早期Linux系统设计为了能够实现多用户、多进程高效的利用服务器资源,在此种情况下,为了能够保证用户与用户之间的文件不被随意的访问及修改、删除等操作,用户、组的管理能在某种程序上实现管理用户或批量管理用户。由于Linux的设计哲学思想『一切皆文件』,用户对设备的访问就是对文件的访问。
此章节涉及到的命令汇总
useradd,usermod,userdel,groupadd,groupdel,groupmod,passwd,gpasswd,newgrp,su,id,chmod,chown,chgrp,setfacl,getfacl
==============
User:
管理员
UID:0,GID:0
系统用户
UID:1-499 GID:1-499(Centos6)
UID:1-999 GID:1-999(Centos7)
普通用户
UID:500-60000 GID:500-6000(Centos6)
UID:1000-60000 GID:1000-60000(Centos7)
group:
分类一:
系统组
普通用户组
分类二:
基本组
附加组
分类三:
私有组
公有组
注:组的UID、GID跟用户的分配类似
File Mode:
Linux系统安全上下文:
当一个用户发起一个进程时,此进程将继承用户的属主、属组的权限,再以进程继承的权限来控制文件的访问权限。
Linux权限标识:
r: Readable 读
W: writable 写
x: executable 执行
rwx标识对文件及目录的意义:
对文件:
r : 可以读取文件中的内容
w : 可以修改及删除文件中的内容
x : 可以将其发起为一个进程
对目录:
r : 可以查看目录中的文件,可以使用ls命令, 但不能使用 -l选项
w : 可以创建、删除目录,但不能修改文件中的内容
x : 可以使用cd命令进入目录
文件及目录权限详细表示方面
文件:-rwxrwxrwx
从左边第二位开始,每三位代表一个权限类别:
u : owner
g : owner group
o : other
a : 代表以上三项
目录:drwxrwxrwx
u、g、o同文件权限位
Linux内核对文件权限的表示方法:
rwx: 4 2 1
Umask Mode Control
Linux对初始权限的控制来自于Umask的设定,其工作原理如下:
对新建立的文件:
666 - Umask值(由于Linux对文件的执行权限控制很严格,默认取消了文件的执行权限,所以这里是666)
对新建立的目录:
777 - Umask值
Umask对管理员ROOT的初始值:022
Umask对普通用户的初始值为:002
普通用户建立的文件及目录权限如下:
文件:
666-002=664 (如果减得的结果为奇数,就自动加1)对应的权限如下:
-rw-rw-r--
目录:
777-002=775 ,对应的权限如下:
drwxrwxr-x
对管理员root建立的文件及目录权限如下:
文件:
666-022=644,对应的权限如下:
-rw-r--r--
目录:
777-022=755,对应的权限如下:
drwx-r-xr-x
注:Umask的值可以使用umask命令来设置,但只对当前进程(即shell)有效,如要长期有效,需将此值设置到/etc/profile文件中,或者家目录下的.开头的文件中
===================
User:
`/etc/passwd` (记录用户的详细信息)
`/etc/shadow` (记录用户的密码信息)
Group:
`/etc/group` (记录组的详细信息)
`/etc/gshadow` (记录组的密码信息)
定义创建用户时的默认配置信息:
`/etc/default/useradd`(记录创建用户所需设定的值)
useradd -D 可以设置对应的参数
`/etc/login.defs`(配置创建用户预设详细参数)
/etc/passwd
root:x:0:0:root:/root:/bin/bash
用户名:密码:UID:GID:用户注释信息:用户家目录:Shell定义
/etc/shadow
root:$6$YqkEsOcfKPptyhnS$YD0ym4BZ52pzcCnU....:16781:0:99999:7:::
用户名:密码:上一次修改密码的时间:密码最小使用期限:最长使用期限:警告时间:帐户过期时间:保留字段
/etc/group
root:x:0:
组名:密码:GID:User_list
newgrp - GROUP_NAME
切换/etc/gshadow
root:$6$PLRAi/Z/svr$PRelPtvLuGJqvFG3D8fbjYHDho2RQUe93glO.::
组名:密码:组管理者:User_list
=============
添加用户:
`useradd` - create a new user or update default new user information
synopsis: useradd [options] LOGIN
useradd -D [options]
options:
-u : 指定用户的UID
-g : 指定GID
-c : 指定注释信息,如果有空格,需要使用" "包含
-d : 指定用户家目录,创建用户时,会自动将/etc/skel中的文件复制到用户家目录下,如果指定的文件存 在将不会复制文件,如果父目录不存在,创建也将会失败
-s : 指定用户shell
-r : 指定创建一个系统用户
-M :不创建用户家目录
-G : 指定附加组,多个使用逗号隔开
-D :修改创建用户的配置信息,文件位于/etc/default/useradd
注:创建用户时的诸多默认设定配置文件为/etc/login.defs
修改用户:
`usermod` - modify a user account
synopsis: usermod [options] LOGIN
options:
-u : 修改用户UID
-g : 修改用户GID
-c : 修改用户的注释信息
-d : 修改用户家目录,需要配合使用-m选项才会自动复制用户家目录下的文件到新的家目录
-m : move-home to new directory
-s : 修改用户的shell
-l : 修改用户的登陆名,即login名称
-G : 修改用户的附加组信息,需要配合-a(append)一起使用,如果不使用-a将删除原来的附加组
-a : --append,连接多个附加组的参数
-L : 锁定用户,即lock,在/etcpasswd文件中,密码前面加!(一个)
-U : 解锁用户,即unlock,在/etc/passwd文件中,取消密码前面的!号
删除用户
`userdel` - delete a user account and related files
synopsis: userdel [options] LOGIN
options:
-r : 删除用户的同时删除用户的家目录,即--remove参数
用户密码设置
`passwd` - passwd - update user's authentication tokens
synopsis:passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
1、passwd (修改自己的密码)
2、passwd USERNAME(修改其他用户的密码,root权限 )
options:
-l : 锁定用户,在/etc/passwd的密码前面加!!,
-u : 解锁用户,在/etcpasswd的密码前!!取消
-d : --delete,删除用户密码
-e DATE : --expire,设定过期时间
-i DAYS : 非活动时间
-n days : 最短使用期限
-x days : 最长使用期限
-w days : 警告期限
--stdin : `echo "PASSWD" | passwd --stdin root`
添加组
`groupadd` - create a new group
synopsis: groupadd [options] group
options:
-g : 指定GID号
-r : 指定为一个系统组
修改组
`groupmod` - modify a group definition on the system
synopsis: groupmod [options] GROUP
options:
-g : 修改GID号码
-n : 修改组名称 (groupmod -n NEW_GROUP OLD_GROUP)
删除组
`groupdel` - delete a group
synopsis: groupdel GROUP_NAME
组密码设置
`gpasswd` - administer /etc/group and /etc/gshadow
synopsis: gpasswd [option] group
options:
-a USER_NAME GROUP_NAME: 向组内添加用户
-d USER_NAME GROUP_NAME: 把用户从组内删除
-r USER_NAMEG : 删除组的密码
临时切换到其他组,好能够获取相应权限
`newgrp` - log in to a new group
synopsis: newgrp [-] [group]
- : 模拟用户登陆, 以实现重新初始化环境变量
`id` - print real and effective user and group IDs
synopsis: id [OPTION]... [USERNAME]
options:
-u : 查看UID号
-g : 查看GID号
-G : 查看附加组GID号,其他包含基本组ID号
-n : 将各ID转换为对应的名称
`su` - switch user
sysnopsis: su [-] USER
options:
- : 以登陆方式切换用户,以完成用户环境变量、配置信息加载
-c : 不用登陆用户即可以以指定用户执行命令
`su - mariabd -c 'id -u'`
`chmod` - change file mode bits
sysnopsis: chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
chmod [OPTION]... --reference=RFILE FILE...
options:
-r --recursive : 递归修改
--reference : 参照某文件来修改
Usage:
1、赋权等值法
chmod u=rwx,g=rwx,0=rwx FILE
chmod a=rwx FILE
2、赋权加减法
chmod u-rwx,g-rwx,o-rwx FILE
chmod ugo-x FILE
chmod u+rwx,go+r FILE
chmod a+r FILE
3、十进制赋权法
chmod 777 FILE
4、参照赋值法
chmod --reference/var/log/file FILE
注意:1、在使用a+w的情况下,只有属主才会加w,go是不会加上W权限
2、目录有写权限操作,但对目录下的文件同有写权限时,用户是不能写文件、但有删除文件的能力
=============
chmod自己没有执行权限的解决方法:
1、使用ACL控制修复
2、使用系统盘的emergency模式,使用光盘的chmod修改根文件系统中的chmod权限
=========
`chown` - change file owner and group
synopsis: chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
options:
-R : --recursive 递归修改
--reference : 参照某文件来修改
Usage:
chown mariadb FILE : 只修改文件的属主为mariadb
chown mariadb:mariadb FILE :修改文件的属主、属组为mariadb
chown mariadb:mariadb FILE : 同上
chown --reference=/var/log/file FILE : 参照/var/log/file来修改FILE的属主、属组
`chgrp` - chgrp - change group ownership
synopsis: chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
注:由于chgrp只能修改属组,故一般情况都使用chown代替
=============
用户管理类
useradd:
-u
-g
-c
-d
-s
-G
-r
-M
-D
usermod:
-u
-g
-c
-d
-s
-G
-a
-m
-l
-L
-U
userdel:
-r
id:
-u
-g
-G
-n
su
-c
说明:前四个命令中,命令使用的参数意义大体一样,只是useradd 和userdel的-r
参数意义不一样,前者表示为system,后者表示为remove,最后的su命令-c
表示为command的意义。
=========
passwd:
-d
-l
-u
-i
-e
-n
-x
-w
--stdin
说明:passwd与上者三个命令有重合的参数-l
,-u
与usermod -L
和-u
大小写不一样,userdel的-r
与passwd中的-d
表示不一样,同为删除,前者表示为remove,后者表示为delete.
=======
组管理类
groupadd:
-r
-g
groupmod:
-g
-n
groupdel:
无参数
说明:以上三个组管理命令 -g
-r
同管理用户的命令,groupmod中的-n
代表为new的意义
========
Linux的安全上下文: