Linux系统下的用户账号与权限管理

目录

• 一、用户账号和组账号概述
  • 1、用户账号的分类
  • 2、组账号的分类
  • 3、标识号分类
• 二、用户账号文件
  • 1、/etc/passwd
    • 1.1 作用
    • 1.2 、/etc/passwd中的字段分析
  • 2、/etc/shadow
    • 2.1 作用
    • 2.2 、/etc/shadow中的字段分析
• 三、用户账号管理
  • 1、 添加用户账号——useradd（adduser）
    • 1.1 作用
    • 1.2 命令格式
    • 1.3 常用选项
    • 1.4 实例操作
      • 1.4.1 useradd -u 与-g的用法，即在创建用户的同时指定用户的UID号和基本组名
      • 1.4.2 useradd -M 与-s 、-e的用法
  • 2、 设置/更改用户口令——passwd
    • 2.1 作用
    • 2.2 命令格式
    • 2.3 常用选项
    • 2.4 实例操作
      • 2.4.1 passwd+用户名，设置密码的用法
      • 2.4.2 passwd -d 、-l、-S、-u的用法
  • 3、修改用户账号的属性——usermod
    • 3.1 命令格式
    • 3.2 常用选项
    • 3.3 实例操作
      • 3.3.1 usermod -l 的用法
  • 4、删除用户账号——userdel
    • 4.1 格式
    • 4.2 实例操作
• 四、组账号文件
  • 1、格式
  • 2、group信息字段组成
• 五、组账号管理
  • 1、添加组账号——groupadd
    • 1.1 格式
    • 1.2 实例操作
  • 2、添加删除组成员——gpasswd
    • 2.1 作用
    • 2.2 格式
    • 2.3 常用选项
    • 2.4 实例操作
  • 3、 删除组账号——groupdel
    • 3.1 格式
    • 3.2 实例操作
• 六、查询账号信息
  • 1、groups命令
  • 2、 id命令
  • 3、 finger命令
  • 4、w命令
  • 5、who命令
  • 6、users命令
• 七、文件/目录的权限及归属
  • 1、访问权限与归属（所有权）
  • 2、文件/目录信息字段分析
• 八、设置文件/目录的权限和归属
  • 1、设置权限 — chmod
    • 1.1 格式
    • 1.2 常用选项
    • 1.3 实例操作
      • 1.3.1 以字符形式设置权限
      • 1.3.2 以数字形式修改权限
      • 1.3.3 以递归方式修改子目录下的权限
  • 2、设置归属 — chown
    • 2.1 格式
    • 2.2 常用选项
    • 2.3 实例操作
• 九、umask应用
  • 1、作用
  • 2、格式

一、用户账号和组账号概述

Linux基于用户身份对资源访问进行控制

1、用户账号的分类

• 超级用户：root用户是Linux操作系统中默认的超级用户账号，对本主机拥有最高的权限，系统中超级用户是唯一的。
• 普通用户：由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。
• 程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp、mail等。

2、组账号的分类

• 基本组（私有组）：基本组账号只有一个，一般为创建用户时指定的组。
• 附加组（公共组）：用户除了基本组以外，额外添加指定的组。附加组可以有多个，可以在基本组，也可以同时在附加组

3、标识号分类

• UID（User IDentity ，用户标识号）

​ 在/etc/passwd文件中第4段记录的即为该用户的基本组GID号。

• GID（Group IDentifi，组标识号）

  root用户账号的UID和GID号为固定值0
  程序用户账号的UID和GID号默认为Centos5,6: 1~499，Centos7: 1~ 999
  普通用户的UID和GID号默认为Centos5, 6: 500~ 65535，Centos7: 1000~ 65535

二、用户账号文件

1、/etc/passwd

1.1 作用

• 保存用户名称、宿主目录、登录Shell等基本信息
• 文件位置: /etc/passwd
• 每一行对应一个用户的帐号记录

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改

1.2 、/etc/passwd中的字段分析

• 字段1:用户帐号的名称
• 字段2:用户密码占位符“x”
• 字段3:用户帐号的UID号
• 字段4:所属基本组帐号的GID号
• 字段5:用户全名
• 字段6:宿主目录
• 字段7:登录Shell信息( /bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)

