用户和组

linux用户
管理员root
系统用户 UID小于1000，系统服务管理用户，一般不允许登录系统
普通用户 UID大于999，权限较小，可以登录，只能使用bin目录下的命令

组
其实就是一个用户容器，用来装用户的，没有其他意义
默认情况下，新建用户的同时，系统会创建一个同名组装载该用户
在linux中的每个用户必须属于一个组，不能独立组外
在linux中每个文件所有者、所在组、其他组的概念

用户管理
新建用户 useradd
-c --comment 描述
-d --hone HOME_DIR 家目录
-e --expiredate EXPIRE_DATE 过期时间
-f --inactive INACTIVE 是否启用过期机制
-g --gid GROUP 指定组ID号
-G --groups GROUP1 附加组
-m --create-home 建立家目录
-M 不建立加目录
-N --no-user-group 不指定用户同名组
-r --system 指定该账户是系统账户
-s --shell SHELL 指定登录shell
-u --user-group 指定用户ID号
-U --user-group 指定用户创建用户同名组
-o 创建用户是可以uid重复

密码设置 passwd
-l lock
-u unlock
-d delete a passwod for an account
--stdin

删除用户 userdel
-f --force
-r --remove 删除主目录及邮箱

修改用户属性 usermod
-a --append
-L --lock
-U --unlock
-m --move-home with -d

更改用户密码过期信息 chage
-h -help display this help message and exit
-m 密码可更改的最小天数。为0时代表任何时候都可以更改密码
-M 密码保持有效的最大天数
-W 用户密码到期前，提前收到警告信息的天数
-E 账户到期的天数，过了这天，此账户将不可用
-d 上一次更改的日期
-l 停滞时期。如果一个密码已过期这些天，那么此账户将不可用
-l 例出当前的设置。由非特权用户来确定他们的密码或账户何时过期

查看用户
/etc/passwd
[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
/etc/shadow 影子文件
用户名：这是用户登录系统时使用的用户名，它在系统中是唯一的
口令：此字段存放加密的口令
最后一次修改密码的时间：标识从某一时刻起用户最后一次修改口令的天数
最小时间间隔：两次修改口令之间的最小天数
最大时间间隔：口令保持有效的最多天数，即多少天后必须修改口令
警告时间：从系统开始警告到口令正式失效的天数
不活动时间：口令过期多少天后，该账户被禁用
失效时间：指示口令失效的绝对天数
标志：未使用

组管理
groupadd 新建组
-g --gid GID 指定GID
-r --system 创建一个系统组
-o --non-unique 此选项允许添加一个使用非唯一GID的组

groupdel 删除组

groupmod 修改组属性
-g --gid GID
-n --new-name NEW_GROUP 给组改名
-o --non-unique

gpasswd 组密码
-a --add USER add USER to GROUP
-d --delete USER remove USER from GROUP
-r --remove-password remove the GROPS's password
-R --restrict resttict access to GROUP to its members 限制用户登录该组，除了组成员
-M --members USER,,,set the list of members of GROUP
-A --administrators ADMIN,,,set the list of aministrators for GROUP

linux用户分类
根据权限linux用户可以分为三类
1所有者
2所属组中的成员
3其他人

权限分类
基本权限：定义所有者、所属组、其他人的权限
特殊权限：定义了SUID、SGID、SBIT权限
suid 4 当一个二进制文件拥有SUID权限后，当其他用户执行二进制文件的时候，
该二进制文件就会以他所有者的权限去执行
sgid 2 要求文件夹下的新建的子文件夹或者子文件继承父文件夹的属组
stick bit 1 如果给文件夹赋予粘连位，则该文件夹下的文件或者文件夹只能由
所有者及ROOT删除
ACL权限：正对某个用户或者组私人定制权限，优先级高于基本权限
setfacl -set file access control lists
-m 修改acl
-x 删除acl
-b 删除所有acl
-k 删除默认的acl
-R 递归
getfacl -get file access control lists
getfacl file
隐藏权限：对文件属性进行特殊定义
lsattr 文件或者文件名
查看文件或文件夹的隐藏权限
+：增加某个特殊参数，其他原来存在的参数不动
-：删除某个特殊参数，其他原来存在的参数不动
=：设置一定，且仅有后面接的参数
A：当设置了A属性时，这个文件(或目录)的存取时间atime(access)权限不可被修改，可避免例如
手提电脑有磁盘I/O错误的情况发生
S：这个功能有点类似于sync，就是将数据同步写入磁盘中，可以有效地避免数据流失
a：设置a之后，这个文件将只能增加数据，而不能删除，只有root才能设置这个属性
c：这个属性设置之后，将会自动将此文件”压缩“，在读取的时候将会自动解压缩，但在存储的时候，
将会先进行压缩后最存储(对于大文件有用)
d：当执行dump(备份)程序的时候，设置d属性将可使该文件(或目录)具有存储的功效
i：i的作用很大，它可以让一个文件”不能被删除、改名、设置链接，无法写入或新增数据“对于系统安全性
有相当大的帮助
j：当使用ext3文件系统格式时，设置j属性将会使文件在写入时先记录在jourmal中。当是，当文件系统设置参数为
data=jourmalled时，由于已经设置日志了，所以这个属性无效
s：当文件设置了s参数时，它将会从这个硬盘空间完全删除
u：与s相反，当使用u来设置文件时，则数据类容其实还存在硬盘中，可以用来还原删除
注意：这个属性设置上，比较常见的是a与i的设置值，而且很多设置值必须要root才能设置