Linux账号和权限管理

Linux账号和权限管理

                                                                                                                                            --------------Isuncle 原著

• Linux基于用户身份对资源访问进行控制

  • 用户帐号：

    • 超级用户root

      超级用户，即root用户，类似于Windows系统中的Administrator用户，非执行管理任务时不建议使用root用户登录系统；root用户的UID的固定值为0、root组帐号的GID号为固定值0。

      
      

    • 普通用户

      普通用户帐号一般只在用户自己的宿主目录中有完全权；，普通用户/组使用的UID、GID号在500～60000之间。

      
      

    • 程序用户

      程序用户：用于维持系统或某个程序的正常运行，一般不允许登录到系统。例如：bin、daemon、ftp、mail等；1~499的UID、GID默认保留给程序用户使用。

      
      

  • 组帐号：

    • 基本组(私有组)

    • 附加组（公共组）

• • UID和GID：

    • UID（User Identity，用户标识号）

    • GID（Group Identify，组标识号）

      
      

• 用于保存用户的帐号基本信息

  • 文件位置：/etc/passwd

  • 每一行对应一个用户的帐号记录

    
    

    1.基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改

    2.在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患

    后来经改进后，将密码转存入专门的shadow文件中（见下页）并严格控制全新，而passwd文件中仅保留密码占位符“x”

• 字段1：用户帐号的名称

• 字段2：用户密码字串或者密码占位符“x”

• 字段3：用户帐号的UID号

• 字段4：所属基本组帐号的GID号

• 字段5：用户全名

• 字段6：宿主目录

• 字段7：登录Shell信息

  
  

• 用于保存密码字串、密码有效期等信息

  • 文件位置：/etc/shadow

  • 每一行对应一个用户的密码记录

    
    

    1.默认只有root用户能够读取文件中的内容，并且不允许root直接编辑该文件中的内容

    2.上次修改密码的时间，表示从1970年01月01日（可理解为Unix系统的诞生日）算起到最近一次修改密码时间隔的天数

  • 
    

   字段1：用户帐号的名称

字段2：加密的密码字串信息

字段3：上次修改密码的时间

字段4：密码的最短有效天数，默认值为0

字段5：密码的最长有效天数，默认值为99999

字段6：提前多少天警告用户口令将过期，默认值为7

字段7：在密码过期之后多少天禁用此用户

字段8：帐号失效时间，默认值为空

字段9：保留字段（未使用）

添加用户账号：

• useradd命令

  • 格式：useradd[选项]...用户名

• 常用命令选项

  • -u：指定UID 标记号

  • -d：指定宿主目录，缺省为/home/用户名

  • -e：指定帐号失效时间

  • -g：指定用户的基本组名（或UID号）

  • -G：指定用户的附加组名（或GID号）

  • -M：不为用户建立并初始化宿主目录

  • -s：指定用户的登录Shell

    比如下面我们来用�Cu命令创建一个UID为504的用户st02：

    
    

    [root@localhost~]# useradd -u504 st02

    [root@localhost~]# tail -1 /etc/passwd （查看一下）

    st02:x:504:504::/home/st02:/bin/bash （查看结果）

    
    

    这里我们创建一个考试测试用的帐号exam01，指定属于users组，该帐号于2009-07-30失效

    
    

    [root@localhost~]# useradd -gusers-e 2009-07-30 exam01

    
    

• • 指定mike的基本组为mike，并加入到ftpuser组；指定主目录为/ftphome/mike；不允许mike通过本地登录服务器

（对应的基本组mike、ftpuser必须存在，添加组账号的方法后面会讲解）

添加一个新的用户账号后，useradd命令会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号的末班目录”/etc/skel/”

• 文件来源

  • 新建用户帐号时，从/etc/skel 目录中复制而来

• 主要的用户初始配置文件

  • ~/.bash_profile：用户每次登录时执行

  • ~/.bashrc：每次进入新的Bash环境时执行

  • ~/.bash_logout：用户每次退出登录时执行

    
    

默认情况下，用户宿主目录下的初始配置文件只对当前用户有效，而全局配置文件对所有用户有效

设置/更改用户口令――passwd

• passwd命令

  • 格式：passwd[选项]...用户名

• 常用命令选项

  • -d：清空用户的密码，使之无需密码即可登录

  • -l：锁定用户帐号

  • -S：查看用户帐号的状态（是否被锁定）

  • -u：解锁用户帐号

    
    

    不指定用户名时，修改当前账号的密码

    
    

修改用户账号的属性――usermod

• usermod命令

  • 格式：usermod[选项]...用户名

• 常用命令选项

  • -l：更改用户帐号的登录名称

  • -L：锁定用户账户

  • -U：解锁用户账户

  • 以下选项与useradd命令中的含义相同

    • -u、-d、-e、-g、-G、-s

      
      

      删除用户账号――userdel

      
      

• userdel命令

  • 格式：userdel[-r]用户名

  • 添加-r 选项时，表示连用户的宿主目录一并删除

    
    

    删除用户账号stu01

组账号文件：

• 与用户帐号文件相类似

  • /etc/group：保存组帐号基本信息

  • /etc/gshadow：保存组帐号的密码信息

添加组账号――groupadd

• groupadd命令

  • 格式：groupadd[-g GID]组帐号名

添加删除组成员――gpasswd

• gpasswd命令

  • 用途：设置组帐号密码（极少用）、添加/删除组成员

  • 格式：gpasswd[选项]...组帐号名

• 常用命令选项

  • -a：向组内添加一个用户

  • -d：从组内删除一个用户成员

  • -M：定义组成员列表，以逗号分隔

删除组账号――groupdel

• groupdel命令

  • 格式：groupdel组帐号名

查询账号信息

• id命令

  • 用途：查询用户身份标识

  • 格式：id[用户名]

• groups命令

  • 用途:查询用户所属的组

  • 格式：groups[用户名]

• finger命令

  • 用途：查询用户帐号的详细信息

  • 格式：finger[用户名]

• users、w 、who命令

  • 用途：查询已登录到主机的用户信息

    
    

    了解了用户和组之后下面我们再来介绍提下权限，在Linux中，权限没有windows中那么复杂只分为三种，以及文件/目录的归属。

    
    

    文件/目录的权限和归属

    
    

• 访问权限

  • 读取r：允许查看文件内容、显示目录列表

  • 写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录

  • 可执行x：允许运行程序、切换目录

• 归属（所有权）

  • 属主：拥有该文件或目录的用户帐号

  • 属组：拥有该文件或目录的组帐号

    
    

    查看文件/目录的权限和归属

• “-rw-r―r--”部分的第一个字符表示文件类型，可以是d(目录)、b(块设备文件)、c(字符设备文件)，减号“-”（普通文件）、字母“l”（链接文件）等

• 其余部分指定了文件的访问权限

• 在表示属主、属组内用户或其他用户对该文件的访问权限时，主要使用了四种不同的权限字符：r可读；w可写；x可执行；-无权限

• r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0

  
  

  设置文件和目录的权限――chmod

• chmod命令

  • 格式1：chmod[ugoa][+-=][rwx]文件或目录...

• • 格式2：chmod nnn 文件或目录...

                                     

• 常用命令选项

  • -R：递归修改指定目录下所有子项的全新

    
    

    设置文件和目录的归属――chown

    
    

• chown命令

  • 格式：chown属主文件或目录

    chown:属组文件或目录

    chown属主:属组文件或目录

• 常用命令选项

  • -R：递归修改指定目录下所有文件、子目录的归属