Linux 权限管理
1.从 /etc/passwd 说起
前面的基本命令学习中,我们介绍了使用 passwd 命令可以修改用户密码。对于操作系统来说,用户名和密码是存放在哪里的呢?我们都知道一个站点的用户名和密码是存放在数据库中,数据库是用来保存记录数据的,我们常用的数据库有 MySQL,Oracle,MongoDB等。其实,我们把 MySQL 等叫做数据库是不严谨的,因为它们只是数据库的管理软件,从广义上来说,任何能保存数据的东东都可以叫做数据库。比如文本。
数据库是用来保存数据的,操作系统中的用户名和密码也理应存放在数据库中,这个数据库是啥呢?在 Linux 下,它是处于 /etc 下的一个叫 passwd 的文件。我们不妨看一下这个文件中的内容。
大多数人看到这种东东一般都会说:什么?你确定这不是天书?这里面能瞅到啥?说实话,除了行号,我一个都不认识!
好了,再仔细看看,找找规律。经过你的仔细观察,你可能会注意到以下几点讯息:
-
- 每一行文本都有数个英文格式的冒号(:) ,它们对每一行文本进行了分割
- 仔细数一数,每行文本的冒号数量都是相同的
- 再仔细数一数,如果我们把冒号前后的东东叫字段的话,每行文本中的字段数目都是相同的(包括空字段)
- 首行的 root 和尾行的 charley,不就分别是我们的两个账户吗
于是你大胆的猜测:对的!这就是我们的用户表,这些表也包含一个个字段,这些字段用来存放用户的某些信息!事实上也正是如此,/etc/passwd 保存了用户相关的信息,包括用户名,密码,所属组等等。或许你还会有疑问:明明我们只有两个用户,一个管理员账户 root,一个是普通用户 charley,那其他的东西是什么呢?为什么他们也出现在这个表里面?别急,先从分组形式讲起。
2.一些常见的分组形式
下面,我们就对用户,用户组以及上面的一些疑问进行展开讨论。首先介绍一些对用户或者用户组分组的方式,站在不同的角度,可以进行不同的区分。
-
- 通过用户类型分组,我们可以把用户分为:
- 管理员
- 普通用户
- 通过用户组类型分组,我们可以把用户组分为:
- 管理员组
- 普通用户组
- 从用户的角度,我们可以把用户组分为:
- 基本组(默认组)
- 额外组(附加组)
- 对于普通用户,我们还可以分为:
- 系统用户
- 普通用户
- 因此,对于普通用户组,我们也可以分为:
- 系统用户组
- 普通用户组
- 通过用户类型分组,我们可以把用户分为:
上面的分组方式是不是看的你眼花缭乱呢?没关系,其实对用户或者用户组分组,本身就是多解的,只是由于站的角度不同,产生了不同的结果而已。换个角度,我们还可以再来 N 种分组形式,以上只是常规的分法。由于这些分组的形式可以体现在我们创建用户或者用户分组命令选项中,在学习了创建用户和创建用户组的命令之后,自然可以轻松的理解这些概念。
3.理解用户
我们知道 /etc/passwd 相当于操作系统保存用户信息的数据库,那么如此可以得出表中每行数据都是代表了一个特定的用户,但是除了系统的 root 用户和我们创建的一个普通用户 charley 之外,还有很多其他的东西,这些东西是什么呢?它们也是用户吗?是的,这些我们不认识的东东,也是用户,只不过不是有我们创建,而是由操作系统创建的,所以叫做系统用户。
某人如果想使用操作系统的某些功能,那么他必须是这个系统上的一个用户(客人用户也是用户)。用户登录操作系统之后,操作系统可以由用户的特征码进行权限的分配,以便使用操作系统的功能。
我们使用计算机,使用操作系统,是为了让他们帮我们完成某些任务,具体下来,是通过调用操作系统上的软件来完成,让软件帮我们做事。操作系统在启动的时候,有一些必要的应用、服务等需要启动,而遵循前面讲到的简单逻辑,启动软件的必须得是操作系统上的用户。按照这个逻辑,Linux 系统为我们创建了一些系统用户,通过它们来在操作系统启动时执行相应的文件。可见系统用户是不需要登录的,也叫非登录用户,请先记住这一点。
上面讲到了用户特征码,操作系统时通过用户特征码来识别用户的。对于淫类,我们识别用户是通过用户名,因为用户名(字符串)好记。而计算机觉得数字更好记一些,于是在创建用户时系统会为其分配一个唯一的特征码,用以识别该用户,这个特征码也叫UID。同样的,用户组也有特征码,叫做GID。
Linux 系统中,UID以如下的方式划分:
-
- 0 表示管理员(root)
- 1 - 500 表示系统用户
- 501 - 65535 表示普通用户
- 不同的 Linux 发行版,这些数字可能不一样
4. /etc/passwd 中的字段分析
/etc/passwd 中的字段分别表示如下信息(字段名字是我自己取的):
-
- ACCOUNT:用户名
- PASSWORD:密码占位符
- UID:用户ID
- GID:用户组ID
- COMMAND:注释信息
- HOME DIR:用户家目录
- SHELL:用户的默认 shell
密码占位符,其值是 x,显然这不是真正的密码。真正的密码保存在哪里呢?在 /etc/shadow 文件中,此文件中保存的也不是明文密码,而是经过加密处理之后的密码。我们来看一下 /etc/shadow 中的内容(root only):
可见,/etc/shadow 中保存的也是数据表,这个表也和用户相关。还记得第二天说到的 man 命令吗?man 手册的第五个章节是特殊文件,我们来 man 一波试试:
对于 /etc/shadow 中每个字段的含义,手册中都给出了说明,我们可以去参考(这里只给出了一部分截图)。同理,对于 /etc/passwd,我们也可以通过 man 5 passwd 查看每一个字段表示的含义。
好了,回到 PASSWORD 字段,我们看一下 root 用户和 charley 的此项字段值,可以看到此值中有一些规律可循:
-
- $1$XXXXXXXX$XXXXXXXXXX.....
我们可以通过此字段来获取如下信息:
-
- 前两个美元符号中的数字1表示加密方式是 md5
- 第二个和第三个美元符号之间的字串是经过加密后的密码盐值
- 第三个美元符号之后的字串是密码明文精加密的后的特征码
既然谈到了加密和盐值,我们来复习一下关于加密的基础知识。我们通常用到的加密方式有一下几种:
-
-
对称加密:使用同一套密码进行加密和解密
- 公钥加密:每个密码以私钥(secret key)和公钥(public key)成对出现,公钥进行的加密使用与其配对的私钥解密,反之亦然,相对于对称加密,速度很慢,一般不用于加密,而是秘钥交换
-
单向加密(散列加密):只能加密不能解密。也就是说只能由明文取得密文,而不能由密文取得明文。经过单向加密得到的是一份唯一的特征码,每个数据的特征码是独一无二的,因此也叫作指纹加密。如果两次算法取得的特征码一样,那么就是同��份数据。单向加密可以用来做数据校验,如果数据被动了手脚,那么数据的特征码就不一样。常用的散列加密方式有:
- MD5:定长128位输出特征码
- SHA1:定长160位输出特征码
- 还有其他方式,主要体现在特征码输出长度的不同
- 单向加密的特点:
- 不可逆
- 雪崩效应:数据的微小改变,会引起特征码的巨大变化
- 定长输出:不管加密的内容长度多少,输出的特征码长度都是一样
- 加盐:如果两个用户使用了同样的密码,那么经过 MD5 散列加密后的特征码就是一致的,如果一个用户偶然发现另一个用户的特征码和他自己是一样的,那么就可以推断另一个用户的密码。这是不太安全的。为了安全起见,我们需要用到散列加密特点中的雪崩效应,往密码中额外加点杂质(内容),这样加密后的特征码就千差万别了。这个过程就是所谓的加盐。
-
5.useradd 命令:添加用户
说了那么多,终于来点真格的了,Linux 中使用 useradd 命令添加一个用户。这个命令很简单,简单到只使用 useradd USERNAME 就可以添加一个用户。
我们新建一个用户 MIKE,然后查看 /etc/passwd 中的对应内容:
在 /etc/passwd 的最后一行,我们看到了刚刚添加的用户,并且系统自动设置了用户的一些属性,比如UID,GID,HOME DIR等。我们也可以手动指定新增用户的信息:
-
- useradd -u UID:指定 UID,这个 UID 必须是大于等于500,并没有其他用户占用的 UID
- useradd -g GID/GROUPNAME:指定默认组,可以是 GID 或者 GROUPNAME,同样也必须真实存在
- useradd -G GROUPS:指定额外组
- useradd -c COMMENT:指定用户的注释信息
- useradd -d PATH:指定用户的家目录
- useradd -s SHELL:指定用户的默认 shell,最好是在 /etc/shells 中存在的路径
- useradd -s /sbin/nologin:该用户不能登录,还记得我们上面说到的系统用户不能登录吧?我们可以看到系统用户的 shell 字段也是 /sbin/nologin
- echo $SHELL :查看当前用户的 shell 类型
- useradd -M USERNAME:创建用户但不创建家目录
- useradd -mk USERNAME:创建用户的同时创建家目录,并复制 /etc/skel 中的内容到家目录中。关于 /etc/skel 目录会在下一篇 Linux 权限管理中再次讲解。
- 如果用户没有家目录,那么不能切换到该用户
6.userdel 命令:删除用户
-
- userdel USERNAME:删除用户
