如果只是个人PC,个人是不想刻意花太多心思去管理用户和权限的,感觉没多大意义。但是如果在企业或事业单位中用户群体较多,所涉及的信息的安全等级具有一定影响范围的时候就得done了,而且要well done。
用户权限管理的意义在于:安全、方便。
首先,用户也是以群居的方式进行分组的,根据需求分为多个组(group),而且每个group都有唯一的组名(groupname),以及每个groupname都对应唯一个id,叫GID。接着每个组(group)下面有不同成员,称之为用户(user),同样的,每个用户都拥有自己的唯一用户名以及对应的唯一的id,叫UID。如果要指定组名的话,要先有组,而后再有用户;如果直接创建用户账户不指定组名的话,那样也没有关系,最终组名将会为与账户同名。
一、 用户组分类:管理员组和普通组
管理员组(root,gid为0)
普通组:gid范围:1-65535,分为系统组和登录组,
系统组(gid范围:1-999)和登录组(gid范围:6000-10000)
二、 用户的分类:
用户分为:管理用户和普通用户。
(1)管理用户root(uid为0),权利最大的管理员,所有的权限对它来说几乎是形同虚设的,它的存在就是为了管理其它用户的,于是普通用户都得由它来创建。
(2)普通用户分为登录用户和系统用户。uid的范围也和group相似,uid范围:1-65535,登录用户(uid范围:1-999)可以用来登录,可以通过不同验证方式登录,但是对于新手来说,刚开始接触大多数都是密码验证登录。系统用户(6000-10000)。
三、用户即用户组的创建:
一个用户从创建到使用,通常经过的流程为:
创建用户组――用户组密码――创建用户――设定密码。
翻译成命令,即:
groupadd――gpasswd――useradd――passwd。
但是前面有提到过,如果对用户组没要求,可以不用创建用户组的,而直接创建user,会生成相应的组的。一般来说,gpasswd不是必须的,因此最简单的useradd-passwd,就可以使用了,请注意我使用的是root账号:
可能有人会问,咦,我怎么查看自己已经创建成功了?很简单,用id这个命令就可以了,截图如下,user1已经分配相应的uid了,说明已经创建成功
通常习惯性更容易接受user的使用,反正我个人是这么觉得的,那么group参照user的使用可能更好理解,但是下面都只是命令的解释了,反正多记多敲命令就是了。先说说user相关命令的使用吧;
1.用户的创建
useradd用户创建,passwd密码设定,userdel删除,usermod用户相关属性修改以及chage直接修改密码属性。
useradd:用户创建
语法规则:useradd [options] username
不要为这几个单词难为情了,翻译过来,就是在useradd和username之间按照我们想设定指定参数OPTION而已,而[]则是表示可以设定或者可以不设定,就是说可以省略掉啦。
option:可以有以下几个参数:
-u,--uid UID: 指定UID
-g,--gid GROUP:指定基本组id,此组得事先存在
-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:指明用户所属的附加组,多个组之间用逗号分隔
-c, --comment COMMENT :指明注释信息
-d,--home HOME_DIR:以指定的路径为用户的家目录,通过复制/etc/skel此目录并重命名实现,指定的家目录路径如果事先存在,则不会为用户复制环境配置文件
-s,--shell SHELL:指定用户的默认shell,可用的所有shell列表存储在/etc/shells文件
-r,--system:创建系统用户
useradd -D,显示创建用户的默认配置,
useradd -D -s /bin/csh username
useradd -D [OPTIONS] user 修改创建用户的默认配置 修改的结果保存于/etc/default/useradd文件中
eg1:指定附加组,一个用户只能拥有一个基本组,也称之有效组,或者说主组,但是却可以属于多个附加组,而一个组可以有多个用户,是多对多的关系,如果有的命令还没熟悉,没关系,可以往下面继续查看,如何为用户指定附加组(useradd -G),以及后面追加附加组(usermod -aG)如下,:
passwd:修改密码,
passwd的语法略罗嗦了,就不粘贴占空间了,可以man passwd自己查看。
(1)passwd:修改用户自己的密码
(2)passwd USERNAME:修改指定用户的密码,但仅root有此权限,
-l,-u:锁定和解锁用户
-d:清除用户密码串
-e DATE:过期期限,日期
-i DAYS:非活动期限
-n DAYS:密码的最短使用期限
-x DAYS:密码最长使用期限
-w DAYS:警告期限
另外:passwd还可以直接赋密码
echo "passwd" | passwd --stdin username
chage命令:更改密码的过期信息,主要是对应修改/etc/shadow里面的数据
-l:列出密码的详细参数
-d :修改创建密码的距离19700101那天的秒数,即将最近一次密码设置时间设为“最近日期” chage -d "487208" centos
-E:修改过期时间
