3、Linux用户、组及权限的基础及相关高级话题,详细讲解

04_01_Linux用户管理命令详解

用户、组、权限

    操作系统的组成:1、硬件;2、内核;3、库(动态库,静态库);4、shell

    所谓的安装操作系统是把操作系统安装到哪里去了?

    答:不是内存;硬盘,外部存储设备;

    计算资源:

    权限

    用户

    用户,容器,关联权限;用户组,方便地指派权限

    用户:标识符

    用户组:标识符

    文件


安全上下文(secure context)

进程:也有属主和属组,进程能否访问资源,取决于发起进程的用户是否有权访问资源

        

        权限:

r,w,x

文件权限含义:

r:可读,可以使用类似cat等命令查看文件内容

w:可写,可以编辑或删除此文件

x:可执行,executable,可以在命令提示符下当做命令提交给内核运行

目录权限含义:

r:可以对此目录执行ls以列出内部的所有文件;

w:可以在此目录创建文件

x:可以使用cd切换进此目录,也可以使用ls -l查看内部文件的详细信息

一般情况下,不建议文件有执行权限,但目录应该有执行权限

rwx:

0 000 --- 无权限

1 001 --x 执行

2 010 -w- 写

3 011 -wx 写和执行

4 100 r-- 读

5 101 r-x 读和执行

6 110 rw- 读和写

7 111 rwx 读写执行

        用户账号信息:

用户:UID,/etc/passwd

组  :GID  /etc/group


        影子口令:密码

用户:/etc/shadow

组  :/etc/gshadow

用户类别:

    管理员:UID=0,内置的,改不了的

    普通用户:1-65535,超过此范围?

    系统用户:1-499(这类用户应该被限制,不允许登录系统)

    一般用户: 500-60000(可以登录系统获取资源的用户)

用户组类别:

    管理员组;

    普通组:

系统组

一般组

用户组类别:

    基本组:用户的默认组

    私有组:创建用户时,如果没有为其指定所属的组,系统会自动为其创建一个与用户名同名的组

    附加组/额外组:默认组以外的其他组

一个进程如何去访问一个文件:

进程的权限=发起进程的用户的权限=进程的属组和属主

文件的权限=文件的属组/属主

怎么判断进程能否访问文件?看文件的属组和属主与进程的属组和属主是否重合

/etc/passwd

    用户名:密码:UID:GID:注释:家目录:默认SHELL

                account:用户名

password:也可能是X,密码占位符

UID:

GID:基本组

GECOS:注释信息

HOME DIR:家目录

SHELL:用户默认的shell

        /etc/shadow

用户名:密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告时间:非活动时间:过期时间

        

                    root:$1$OObZbuUH$2QXkgCFhaIxbnIAJ.2CsG1:16333:0:99999:7:::

1、用户名

2、数字1代表是MD5加密

3、$1$OObZbuUH$salt值,6位随机数

4、!!代表用户锁定

        /etc/group:

组名:密码:GID:以此组为其附加组的用户列表


        

        加密方法:

对称加密:加密和解密使用同一个密码

公钥加密:每个密码都成对出现,一个为私钥一个为公钥

单向加密(散列加密):提取数字的特征码,数据完整性校验

1、雪崩效应

2、定长输出

MD5:128位的定长输出

SHA1:160位定长输出


用户管理:

useradd,userdel,usermod,passwd,chsh,chfn,finger,id,chage

组管理:

groupadd,groupdel,groupmod,gpasswd

权限管理:

chown,chgrp,chmod

1、用户管理:


1.1用户添加

    useradd [options] USERNAME

-u UID(UID>=500,其他用户未使用的ID号)

    # useradd -u 1000 user1

    # tail -1 /etc/passwd

    user1:x:1000:1000::/home/user1:/bin/bash

            

        -g GID(基本组ID)

    # useradd -g hellosa user2

    useradda¥ hellosa

    # useradd -g mygroup user2

    # tail -1 /etc/passwd

    user2:x:1001:504::/home/user2:/bin/bash

        

        -G GID,... (附加组,可以有多个,用“,”隔开即可)

    # useradd -G mygroup user3

    # !tail

    tail -1 /etc/passwd

    user3:x:1002:1002::/home/user3:/bin/bash

    # tail /etc/group

    user3:x:1002:

-c "COMMENT1 COMMENT2 COMMENT3" 添加附件信息

-d /path/to/directory 为用户指定某个家目录

    # useradd -c "Tony Blare" -d /home/blare user4

    # tail -1 /etc/passwd

    user4:x:1003:1003:Tony Blare:/home/blare:/bin/bash

-s SHELL路径

    # useradd -s /sbin/nologin user5

    # su - user5

    This account is currently not available.


    # useradd -s /bin/tcsh user6

    # su - user6

    $ echo $SHELL

    /bin/tcsh

    $ exit

    logout

    # tail -1 /etc/passwd

    user6:x:1005:1005::/home/user6:/bin/tcsh

-m -k 强行为用户创建家目录,-k复制/etc/skel文件

        -M

    # useradd -M user7

    # su - user7

su: warning: cannot change directory to /home/user7: No such file or directory

-bash-3.2$ pwd

/root

-bash-3.2$

归纳:有shell,但没有家目录


1.2 用户删除

userdel:

userdel [options] USERNAME :如果删除用户没有指定任何选项,用户的家目录不被删除

# ls /home

blare  tom  user1  user2  user3  user5  user6  w1  wqm

# userdel user1

# ls /home

tom  user1  user2  user3  user5  user6  w1  wqm

#userdel -r user2

# ls /home

blare  tom  user1  user3  user5  user6  w1  wqm


1.3 查看用户账号信息


id:查看用户的账号属性信息

-u 

-g

-G

-n

    eg:

    # id

    uid=0(root) gid=0(root)groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

    # id user1

    uid=1000(user1) gid=1000(user1) groups=1000(user1)

    # id -u user1

    1000

    # id -g user1

    1000

    # id -G user1

    1000

    # id -G

    0 1 2 3 4 6 10

    # id -u -n user1

    user1

    # id -G -n

    root bin daemon sys adm disk wheel

finger:查看用户账号信息

                    eg:

finger USERNAME

# finger user1

Login: user1                            Name: (null)

Directory: /home/user1                  Shell: /bin/bash

Never logged in.

No mail.

No Plan.



1.4 修改用户信息

usermod:修改用户的账号信息

-u UID

    # id user3

    uid=1002(user3) gid=1002(user3) groups=1002(user3),504(mygroup)

    # usermod -u 2002 user3

    # id -u user3

    2002

        -g GID

-G:用新的附加组覆盖原有的附加组

        -a -G:在原有的附加组后,在追加新的附加组

        -c 指定注释信息

        -d 为用户指定新的家目录,用户之前创建的文件,使用不了了

        -d -m:既指定了新的家目录,又将原来家目录的文件移到新的家目录下

        -l 指定新的登录名

        -L 锁定用户账号

        -U 解锁用户账号

chsh:修改用户的SHELL

# finger user3

Login: user3                            Name: (null)

irectory: /home/user3                  Shell: /bin/bash

Never logged in.

No mail.

No Plan.

# chsh user3

Changing shell for user3.

New shell [/bin/bash]: /bin/tcsh

Shell changed.

chfn:修改用户的注释信息

1.5 用户密码管理:

passwd [USERNAME]

    --stdin 标准输入

        # echo "redhat" | passwd --stdin user3

        Changing password for user user3.

        passwd: all authentication tokens updated successfully.

    -d 删除用户密码

    -l 锁定用户账号

    -u 解锁用户账号

        pwck:检查用户账号完整性

2、组管理:


2.1 创建组:

        groupadd

    -g(基本组)

    -r(添加为系统组)

                # useradd -r apache

        # tail -1 /etc/passwd

        apache:x:101:102::/home/apache:/bin/bash

                # ls /home

                blare  tom  user1  user3  user5  user6  w1  wqm

                # groupadd -r nginx

                apache:x:101:102::/home/apache:/bin/bash

                # tail -1 /etc/group

                nginx:x:103:


2.2 修改组

groupmod

    -g GID

    -n  GROUPNAME


2.3 删除组:

groupdel

2.4 为组加密码:

gpasswd:为组设定密码

# useradd hadoop

# su - hadoop

$ cd /tmp

$ touch a.hadoop

$ ls -l

-rw-rw-r-- 1 hadoop hadoop    0 09-23 15:14 a.hadoop

$ id

uid=2003(hadoop) gid=2003(hadoop) groups=2003(hadoop)


newgrp GRPNAME <--->exit

passwd

/etc/passwd

/etc/shadow

/etc/group


                环境变量:

PATH

HISTSIZE

SHELL

/etc/shells:制定了当前系统可以的安全shell

/etc/login.defs

export LANG=en 输出格式改为标准英文

练习:

1、创建一个用户mandriva,其ID号为2002,基本组为distro(组ID为3003),附加组为linux;

   答:    #groupadd -g 3003 distro

          #groupadd linux

          #adduser -u 2002 -g distro -G linux mandriva 


2、创建一个用户fedora,其全名为Fedora Community,默认shell为tcsh;

   答:   # useradd fedora

          # chfn fedora

          # chsh fedora


    一行命令:# useradd -c "Fedora Community" -s /bin/tcsh fedora


3、修改mandriva的ID号为4004,基本组为linux,附加组为distro和fedora;

   答:   # usermod -u 4004 -g linux -a -G distro,fadora mandriva


4、给fedora加密码,并设定其密码最短使用期限为2天,最长为50天;

   答:passwd -n 2 -x 50 fedora  


5、将mandriva的默认shell改为/bin/bash; 

    答:# chsh Mandriva

        /bin/bash 

    一行命令:usermod -s /bin/bash

6、添加系统用户hbase,且不允许其登录系统

    答:# adduser -r hbase

        # chsh hbase

          /sbin/nologin

    一行命令:adduser -r -s /sbin/nologin hbase

7、chage:更改用户密码到期信息

    chage [options] USER

-d :最近一次修改时间

-E :过期时间

-I :非活动时间

-m :最短使用期限

-M :最长使用时间

-W :警告时间


04_02_权限及权限管理


权限管理:

r:文件 cat、more、less、,目录:ls

w:文件:编辑   目录:创建文件

x:文件:可执行 目录:cd ,ls -l


三类用户

u:属主

g:属组

o:其他用户


chown:改变文件属主

用法:

# chown USERNAME file,...

-R:修改目录及其内部文件的属主

--reference=/path/to/somefile file,...

# chown USERNAME:GRPNAME file,...

# chown :GRPNAME file,...


chgrp:改变文件属组

# chgrp GRPNAME file,...

-R

--reference=/path/to/somefile file,...

chmod:修改文件的权限

修改三类用户的权限

#chmod MODE file,...

-R

--reference=/path/to/somefile

修改某类用户或某些用户的权限

u,g,o,a

# chmod 用户类别=MODE file,...

修改某类用户的某位或某些位权限

u,g,o,a

# chmod 用户类别+/-MODE file,...


练习:

1、新建一个没有家目录的用户openstack;

# useradd -M openstack

2、复制/etc/skel为/home/openstack;

# cp -r /etc/skel /home/openstack

3、改变/home/openstack及其内部文件的属主属组均为openstack;

# chown -R openstack:openstack /home/openstack

4、/home/openstack及其内部的文件,属组和其它用户没有任何访问权限

# chmod -R go= /home/openstack


实验:手动创建一个Linux用户


用户创建的过程:即修改三个文件

/etc/passwd 最后加一行

/etc/shadow 最后加一行

/etc/group 最后加一行

手动添加用户hive,基本组为hive(5000),附加组为mygroup

/etc/passwd

hive:x:5000:5000::/home/hive:/bin/bash

/etc/shadow

hive:$1$salt$md5:16336:0:99999:7:::

/etc/group

mygroup:x:mygroupGID:hive

openssl:算密码

  openssl -1 -salt "salt(8位)"

        -1(yi)表示:MD5加密

        -salt   表示:加盐



用户创建的过程:

/etc/passwd 最后加一行

/etc/shadow 最后加一行

/etc/group 最后加一行

手动添加用户hive,基本组为hive(5000),附加组为mygroup

/etc/passwd

hive:x:5000:5000::/home/hive:/bin/bash

/etc/shadow

hive:$1$salt$md5$:16336:0:99999:7:::

/etc/group

mygroup:x:mygroupGID:hive

openssl:算密码


umask:遮罩码

666-umask

777-umask


# umask 

# umask 022


文件默认不能具有执行权限,如果算得的结果中有执行权限,则将其权限加1;


umask: 023

文件:666-023=643 X 

目录:777-023=754



你可能感兴趣的:(linux,用户,权限,组,用户管理命令)