Linux基础知识--4.LInux用户和用户组以及权限管理

Linux基础知识--4.LInux用户和用户组以及权限管理

一.Linux用户和用户组

Linux操作系统是一个多用户、多任务的操作系统。有时可能多个用户在linux系统上操作一个任务，有时可能完成多个任务。用户的主要作用就是完成用户本身要完成的任务，不同用户所具有的权限也不同，所以能完成的任务也是有不尽相同。组：个人理解就是将用户和权限关联在一起的“容器”，我们可以把执行相同任务的用户加入同一个组内。

  当登录linux系统时要输入linux用户账号，但是linux主机不会是认识你的“账号名称”，它只会识别用户的ID号，每个登录系统的用户至少要包括两个ID，一个是用户ID（UID），另一个是组ID（GID）。

 1. 在linux系统中用户可分为三类：根用户（管理员用户），系统用户和普通用户。

   根用户root用户：可以操作系统任何文件和资源，拥有最高权限。

    root：UID为0 GID为0

   系统用户：这类用户不具有登录系统的能力，但是系统运行不可缺少的用户，比如bin、daemon、ftp、mail等。这类用户都是系统自身拥有的，而非后来添加。当然后续添加也行。

    系统用户的UID：1-499 但是在CentOS7上UID是：1-999

          GID：1-499 CentOS7上GID为：1-999

   普通用户：这类用户是用来登录系统，有自己的家目录，但是权限有限。

    普通用户的UID为500+ 在CentOS7上UID为：1000+

         GID：500+ CentOS7上GID为：1000+

  2.Linux用户组：

    linux组的分类：基本组，私有组和附加组（也称额外组）

    基本组：linux在创建用户的时候会同时创建和用户名相同的组，这个组就是基本组，不能把用户从这个组删除。

    附加组：附加组也称额外组，是除基本组之外用户所在的其他组。用户可以从附加组中删除。

    私有组：私有组就是一个linux用户的基本组在没有其他用户添加到此组，就称基本组属于这个用户的私有组。

  3.linux中和用户、组相关的配置文件及文件内容的意义：

    /etc/passwd：用户及其属性信息

    /etc/shadow：用户密码及其相关信息

    /etc/group：组及其属性信息

    /etc/gshadow：组密码及其相关信息

    1./etc/passwd文件中各字段含义：

      用户名:密码:UID:GID:用户注释信息:用户家目录:默认shell

      apache:x:48:48:Apache:/var/www:/sbin/nologin

    2./etc/shadow文件中个字段的含义：

      bin:*:15980:0:99999:7:::

      用户名:加密之后的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期        限:密码警告时间段:密码过期恕限时间:账户过期时间:保留字段

        注意:最近一次更改密码的日期：是从1970年1月1日到最近一个修改密码的天数。

          密码最小使用期限：便是两次修改密码之间所需的最小天数，0表示没有。

          密码最大使用期限：指的是密码保持有效的天数。

          密码警告时间段：表示从系统警告用户到用户密码正式失效的天数。

          密码过期恕限时间：如果用户过了警告时间仍没有从新设定密码，致使密码失效。用户仍然可以使用这个失效的密码在n天内登陆系统，若在这个期间人没有更改密码，则账号失效。

    3./etc/group文件中各字段的含义：

      bin:x:1:bin,daemon

      组名:组密码:GID:以当前组为附加组的用户列表（分隔符为逗号）

    4./etc/gshadow文件中各字段的含义：

      bin:::bin,daemon

      组名:组密码:组管理者:组成员

  4.linux 用户和组相关的管理命令：

   (1)用户创建：useradd 

    useradd [options] LOGIN

    常用选项：

      -u UID:指定UID 

      -g GID:指定GID

      -c "COMMENT":用户注释信息

      -d directory:指定用户的家目录

      -s SHELL:指定用户的shell

      -G group1,group2,...：指定用户的附加组，组事先要存在

      -r：创建系统用户

    和用户创建相关的一些文件和目录：

      /etc/login.defs /etc/shells /etc/skel /etc/default/useradd

    /etc/login.defs:此文件是创建用户时的一些限制，比如可以配置密码的最大过期天数，密码 最大长度等。该文件对root用户无效。

    /etc/shells:该文件存在当前系统支持的shell

    /etc/skel:该目录下存放了一些隐藏文件和目录。在建立用户时，用户初始化用户根目录。系 统会将此目录下的所有文件和目录都复制到新建用户的根目录，并且将用户的属主与用户组调整为与此根目录相同。

    /etc/default/useradd:通过useradd添加用户时的规则文件。

   (2)删除用户：userdel

    useradd [options] login

    useradd -r UserName:连同用户的家目录一并删除

   (3)用户属性的修改：usermod

    usermod [OPTION] login

    常用选项：

     -u UID：修改UID

     -g GID：修改GID

     -G group1,group,..：新附加组，原来的附加组将覆盖，如果不想覆盖使用-a选项，表append

      -s shell：指定新的shell

     -c "COMMENT"：新的注释信息

     -d HOME：修改家目录，一般和-m选项连用。表示将原有家目录的内容一直新的家目录中

     -l Login_name：修改用户名

     -L：锁定用户

     -U：解锁用户

     -e YYYY-MM-DD：指明用户账号过期日期

     -f INACTIVE：设定非活动期限

   (4)给用户添加密码:passwd

    passwd [OPTIONS] UserName：修改指定用户的密码，仅root用户权限

    passwd ：修改当前登录系统用户的密码

    常用选项

     -l：锁定指定用户

     -u：解锁指定用户

     -n mindays：指定密码最短使用期限

     -x maxdays：指定密码最大使用期限

     -w warndays：指定提前多少天开始警告

     -i inactivedays：非活动期限

     --stdin：从标准输入接收用户密码：

     eg：echo "PASSWORD" | passwd --stdin USERNAME

   (5)组创建：groupadd

    groupadd [OPTION]... group_name

    常用选项：

      -g GID:指明组ID

      -r:创建系统组

   (6)删除组：groupdel

     groupdel GroupName

    eg: groupdel admingroup

   (7)组属性修改：groupmod

    groupmod [OPTION].. group

    常用选项：

     -n group_name：修改组名

     -g GID：修改组ID

   (8)组密码创建：gpasswd

    让某个用户组具有一个管理员，这个用户组管理员能够管理那些账号可以加入/移除该用户组。

    gpasswd [option] group

    常用选项：    

     -a user：将user添加至指定组中

     -d user：删除用户user的以当前组为组的附加组

     -A user1,user2,...：设置有管理权限的用户列表

    其中newgrp命令是临时切换到一个加密组中，如果用户本不属于此组，则需要组密码

   (9)修改用户属性：chage

    chage [OPTION]... LOGIN

    常用格式：

     -l：列出用户密码的相关信息：

     -m mindays：修改密码的最小天数

     -M maxdays：修改密码的最大天数

     -I：密码过期后，锁定账号的天数

     -d：指定密码最后修改的日期

     -E：有效期，0表示立即过期，-1表示永不过期

     -W：密码过期前，开始警告的天数。

   (10)还有其他命令：chsh,finger,chfn。

     chsh：修改用户的shell

     chfn：change your finger information

     finger:finger - user information lookup program       

    # finger zkc

    Login: zkc            Name: Personal

    Directory: /home/zkc                Shell: /bin/bash

    Never logged in.

    No mail.

    No Plan.

二.Linux 权限管理

    Linux的文件权限主要针对三类对象：属主(u)，属组(g)，其他（o）

    每个文件针对每类访问者都定义了三类权限：读r,写w，执行x

    我们可以使用ls -la查看某个文件的属性和文件名。如：   

    [root@localhost ~]# ls -la
    total 64  
    dr-xr-xr-x. 21 root root 4096 Aug 15 22:37 ..
    -rw-------.  1 root root 1201 Aug 14 21:19 anaconda-ks.cfg
    -rw-------.  1 root root 2138 Aug 15 22:36 .bash_history
    -rw-r--r--.  1 root root   18 May 20  2009 .bash_logout
    -rw-r--r--.  1 root root  176 May 20  2009 .bash_profile
    -rw-r--r--.  1 root root  276 Aug 14 21:51 .bashrc

    分别表示文件的类型和文件的权限，连接数，属主，属组，文件大小，文件最后被修改的时间，文件名。

    1.文件的类型有一下几种：

      -：普通文件。

      d：目录文件。

      l：连接文件

      b：块设备文件.

      c：字符设备文件

      s：套接字文件

      p：管道文件

    2.文件对应属主，属组和其他的属性：rwx

      --- 000 0 

      --x 001 1 

       -w- 010 2

      -wx 011 3

      r-- 100 4

      r-x 101 5

      rw- 110 6

      rwx 111 7 

    目录和文件的权限意义：

     1.权限对文件的意义：

       r：可读取文件的内容，可以用文件查看类工具获取其内容

       w：可以编辑，新增或者修改文件内容（但不包含删除）

       x：该文件具有可执行的权限。可以把此文件提请内核启动为一个进程。

     2.权限对目录的意义：

       r：表示具有读取目录结构列表的权限。可以使用ls命令查看目录下的文件列表

       w：这个可写入的权限对目录来说很强大。表示具有更改该目录结构列表的权限,包括：

        新建新的文件与目录

        删除已经存在的文件或目录（不论该文件的权限为何）

        将已经存在的文件或目录进行重命名

        转移该目录内的文件，目录位置

       x：可以使用ls 命令查看目录下的文件列表，以及可以用cd转换到此目录下。

  修改文件和目录权限：chmod

    chmod [OPTION]... MODE FILE

       -R：可递归修改权限

      修改一类用户的所有权限：如：

        a=rwx,u=rwx,g=rwx,o=rwx

        uo=rw...