-W:指定警告时间
-m:密码最短可修改天数
-M:密码最长必须修改天数
userdel命令:删除用户
userdel [选项] username
-r:删除用户时一并删除其家目录
usermod命令;修改用户属性
usermod [option] username
-u,--uid UID:指定新的UID
-g:--gid GROUP:修改用户所属的基本组:
-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]修改附加组,原来的附加组会被覆盖
-a:--append,与-G一同使用,用于为用户追加新的附加组
-c, --comment COMMENT :指明注释信息-d,--home HOME_DIR:修改用户的家目录,用户原有的文件不会被移置新位置 默认修改是不创建新的文件位置的
-m,--move-home,只能与-d选项一同使用,用于将原来的家目录移动为新的家目录
-l,--login NEW_LOGIN:修改用户名
-s,--shell SHELL:修改用户默认的shell
-L;--lock 锁定用户密码
-U,--unlock;解锁用户的密码
eg2:修改用户名(usermod -l)以及修改用户家目录并移除原来目录(usermod -md)如下:
2.用户组的创建
涉及命令:groupadd,groupdel,groupmod,gpasswd
groupadd命令:添加组
groupadd [option] group_name
-g GID:指定GID,默认是上一个组的GID+1
-r:创建系统组
groupmod命令:修改组属性
groupmod [option] groupname
-g GID:修改gid
-n newname:修改groupname
groupdel命令:
groupdel [option] group
gpasswd:修改组密码,并且设置user
gpasswd [option] group
-a USERNAME:向组中添加用户
-d USERNAME:从组中移除用户
3.检验以及查看用户即用户组
我们知道系统关机后,内存里面的数据是不会存在的,而且像账号密码这么重要的数据当然是需要写到磁盘上面去了,而且应该是写到某个固定的文档中去了,对吧。下面我想介绍两种查看用户及用户组方法:通过命令查看和通过文档查看
(1)通过命令查看:id
id命令:显示用户的真实和有效ID
id [option]... [user]
-u:仅显示有效的UID
-g:仅显示用户的基本组
-G:仅显示用户所有的组
-n:显示名字而非ID,和上面的参数可以搭配使用
(2)通过文档查看:tail -n /etc/passwd | /etc/shadow | /etc/group
这仨文档有什么关系呢:当我们登录到系统时,输入账号密码后,系统会根据你输入到账户到/etc/passwd搜寻看有没有这个账户,即/etc/passwd里面的name,没有则退出,有的话,再去/etc/shadow里面去核对密码,当所有都无误了
/etc/passwd:主要是存放user信息的库
name:password:UID:GID:GECOS:directory:shell
/etc/shadow:单独存放user的密码
用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期限:过期期限:保留字段
/etc/group:存放group信息的库
group_name:password:GID:user_list
注意user_list只显示附加组
提示:当然也有/etc/gpasswd,不过看需求设定了,这里不阐述了
总结:
1.查看系统支持的shells: cat /etc/shells
2.用户添加附加组有三种方法:第一:usermod -aG username ,第二: gpassword -a username groupname,第三:vi /etc/group,在最后一项添加username
删除附加组: gpasswd -d USERNANME,vi /etc/group
3./etc/passwd,/etc/shadow,/etc/group的默认设置是在 /etc/login.defs
4.我想也有人好奇过系统passwd的加密究竟用的哪种加密算法,在/etc/shadow里面的第二字段就有据可查,总共由3个$符隔开,第一和第二个$之间表示加密的算法,为6表示sha512,第二个$和第三个$之间表示的是salt,最后一段就是真正的加密数据了。
passwd --status USERNAME ,或者 passwd -S USERNAME 可以也可以查看账户的属性以及使用的什么加密算法
加密算法到处都能搜到,以下零碎不用管了,仅作为提醒自己记忆:
加密算法 对称和非对称
公式:s={p,c,k,e,d}, p=Ek(c),c=Dk(p)
对称 DES,3DES,RC2 RC4
非对称 RSA DSA
单向加密 md5 sha base64 hmac
加密算法代号:
1 md5:message digest,128bits 消息摘要
2 sha:secure hash algorithm 安全的哈希算法,160bits
3 sha224
4 sha256
5 sha384
6 sha512
passwd