Linux账号和权限管理
1、Linux基于用户身份对资源访问进行控制
- 用户账号
- 超级用户:root用户是Linux操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的
- 普通用户:由root用户或其他管理员用户创建,拥有的权限会受到限制,一般只在用户自己的宿主目录中拥有完整权限
- 程序用户:在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统。仅用于维持系统或某个程序的正常运行,如bin、daemon、ftp、mail等
- 组账号
- 基本组(私有组):基本组账号只有一个,一般为创建用户时指定的组。在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号
- 附加组(公共组):用户除了基本组以外,额外添加指定的组
- UID和GID
- UID(User IDentity,用户标识号)
- GID(Group IDentity,组标识号)
- root用户账号的UID和GID号为固定值0
- 程序用户账号的UID和GID号默认为Centos5,6:1~499,Centos7:1~999
- 普通用户的UID和GID号默认为Centos5,6:500~60000,Centos7:1000~60000
1、保存用户名称、宿主目录、登录Shell等基本信息
- 文件位置:/etc/passwd
- 每一行对应一个用户的账号记录
- root:x:0:0:root:/root:/bin/bash
- 用户账号:密码占位符:用户账号UID:组账号GID:用户说明:宿主目录:登录Shell(/bin/bash为可登陆系统,/sbin/nologin和/bin/false为禁止用户登陆系统)
1、保存用户的密码、账号有效期等信息
- 文件位置:/etc/shadow
- 每一行对应一个用户的密码记录
-
字段1:用户账号的名称
- 字段2:使用MD5加密的密码字串信息,当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统
- 字段3:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间间隔的天数
- 字段4:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为0,表示不进行限制
- 字段5:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。默认值为99999,表示不进行限制
- 字段6:提前多少天警告用户密码将过期,默认值为7
- 字段7:在密码过期之后多少天禁用此用户
- 字段8:账号失效时间,此字段指定了用户作废的天数(从1970年01月01日起计算),默认值为空,表示账号永久可用
- 字段9:保留字段(未使用)
-
1、useradd命令
- useradd [选项]... 用户名
2、常用选项
- -u:指定用户的UID号,要求该UID号码未被其他用户使用
- -d:指定用户的宿主目录位置(当与-M一起使用时,不生效)。只能用绝对路径指定目录,且不需要事先创建目录
- -e:指定用户的账户失效时间,可使用YYY-MM-DD的日期格式
- -g:指定用户的基本组名(或使用GID号),对应的组名必须已存在
- -G:指定用户的附加组名(或使用GID号),对应的组名必须已存在
- -M:不建立宿主目录
- -s:指定用户的登录Shell,(比如/bin/bash为可登陆系统,/sbin/nologin和/bin/false为禁止用户登陆系统)
3、添加用户账号useradd或者adduser
在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录
若未明确指定用户的宿主目录,则在/home目录下自动创建与该用户账号同名的宿主目录,并在该目录中建立用户的各种初始配置文件
若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账号的记录信息将保存到/etc/group和/etc/gshadow文件中
创建用户需要激活
4、示例
root用户可以指定用户名作为参数,对指定账号的密码进行管理;不指定用户名时,修改当前账号的密码。
普通用户却只能执行单独的“passwd”命令修改自己的密码
1、passwd命令
- passwd [选项]... 用户名
2、常用选项
- -d:清空指定用户的密码,仅使用用户名即可登录系统
- -l:锁定用户账号,锁定的用户账号将无法再登录系统
- -s:查看用户账号的状态(是否被锁定)
- -u:解锁用户账户
3、示例
1、usermod命令
- usermod [选项]... 用户名
2、常用选项
- -u:修改用户的UID号
- -d:修改用户的宿主目录位置
- -e:修改用户的账户失效时间,可使用YYYY-MM-DD的日期格式
- -g:修改用户的基本组名(或使用GID号)
- -G:修改用户的附加组名(或使用GID号)
- -s:指定用户的登录Shell
- -l:更改用户账号的登录名称
- -L:锁定用户账户
- -U:解锁用户账户
3、示例
1、userdel命令
- userdel [-r] 用户名
- 添加-r选项时,表示连用户的宿主目录一并删除
2、示例
用户宿主目录下的初始配置文件只对当前用户有效
1、文件来源
- useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件
- 这些文件来自于账号模板目录/etc/skel/,基本都是隐藏文件
2、主要的用户初始配置文件
3、示例
4、全局配置文件对所有用户有效
1、与用户账号文件相类似
2、4个字段
1、groupadd命令
- groupadd [-g GID] 组账号名
1、gpasswd命令
- 设置组账号密码(极少用)、添加/删除组成员
- gpasswd [选项]... 组账号名
2、常用选项
3、示例
1、groupdel命令
- groupdel 组账号名
1、groups命令
- 查询用户所属的组
- groups [用户名]
2、id命令
- 查询用户身份标识
- id [用户名]
3、finger命令
- 查询用户账号的登录属性
- 注:需要先进行安装finger软件包
- finger [用户名]
4、w、who、users命令
- 查询已登录到主机的用户信息
-
load average //CPU的负载情况 一分钟内、五分钟内、十五分钟内
1、访问权限
2、归属(所有权)
- 属主:拥有该文件或目录的用户账号
- 属组:拥有该文件或目录的组账号
3、查看文件/目录的权限和归属
-
- 数字表示为八进制数
- s让普通用户拥有root权限,很少有命令有这种权限
-
1、chmod命令
- chmod [ugoa] [+-=] [rwx] 文件或目录
- u属主、g属组、o其他用户、a所有用户;+增加权限、-去除权限、=设置权限;r读、w写、x运行
- chmod nnn 文件或目录
- nnn三位八进制数,没有权限就用0表示
2、常用选项
- -R:递归修改指定目录下所有子项的权限
3、
1、chown命令
- chown 属主 文件或目录
- chown :属组 文件或目录
- chown 属主:属组 文件或目录
2、常用选项
- -R:递归修改指定目录下所有文件、子目录的归属
3、
1、umask作用
- 控制新建的文件或者目录的权限
- 默认权限去除umask的权限为新建的文件或者目录的权限
2、umask设置:umask 022
3、umask查看:umask
4、示例
- 将umask设为000,新建目录或者文件,查看权限
- 将umask设为022,新建目录或者文件,再查看权限
-