- userdel -r USERNAME:删除用户的同时删除用户家目录
7.id 命令:显示账号属性信息
-
- id -g USERNAME:显示默认组ID
- id -G USERNAME:显示附加组ID
- id -u USERNAME:显示UID
- id -n -g/-G/-U:显示默认组/附加组/用户的名称
8.finger 命令:检索用户信息,比使用 id 命令更加友好
9.usermod 命令:修改用户信息
-
- 基本用法和 useradd 相似,这里列出需要注意的点
- usermod -G GROUPS USERNAME:改变用户的附加组,会完全替换原有的附加组
- usermod -G -a GROUPS USERNAME:在原有附加组的基础上追加附加组
- usermod -d PATH USERNAME:修改家目录。修改后原先家目录中的文件不能访问了,因为在当前的家目录中并不存在这些文件。
- usermod -l NEWNAME USERNAME:改变用户名
- usermod -e USERNAME:指定该用户的过期时间
- usermod -L USERNAME:锁定用户
- usermod -U USERNAME:解锁用户
10.快捷命令
-
- chsh SHELL USERNAME:改变默认 shell
- chfn USERNAME:修改注释信息,用来增加用户的详细信息,如公司,地址等。可以由 finger 查看相应的改变。
11.passwd
-
- passwd --stdio:标准输入读取密码passwd -l:锁定用户账号(root only)
- echo "newpassword" | passwd --stdio MIKE
- passwd -u:解锁用户账号(root only)
- passwd -d:删除用户密码。用户密码删除后不能登录。
- passwd --stdio:标准输入读取密码passwd -l:锁定用户账号(root only)
12.pwch(password check):检查密码文件的完整性,可获取一些警告信息
13.groupadd 命令:添加组
-
- groupadd -g GID GROUPNAME:指定GID
- groupadd -r GROUPNAME:添加一个系统用户组(-r 也适用于 useradd)
- groupadd -r apache
13.groupmod 命令:修改组
-
- groupmod -g NEWGID GROUPNAME:修改GID
- groupmod -n NEWGROUPNAME GROUPNAME:修改组名
14.groupdel 命令:删除组
-
- groupdel GROUPNAME
15.gpasswd 命令:给组加密码
-
-
gpasswd GROUPNAME
-
16.newgrp :临时指定基本组,下文介绍。
17.给组添加密码的作用
为什么需要给组添加密码呢?不妨先说一下用户的基本组,好像到现在我们还没有讲基本组的情况吧,嘿嘿。基本组很简单,Linux 规定每个用户都需要在某一个组中,因此在创建用户的时候,我们可以指定用户的基本组(默认组):useradd -g GROUPNAME USERNAME。如果我们不手动指定用户的基本组,系统会默认创建一个和当前用户名一致的组,然后将这个组设置为用户的基本组。基本组的 GID 默认和用户 UID 一致(如果不被占用的话)。
为啥用户必须要有一个组呢?因为 Linux 规定,一个文件的需要具备三种权限:文件所属主的权限,文件所属主所在组的权限,以及其他用户的权限。因此文件的所属主要是没有基本组的话,那是不是非常尴尬呢。这个问题先说到这里。
回头看一下 gpasswd 的作用,一般情况下我们是不需要为组设置密码的。现在提一个需求:在执行某项操作的时候,要使用到其他组的权限,就需要临时切换到其他组,又不想改变现有组,那么就需要使用 newgrp 命令,newgrp 命令就是用来临时切换用户基本组,注意此操作只对当前登录有效。在使用 newgrp 的时候,可能需要我们输入组密码。为什么是可能呢?因为在将额外组临时设置为用户的基本组时,是不需要密码的。只有将此前和用户毫不相关的组临时设置为基本组才会需要密码。如需还原基本组:exit 或者 logout。
18.总结
本文主要介绍了 Linux 的用户管理和用户组管理,并介绍了 /etc/passwd 和 /etc/shadow 这两个和用户有关的文件。和用户组有关的文件位于 /etc/group 和 /etc/gshadow 中。此外介绍了常见的加密形式:对称加密,公钥加密和散列加密。关于用户和用户组就介绍到这里,在此基础上我们将在下篇文章中介绍 Linux 的权限管理,和本文属于同一个系列。