账号和权限管理

• 管理用户账号和组账号
• 管理目录和文件的属性

 

用户账号和组账号概述

• Linux基于用户身份对资源访问进行控制
• 用户帐号
• 超级用户：root用户，拥有最高权限，基本上的权限都有，可能极个别权限会被限制，
• 普通用户：刚开始我们创建的几个用户或者说安装完系统之后自己创建的用户，也可以通过root用户或其他管理员用户进行创建，权限会受到一定限制，执行bin目录当中的一些命令，sbin目录需要root用户给权限才能执行
• 程序用户：应用于一些程序所不一样的用户，系统安装完之后自动给你创建好了，无需再创建；一些应用程序运行时必须存在的用户名，是不可以登录到操作系统当中的，也有相对应的家目录或宿主目录

• 组帐号
  • 基本组（私有组）：基本组账号只有一个，一般为创建用户时指定的组。在/etc/passwd文件中第4字段记录的即为该用户的基本组 GID 号
  • 附加组（公共组）: 用户除了基本组以外，额外添加指定的组，可以加入多个，后来加入添加的
• UID和GID
  • UID（User IDentity,用户标识号）
  • GID（Group IDentity,组标识号）

 

UID和GID都是唯一存在的

root 用户账号的 UID和GID号为固定值 0

程序用户账号的 UID和GID 号默认为 Centos5，6∶1～499，Centos7∶ 1～999

普通用户的 UID和GID 号默认为 Centos5，6∶ 500～60000，Centos7∶ 1000～60000

用户账号文件 /etc/passwd

Linux 系统中的用户账号、密码等信息均保存在相应的配置文件中，直接修改这些文件或者使用用户管理命令都可以对用户账号进行管理。

与用户账号相关的配置文件主要有两个，分别是/etc/passwd、/etc/shadow。前者用于保存用户名称、宿主目录、登录 Shell等基本信息，后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中，每一行对应一个用户账号，不同的配置项之间使用冒号"∶"进行分隔。

 作用：

• 保存用户名称、宿主目录、登录Shell等基本信息
• 文件位置: /etc/passwd
• 每一行对应一个用户的帐号记录

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。

 

 （输入命令 vim /etc/passwd可进入查看编辑，只有root用户可编辑）

示例：root:x:0:0:root:/root:/bin/bash 字段解析如下

字段1∶用户帐号的名称

字段2∶用户密码占位符“x”

字段3∶用户帐号的UID号

字段4∶所属基本组帐号的GID号

字段5∶用户全名

字段6∶宿主目录

字段7∶ 登录Shell信息（/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统）

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符"x"。 

用户账号文件/etc/shadow

作用：

• 保存用户的密码、账号有效期等信息
• 文件位置： /etc/shadow
• 每一行对应一个用户的密码记录

默认只有root用户能够读取shadow文件中的内容，且不允许编辑该文件中的内容

 

root: $6$JrdWvqXNAUZuGuks$wHbfc68BXUlPdEiwivcSa8GofmDzr7wyRY3msaoFTRtU.aisjt12MK3eX3I24h8akPMNgY5ZqjH/y0wuXLAr/1::0:99999:7:::

 

字段分析：

• 字段1:用户帐号的名称；
• 字段2:使用MD5加密的密码字串信息，当为“*” 或“! !”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统；
• 字段3:上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数；
• 字段4:密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制；
• 字段5:密码的最长有效天数，自 本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999， 表示不进行限制；
• 字段6:提前多少天警告用户密码将过期，默认值为7；
• 字段7:在密码过期之后多少天禁用此用户；
• 字段8:帐号失效时间，此字段指定了用户作废的天数(从1970年01月01日起计算)，默认值为空，表示账号永久可用；
• 字段9:保留字段(未使用)。

添加用户账号 useradd 或 adduser

作用：

• 在/etc/passwd文件和/etc/ shadow文件的末尾增加该用户账号的记录。
• 若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。
• 若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。

useradd 命令

useradd [选项]... 用户名

常用选项：

 

u :指定用户的UID号,要求该UID号码未被其他用户使用。

 