      此类修改权限之后将会把以前的权限覆盖

      eg：

           

      修改一类用户的某些位的权限：

         u+rwx u-rwx o+x a+x 等。。

      eg：   

      [root@localhost ~]# ll a.txt 
      -r-xr--r-x. 1 root root 6 Aug 16 03:04 a.txt
      [root@localhost ~]# chmod a+w a.txt
      [root@localhost ~]# ll a.txt 
      -rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

     chmod [OPTION]... --reference=Rfile File...

     查看Rfile文件的权限，将File文件的权限修改为同Rfile.

      eg:  

      [root@localhost ~]# ll a.txt     
      -rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt
      [root@localhost ~]# vim b.txt
      [root@localhost ~]# ls -l b.txt 
      -rw-r--r--. 1 root root 6 Aug 16 03:34 b.txt
      [root@localhost ~]# chmod --reference=a.txt b.txt
      [root@localhost ~]# ls -l b.txt 
      -rwxrw-rwx. 1 root root 6 Aug 16 03:34 b.txt

  修改文件和目录的属主和属组：chown（仅root用户）

    chown [OPTION]... [OWNER][:[GROUP]] FILE...

        -R：可递归修改权限

    用法：chown owner file

        chown owner:group file

        chown :group file

    chown [OPTION]... --reference=RFile File...

     修改文件File的属主属组同Rfile的属主属组

    eg：   

    [root@localhost ~]# chown zkc.zkc a.txt 
    [root@localhost ~]# ll a.txt 
    -rwxrw-rwx. 1 zkc zkc 6 Aug 16 03:04 a.txt
    [root@localhost ~]# chown --reference=b.txt a.txt 
    root@localhost ~]# ll a.txt 
    -rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

  修改文件的属组：chgrp

       chgrp [OPTION]... GROUP File

       chgrp [OPTION]... --reference=Rfile File...

     eg:   

    [root@localhost ~]# chgrp zkc a.txt
    [root@localhost ~]# ll a.txt
    -rwxrw-rwx. 1 root zkc 6 Aug 16 03:04 a.txt
    [root@localhost ~]# chgrp --reference=b.txt a.txt 
    [root@localhost ~]# ll a.txt 
    -rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

  文件或目录创建时的遮罩码：umask

    对文件：创建文件时的权利：666-umask

    如果某类用户的权限减得结果中存在x权限，将其权限加1.

    相对目录：777-umask

Linux文件系统上的特殊权限：SUID，SGID，Sticky

    1.通过前面学习Linux文件系统有普通权限：r,w,x

    2.Linux中的安全上下文：

      前提：进程必须有属主和属组。也就是文件有属主和属组

      a.任何一个可执行程序文件是否能能够执行，成为进程，取决于对这个文件发起者对这个文件是否拥有执行的权限。

      b.启动为程序之后，其进程的属主为发起者，进程的属组为发起者所属的组

      c.进程访问文件时的权限，取决于进程的发起者。

        1.进程的发起者属于文件的属主；则使用文件属主的权限

        2.进程的发起者属于文件的属组；则使用文件属组的权限

        3.有文件'其他'的权限

    3.SUID:

      任何一个可执行程序文件是否能启动为进程，取决于一个程序文件是否拥有执行的权限。

      可执行程序文件启动为进程之后，其进程的属主为源文件的属主（而不再属于发起者）

     权限设置：

        chmod u+s File..

        chmod u-s File..

      s这个标志出现在文件所有者的x权限上的。

       SUID权限只对二进制程序有效

       执行者对已该程序需要具有x的执行权限

       本权限仅在执行程序的过程中有效。

      eg：命令chmod只能root用户才能使用，虽然chmod的二进制文件的权限为：-rwxr-xr-x；

        但是普通用户还是不能执行此命令！！如：

        [root@localhost tmp]# ls -l /bin/chmod
        -rwxr-xr-x. 1 root root 50048 Nov 22  2013 /bin/chmod       
        [zkc@localhost tmp]$ whoami
        zkc
        [zkc@localhost tmp]$ chmod a+w test.sh 
        chmod: changing permissions of `test.sh': Operation not permitted