2、/etc/shadow

2.1 作用

• 保存用户的密码、账号有效期等信息
• 文件位置： /etc/shadow
• 每一行对应一个用户的密码记录

默认只有root用户能够读取shadow文件中的内容，且不允许编辑该文件中的内容

2.2 、/etc/shadow中的字段分析

• 字段1:用户帐号的名称；
• 字段2:使用MD5加密的密码字串信息，当为“*” 或“! !”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统；
• 字段3:上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数；
• 字段4:密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制；
• 字段5:密码的最长有效天数，自 本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999， 表示不进行限制；
• 字段6:提前多少天警告用户密码将过期，默认值为7；
• 字段7:在密码过期之后多少天禁用此用户；
• 字段8:帐号失效时间，此字段指定了用户作废的天数(从1970年01月01日起计算)，默认值为空，表示账号永久可用；
• 字段9:保留字段(未使用)。

三、用户账号管理

1、 添加用户账号——useradd（adduser）

1.1 作用

在/etc/passwd文件和/etc/ shadow文件的末尾增加该用户账号的记录。
若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。
若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。

1.2 命令格式

useradd  [选项]... 用户名

1.3 常用选项

1.4 实例操作

1.4.1 useradd -u 与-g的用法，即在创建用户的同时指定用户的UID号和基本组名

1.4.2 useradd -M 与-s 、-e的用法

2、 设置/更改用户口令——passwd

2.1 作用

root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。
普通用户却只能执行单独的“passwd"命令修改自己的密码

2.2 命令格式

passwd  [选项]... 用户名

2.3 常用选项

2.4 实例操作

2.4.1 passwd+用户名，设置密码的用法

2.4.2 passwd -d 、-l、-S、-u的用法

3、修改用户账号的属性——usermod

3.1 命令格式

usermod  [选项]... 用户名

3.2 常用选项

3.3 实例操作

3.3.1 usermod -l 的用法

4、删除用户账号——userdel

4.1 格式

userdel  [-r]  用户名

添加-r选项时，表示连用户的宿主目录一并删除

4.2 实例操作

四、组账号文件

1、格式

• /etc/group：保存组账号的基本信息
• /etc/gshadow：保存组账号的密码信息

2、group信息字段组成

• 字段1:组帐号的名称
• 字段2: 占位符“x”
• 字段3:组账号的GID号
• 字段4:组账号包含的用户成员(一般不包括基本组对应的用户帐号)，多个成员之间以逗号“,"分隔

五、组账号管理

1、添加组账号——groupadd

1.1 格式

groudadd  [-g GID] 组账号名

1.2 实例操作

2、添加删除组成员——gpasswd

2.1 作用

设置组账号密码（极少用）、添加/删除组成员

2.2 格式

gpasswd [选项]...组账号名

2.3 常用选项

2.4 实例操作

3、 删除组账号——groupdel

3.1 格式

groupdel 组账号名

3.2 实例操作

六、查询账号信息

1、groups命令

作用：查询用户所属的组

格式：groups 【用户名】

2、 id命令

作用：查询用户身份标识

格式：id 【用户名】

3、 finger命令

作用：查询用户账号的登录属性

注：需要先进行安装finger软件包

格式：finger 【用户名】

4、w命令

作用：是用来显示当前登录用户及这些用户正在做什么的命令。它同时也能显示系统运行时长，当前系统时间和系统平均负载情况 cpu负载

格式：w [ 选项] 用户名

第一行信息输出内容包含的信息说明如下：

16:43:29 ——当前系统时间.
up 16:56——系统运行时长.
1 users ——登录用户数.
load average: 0.00 0.01, 0.05 ——系统过去1，5，15分钟的平均负载信息。平均系统负载是对当前正在运行或正在等待磁盘I/O的作业数的度量。 它基本上告诉您系统在给定间隔内的繁忙程度。
第二行信息包括如下字段说明:

USER ——登录用户名.
TTY ——登录用户使用的终端名.
FROM ——登录用户来源的主机名或IP地址.
LOGIN@ ——用户登录时长.
IDLE —— 自用户上一次与终端进行交互以来的空闲时间.
JCPU ——附加到tty的所有进程使用的时间.
PCPU ——用户当前进程所用的时间。 显示在“ WHAT”字段中的那个.
WHAT —— 用户当前的进程及选项/参数。

5、who命令

作用：用于显示系统中有哪些使用者正在上面，显示的资料包含了使用者 ID、使用的终端机、从哪边连上来的、上线时间、呆滞时间、CPU 使用量、动作等等。

使用权限：所有使用者都可使用

格式：who

6、users命令

作用：users命令 用于显示当前登录系统的所有用户的用户列表。每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数

格式：users

七、文件/目录的权限及归属

1、访问权限与归属（所有权）

① 访问权限
✔ 读取r: 允许查看文件内容、显示目录列表

✔ 写入w: 允许修改文件内容，允许在目录中新建、移动、删除文件或子目录

✔ 可执行x: 允许运行程序、切换目录

② 归属（所有权）
✔ 属主: 拥有该文件或目录的用户帐号

✔ 属组: 拥有该文件或目录的组帐号

2、文件/目录信息字段分析

第一字段分析：

在上述输出信息中，第3、4个字段的数据分别表示该文件的属主、属组，上面的"/etc/passwd"文件都属于root用户，

root组：而第1个字段的数据表示该文件的访问权限，如："-rw-r–r--"。权限字段由四部分组成，各自的含义如下：

第1个字符：表示该文件的类型，可以是d（目录）、b（块设备文件）、c（字符设备文件）、“-”（普通文件）、字母“ l ”（链接文件）等；
第2～4个字符：表示该文件的属主用户（User）对该文件的访问权限；
第5～7个字符：表示该文件的属组内各成员用户（Group）对该文件的访问权限；
第8～10个字符：表示其他任何用户（Other）对该文件的访问权限；
第11个字符：这里的“ . ”与SELinux有关，目前不需要关注。

权限项	读	写	执行	读	写	执行	读	写	执行
字符提示	r	w	x	r	w	x	r	w	x
数字表示	4	2	1	4	2	1	4	2	1
权限分配	文件所有者			文件所属组			其他用户
八进制数表示	7			7			7

八、设置文件/目录的权限和归属

1、设置权限 — chmod

1.1 格式

字符形式： chmod  [ugoa···][+-=][rwx] 文件...
数字形式： chmod  nnn 文件/目录...　　`

• "ugoa"表示该权限设置所针对的用户类别。“u”代表文件属主，“g”代表 文件属组内的用户，“o”代表其他任何用户，“a"代表所有用户(缺省时为a)

• “+ - ="表示设置权限的操作动作。“+"代表增加相应权限，“-"代表减少相应权限，“=”代表仅设置对应的权限

• “rwx”是权限的字符组合形式，也可以拆分使用，如“r”"rx” 等

1.2 常用选项

-R：递归修改指定目录下所有子项的权限（包括目录中的文件）

1.3 实例操作

1.3.1 以字符形式设置权限

1.3.2 以数字形式修改权限

1.3.3 以递归方式修改子目录下的权限

2、设置归属 — chown

2.1 格式

chown  属主 文件或目录
chown ：属组 文件或目录
chown 属主：属组 文件或目录

2.2 常用选项

-R：递归修改指定目录下所有子项的权限（包括目录中的文件）

2.3 实例操作

九、umask应用

新建文件或目录时会用到umask

1、作用

• 设置目录和文件的默认权限；
• 指定目前用户在新建文件或目录时的权限默认值；
• 新建的文件或者目录的权限为默认最大权限减去umask（普通文件的最大默认权限为6，目录的最大默认权限为7）

2、格式

umask查看：  umask
umask设置：  umask  000