Linux账号和权限管理

一、用户账户和组账户

1、Linux基于用户身份对资源访问进行控制

1.1、用户账号

用户账号	说明
超级用户	root用户是Linux操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的。
普通用户	由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限
程序用户	安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，不允许登录到系统，仅维持系统或某个程序的正常运行

1.2、组账号

组账号	说明
基本组（私有组）	基本组账号只有一个，一般为创建用户时指定的组。
附加组（公用组）	用户除了基本组以外，额外添加指定的组。

1.3、UID和GID

	UID	GID
说明	用户标识号	组标识号
root用户	固定值 0	固定值 0
程序用户	默认为1~499	默认为1~499
普通用户	默认为500~60000	默认为500~60000

上面是CentOS6(CentOS7是1~999)

2、用户账号文件/etc/passwd

2.1、保存用户名称、宿主目录、登录shell等基本信息

文件位置：/etc/passwd

每一行对应一个用户的账号记录

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。

在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此有在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中,，而passwd文件中仪保留密码占位符"x"。

2.2、7个字段

①、第1字段：用户账户的名称，也是登陆系统时使用的识别名称。

②、第2字段：经过加密的用户密码字串，或者密码占位符“x”。（早期用户密码信息保存在passwd文件中，不法用户可以获取密码字串进行暴力破解，这样账号安全就存在一定的隐患。因此后来将密码转存入shadow文件中，而在passwd中仅保留密码占位符“x”）。

③、第3字段：用户账号的UID号。

④、第4字段：所属基本组账号GID号

⑤、第5字段：用户全名，可填写与用户相关的说明信息。

⑥、第6字段：宿主目录，及该用户登陆后所在的默认工作目录。

⑦、第7字段：登陆shell等信息，用户完成登陆后使用的shell。

3、用户账号文件/etc/shadow

3.1、保存用户的密码、账号有效期等信息

文件位置：/etc/shadow

每一行对应一个用户的密码记录

默认只有root用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容

3.2、9个字段（以：为分隔）

Shadow文件每一行对应一个用户密码记录，它们用冒号“ ：”分隔为九个配置字段，从左到右各个配置字段含义分别如下所述：

①、第1字段：用户账号名称。

②、第2字段：使用MD5加密的密码字串信息，当为 “*” 或 “!!”时表示此用户不能登录到系统。若该字段为空，则该用户无需密码即可登陆系统。新用户创建也是“!!”。如果密码前面显示双感叹号表示该账户被锁定了。

③、第3字段：上次修改密码的时间，从1970年01月01日（1970年是linux的诞生日）算起，到最近一次修改密码时间间隔的天数。date -d "1970-01-01 18884 days"可以转换为具体的日期显示。

④、第4字段：密码最短有效天数。自本次修改密码后，必须经过该天数以后才能再次修改密码。默认值为0，表示不进行限制。

⑤、第5字段：密码最长有效天数。自本次修改密码后，必须经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制。

⑥、第6字段：提前多少天警告用户密码将过期，密码到期前的第几天发出告警信息，默认是7天，每次登录系统都会向该账户发出 “修改密码” 的警告信息。

⑦、第7字段：在密码过期之后多少天内禁用此用户。系统将不再让此账户登陆，也不会提示账户过期，是完全禁用。

⑧、第8字段：账号失效时间，使用自1970年1月1日以来的总天数作为账户的失效时间。默认值为空，表示账号永久可用。

⑨、第9字段：保留字段，未使用。

4、添加用户账号-useradd

在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。

若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。

若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中

1、格式

useradd 【选项】 用户名

2、常用选项

选项	说明
-u	指定用户的UID号，要求该UID号码未被其他用户使用
-d	指定用户的宿主目录位置(当与-M一起使用时，不生效) 。只能用绝对路径指定目录
-e	指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式
-g	指定用户的基本组名(或使用GID号) ，对应的组名必须已存在
-G	指定用户的附加组名(或使用GID号) ，对应的组名必须已存在
-M	不建立宿主目录
-s	指定用户的登录Shell，(比如/bin/bash为可登陆系统， /sbin/nologin和/bin/false为禁止用户登陆系统)

3、修改账号和密码的有效期限-chage

命令格式：chage [选项] 用户名

chage命令，用来修改帐号和密码的有效期限，针对目前系统已经存在的用户。其选项如下：

-m：密码可更改的最小天数。为零时代表任何时候都可以更改密码。

-M：密码保持有效的最大天数。chage -M 60 root

-W：用户密码到期前，提前收到警告信息的天数。

-E：帐号到期的日期。过了这天，此帐号将不可用。

-d：上一次更改的日期。

-i(大写)：停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。

-l：列出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

总结：

5、设置/更改用户口令-passwd

root用户可以指定用户名作为参数，对指定账号的密码进行管理；不指定用户名时，修改当前账号的密码。

普通用户却只能执行单独的"passwd"命令修改自己的密码。

1、格式

passwd 【选项】 用户名

2、常用选项

选项	说明
-d	清空指定用户的密码，仅使用用户名即可登录系统
-l	锁定用户账户，锁定的用户账号将无法再登录系统
-S	查看用户账户的状态(是否被锁定)
-u	解锁用户账户

3、设置密码方法二

echo “密码” l  passwd  --stdin  用户名

6、修改用户账号属性-usermod

1、格式

usermod 【选项】 用户名

2、常用选项

选项	说明
-u	修改用户的UID号
-d	修改用户的宿主目录位置
-e	修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式
-g	修改用户的基本组名（或使用GID号）
-G	修改用户的附加组名（或使用GID号）
-s	指定用户的登录shell
-l	更改用户账号的登录名称
-L	锁定用户账户
-U	解锁用户账户

3、例子

将 admin1 用户的登录名更改为 master

usermod -l admin1 master

7、删除用户账号-userdel

1、格式

userdel 【选项】 用户名

2、选项

选项	说明
- r	添加此选项时，可将该用户的宿主目录一并删除

8、用户账号的初始配置文件

1、文件来源

useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。

这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件，我们使用ls -a查看。

2、主要的用户初始配置文件

2.1、宿主目录下的初始配置文件只对当前用户有效

文件名	说明
~/.bash profile	此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashrc文件
~/.bashrc	此文件中的命令会在每次打开新的bash shell时(也包括登录系统)被执行，并且会调用/etc/bashrc文件
~/.bash_logout	此文件中的命令将在用户每次退出登录或退出bash shell时执行

2.2、全局配置文件对所有用户有效

文件名	说明
/etc/profile	这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile命令使profile文件被读取
/etc/profile.d/	这个文件实际上是/etc/profile的子日录，存放的是一些应用程序所需的启动脚本
/etc/bashrc	每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，使bashrc文件被读取

9、组账号文件

1、与用户账号文件相类似

文件名	说明
/etc/group	保存组帐号基本信息
/etc/gshadow	保存组帐号的密码信息

2、4个字段

[root@ky19cl ~]# grep “postfix” /etc/group
mail: x:12:postfix
postfix: x:89:

字段	说明
字段一	组帐号的名称
字段二	占位符"x"
字段三	组账号的GID号
字段四	组账号包含的用户成员(一般不包括基本组对应的用户帐号) ，多个成员之间以逗号"，"分隔

10、添加组账号-groupadd

1、格式

groupadd 【-g GID】 组账号名字

2、例子

groupadd -g 1000 market #添加组账号market

11、添加删除组成员-gpasswd

1、格式

命令格式：gpasswd [选项] [用户名] 组账号名

作用：设置组帐号密码（不常用）、添加/删除组成员

2、常用选项

选项	说明
-a	添加用户到组
-d	从组删除用户
-A	指定管理员
-M	指定组成员和-A的用途差不多
-r	删除密码
-R	限制用户登入组，只有组中的成员才可以用newgrp加入该组

1.gpasswd -a 用户 组 将某用户添加到某组
用 gpasswd -a 用户 组 添加组成员只能一个一个添加用户到目标组

2.用 gpasswd -M 用户，用户… 组 可以一下子指定多个成员添加到目标组
但是如果先执行的是gpasswd -a 命令加入的用户 不在 gpasswd -M 指定的用户列表内gpasswd -M 命令会直接覆盖掉 gpasswd -a 命令

3.groups 用户
查看用户加入了哪些组

4.gerp 组名 /etc/group
查看组内有哪些用户

12、删除组-groupdel

groupdel 组名

13、查询账号信息

1、查询用户所属组-groups

 groups  用户名 

2、查询用户身份标识-id

id  用户名

3、查询用户账号的登录属性-finger（需要先安装finger软件包）

finger   用户名

4、查询已登录到主机的用户信息-w、who、users、last

w , who, users 命令：查询已登陆到主机的用户信息
补充：last
lastlog -u 用户名 #查看用户最后一次登录
lastlog -t 2 #两天内的登录信息

二、文件/目录的权限和归属

1、访问权限

读取（r）：允许查看文件内容、显示目录列表

写入（w）：允许修改文件内容，允许在目录中新建、移动、删除文件或子文件

可执行（x）：允许运行程序、切换目录

2、归属(所有权)

属主：拥有该文件或目录的用户账号

属组：拥有文件或目录的组账号

3、查看文件/目录的权限和归属

权限项	读	写	执行	读	写	执行	读	写	执行
字符表示	r	w	x	r	w	x	r	w	x
数字表示	4	2	1	4	2	1	4	2	1

分别对应：文件所有者、文件所属组、其他用户

4、设置文件/目录的权限和归属-chmod

1、格式一

chmod 【ugoa】 【+ - =】 【rwx】 文件或目录

【ugoa】：u、g、o、a 分别表示 属主、属组、其他用户、所有用户

【+ - =】 ：+、-、= 分别表示 增加、去除、设置权限

【rwx】 ：r、w、x 分别表示 读、写、运行权限

2、格式二

chmod nnn（3位八进制数） 文件或目录
每个n代表一个八进制数，每个八进制数值得是权限的数字表示形式的和

-R 递归修改指定目录下所有子项的权限

5、设置文件和目录的归属-chown

1、格式

chown 属主 文件或目录

chown :属组 文件或目录

chown 属主:属组 文件或目录

2、常用选项

-R：递归修改指定目录下所有文件、子目录的归属

6、设置目录和文件的默认权限-umask

1、作用

1.控制新建的文件或者目录的权限

2.默认权限去除umask的权限为新建的文件或者目录的权限（新建的文件或者目录的权限为默认最大权限减去umake 。普通文件的最大默认权限为6, 目录的最大默认权限为7。）

2、umask设置： umask xxx