学用户与用户组权限

转载来自杰之行的博客(https://blog.csdn.net/haojie_duan/article/details/107767975?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522160224013719725222463095%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=160224013719725222463095&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v3~pc_rank_v2-1-107767975.first_rank_ecpm_v3_pc_rank_v2&utm_term=%E5%8F%B2%E4%B8%8A%E6%9C%80%E7%89%9B%E6%9C%80%E5%BC%BA%E7%9A%84&spm=1018.2118.3001.4187)

7.1、用户配置文件

 7.1.1用户信息文件/etc/ passwd

无密码的登录,只能在本地虚拟机登录。远程ssh是不允许的!而且普通用户需要远程登陆,需要把最后一个字段改为/bin/shell

**用户必须有个用户组,用户可以加入用户组,每个用户组下有不同的权限**

1、用户管理简介

所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。

在Linux中主要是通过用户配置文件来查看和修改用户信息

2、/etc/passwd

第1字段:用户名称

第2字段:密码标志

第3字段:UID(用户ID)

    • 0: 超级用户(可以通过更改UID将普通用户强制变为root
    • 1-499: 系统用户(伪用户)
    • 500-65535: 普通用户

 

第4字段:GID(用户初始组ID,不推荐修改)

第5字段:用户说明

第6字段:家目录

普通用户:/home/用户名/

超级用户:/root/

第7字段:登录之后的Shell

3、初始组和附加组

初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。

附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个。

4、Shell是什么

Shell就是Linux的命令解释器。

在/etc/passwd当中,除了标准Shell是 /bin/bash之外,还可以写如/sbin/nologin,/usr/bin/passwd等。

7.1.2影子文件/etc/ shadow

 1、影子文件/etc/shadow

第1字段:用户名

第2字段:加密密码

     加密算法升级为SHA512散列加密算法

     如果密码位是“!!”或“*”代表没有密码,不能登录

第3字段:密码最后一次修改日期

     使用1970年1月1日作为标准时间,每过一天时间戳加1

 

第4字段:两次密码的修改间隔时间(和第3字段相比)

第5字段:密码有效期(和第3字段相比)

第6字段:密码修改到期前的警告天数(和第5字段相比)

第7字段:密码过期后的宽限天数(和第5字段相比)

    • 0:代表密码过期后立即失效
    • -1:则代表密码永远不会失效。

第8字段:账号失效时间

    • 要用时间戳表示

第9字段:保留

2、时间戳换算

把时间戳换算为日期

     date -d "1970-01-01 16066 days"

把日期换算为时间戳

     echo $(($(date --date="2014/01/06" +%s)/86400+1))

7.1.3组信息文件/etc/group/和组密码文件 etc/gshadow

 1、组信息文件/etc/group

第一字段:组名

第二字段:组密码标志

第三字段:GID

第四字段:组中附加用户

2、组密码文件/etc/gshadow

第一字段:组名

第二字段:组密码

第三字段:组管理员用户名

第四字段:组中附加用户

7.2、用户管理相关文件

 1、用户的家目录

普通用户:/home/用户名/,所有者和所属组都是此用户,权限是700

超级用户:/root/,所有者和所属组都是root用户,权限是550

2、用户的邮箱

/var/spool/mail/用户名/

3、用户模板目录

/etc/skel/

7.3用户管理命令

 7.3.1 用户添加命令useradd

 1、useradd命令格式

[root@localhost ~]#useradd [选项] 用户名

选项:

    -u UID: 手工指定用户的UID号

    -d 家目录: 手工指定用户的家目录

    -c 用户说明: 手工指定用户的说明

    -g 组名: 手工指定用户的初始组

    -G 组名: 指定用户的附加组

    -s shell: 手工指定用户的登录shell。默认是/bin/bash

2、添加默认用户

[root@localhost ~]# useradd lamp

     [root@localhost ~]# grep "lamp" /etc/passwd

     [root@localhost ~]# grep "lamp" /etc/shadow

     [root@localhost ~]# grep "lamp" /etc/group

     [root@localhost ~]# grep "lamp" /etc/gshadow

     [root@localhost ~]# ll -d /home/lamp/

     [root@localhost ~]# ll /var/spool/mail/lamp 

3、指定选项添加用户

groupadd lamp1

useradd -u 550 -g lamp1 -G root -d /home/lamp1 \

-c "test user" -s /bin/bash lamp1

4、用户默认值文件

/etc/default/useradd

    •     GROUP=100 #用户默认组
    •      HOME=/home #用户家目录
    •     INACTIVE=-1 #密码过期宽限天数(7)
    •     EXPIRE= #密码失效时间(8)
    •     SHELL=/bin/bash #默认shell
    •     SKEL=/etc/skel #模板目录
    •     CREATE_MAIL_SPOOL=yes #是否建立邮箱

/etc/login.defs 

     PASS_MAX_DAYS 99999 #密码有效期(5)

     PASS_MIN_DAYS 0 #密码修改间隔(4)

