Linux账号和权限管理

目录

• 用户账户和组账号概述
• 用户账号文件
• 用户账号管理
• 管理组账户
• 查询账号信息
• 文件/目录的权限和归属
• umask应用

用户账户和组账号概述

用户账号

Linux基于用户身份对资源访问进行控制，其中包括：

超级用户：root用户是Linux操作系统中默认的超级用户账户，对本主机拥有最高的权限。系统中的超级用户是唯一的。

普通用户∶由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。

程序用户∶ 在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户—般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如 bin、daemon、ftp、mail 等。

 

组账户

基本组（私有组）

基本组账号只有一个，一般为创建用户时指定的组。在/etc/passwd文件中第4字段记录的即为该用户的基本组 GID 号

附加组（公共组）

用户除了基本组以外，额外添加指定的组，可以加入多个，后来加入添加的

 

UID和GID号

UID（User IDentify，用户标识号）

GID（Group IDentify，组标识号）

*UID和GID都是唯一存在的

root 用户账号的 UID和GID号为固定值 0

程序用户账号的 UID和GID 号默认为 Centos5，6∶1～499，Centos7∶ 1～999普通用户的 UID和GID 号默认为 Centos5，6∶ 500～60000，Centos7∶ 1000～60000

 

用户账号文件

Linux 系统中的用户账号、密码等信息均保存在相应的配置文件中，直接修改这些文件或者使用用户管理命令都可以对用户账号进行管理。

与用户账号相关的配置文件主要有两个，分别是/etc/passwd、/etc/shadow。前者用于保存用户名称、宿主目录、登录 Shell等基本信息，后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中，每一行对应一个用户账号，不同的配置项之间使用冒号"∶"进行分隔。

 

passwd 文件中的配置行格式

系统中所有用户的账号基本信息都保存在"/etc/passwd"文件中，保存用户名称、宿主目录、登陆Shell等基本信息，该文件是文本文件，任何用户都可以读取文件中的内容

文件位置：/etc/passwd

在passwd文件开头内容的部分，包含了超级用户root及各种程序用户的账号信息，系统中新增加的用户账号信息将保存到passwd文件的末尾。passwd文件的每一行内容中包含了七个用冒号“：”分隔的配置字段，从左到右各配置字段的含义分别如下所述：

例如：root:x:0:0:root:/root:/bin/bash

字段1∶用户帐号的名称

字段2∶用户密码占位符“x”

字段3∶用户帐号的UID号

字段4∶所属基本组帐号的GID号

字段5∶用户全名

字段6∶宿主目录

字段7∶ 登录Shell信息（/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统）

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符"x"。 

 

shadow文件的配置行格式

shadow文件又被称为"影子文件"，其中保存了用户的密码、账号有效期等信息，每一行对应一个用户的密码记录因此对 shadow文件的访问应该进行严格限制。默认只有root 用户能够读取文件中的内容，且不允许直接编辑该文件中的内容。每一个“：”默认为一个字段

文件位置：/etc/shadow

例如：root: $6$VyoUGqOC$v5HlLM1wagZC/FwGfnrtJFnlT:18445:0:9999:7:::

字段1∶用户帐号的名称

字段2∶使用MD5加密的密码字串信息，当为"*"或“！！”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统

字段3∶上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数

字段4∶密码的最短有效天数， 自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制

字段5∶密码的最长有效天数， 自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制

字段6∶提前多少天警告用户密码将过期，默认值为7

字段7∶在密码过期之后多少天禁用此用户

字段8：账号失效时间， 此字段指定了用户作废的天数 （从1970年01 月01 日起计算），默认值为空，表示账号永久可用

字段9∶最后末尾为保留字段（未使用）

 

用户账号管理

添加用户账号 useradd或者adduser

最简单的用法是，不添加任何选项，只使用用户名作为useradd命令的参数，按系统默认配置建立指定的用户账户。使用useradd命令添加用户账号时主要完成以下几项任务：

（1）在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。

（2）若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。

（3）若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group、/etc/gshadow文件中。

格式：useradd[选项]用户名

常用选项∶

-u∶指定用户的 UID号，要求该UID号码未被其他用户使用。

-d∶指定用户的宿主目录位置 （当与-M一起使用时，不生效）。只能用绝对路径指定目录，且不需要事先创建目录

-e∶ 指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式

-g∶ 指定用户的基本组名（或使用 GID 号），对应的组名必须已存在

-G∶指定用户的附加组名（或使用 GID 号），对应的组名必须已存在

-M∶不建立宿主目录。

-s∶ 指定用户的登录Shell，（比如/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统）。

 