        为此二进制文件添加s权限，再次执行以下,结果如下：     

         [root@localhost tmp]# chmod u+s /bin/chmod 
         [root@localhost tmp]# ls -l /bin/chmod 
         -rwsr-xr-x. 1 root root 50048 Nov 22  2013 /bin/chmod
         切换到普通用户：
         [zkc@localhost tmp]$ chmod a+w test.sh 
         [zkc@localhost tmp]$ ls -l test.sh 
         -rwxrw-rw-. 1 root root 40 Aug 16 04:49 test.sh

        /bin/chmod添加s权限后，普通用户能够执行命令chmod,这只是普通用户"暂时"拥有root的权限。

    4.SGID：

      常用功能：

      a.设置在目录上：

        1.默认情况下，用户创建文件时，其属组为此用户所属的基本组；一旦某目录被设定了SGID的权限，则对此目录有写权限的用户，在此目录中所创建文件的属组就为此目录所属的属组！!          2.如果用户对此目录有r和x权限，用户还可以进入此目录中。

      b.针对文件进行设置：SGID对二进制程序有用，二进制文件的执行者需要有x权限。当执行者执行此二进制程序文件时，执行具有该程序用户组的权限：

      权限设定：

      chmod g+s File/DIR

      chmod g-s File/DIR

      eg：在/tmp目录下创建一个目录kk。在没有向kk目录设置g+s权限时，普通用户（此普通用户对此目录有写权限）在此目录下创建的文件的属组还是普通用户所属的组：如：    

       [root@localhost tmp]# ls -ld kk        
       drwxrxrwx. 2 root root 4096 Aug 16 06:30 kk
       [zkc@localhost kk]$ ls -l a
       -rw-rw-r--. 1 zkc zkc 0 Aug 16 06:35 a

      向目录kk添加g+s权限,添加权限之后，所创建的文件是目录所属的属组       

        [root@localhost tmp]# chmod g+s kk        
        [root@localhost tmp]# ls -ld kk
        drwxr-srwx. 2 root root 4096 Aug 16 06:36 kk
        [zkc@localhost kk]$ touch zkc
        [zkc@localhost kk]$ ls -l
        total 0
        -rw-rw-r--. 1 zkc zkc  0 Aug 16 06:35 a
        -rw-rw-r--. 1 zkc root 0 Aug 16 06:38 zkc

    当其他用户在有SGID权限的目录下创建文件时，文件的属组都为目录所属的组，因此，用户之间可以相互删除对方的文件，这样做是不安全的。所以就出现了第三种特殊权限Sticky。

    5.Sticky：

    这个特殊权限只对目录有效，对文件无效。对目录的作用有：

     1.当用户对此目录有w,x权限时，既具有写入的权限

     2.当用户在此目录下创建文件或目录时，仅自己或root才有权限删除此文件

    权限设定：

     chmod o+t DIR...

     chmod o-t DIR...

    eg：在一个目录下，此目录对其他用户有w权限。先以不同用户创建文件，查看是否能相互删除文件，然后在设置Sticky权限之后，在此查看能否相互删除文件。

     a.在不设定Sticky权限的情况下

    [root@localhost tmp]# ls -ld test
    drwxr-xr-x. 2 root root 4096 Aug 16 06:59 test
    [root@localhost tmp]# chmod o+w test
    [root@localhost tmp]# ls -ld test
    drwxr-xrwx. 2 root root 4096 Aug 16 06:59 test

      转到普通用户：

        [zkc@localhost test]$ touch zkc        
        [zkc@localhost test]$ ls -l
        total 0
        -rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc
        [kk@localhost test]$ touch kk 
        [kk@localhost test]$ ls -l
        total 0
        -rw-rw-r--. 1 kk  kk  0 Aug 16 07:05 kk
        -rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc

        查看是否能删除对方文件：

        [zkc@localhost test]$ rm -rf kk        
        [zkc@localhost test]$ ls
        zkc

       发现能删除对方文件 

     b.设定Sticky权限：   

        [root@localhost tmp]# chmod o+t test        
        [root@localhost tmp]# ls -ld test
        drwxr-xrwt. 2 root root 4096 Aug 16 07:06 test

      在kk用户下删除zkc用户创建的文件zkc:

        kk@localhost test]$ rm -rf zkc    
        rm: cannot remove `zkc': Operation not permitted
        [kk@localhost test]$ ls -l
        total 0
        -rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc

      设定Sticky权限之后，虽然目录test的其他（o）权限有w权限，但是不能删除其他用户所创建的文件！

    

    特殊权限的权限位：

    SUID ：4  SGID：2  Sticky：1

    SUID：user,占据属主的执行权限位：

      s：属主拥有x权限

      S：属主没有x权限

    GUID：group，占据属组的执行权限位：

      s：属组拥有x权限

      S：属组没有x权限

    Sticky：other，占据other的执行权限位：

      t：other拥有x权限

      T：other没有x权限

到此Linux基础中的用户，组，权限和特殊权限基本知识点介绍结束。。