5 用户及权限管理

一、用户管理
1.linux系统中将用户分为两大类权限
一种分法:一种是root管理员,一种是普通用户。
另外一种分类是:系统账号和虚拟账号。
2.系统账号/etc/passwd(最开始用来记录用户名和密码等信息,出于安全考虑,最后将密码放到shadow中。)
5 用户及权限管理_第1张图片
passwd文件格式
每一行是一个用户的信息,其中用:分割
第一列——用户名
第二列——密码,如果是x,表示密码存储在shadow文件中。
第三列——用户标识号,UID。一般此编号为唯一
第四列——所属组标识号,GID。
第五列——用户的详细信息。电话、邮件。现在基本没什么用了,原来有用过做为通讯录。
第六列——记录用户的家用户所在的目录
第七列——用户登录后所使用的shell程序

最开始都是在passwd中,由于权限,所有用户都能获取到passwd中,为了安全,现在用到了shadow。现在用于存放用户的登录名和一些基本信息

/etc/shadow(遮蔽技术,记录账号对应的密码,以及密码的相关设置)
5 用户及权限管理_第2张图片
shadow文件格式
每一行对应的passwd中的用户,用:分割列
第一列——对应passwd中的用户名
第二列——加密后的密码  *和!表示没有相应的密码
第三列——从1970.1.1开始到最后一次修改密码,中间的天数  现在显示的时间为装系统那天距离1970.1.1的天数
第四列——在多久后可以修改密码 0表示随时可以修改密码
第五列——多少天后必须修改密码 9999表示可以一直不用修改
第六列——在密码失效多少天之前进行警告 7表示的是提前7天可以警告
第七列——多少天后密码过期,账号禁用 空着的表示可以一直使用下去
第八列——具体日期禁用账号到1970.1.1之间的天数 同上
第九列——保留

/etc/shadow
第五类手册是现实配置文件的。
man 5 passwd
5 用户及权限管理_第3张图片
man 5 shadow
5 用户及权限管理_第4张图片

3.增加用户命令
useradd 用户名
修改密码
passwd 用户名
5 用户及权限管理_第5张图片
增加一个新用户后,必修为用户指定密码,否则没有密码的用户是不能登录系统的。
此处的密码要符合密码规范,要英文字母跟数字混合等的。由于当前是在root用户在设置密码,这里可以不用遵守密码规范,但是当在普通用户模式下在设置密码时必须遵守。

root可以随便设置密码,普通用户只可以给自己设置

4.whoami 查询当前用户的身份

在普通用户下往别的切换需要密码

一般新建用户的UID从500之后开始增加。

用户组配置文件
/etc/group
group文件格式
5 用户及权限管理_第6张图片
第一列——组名
第二列——密码位
第三列——组标识号
第四列——组成员列表
man 5 group
5 用户及权限管理_第7张图片

/etc/gshadow
gshadow文件格式
5 用户及权限管理_第8张图片
第一列——组名
第二列——加密密码、
第三列——管理员
第四列——成员列表
man 5 gshadow
5 用户及权限管理_第9张图片
useradd michael  添加一个新用户后会对四个文件都产生影响
5.man useradd    中文帮助
5 用户及权限管理_第10张图片
useradd lucy -g root -M(不创建家目录) -d(指定家目录所在的位置)/tmp/lucy -u 789 -m (创建家目录)

6.创建一个组
man groupadd
5 用户及权限管理_第11张图片
groupadd g11004
useradd nicolasman -g g11004


用户管理命令
useradd 增加
5 用户及权限管理_第12张图片
usermod 修改
5 用户及权限管理_第13张图片
userdel 删除
5 用户及权限管理_第14张图片

组管理
groupadd 增加组
5 用户及权限管理_第15张图片
groupmod 修改组信息
5 用户及权限管理_第16张图片
groupdel 删除组
5 用户及权限管理_第17张图片

