账号和权限管理

一、Linux基于用户身份对资源访问进行控制

1.用户账号：

超级用户：root用户是Linux 操作系统中默认的超级用户账号，对本主机拥有最高的权限，系统中超级用户是唯一的

普通用户：由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。

程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录系统，仅用于维持系统或某个程序的正常运行，如 bin . daemon. ftp.mail 等

2.组账号：基本组（私有组）：基本组账号只有一个，一般为创建用户时指定的组。在 / etc /passwd文件中第4字段记录为该用户的基本组 GID号。

附加组（公共组）：用户除了基本组以外，额外添加指定的组。

3. UID和GID

UID（User IDentity,用户标识号）

GID (Group IDentify,组标识号）

root 用户账号的 UID和GID 号为固定值 0

程序用户账号的 UID和GID 号默认为centos5,6:1~499 ,centos7: 1~999

普通用户的 UID和GID 号默认为 centos5,6: 500~60000,centos7: 1000~60000

二、用户账号文件/etc/passwd

1.保存用户名称、宿主目录、登录shell等基本信息

文件位置：/etc/passwd

每一行对应一个用户的账号记录

【root@localhost~]# head -2 /etc/passwd

root:x:0:0:root:/root:/bin/bash

bin:1:1:bin:/bin:/sbin/nologin

字段1：用户账号的名称

字段2：用户密码占位符‘’x‘’

字段3：用户账号的UID号

字段4：所属基本组账号的GID号

字段5：用户全名

字段6：宿主全名

字段7：登录shell信息（ /bin /bash为可登录系统， /sbin /nologin和 /bin/false 为禁止用户登录系统）

用户账号文件 /etc /passwd

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。

在早期的unix操作系统中，用户账号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码子串并进行暴力破解因此存在一定的安全隐患。后来径改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符‘’x''。

三、用户账号文件/etc/shadow

保存用户的密码、账号有效等信息

文件位置：/etc/shadow

每一行对应一个用户的密码记录

【root@localhost~] head -2 /etc/shadow

root:$1$55HB4pbx$acHqk4lZiHTZ9cw0ZJe8f0:14374:0:99999:7:::

bin:*:14374:0:99999:7:::

[root@localhost~]#tail -1 /etc/shadow

teacher:$1$BT7teaYX2sr6uFUwKhtU.8/8VpzB1:14374:0:99999:7:::

9个字段分别表示什么：

用户账号文件/etc/shadow

默认只有root用户能够读取shadow 文件中的内容，且不允许直接编辑该文件中的内容

字段1：用户账号的名称

字段2：使用MD5加密的密码字串信息，当为‘’*‘’或‘’！！‘’时表示此用户不能登录到系统。若该字段内容为空，则该用户无需密码即可登录系统

字段3：上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数

字段4：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制

字段5：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制

字段6：提前多少天警告用户密码过期，默认值为7

字段7：在密码过期之后多少天禁用此用户

字段8：账号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算），默认值为空，表示账号永久可用

字段9：保留字段（未使用）

四、添加用户账号

useradd命令

常用选项：-u -d -e -g -G --M -s

-u:指定用户的UID号，要求该UID号码未被其他用户使用

-d:指定用户的宿主目录位置（当与-m一起使用时，不生效）只能用绝对路径指定目录，且不需要事先创建目录

-e:指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式

-g:指定用户的基本组名（或使用GID号），对应的组名必须已存在

-G:指定用户的附加组名（或使用GID号），对应的组名必须已存在

-m：不建立宿主目录

-s:指定用户的登录shell,（比如/bin/nologin/和/bin/false为禁止用户登录系统）。

-L:锁定用户账号

-u:解锁用户账号

五、删除用户账号userdel

userdel【-r】用户名

添加-r选项时，表示连用户的宿主目录一并删除

六、用户账号的初始配置文件

文件来源：useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。

这些文件来自于账号模板目录/etc/skel/.基本上都是隐藏文件

主要的用户初始配置文件

~/.bash-profile:此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的 ~./bashrc文件；

~/.bashrc:此文件中的命令会在每次打开新的bash shell（也包括登录系统）被执行，并且会调用/etc/bashrc文件。

~/.bash-logout:此文件中的命令将会在用户每次登录或退出bash shell时执行

实例：修改命令行文字颜色，要求切换bash或者重启无需重新配置。（切换用户会失效）

.bashrc中配置修改如下

七、全局配置文件

配置文件：对所有用户有效

/etc/profile：这个文件是为系统全局变量配置文件，可以通过重启系统或者执行source /etc/profile 命令使profile文件被读取
/etc/profile.d：这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需的启动脚本
/etc/bashrc：每一个允许bash shell 的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，使bashrc文件被读取

.实例：修改命令行文字颜色，要求切换用户也不会失效

/etc/bashrc配置命令增加如下

实例2：在/etc/profile文件中追加配置alias myls=‘ls -alh’测试切换用户和切换bash，结果如下

实例2：在/etc/bashrc文件中追加配置alias myls=‘ls -alh’测试切换用户和切换bash，结果如下

八.PATH变量生效的原理

PATH变量用于设置可执行程序的默认搜索路径。

每次启动系统的时候会初始化命令，会执行/etc/profile 和 ~./bash.profile。 /etc/profile会将路径/usr/local/bin、/usr/bin、/usr/local/sbin、/usr/sbin追加到PATH中去，然后调用/etc/profile.d目录下的脚步。

九.组账号文件

group：保存组账号的基本信息

gshadow:保存组账号的密码信息

group信息字段组成

字段1:组帐号的名称

字段2: 占位符“x”

字段3:组账号的GID号

字段4:组账号包含的用户成员(一般不包括基本组对应的用户帐号)，多个成员之间以逗号“,"分隔

实例：将user5添加到root组内，

十. groupadd — 添加组账号

.实例：创建一个组，名称为admin GID为2000

十一.gpasswd-添加删除组成员

==设置组账号密码（极少用）、添加/删除组成员

常用选项

选项	作用
-a	向组内添加一个用户
-d	从组内删除一个用户成员
-m	定义组成员列表，以逗号分隔（重新定义，不是追加）