理论：详解账号和权限管理

前言

◆Linux作为一个多任务，多用户的服务器操作系统，Linux提供了严格的权限管理机制，主要从用户身份，文件权限两方面对资源访问进行控制。

1 管理用户账号

1.1Linux基于用户身份对资源访问进行控制

◆用户账号
●超级用户，普通用户，程序用户
◆组账号
●基本组（私有组）
●附加组（公共组）
◆UID和GID
●UID（User IDentity,用户标识号）
●GID（Group IDentify，组标识号）

1.2用户账号文件/etc/passwd

◆保存用户名称，宿主目录，登录shell等基本信息
●文件位置：/etc/passwd
●每一行对应一个用户的账号记录

◆说明：
●用户名
●密码占位符“x”或密码加密的字符串
●UID主
●GID组
●用户名描述信息
●家目录
●shell信息，一般是/bin/bash
◆示例

1.3用户账号文件/etc/shadow

◆保存用户的密码，账号有效期等信息
●文件位置：/etc/shadow
●每一行对应一个用户的密码记录

说明
●账户名
●made5密码加密信息，###*或！！则不能登录，如空则没密码也可以登录
###做项目的时候，所有设备上线都要弱口令扫描，如果结果说密码强度不高，则需要
重新设置密码。如果过弱口令方案，你可以备份shadow文件，然后进shadow删除没
的账号
●上次修改密码时间1970年1月1号到最近修改密码间隔的天数
●密码的最短有效天数，如0则不限制
●密码的最长有效天数，如99999则不进行限制
●提前多少天告警，用户口令将过期，默认是7

1.4添加用户账号

◆useradd命令
Useradd 【选项】…用户名
◆常用选项
●-u：指定UID多少
●-d：指定宿主目录
●-e：指定账户失效时间
●-g：指定用户基本组
●-G：指定用户附加组###既可以属于用户组也可以同时属于其他
●-M：不建立宿主目录
●-s：指定登录的shell
◆示例

1.5为用户账号设置密码

◆passwd命令
passwd 【选项】… 用户名
◆常用选项
●-d：清空指定用户的密码，仅使用用户名即可登录系统
●-l：锁定用户账户
●-S：查看用户账户的状态（是否被锁定）
●-u：解锁用户账号
◆示例

1.6修改用户账号属性

◆usermod命令
Usermod 【选项】… 用户名
◆常用选项
●-u：修改用户的UID号
●-d：修改用户的宿主目录位置
●-e：修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式
●-g：修改用户的基本组名（或使用GID）
●-G：修改用户的附加祖名（或使用GID）
●-s：指定用户的登录shell
●-l：更改用户账号的登录名称（Login Name）
●-L：锁定用户账户
●-U：解锁用户账户
◆示例

1.7删除用户账号

◆userdel命令
userdel 【-r】 用户名
●添加-r选项时，表示连用户的宿主目录一并删除
◆示例

2 用户账号的初始配置文件

◆文件来源
●新建用户账号时，从/etc/skel目录中复制而来
◆主要的用户初始配置文件
●.bash_profile 文件中命令将在该用户每次登陆被执行
●.bashrc 文件中的命令在每次加载/bin/Bash程序（包括登陆）执行
●.bash_logout 文件中的命令将在每次退出登陆时执行
（.bash_profile和.bashrc 都是开机启动的，.bashrc 要比.bash_profile更加精细。.bash_logout可以理解，干坏事后擦屁股，擦脚印）
◆示例

说明：.bash_profile和.bashrc 都是开机启动的，但是一般是.bashrc 优先

3 组账号管理

3.1 组账号文件

◆与用户账号文件相类似
●/etc/group:保存组账号基本信息
●/etc/gshadow:保存组账号的密码信息
◆示例

3.2 添加组账号

◆groupadd
groupadd 【-g GID】组账号名
◆示例

3.3 添加删除组成员

◆gpasswd命令
●设置组账号密码（极少用），添加/删除组成员
gpasswd 【选项】… 组账号名
◆常用选型
●-a：向组内添加一个用户
●-d：从组内删除一个用户成员
●-M：定义组成员列表，以逗号分隔
◆示例

3.4 查询账号信息

◆groups命令
●查询用户所属的组
groups 【用户名】
◆id 命令
●查询用户身份标识
id 【用户名】
◆finger命令
●查询用户账号的详细信息
finger 【用户名】
◆w，who，users命令
●查询已登录到主机的用户信息
◆示例

4 文件/目录的权限和归属

4.1 访问权限

◆访问权限
●读取r：允许查看文件内容，显示目录列表
●写入w：允许修改文件内容，允许在目录中新建，移动，删除文件或子目录
●可执行x：允许运行程序，切换目录
◆归属（所有权）
●属主：拥有该文件或目录的用户账号
●属组：拥有该文件或目录的组账号

4.2 查看文件/目录的权限和归属

说明：常用的是700,755 最大权限是777
默认文件夹 755；默认文件644

4.3 设置文件和目录的权限

4.4 设置文件和目录的归属

4.5 权限掩码UMASK