-d :指定用户的宿主目录位置(当与-M一起使用时,不生效)。只能用绝对路径指定目录,且不需要事先创建目录

 

-e :指定用户的账户失效时间,可使用YYYY-MM-DD的日期格式。

 

-g :指定用户的基本组名(或使用GID号) ,对应的组名必须已存在。

 

-G :指定用户的附加组名(或使用GID号) ,对应的组名必须已存在。

 

-M :不建立宿主目录。

 

-s :指定用户的登录Shell, (比如/bin/bash为可登陆系统, /sbin/nologin和/bin/false为禁止用户登陆系统) 。

 

注：添加用户后，此用户并不能直接登录，因为没有设置密码去激活此用户，所以在/etc/shadow中，此用户的第二个字段是不能登录的" ！！"

 useradd -u 与-g的用法，创建用户的同时指定用户的UID号和基本组名

 

 

 

 

 

 

 

 设置/更改用户口令passwd

1.交互式设置密码

passwd命令

 

passwd [选项]...  [用户名]

 

-d : 清空指定用户的密码,仅使用用户名即可登录系统。

 

-l : 锁定用户账户,锁定的用户账号将无法再登录系统。

 

-S : 查看用户账户的状态(是否被锁定)。

 

-u : 解锁用户账户。

 

-f ; 强制操作。（解锁空密码用户时需要添加使用）

 

#passwd 设置密码时，管理员用户可以设置自己和普通用户的密码，普通用户只能设置自己的密码。不加用户名参数，就是设置当前用户

2.非交互式设置密码

echo "密码" | passwd --stdin 用户名

 

删除用户账号

 userdel [-r] 用户名

userdel 删除时，只删除了用户账号，但是家目录等没有删除。

添加-r 选项表示连用户家目录和邮件池一起删除

 

用户账号的初始配置文件

• 文件来源：
  • useradd 命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。
  • 这些文件来自于账号模板目录/etc/skell,基本上都是隐藏文件。
  • 每个用户家目录中都有用户的初始配置文件。这些文件只对当前用户有效

主要配置文件：

用户宿主目录下的初始配置文件只对当前用户有效

• • ~/.bash_profile ：此文件中的命令将在该用户每次登陆时被执行，会设置一些环境变量，并且会调用该用户的~/.bashrc 文件
  • ~/.bashrc ：此文件中的命令会在每次打开新的bash shell 时（包括的登录系统） 会被执行。并会调用/etc/bashrc 文件
  • ~/.bash logout :此文件中的命令将在用户每次退出登录或退出bash shell时执行

在/etc/目录下，全局配置文件对所有用户有效

• • /etc/profile : 在登录时加载。 这个文件是为系统全局变量配置文件,可通过 重启系统或者执行source /etc/profile 命令使profile文件被读取
  • /etc/profile.d/ ：这个文件实际上是/etc/profile的子目录,存放的是一些应用程序所需的启动脚本 ，会随着/etc/profile 一起被读取
  • /etc/bashrc : 在登录和切换新的 bash shell 读取。每一个运行bash shell的用户都会执行此文件,可通过执行bash命令打开一个新的bash shell时,使bashrc文件被读取

  1.使用命令pstree 查看 bash

2.进入/etc/profile，修改之后要保证切换用户之后查找到别名设置

3.PATH变量生效的原理

PATH变量用于设置可执行程序的默认搜索路径。

每次启动系统的时候会初始化命令，会执行/etc/profile 和 ~./bash.profile。 /etc/profile会将路径/usr/local/bin、/usr/bin、/usr/local/sbin、/usr/sbin追加到PATH中去，然后调用/etc/profile.d目录下的脚步

 

组账号文件

1.格式：与用户帐号文件相类似

/etc/group：保存组账号的基本信息

/etc/gshadow：保存组账号的密码信息

2.group信息各字段组成

示例：postfix:x:89:

