Linux中的用户与权限
1、Linux中的用户
Linux作为一种多用户的操作系统(服务器系统),允许多个用户同时登陆到系统上,并响应每个用户的请求。
任何需要使用操作系统的用户,都需要一个系统账号,账号分为:管理员账号与普通用户账号。
在Linux中,操作系统根据UID来判断用!根据UID来判断用户! 而不是用户名!只要id为0就是管理员,哪怕有多个id为0 的账号
系统在新建账号时,会根据账号类型,自动分配递增账号的UID与GID (用户身份编号,组编号),也可自行分配。通常情况下,应当保证UID与GID唯一且不重复。
在Linux,管理员在默认情况下为root账户,UID=0。普通用户UID默认范围为1-65535。在centos 6中,新建用户,默认系统用户的UID范围为1-499。普通用户为500+。在centos 7中,系统用户范围为1-999。普通用户为1000+。对系统的操作权限由用户决定。
通常对用户账号的操作分为添加,修改,删除。
1.1、添加账户
通过:useradd命令,来添加用户语法如下:
useradd [opentions] login
参数说明:
-u UID 自定义UID (默认系统递增)
-o 配合-u 选项,不检查UID的唯一性(不建议)
-g GID:指明用户所属基本组,可为组名,也可以GID
-c comment 指定一段注释性描述。
-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。
**示例一:**创建了一个用户ddz,并将他的家目录设置到/user/ddz
# useradd –d /usr/ddz ddz
**示例二:**新建一个用户ddz,设置该用户使用的shell为/sbin/bash,设置他的主组属于group用户组,设置附加组为mage和wang。(当设置组时,要保证组已经存在,否则请先创建该组)
# useradd -s /sbin/bash -g root –G mage,wang ddz
1.2、删除帐号
如果一个用户的账号不再使用,可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除,必要时还删除用户的主目录。
通常在运维工作中,一般使用让账号失效,果然修改账户名的方式,来便捷的操作账号。
删除一个已有的用户账号使用userdel命令,其格式如下:
userdel 选项 用户名
常用的选项是 -r,它的作用是把用户的主目录一起删除。
例如:
# userdel -r sam
此命令删除用户sam在系统文件中(主要是/etc/passwd, /etc/shadow, /etc/group等)的记录,同时删除用户的主目录。
删除账号需要该账户没有人在使用,才能删除成功。请使用命令删除,不要去手动改文件。
1.3、修改帐号
修改用户账号就是根据实际情况更改用户的有关属性,如用户号、主目录、用户组、登录Shell等。
修改已有用户的信息使用usermod命令,其格式如下:
usermod 选项 用户名
常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。
另外,有些系统可以使用选项:-l 新用户名
这个选项指定一个新的账号,即将原来的用户名改为新的用户名。
例如:
# usermod -s /bin/ksh -d /home/z –g developer sam
此命令将用户sam的登录Shell修改为ksh,主目录改为/home/z,用户组改为developer。
1.4、查询账号口令
id [opentions] [User]
相关参数:
- -u:显示UID
- -g:显示GID
- -G:显示用户所属的组ID
- -n:显示名称
示例:
[root@bigdata801 ~]# id rootuid=0(root) gid=0(root) 组=0(root)[root@bigdata801 ~]# id -g root0[root@bigdata801 ~]#
1.5、用户口令的管理
用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令,但是被系统锁定,无法使用(在passwd文件中,密码列显示为!!或者!表示用户被锁定,是无法登陆的),必须为其指定口令后才可以使用,即使是指定空口令。
指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令,普通用户只能用它修改自己的口令。命令的格式为:
passwd 选项 用户名
可使用的选项:
- -l 锁定口令,即禁用账号。
- -u 口令解锁。
- -d 使账号无口令。
- -f 强迫用户下次登录时修改口令。
如果默认用户名,则修改当前用户的口令。
例如,假设当前用户是sam,则下面的命令修改该用户自己的口令:
$ passwd Old password:****** New password:******* Re-enter new password:*******
如果是超级用户,可以用下列形式指定任何用户的口令:
# passwd sam New password:******* Re-enter new password:*******
普通用户修改自己的口令时,passwd命令会先询问原口令,验证后再要求用户输入两遍新口令,如果两次输入的口令一致,则将这个口令指定给用户;而超级用户为用户指定口令时,就不需要知道原口令。
为了系统安全起见,用户应该选择比较复杂的口令,例如最好使用8位长的口令,口令中包含有大写、小写字母和数字,并且应该与姓名、生日等不相同。
为用户指定空口令时,执行下列形式的命令:
# passwd -d sam
此命令将用户sam的口令删除,这样用户sam下一次登录时,系统就不再询问口令。
passwd命令还可以用-l(lock)选项锁定某一用户,使其不能登录,例如:
# passwd -l sam
利用组来简化授权操作,当对整个组授权时,整个组下的账号权限都会进行修改
其他 : 用户相关的其他指令
chfn [USER] 修改用户的备注文档
chsh [Shell] 修改用户的指定shell
2、Linux中的用户组
2.1、组的类别
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同,如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。用户必须属于一个且只有一个主组。用户可以属于零个或者多个附加组。
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。
2.2、增加组
1、增加一个新的用户组使用groupadd命令。其格式如下:
groupadd 选项 用户组
可以使用的选项有:
- -g GID 指定新用户组的组标识号(GID)。
- -o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
- -r 创建系统组
**示例一:**向系统中增加了一个新组group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。
# groupadd group1
**示例二:**向系统中增加了一个新组group2,同时指定新组的组标识号是101。
# groupadd -g 101 group2
2.3、 删除组
如果要删除一个已有的用户组,使用groupdel命令,其格式如下:
groupdel 用户组
**示例一:**从系统中删除组group1。要想删除组,要确保该组不是主组,才能把这个组删掉。
# groupdel group1
2.4、修改组
修改用户组的属性使用groupmod命令。其语法如下:
groupmod 选项 用户组
常用的选项有:
- -g GID 为用户组指定新的组标识号。
- -o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
- -n新用户组 将用户组的名字改为新名字
**示例一:**将组group2的组标识号修改为102
# groupmod -g 102 group2
**示例二:**将组group2的标识号改为10000,组名修改为group3
# groupmod –g 10000 -n group3 group2
2.5、切换组(临时切换主组)
如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。例如:
$ newgrp root
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。
可以通过以下命令,来更改和查看组中的成员
#groupmems [opentions] [action]
参数如下:
- -g 更改为指定组(只有root可以使用)
- -a 指定用户加入组
- -d 从组中删除该用户
- -p 从组中清楚所有成员
- -l 显示组成员列表
**示例一:**查看root组中存在的成员
$groupmems -l -g root
**示例二:**将Father用户加入root组中
$groupmems -a Father -g root
3、用户与组的配置文件
在Linux中,万物皆文件,所以用户与组也以配置文件的形式保存在系统中,以下为用户和组的主要配置文件详解:
- /etc/passwd:用户及其属性信息(名称、 UID、主组ID等)
- /etc/group:组及其属性信息
- /etc/shadow:用户密码及其相关属性
- /etc/gshadow:组密码及其相关属性
3.1、/etc/passwd 参数详解
[root@bigdata801 ~]# vim /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin.......................................
依次含义为登录用户名,密码,UID,GID,全名或注释,用户主目录,用户默认使用shell。
3.2、/etc/group参数详解
[root@bigdata801 ~]# vim /etc/grouproot:x:0:bin:x:1:daemon:x:2:sys:x:3:...................................
依次含义为群组名称,群组密码(通常不需要设定,密码被记录在/etc/gshadow),GID(群组ID),附加组(以逗号分隔,如果没有附加组为空)
3.3、/etc/shadow参数详解
[root@bigdata801 ~]# vim /etc/shadowroot:$6$dFy5LrDcKCdeZVZ2$XHQGLTTT4YJtGnNwZYtG/g0W39hJwU97kWgGYAca3F6Q20dSrrQU9UkBaqMp0ygCP3PoGBA.3dna7PyKxZmel.::0:99999:7:::bin:*:18358:0:99999:7:::daemon:*:18358:0:99999:7:::adm:*:18358:0:99999:7:::lp:*:18358:0:99999:7:::...................................
