Linux账号和权限管理

一. 用户和组的管理  - Linux中用户种类

种类 特点
root 是管理员,拥有至高无上的权限,不受限制,UID为0
普通用户 管理员创建的用户,受权限限制,UID一般从500开始,可以登录系统
程序用户 安装应用程序,系统创建的,一般UID小于500,一般不可以登录系统,shell一般是/sbin/nologin
  • Linux中组的种类:
种类 特点
基本组(私有组) 一个用户只有一个私有组,当用户创建目录和文件的时候,目录和文件默认的属组是基本组
附加组(公共组) 用户可以有多个附加组
  1. 用户的管理:
/etc/passwd   #存放了用户的信息
/etc/shadow   #存放了用户的密码信息等
  • 添加用户账号

    useradd命令

useradd  [选项]...  用户名   
    -u:指定 UID 标记号
    -d:指定宿主目录,缺省为 /home/用户名
    -e:指定帐号失效时间
    -g:指定用户的基本组名(或UID号)
    -G:指定用户的附加组名(或GID号)
    -M:不为用户建立并初始化宿主目录
    -s:指定用户的登录Shell
  • 设置/更改用户口令

    passwd命令

passwd  [选项]...  用户名
    -d:清空用户的密码,使之无需密码即可登录
    -l:锁定用户帐号
    -S:查看用户帐号的状态(是否被锁定) 
    -u:解锁用户帐号
  • 修改用户账号的属性  usermod命令
usermod  [选项]...  用户名
    -l:更改用户帐号的登录名称
    -L:锁定用户账户
    -U:解锁用户账户
    以下选项与useradd命令中的含义相同
    -u、-d、-e、-g、-G、-s
  • 删除用户账号  userdel命令
userdel  [-r]  用户名  #添加 -r 选项时,表示连用户的宿主目录一并删除
  • 用户第一次登陆必须更改密码
chage  -d  0  用户名   

2.组的管理:

/etc/group   #保存组账号基本信息
/etc/gshadow  #保存组账号的加密密码信息,很少用
  • 添加组账号

groupadd命令

groupadd  [-g GID]  组帐号名
  • 添加删除组成员  gpasswd命令  用途:设置组帐号密码(极少用)、添加/删除组成员
gpasswd  [选项]...  组帐号名
    -a:向组内添加一个用户
    -d:从组内删除一个用户成员
    -M:定义组成员列表,以逗号分隔
  • 删除组账号  groupdel命令
groupdel  组帐号名
  • 查询账号信息:

id命令

    用途:查询用户身份标识
    格式:id  [用户名]

groups命令

    用途:查询用户所属的组
    格式:groups  [用户名]

finger命令

    用途:查询用户帐号的详细信息
    格式:finger  [用户名]

users、w 、who命令

    用途:查询已登录到主机的用户信息

二. 文件和目录的属性:属主、属组、权限

  • 文件/目录的权限和归属
A.  访问权限
        读取r:允许查看文件内容、显示目录列表
        写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
        可执行x:允许运行程序、切换目录
B.  归属(所有权)
        属主:拥有该文件或目录的用户帐号
        属组:拥有该文件或目录的组帐号
  • ls -l 执行命令后得结果分析
第一个字符:表示文件或目录的类型,可以是d(目录)、b(块设备文件)、c(字符设备文件),减号“-”(普通文件)、字母“l”(链接文件)等。
第2-4个字符:表示属主的权限
第5-7个字符:表示属组的权限
第8-10个字符:表示其它人的权限
  • Linux中基本权限分为r(4)、w(2)、x(1)
查看文件/目录的权限和归属
---------------------------------------------------------------------------------
| 权限项 |  读  |   写  |  执行 |   读  |   写  |  执行 |   读  |   写  |  执行 |
---------------------------------------------------------------------------------
|字符表示|  r   |   w   |   x   |   r   |   w   |   x   |   r   |   w   |   x   |
---------------------------------------------------------------------------------
|数字表示|  4   |   2   |   1   |   4   |   2   |   1   |   4   |   2   |   1   |
---------------------------------------------------------------------------------
|权限分配|  文件所有者   |   文件所属组   |   其他用户    |%2
  • 设置文件和目录的权限

    chmod命令

         格式1:chmod   [ugoa]  [+-=] [rwx]  文件或目录... 

         格式2:chmod nnn 文件或目录...

         常用命令选项

         -R:递归修改指定目录下所有子项的全新
  • 设置文件和目录的归属

chown命令

        格式:chown  属主  文件或目录

        chown  :属组  文件或目录

        chown  属主:属组  文件或目录

        常用命令选项

        -R:递归修改指定目录下所有文件、子目录的归属

 

  • 用户账号的初始配置文件

  文件来源

      新建用户帐号时,从/etc/skel 目录中复制而来

      主要的用户初始配置文件

      ~/.bash_profile:用户每次登录时执行

      ~/.bashrc:每次进入新的Bash环境时执行

      ~/.bash_logout:用户每次退出登录时执行

A.Umask  可以设置新建文件、目录时的默认权限,(默认权限 = 现有默认权限 - 权限掩码)

Umask [权限掩码]

 

B.附加权限

a)Set位权限:给可执行的程序或脚本文件设置。 SUID----4, SGID----2

执行文件设置了set后,任何用户在执行该文件时,获得该文件属主、属组账号对应的身份。

比如普通用户无法修改/etc/shadow文件,但是却可以修改自己的密码,因为/usr/bin/passwd设置了set权限。

ll  /usr/bin/passwd

例: cp /bin/mkdir  /tmp/mymkdir

     Chmod u+s /tmp/mymkdir

     ll /tmp/mkdir

     切换到其他用户,/tmp/mymkdir  创建文件(宿主目录下),发现属主为root。而mkdir属主为自己

b)粘滞位:用于为目录设置特殊的附加权限,当目录被设置了粘滞位权限以后,即便用户对该目录写入权限,也不能删除该目录中其他用户的文件数据。例 /tmp  , /var/tmp

例: 在/tmp中,使用用户aa创建文件,使用用户bb删除不了
<pre name="code" class="html">[root@localhost ~]# su - vanko
[vanko@localhost ~]$ cd /tmp/
[vanko@localhost tmp]$ mkdir vanko
[vanko@localhost tmp]$ ls -ltr
total 4
drwxrwxr-x 2 vanko vanko 4096 Jan  8 10:09 vanko
[root@localhost ~]# su - xu
[xu@localhost ~]$ cd /tmp
[xu@localhost tmp]$ mkdir xu
[xu@localhost tmp]$ ls -ltr 
total 8
drwxrwxr-x 2 vanko vanko 4096 Jan  8 10:09 vanko
drwxrwxr-x 2 xu    xu    4096 Jan  8 10:09 xu
[xu@localhost tmp]$ rm -rf vanko
rm: cannot remove `vanko': Operation not permitted
[xu@localhost tmp]$ rm -rf xu
posted on 2016-08-03 14:53  用代码书写人生  阅读(869)  评论(0编辑  收藏  举报