     PASS_MIN_LEN 5 #密码最小5位(PAM)

     PASS_WARN_AGE7 #密码到期警告(6)

     UID_MIN 500 #最小和最大UID范围

     GID_MAX 60000

     ENCRYPT_METHOD SHA512 #加密模式

7.3.2 修改用户密码passwd

 1、passwd命令格式(普通用户权限低)

[root@localhost ~]#passwd [选项] 用户名

选项:

-S 查询用户密码的密码状态。仅root用户可用。

-l 暂时锁定用户。仅root用户可用

-u 解锁用户。仅root用户可用

--stdin 可以通过管道符输出的数据作为用户的密码。

2、查看密码状态

[root@localhost ~]# passwd -S lamp

lamp PS 2013-01-06 0 99999 7 -1 

#用户名密码设定时间(2013-01-06) 密码修改间隔时间(0)

#密码有效期(99999 ) 警告时间(7) 密码不失效(-1)

3、锁定用户和解锁用户

[root@localhost ~]# passwd -l lamp

root@localhost ~]# passwd -u lamp

4、使用字符串作为用户的密码

[root@localhost ~]# echo "123" | passwd --stdin lamp 

用shell编程来批量做的!

7.3.3 修改用户信息usermod、修改用户密码状态chage

 1、修改用户信息usermod

[root@localhost ~]#usermod [选项] 用户名

选项:

-u UID: 修改用户的UID号

-c 用户说明: 修改用户的说明信息

-G 组名: 修改用户的附加组

-L: 临时锁定用户(Lock)

-U: 解锁用户锁定(Unlock)

 

可以理解为,锁定用户就是把那个东西密码位修改,不管是加入了!还是!!都是一样的,甚至可以手动加入其它字符,目的就是使得密码变化,从而达到锁住的效果!只不过,他们输入命令就可以达到要求

 

[root@localhost ~]# usermod -c "test user" lamp

#修改用户的说明

[root@localhost ~]# usermod -G root lamp

#把lamp用户加入root组

[root@localhost ~]# usermod -L lamp

#锁定用户

[root@localhost ~]# usermod -U lamp

#解锁用户

2、修改用户密码状态chage

[root@localhost ~]#chage [选项] 用户名

选项:

-l: 列出用户的详细密码状态

-d 日期: 修改密码最后一次更改日期(shadow3字段)

-m 天数: 两次密码修改间隔(4字段)

-M 天数: 密码有效期(5字段)

-W 天数: 密码过期前警告天数(6字段)

-I 天数: 密码过后宽限天数(7字段)

-E 日期: 账号失效时间(8字段)

 

[root@localhost ~]# chage -d 0 lamp 

#这个命令其实是把密码修改日期归0了(shadow第3字段)

#这样用户一登陆就要修改密码

7.3.4 删除用户userdel、用户切换命令su

 1、删除用户userdel

[root@localhost ~]# userdel [-r] 用户名

选项:

-r 删除用户的同时删除用户家目录

 

手工删除用户

[root@localhost ~]# vi /etc/passwd

[root@localhost ~]# vi /etc/shadow

[root@localhost ~]# vi /etc/group

[root@localhost ~]# vi /etc/gshadow

[root@localhost ~]# rm -rf /var/spool/mail/lamp

[root@localhost ~]# rm -rf /home/lamp/

通过使用useradd 用户名,检验是否删干净了

2、查看用户ID

[root@localhost ~]# id 用户名

3、切换用户身份su

特别注意su root和su - root 的区别:

前面的命令只是部分切换成root,后者将环境都会切换,昨天报错就是这个原因

[root@localhost ~]# su [选项] 用户名

选项:

- : 选项只使用“-”代表连带用户的环境

变量一起切换

-c 命令:仅执行一次命令,而不切换用户身份

 

[lamp@localhost ~]$ su – root

#切换成root(注意-两边的空格

 

[lamp@localhost ~]$ su - root -c "useradd user3"

#不切换成root,但是执行useradd命令添加user1用户

 

其实,“su - 想要切换的用户”,可以在超级用户下切换成为普通用户,并且不需要输入密码!

7.4、用户组管理命令

 1、添加用户组

[ root(@localhost~]# groupadd[选项]组名

选项:

-g GID:   指定组ID

 2、修改用户组

[ root(@localhost~]# groupmod [选项] 组名

选项

-g GID : 修改组ID

-n 新组名: 修改组名

[ root(@localhost~]# groupmod -n testgrp group1

#把组名group1修改为 testgrp

 3、删除用户组

[ root(@localhost~]# groupdel 组名

要删除组的时候,就不能有初始用户存在,附加用户没关系

 4、把用户添加入组或从组中删除

[ root(@localhost~]# gpasswd 选项 组名

选项:

-a 用户名: 把用户加入组

-d 用户名: 把用户从组中删除

gpasswd -a DHJ root

gpasswd -d DHJ root

 

posted @ 2020-10-09 20:41  加油酱  阅读(79)  评论(0编辑  收藏  举报