依次含义为:登录用户名,密码(通常使用shad512加密),从1970年1月1日起计算到现在为止密码最近一次被更改的时间,密码再过几天就可以被修改(0表示随时可改),密码几天后必须变更(99999表示永不过期),密码过期前多久提示用户,密码过期多久后账户将被锁定,多少天后账户将失效(从1970-1-1算起)
3.4、/etc/gshadow参数详解
[root@bigdata801 ~]# vim /etc/gshadowroot:::bin:::daemon:::sys:::...................................
依次含义为,群组名称,群组密码,组管理员列表,当前用户的附加组。
4、Linux文件参数说明
由于Linux是一个多人多任务的系统,因此经常会出现同一台机器同时有多个人进行操作,为了考虑每个人的隐私权以及每个人喜好的工作环境,所以文件的权限归属就至关重要。为了保障系统的安全性和文件的隐私性,一个文件针对不同权限的账户有着不同的权限。
[root@bigdata801 hadoop-3.3.1]# pwd/opt/module/hadoop-3.3.1[root@bigdata801 hadoop-3.3.1]# ll总用量 92drwxr-xr-x 2 1000 1000 203 6月 15 13:52 bindrwxr-xr-x 4 root root 37 8月 22 22:57 datadrwxr-xr-x 3 1000 1000 20 6月 15 13:15 etcdrwxr-xr-x 2 1000 1000 106 6月 15 13:52 includedrwxr-xr-x 3 1000 1000 20 6月 15 13:52 libdrwxr-xr-x 4 1000 1000 288 6月 15 13:52 libexec-rw-rw-r-- 1 1000 1000 23450 6月 15 13:02 LICENSE-binarydrwxr-xr-x 2 1000 1000 4096 6月 15 13:52 licenses-binary-rw-rw-r-- 1 1000 1000 15217 6月 15 13:02 LICENSE.txtdrwxr-xr-x 3 root root 4096 9月 7 13:50 logs-rw-rw-r-- 1 1000 1000 29473 6月 15 13:02 NOTICE-binary-rw-rw-r-- 1 1000 1000 1541 5月 22 00:11 NOTICE.txt-rw-rw-r-- 1 1000 1000 175 5月 22 00:11 README.txtdrwxr-xr-x 3 1000 1000 4096 8月 23 22:28 sbindrwxr-xr-x 4 1000 1000 31 6月 15 14:18 sharedrwxr-xr-x 2 root root 22 8月 22 18:00 wcinputdrwxr-xr-x 2 root root 88 8月 22 18:43 wcoutput[root@bigdata801 hadoop-3.3.1]#
以上文件说明中,含义分别为,第一列代表文档类型(具体参见附表一),下面三组 rwx 依次代表所有者权限,同一群组权限,其他人权限(具体参见附表二),数字代表文档连接数,下面两列分别为拥有者和拥有组,然后是文件大小,修改时间和文件名。
5、附表
附表一:Linux中文件类型说明
| 标识 | 含义 |
|---|---|
| d | 目录文件 |
| l | 符号链接(指向另一个文件,类似于window下的快捷方式) |
| s | 套接字文件 |
| b | 块设备文件,二进制文件 |
| c | 字符设备文件 |
| p | 命名管道文件 |
| - | 普通文件 |
附表二:Linux中权限数字对应的含义
| 数字 | 权限 |
|---|---|
| 4 | 读取 r |
| 2 | 写入 w |
| 1 | 执行 x |
| 组合以后数字 | 组合以后权限 |
| 0 | 没有权限 |
| 5(4+1) | 读取、执行权限 |
| 6(4+2) | 读取、写入权限 |
| 7(4+2+1) | 读取、写入、执行权限 |