「Linux就该这么学」读书笔记（三）

欢迎来我的博客

用户身份与能力

• 管理员UID为0：系统的管理员用户
• 系统用户UID为1~999：Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器，默认服务程序会有独立的系统用户负责运行，进而有效控制被破坏范围
• 普通用户UID从1000开始：由管理员创建的用于日常工作的用户

useradd

创建新的用户

参数	作用
-d	指定用户的家目录（默认为/home/username）
-e	账户的到期时间，格式为YYYY-MM-DD
-u	指定该用户的默认UID
-g	指定一个出事的用户基本组（必须已存在）
-G	指定一个活多个扩展用户组
-N	不创建与用户同名的基本用户组
-s	指定该用户的默认Shell解释器

# useradd -d /home/linux -u 8888 -s /sbin/nologin linux

groupadd

创建用户组

# groupadd linux

usermod

修改用户属性

参数	作用
-c	填写用户账户的备注信息
-d -m	参数-m与参数-d连用，可重新制定用户的家目录，并自动把旧的数据迁移过去
-e	账户到期时间，格式为YYYY-MM-DD
-g	变更所属用户组
-G	变更扩展用户组
-L	锁定用户禁止其登录系统
-U	解锁用户，允许登录系统
-s	变更默认终端
-u	修改用户的UID

# usermod -u 8888 linux

passwd

修改用户密码、过期时间、认证信息等

参数	作用
-l	锁定用户，禁止登陆
-u	解除锁定，允许登录
--stdin	允许通过标准输入修改用户密码，如：echo “123”	passwd --stdinUsername
-d	使该用户可用密码登录系统
-e	强制该用户在下次登录时修改密码
-S	显示用户的密码是否被锁定，以及密码所采用的加密算法名称

# passwd linux
略

userdel

删除用户

参数	作用
-f	强制删除用户
-r	同时删除用户及用户家目录

# userdel -r linux

文件权限与归属

• -: 普通文件
• d: 目录文件
• l: 链接文件
• b: 块设备文件
• c: 字符设备文件
• p: 管道文件

字符表示略

文件的特殊权限

SUID

可以让二进制程序的执行者，临时拥有属主的权限（仅对拥有执行权限的二进制程序有效）

# ls -l /bin/passwd
-rwsr-xr-x. ...etc

SGID

让执行者临时拥有属组的权限
在某个目录中创建的文件自动继承挂目录的用户组

设置好目录的777权限，保证普通用户可以写入文件，设置好SGID特殊权限位后，切换至一个普通用户，然后尝试在该目录中创建文件，并查看新创建的文件是否会继承所在目录的所属组名称

# mkdir testdir
# ls -ald testdir/
drwxr-xr-x. 2 root root etc...
# chmod -Rf 777 testdir/
# chmod -Rf g+s testdir/
# ls -ald testdir/
drwxrwsrwx. 2 root root etc...
# su linux
$ cd /testdir/
$ echo "test" > test
$ ls -al test
-rw-rw-r--. linux root etc...

SBIT

带有此权限的目录，只有该目录的所有者，否则无法删除这里面的文件

$ ls -ald /temp
drwxrwxrwt. 17 root root etc...
$ cd /tep
$ ls -ald
drwxrwxrwt. 17 root root etc...
$ echo "test" > test
$ chmod 777 test
$ ls -al test
-rwxrwxrwx. 1 linux linux etc...
$ su - otherLinux
$ cd /tmp
$ rm -f test
rm: cannot remove `test`: Operation not permitted

文件的隐藏属性

chattr

设置文件的隐藏权限

参数	作用
i	无法对文件进行修改；若对目录设置了该参数，则仅能修改其中的子文件内容而不能信件或删除文件
a	仅允许补充（追加）内容，无法覆盖/删除内容（Append Only）
S	文件内容在变更后立即同步到硬盘（sync）
s	彻底从硬盘中删除，不可恢复（用0填充源文件所在硬盘区域）
A	不在修改这个文件或目录的最后访问时间（atime）
b	不在修改文件或目录的存取时间
D	检查压缩文件中的错误
d	使用dump命令备份时葫芦哦本文件/目录
c	默认将文件或目录进行压缩
u	当删除该文件后依然保留其在硬盘中的数据，方便日后恢复
t	让文件系统支持首尾合并（tail-merging）
X	可以直接访问压缩文件中的内容

# echo "test" > test
# chattr +a test
# rm test
rm: remove regular file `test`y
rm: cannot remove `test`: Operation not permitted

lsattr

查看文件的隐藏权限

# lsattr test
-----a---------- test
# chattr -a test
# lsattr test
---------------- test

文件访问控制列表

对某个指定的用户金鼎单独的权限限制（ACL）

# su linux
$ cd /root
-bash: cd: /root: Permission denied

setfacl

管理文件的ACL规则

设置过ACL的文件权限的最后一个点会变成+，使用-b可以删除某个文件的ACL

# setfacl -Rm u:linux:rwx /root
# su linux
$ cd /root
$ ls
etc...
$ exit
# ls -ld /root
dr-xrwx---+ 14 root root etc...

getfacl

显示文件上设置的ACL信息

# getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
user:linux:rwx
group::r-x
mask::rwx
other::---

su

切换用户身份

如果在su后面添加一个减号（-），意味着完全切换用户，即把环境变量信息也变更为新用户的相应信息

# su - linux
$ su root
Password:

sudo

给普通用户提供额外的权限来完成原本root管理员才能完成的任务

参数	作用
-h	列出帮助信息
-l	列出当前用户可执行的命令
-u 用户名或UID值	以指定的用户身份执行命令
-k	清空密码的有效时间，下次执行sudo时需要再次进行密码验证
-b	在后台执行指定的命令
-p	更改询问密码的提示语

将linux用户赋予root权限，这时如果切换用户再使用sudo命令，需要填写的是linux用户的密码

# visudo
98 root ALL=(ALL) ALL
99 linux ALL=(ALL) ALL

上面的做法并不安全，我们并不想要赋予linux用户所有的权限，如果想让linux用户可以使用某一个权限可以参考下面的配置，做完后可以用sudo cat 去查看之前权限查看不了的内容

# visudo
98 root ALL=(ALL) ALL
99 linux ALL=(ALL) /usr/bin/cat

下面的设置可以让我们在使用sudo命令时，不需要输入密码，这样会减少密码被黑客破译的几率

# visudo
98 root ALL=(ALL) ALL
99 linux ALL=NOPASSWD: /usr/sbin/poweroff