 

用户账号的初始配置文件

useradd 命令：在添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件。

主要的用户初始配置文件：

~/.bash_profile

~/.bashrc

~/.bash_logout

 

用户账号的初始配置文件

用户宿主目录下的初始配置文件只对当前用户有效

~/.bash profile

此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashrc文件

~/.bashrc

此文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行，并且会调用/etc/bashrc文件

~/.bash_logout

此文件中的命令将在用户每次退出登录或退出bash shell时执行

 

全局配置文件对所有用户有效

/etc/profile

这个文件是为系统全局变量配置文件，可通过重启系统或者执source /etc/profile命令使profile文件被读取

/etc/profile.d/

这个文件实际上.是/etc/profile的子目录，存放的是一些应用程序所需的启动脚本

/etc/bashrc

每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，使 bashrc文件被读取

可以vi进入相应的配置文件添加用户自己设置的可执行的语句（Linux命令行、脚本控制语句等）

 

PATH变量用于设置可执行程序的默认搜索路径

PATH 生效的原理∶

每次启动系统的时候会初始化命令，会执行/etc/profile和~/.bash profile。/etc/profile会将路径/usr/local/bin、/usr/bin、/usr/local/sbin 、/usr/sbin 追加到PATH中去。然后调用 /etc/profile.d 目录下的脚本。

 

用户账户设置密码passwd

通过useradd命令新增用户账户以后，还需要为其设置一个密码才能够正常使用，使用passwd命令可以设置或修改密码，root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。普通用户却只能执行单独的"passwd"命令修改自己的密码

格式：passwd[选项] 账户名

常用选项∶

-d∶清空指定用户的密码，仅使用用户名即可登录系统

-l∶锁定用户账户，锁定的用户账号将无法再登录系统。

-S∶查看用户账户的状态（是否被锁定）

-u∶解锁用户账户

-f 强制执行

设置用户密码方法二∶ echo "密码" l passwd --stdin 用户名

 

修改用户账号属性usermod

对于系统中已经存在的用户账户，可以使用usermod命令重新设置各种属性。usermod命令同样需要指定账号名称作为参数

格式：usermod[选项]...用户名

常用选项（大部分选项与useradd选项相对应，作用也相似）

-u∶修改用户的 UID 号

-d∶修改用户的宿主目录位置。

-e∶修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式

-g∶修改用户的基本组名（或使用 GID 号）

-G∶修改用户的附加组名（或使用 GID 号）

-s∶指定用户的登录 Shell

-l∶更改用户账号的登录名称

-L∶锁定用户账户

-U∶解锁用户账户

 

删除用户账号userdel

当系统中的某个用户账号已经不再需要使用时，可以使用userdel命令将该用户账号删除，需要指定账号名称作为参数，结合“-r”选项可同时删除宿主目录

格式：userdel[-r]用户名

*添加"-r"选项时可以将该用户的宿主目录一并删除

 

管理组账户

对于用户账号来说，对应的组账号可分为基本组（私有组）和附加组（公共组）两种类型。每一个用户账号可以是多个组账号的成员，但是其基本组账号只有一个。在"/etc/passwd"文件中第4个字段记录的即为该用户的基本组 GID 号。而对于该用户还属于哪些附加组，则需要在对应组账号的文件中才被体现

组账号文件

与组账号相关的配置文件也有两个，分别是/etc/group、/etc/gshadow。前者用于

保存组账号名称、GID 号、组成员等基本信息，后者用于保存组账号的加密密码字串等信息（但是很少使用到）。某一个组账号包含哪些用户成员，将会在 group 文件内最后一个字段中体现出来（基本组对应的用户账号默认可能不会列出），多个组成员之间使用逗号"，"分隔。

配置文件：

/etc/group∶保存组帐号基本信息

/etc/gshadow∶ 保存组帐号的密码信息

例如mail：x：12：postifx

字段1∶组帐号的名称

字段2∶密码占位符"x"

字段3∶组账号的GID号

字段4∶组账号包含的用户成员 （一般不包括基本组对应的用户帐号），多个成员之间以逗号“，”分隔

 

添加组账号

使用groupadd命令可以添加一个组账号，需要指定GID号时，可以使用“-g”选项

格式：groupadd[-g GID号]