• 字段1（postfix）:组帐号的名称
• 字段2（x）: 占位符“x”
• 字段3（89）:组账号的GID号
• 字段4（ ：）:组账号包含的用户成员(一般不包括基本组对应的用户帐号)，多个成员之间以逗号“,"分隔

 

添加组账号

1.添加组账号：groupadd 命令

groupadd [-g GID] 组账号名

 2.添加或删除组成员：gpasswd命令

gpasswd [选项]...组账号名

 常用选项：

-a :向组内添加一个用户

-d :从组内删除一个成员用户

-M ：定义组成员列表，以逗号分隔 （如果使用 -M 选项管理组成员，会覆盖原来的组成员列表）

 

 3.删除组账号：groupdel

groupdel 组账号名

 

查询账号信息

1、groups命令

作用：查询用户所属的组

格式：groups 【用户名】

2、 id命令

作用：查询用户身份标识

格式：id 【用户名】

3、 finger命令

作用：查询用户账号的登录属性

注：需要先进行安装finger软件包（ 输入此条命令即可安装 yum install -y finger ）

格式：finger 【用户名】

 

4、w命令

功能：用来显示当前登录用户及这些用户正在做什么活动的命令。同时也能显示系统运行时长，当前系统时间和系统平均负载情况、cpu负载

格式：w [ 选项] 用户名

 

第一行信息内容说明如下：

23:11:51 ——当前系统时间.
up 19:43——系统运行时长.
3 users ——登录用户数.
load average: 0.00 0.01, 0.01 ——系统过去1，5，15分钟的平均负载信息。平均系统负载是对当前正在运行或正在等待磁盘I/O的作业数的度量。 它基本上告诉您系统在给定间隔内的繁忙程度。

第二行信息内容说明如下:

USER ——登录用户名.
TTY ——登录用户使用的终端名.
FROM ——登录用户来源的主机名或IP地址.
LOGIN@ ——用户登录时长.
IDLE —— 自用户上一次与终端进行交互以来的空闲时间.
JCPU ——附加到tty的所有进程使用的时间.
PCPU ——用户当前进程所用的时间。 显示在“ WHAT”字段中的那个.
WHAT —— 用户当前的进程及选项/参数。

5、who命令

功能：用于显示系统中有哪些使用者正在使用，显示的资料包含了使用者 ID、使用的终端机、从哪边连上来的、上线时间、呆滞时间、CPU 使用量、动作等等。

使用权限：所有使用者都可使用

格式：who

6、users命令

作用：users命令 用于显示当前登录系统的所有用户的用户列表。每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数

格式：users

 

 

 

文件/目录的权限及归属

1、访问权限与归属（所有权）

•  访问权限
  •  读取r: 允许查看文件内容、显示目录列表
  •  写入w: 允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
  •  可执行x: 允许运行程序、切换目录
•  归属（所有权）
  •  属主: 拥有该文件或目录的用户帐号
  •  属组: 拥有该文件或目录的组帐号

2、文件/目录信息字段分析

第一字段分析：

在上述输出信息中，第3、4个字段的数据分别表示该文件的属主、属组，上面的"/etc/passwd"文件都属于root用户，

root组：而第1个字段的数据表示该文件的访问权限，如："-rw-r–r--"。权限字段由四部分组成，各自的含义如下：

第1个字符：表示该文件的类型，可以是d（目录）、b（块设备文件）、c（字符设备文件）、“-”（普通文件）、字母“ l ”（链接文件）等；
第2～4个字符：表示该文件的属主用户（User）对该文件的访问权限；
第5～7个字符：表示该文件的属组内各成员用户（Group）对该文件的访问权限；
第8～10个字符：表示其他任何用户（Other）对该文件的访问权限；
第11个字符：这里的“ . ”与SELinux有关，目前不需要关注。

 

设置文件/目录的权限和归属

1.设置权限：chmod命令

格式;

字符形式：chmod [ugoa···] [+-=]  [rwx]  文件或目录...

