执行权限:
        文件:可执行此文件
        目录:可进入此目录之中,但是如果没有读权限,则看不到目录中的文件
    2,写权限:
        文件:可以在文件中增删查改,如果只有写权限,那么则无法看到文件中的内容
        目录:可以删除该目录中的文件,如果只有写权限,那么需要事先知道目录中有
        什么内容,才可以进行增删查改等进一步操作
    3,读权限
        文件:可以阅读此文件的内容
        目录:可以看到目录中有多少文件
    4,删除目录内的文件
        即使对目录内的文件没有任何权限,只要对目录有写权限,就可以删除目录内的文件

如:-rw-r--r--. 1 root root 986 1月  22 14:59 /etc/fstab
    1;文件的权限是644
    2:文件的属主是root,可以读写此文件
    3:文件的属组是root,可以读此文件
    4:其他人权限,仅可读取此文件

相关命令:
    1,chmod(该文件的权限)
        (1)赋权表示法
        (2)八进制表示法
        (3)引用权限表示法
    2,chown(改文件的属主和属组)
    3,chgrp(该文件的属组,由于上一条命令的存在,这条命令已经赶不上时代的存在)

默认权限:在系统中有普通用户和管理员都有默认的权限掩码(遮照码),在创建文件或目录是会默认与系统中的权限掩码相减

管理员的umask:022
普通用户的umask:002

文件:默认的是666,如果减的权限中有执行,那么会在减的结果中加1
目录:默认的是777

配置文件:
    在/etc/profile中定义的有umask的配置文件
    if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
        umask 002
    else
        umask 022
    fi

Linux文件系统上的特殊权限:

作用:在使用linux中基础权限有时会不满足系统中的使用,要加入一些特殊权限进行补足,即SUID, SGID, Sticky

SUID/SGID:该权限的权限标识位是s,当用户在执行此文件时,将使自己的身份临时切
换成文件的属主或属组。前提当给用户赋予SUID/SGID权限时,该文件的属主和属组必
须要有执行权限,否则权限标识位会显示成S

赋权方法:
    1,chmod u+s file , chmod 4700 file
    2,chmod g+s file , chmod 2700 file

Sticky:该权限的权限标识位是t,具有写权限的目录通常用户可以删除该目录中的任何
文件,在目录中加入Sticky权限,可使对该目录的中的内容删改权限仅有root可使用

赋权方法:
    1,chmod o+t directory , chmod o-t directory

linux中文件的特殊属性即不可改变位权限:

作用:
    目录:
        a:只允许在目录中建立和修改文件,但是不允许删除
        i:只能修改目录下文件的数据,却不能执行删除和新建文件
    文件:
        a:可对文件进行添加,不可删除
        i:不可对文件进行任何操作

赋权方法:
    chatter +i file/directory
    chatter +a file/directory
查看方法:
    lsatter file/directory

ACL权限:

作用:可以对目录或文件进行灵活的权限管理,让除了文件的属主,属组和其它人,可以
对更多的用户设置权限。

ACL权限的生效顺序:所有者,自定义用户,自定义组,其他人 

查看磁盘的ACL权限:
    tune2fs -l /dev/sda1
设置磁盘的ACL权限
    tune2fs -o acl /dev/sda1
    mount -o remount,acl /dev/sda1
注:在centos7中,无论是xfs还是ext4的系统都会默认加入ACL权限,之前的版本需要
手动添加ACL权限

赋权方法:
    1,给单个文件和目录设置:setfacl -m u:admin:rwx file/directory
    2,给目录进行递归设置:setfacl -Rm u:admin:rwx file/directory
    3,给目录设置默认的ACL权限:setfacl -m d:u:rwx file/directory
    4,删除ACL权限的方法 setfacl -x admin file/directory
注:
    1,给文件重新赋予ACL权限的,要用选项--set
    2,ACL中的mask是限制这个文件和目录能设置的最高的ACL权限,在设置的过程中,如果
    出现超过mask的权限,系统会将mask权限和设置的权限相与,得到的最终结果才是这个
    用户对此目录或文件的最终权限
查看方法:getfacl file/dirctory

备份和恢复ACL权限:文件中cp和mv命令都默认支持保留ACL权限,但是tar命令在打包
的同时,并不会保留文件中的ACL权限
    1,getfacl -R /tmp/dir1 > acl.txt(把ACL权限保存到文件中)
    2,setfacl -R -b /tmp/dir1(递归删除目录中的ACL权限)
    3,setfacl -R  --set-file=acl.txt /tmp/dir1 (重新给递归给目录赋予ACL权限) 
    4,setfacl --restore acl.txt(给文件恢复备份的acl权限)