练习:
创建用户组develop

创建用户组manage

创建tom,并指定tom初始化组为develop组,指定tom的家目录是/tmp/tom

创建用户lucy,并指定lucy初始化组为develop组,指定lucy的UID是1024,不创建家目录

修改tom用户,将tom的组更改为manage组。并更改家目录到/home/tom下。

更改组名develop为devel组

切换身份到tom用户后,再切换到lucy

因为没有家目录,所以没有配置,因此显示最原始的bash版本。



userdel -r 用户名
连家目录一起删掉

ls -ld /tmp/tom 能显示出来

ls /home/lucy 显示不出来,没有创建家目录


gpasswd
5 用户及权限管理_第18张图片
root用户可以指定某个组的管理员及成员。使用gpasswd的-A选项和-M选项。被指定成组管理员的用户可以对组进行密码设置。这样可以防止其他组用户,通过newgrp命令临时切换到此组中。(A是赋予管理员权限,M只是向组中添加一个用户)
gpasswd -A tom -M lucy manage
5 用户及权限管理_第19张图片
使用newgrp命令
newgrp 组名 临时更改自己的组到其他的组,但是需要组密码
5 用户及权限管理_第20张图片
5 用户及权限管理_第21张图片
groups 查看自己属于哪些组
5 用户及权限管理_第22张图片

sudo 临时切换
su命令用于身份切换。退出时使用exit。如果需要临时,或者只有一条命令使用管理权限的话,可以使用sudo命令完成。
在使用sudo之前,需要配置相应的/etc/sudoers
一般在权限要求较高的系统中,sudo用于给指定用户提供额外特权。
sodu可以配置用户只能使用哪些命令,包括命令只能使用哪些权限。

vi /etc/sudoers
5 用户及权限管理_第23张图片
root ALL=(ALL) ALL
用户名 主机 身份 命令

root 用户名 ALL 指定主机(ALL)所有用户 ALL 所有命令

使用sudo
sudo 命令 选项 参数···
需要当前用户密码
打开配置文件的2种方法:
vim /etc/sudoers 修改配置文件可以通过vi修改
visudo 或者是通过专用的visudo命令来修改,可以使用参数(参数查看man sudo)
5 用户及权限管理_第24张图片
sudo -u tom /bin/mkdir /tmp/aaa  用tom用户在/tmp下建立一个名为aaa的目录

sudo + 命令即可  会提示输入密码
tom ALL =(ALL) /sbin/ifconfig eth0 down

只允许tom用户使用此命令的指定参数,其他命令及参数都无法执行
5 用户及权限管理_第25张图片
=================================================
文件权限
ls -l 可以查看文件的信息,其中显示了文件的权限
5 用户及权限管理_第26张图片
除了文件类型外,一共9位,每3位对应一个功能
第一组 对应 所有者操作权限
第二组 对应 组用户操作权限
第三组 对应 其他人操作权限

r 4 read 读取
w 2 write 写入
x 1 exec 执行  目录的x表示可以进入
- 0 无

rw-rw-rr 所有者读写,组成员读写,其他人只读  644
rw-r--r-- 644
rwxr-xr-x 755

chmod 更改文件权限位
chmod 755 install.log

a =所有组
u =用户
g =组
o =其他
+ =增加权限
- =去除权限
= =指定权限
chmod a+x install.log 表示将install.log文件的权限位,所有的x都打开
chmod u-x install.log 将用户位的执行权限去掉
chmod a=rx install.log 所有三组都指定为rx权限

chown更改文件所有者
chown nicolas.manage install.log
将文件的所有者改为nicolas,并将组改为manage中间用.或:分割
.前表示是属主,.后表示的是属组
chown nicolas install.log  更改install.log的属主是nicolas

chgrp 更改文件所有组
chgrp manage install.log

chmod、chown、chgrp都有-R选项,可以递归修改目录下的所有文件。

练习:
将一个目录的权限设置成tom用户可以读写进入,develop组可以读取和进入,其他人无权限。
 

你可能感兴趣的:(5 用户及权限管理)