数字形式：chmod  nnn 文件/目录...

 

• "ugoa"表示该权限设置所针对的用户类别。“u”代表文件属主，“g”代表 文件属组内的用户，“o”代表其他任何用户，“a"代表所有用户(缺省时为a)

• “+ - ="表示设置权限的操作动作。“+"代表增加相应权限，“-"代表减少相应权限，“=”代表仅设置对应的权限

• “rwx”是权限的字符组合形式，也可以拆分使用，如“r”"rx” 等

常用选项

-R：递归修改指定目录下所有子项的权限（包括目录中的文件）

1.1。字符形式设置权限

 

 

 1.2.数字形式修改权限

 1.3. -R 递归修改指定目录下所有子选项的权限

1.4设置特殊权限

特殊权限： SUID, SGID,Sticky

数字表示：

SUID:4

SGID:2

sticky:1

 

（1）Set UID

附属在属主的x位上  

属主权限标识会变为s （小s 表示原来有x权限，大S表示原来没有x权限）

当设置了SUID 位的文件被执行时，该文件将以所有者的身份运行，也就是说无论谁来执行这个文件，他都有文件所有者的特权。如果所有者是 root 的话，那么执行人就有超级用户的特权了。这时该位将变成一个安全漏洞，因此不要轻易设置该位

chmod u+/-s  文件名

 

（2）@Set GID

附属在属组的x位上

属组的权限标识会变为s （小s 标识原来有x权限，大S表示原来没有x权限）

若一个目录设置了SGID，则所有被复制到这个目录下的文件， 其所属的组都会被重设为和这个目录一样，除非在复制文件时加上-p （preserve，保留文件属性）的参数，才能保留原来所属的群组设置。

适用于目录，可以将目录下新增的文档自动设置为与父目录相同属组

chmod g+/-s  目录

 

（3）Sticky Bit

附属在其他人的x位上

其他人的权限标识变为t （小写t表示其他人原来有x权限，大写T表示其他人原来没有x权限）在一个目录上设置了sticky特殊权限，只有文件的所有者和用户才能删除该目录的文件，而不理会属组和其他用户的写权限。

适用于开发w权限的目录，可以阻止用户滥用w权限。禁止其他人操作别人的文档

chmod o+/-t    目录

（开放w权限的目录，其他用户虽然不可以修改其他人文件，但是可以在里面删除和移动不属于他自己的文件）

 

 

设置文件和目录归属

chown 属主 文件或目录

chown :属组 文件或目录

chown 属主:属组 文件或目录 #也可以用点” .“ 替换 冒号”：“

常用选项：

-R ：递归修改制定目录下所有文件子目录归属

 

 设置目录和文件的默认权限 umask

umask 作用：

• 控制新建文件或目录的权限
• 默认权限去除umask 的权限为新建的文件或者目录的权限

文件的默认权限最大是666，即rw-rw-rw。也就是说任何用户都没有执行（x）的权限

目录的最大权限是777，即rwx-rwx-rwx

umask查看

 umask 设置

 

acl 访问控制列表

文档归属的局限性：

(1)，任何人只属于三种角色： 属主，属组，其他人

(2),无法实现更精细的操作

 

acl访问策略:

(1)能够对个别用户，个别组，设置独立权限

(2)大多数挂载ext3或者ext4或者xfs 文件系统默认支持

设置acl 策略

setfacl [-R] -m u:用户名:权限类别 文档

setfacl [-R] -m g:组名:权限类别 文档

#为用户和组设置acl 策略，[-R]  表示递归

acl设置成功后，会在其他人x位后面加上加号+ 

 

getfacl  文档名

##查看文档的acl 策略

 

setfacl   [-R]   -x u:用户名:文档

setfacl   [-R]    -x g:组名：文档

#删除指定用户/组 的acl 策略

 

setfacl  [-R]  -b  文档

#删除所有的acl 策略