 

添加、设置、删除组成员

gpasswd命令本来用来设置组账号密码（极少用），实际上更多地用来管理组账号的用户成员。

格式：gpasswd[选项]...组账号

常用选项∶

-a∶向组内添加一个用户

-d∶从组内删除一个用户成员

-M∶定义组成员列表，以逗号分隔，会直接覆盖原来的成员

 

删除组账号groupdel

当系统中某个组账户已经不再使用时，可以使用groupdel命令将该组账号删除

格式：groupdel 组账号名

 

查询账号信息

查询用户所属的组groups

使用groups命令可以查看指定用户账号属于哪些组

格式：groups[用户名]

 

 

查询用户身份标识id

使用id命令可以快速查看指定用户的UID、GID等标识信息

格式：id[用户名]

 

 

查询用户账号的登录属性finger

使用finger命令可以查询指定的用户账号的登录属性等详细信息，包括登录名称、完整名称、宿主目录、登录shell等

*需要先进行安装finger软件包

格式：finger[用户名]

 

查询已登录到主机的用户信息w、who、users

w：查询当前用户的详细信息

who：当前登录的用户信息

users：当前登录的用户信息

 

 

文件/目录的权限和归属

使用ls-l可以查看文件的访问权限

例如：-rwxr--r--

读取 r∶允许查看文件内容、显示目录列表

写入 w∶ 允许修改文件内容，允许在目录中新建、移动删除文件或子目录

可执行x∶ 允许运行程序、切换目录

特殊s：让普通用户拥有root用户权限（极少数情况下）

归属（所有权）

属主∶拥有该文件或目录的用户帐号

属组∶拥有该文件或目录的组帐号

 

设置文件/目录的权限和归属chmod

设置文件或目录的权限时，使用chmod命令，可以采用两种形式的权限表示方法：字符形式和数字形式

格式：chmod[ugoa][+-=][rwx]文件或目录....

或格式：chmod nnn文件或目录（nnn为3位八进制数）

常用选项

-R：递归修改指定目录下所有子项的选项

 

设置文件或目录的归属（chown）

设置文件或目录的归属时使用chown命令，可以设置属主或属组，也可以同时设置属主、属组

格式：chown 属主 文件或目录

格式：chown ：属组 文件或目录

格式：chown属主：属组 文件或目录

*同时设置属主、组时，用户名和组名之间用冒号“：”进行分隔，如果只设置属组时，需使用“：组名”的形式

常用选项

-R：递归修改指定目录下所有文件、子目录的归属

 

文件属性和文件系统属性的关系

在Linux下文件都有若干个属性，如读、写、执行等基本权限，以及是否为目录文件、链接文件的属性。但这些属性属于高层次的文件属性，它和具体的文件系统无关。在文件系统这一层，文件同样也具有很多属性，chattr和Isatt指令就是设置和查看基于 ext2/ext3 文件系统的底层属性。这些权限对于一些具有特殊要求的文件很有帮助，比如服务器日志或者某个比较重要的文件。通过chattr命令设置的文件或目录，即使在root权限下也不能直接删除，只有去除其隐藏权限才能进行操作。

 

设置某些特殊文件的权限chatter

格式：chatter[+-=][ai]文件

常用选项：

+：在原有参数的基础上，追加参数

-：在原有参数的基础上，移除参数

=：更新为指定参数

a：设置只能向文件中添加数据，而不能删除

i：设置后，不能对文件进行删除、写入、改名等操作

 

显示文件的底层属性lsattr

格式：lsattr[选项]文件

常用选项：

-a：显示所有文件属性

-d：仅显示目录属性

-R：递归显示

 

umask应用

设置目录和文件的默认权限umask

umask默认指定目前用户新建的文件或目录时的权限默认值，直接执行"umask"命令就是查看当前系统的默认权限。需要注意的是，umask 的分数指的是"该默认值需要减掉的权限"。因此r、 w、x分别是4、2、1，如果执行"umask 022"代表group和other被拿掉了权限"2"也就是被拿掉了"写"权限，所以就为755，显示为drwxr-xr-x

如果执行命令"umask 000"，代表的默认权限是"777"

*目录默认权限最大为777（drwxrwxrwx）

*文件默认权限最大为666（-rw-rw-rw-，没有x权限）

umask设置∶ umask [022]

umask查看∶ umask