Linux账号与权限管理
1. 用户帐号类型
普通用户 权限受到限制的用户
超级管理员 拥有至高无上的权限
程序用户 不是给人使用的,给程序使用的。无法直接登录系统的用户
2.系统如何区别用户的身份:
使用的是uid号(User Id用户标识)
centos7
超级管理员 默认是 0
普通用户 包括1000~60000
程序用户 1~999
centos6
超级管理员:uid=0
程序用户 1~499
普通用户 500~6000
3.用户组
本组(私有组)
建立账户,若没指定账户所属组,系统会建立一个和用户名相同的组,这个组就是私有组,这个组默 认只容纳了一个用户。
在用户所属组中的第一个组称为基本组,基本组在 /etc/passwd 文件中指定
基本组:有且唯一
附加组:可有可无,可以有多个
默认新建用户时自动添加同名的组
附加组(公共组)
附加组:除了第一个组外的其他组为附加组或公共组,附加组在 /etc/group 文件中指定
GID(Group IDentify,组标识号)
与 UID 类似,每一个组账号也有身份标记,root 组账号的 GID 号为固定值 0,而程序组账号的 GID 号默认为 1~499,500~60000 的 GID 号默认分配给普通组使用。
用户和组的关系
用户是员工 组是职位
员工可以兼职多个岗位
总有一个最重要的身份 主要组合附加组
主要组 必须要一个组 有且唯一
附加组 可有可无 有可以有多个
默认当你创建一个新用户时会自动创建一个和之同名的主组
用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建 和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
4.用户账号管理
(1)/etc/passwd 存放用户信息
分七段(每段用冒号隔开)
已第一行为例 从左到右
root 用户名称
:x 密码占位符
:0 uid
:0 gid
:root 备注信息,描述
:/root 家目录路径
:/bin/bash 默认的shell环境
其中/sbin/nologin是一个特殊的Shell,它用于禁止用户登录到系统。
通常下类型用户会被设置为/sbin/nologin
系统用户被用于特定系统服务或运行,设置为/sbin/nologin可以防止它误操作和安全问题。
FTP用户:对于只提供FTP服务的用户,可以阻止他们通过SSH或其他方式登录到系统。限制权限,增强系统安全性。
匿名用户:匿名用户是指无需身份验证即可访问某些系统资源的用户,Shell设置为/sbin/nologin可以确保他们无法登录到系统,只能通过匿名方式访问指定资源
临时禁用用户:需要临时禁用某个用户,例如当用户被发现异常活动或需要进行其他安全审查时,将其Shell设置为/sbin/nologin可以立即禁止其登录
(2) /etc/shadow 存放保存密码
分九段
第1用户名
第2密码
第3最后一次修改密码时间
第4修改密码最小天数 0 不限制
第5 密码有效期
第6:密码到期提醒
第7:密码过期后的宽限天数 (密码过期后多少天禁用此用户)
第8:失效时间
第9:保留字段,未使用
5.添加用户
useradd命令
基本格式
useradd 【选项】 用户名
在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录
若未明确指定用户的宿主目录,则在/home 目录下自动创建与该用户账号同名的宿主目录,并 在该目录中建立用户的各种初始配置文件。
若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账 号的记录信 息将保存到/etc/group 和/etc/shadow 文件中
选项
-u:指定用户的 UID 号,要求该 UID 号码未被其他用户使用。
-d:指定用户的宿主目录位置(当与-M 一起使用时,不生效)。
-e:指定用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。
-g:指定用户的基本组名(或使用 GID 号)。
-G:指定用户的附加组名(或使用 GID 号)。
-M:不建立宿主目录,即使/etc/login.defs 系统配置中已设定要建立宿主目录。
-s:指定用户的登录
例如.创建用户ky26, 其ID号为1005;不建立家目录,不允许登录
useradd -u1005 -M -s /sbin/nologin ky266.
6.密码管理
passwd命令
为用户账号设置密码
passwd [选项]... 用户名
基本用法 不加选项 可以添加密码
选项
-d:清空指定用户的密码,仅使用用户名即可登录系统。
-l:锁定用户账户。
-S:查看用户账户的状态(是否被锁定)。
-u:解锁用
7.修改用户账号的属性
usermod命令
usermod [选项]... 用户名
常见选项
-l 更改用户账号的登录名称(Login Name)
-L 锁定用户账户
-u 修改用户的 UID 号
-U 解锁锁用户账户
-d:修改用户的宿主目录位置。
-e:修改用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。
-g:修改用户的基本组名(或使用 GID 号)
-G:修改用户的附加组名(或使用 GID 号)
-s:指定用户的登录 Shell
useradd 是添加新用户并对新用户进行一些个性化设置
usermod 是对已有用户的属性进行更改,,选项和useradd基本一致
8.删除用户
userdel [选项] 用户
-r 将宿主目录一起删除
9.组管理
组账号文件
与用户帐号文件相类似 /etc/group:保存组帐号基本信息 /etc/gshadow:保存组帐号的密码信息基本不使用
添加组
groupadd命令
groupadd [-g GID] 组账号名
组内管理
gpasswd 命令——添加、设置、删除组成员
-a:向组内添加一个用户
-d:从组内删除一个用户成员
-M:定义组成员列表,以逗号分隔
9.文件/目录的权限和归属
访问权限
二进制数字表示法
rwx rwx rwx
二进制111 111 111
十进制 7 7 7
r=100(二进制)=4(十进制)
w=010(二进制)=2(十进制)
x=001(二进制)=1(十进制)
10.chmod(修改权限)
chmod 对谁(所有者,所属组,其他)操作(+ - =)权限 文件
谁:u,g,o,a
操作:+,-,=
权限:r,w,x(普通权限对root无效)
u 属主
g 属组
0 其他人
a 所有人
+ 是加上 在原有的基础上加上权限
- 在原有的基础上减去权限
= 赋予 原有权限不看 就是等于后面的权限
chown
chown -R 修改属主 属组
-R 递归 所有多改
属主,属组多改
chown 属主:属组 文件或文件夹
改属主
chown 用户名 文件
改属组
chown :组名 文件
11.umask
umask 的值可以用来保留在创建文件权限
新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变
新建目录的默认权限: 777-umask
非特权用户umask默认是 002
root的umask 默认是 022
例如 umask 024,则以后建立的文件和目录的默认权限就为 642
123就是644