Linux 用户、用户组及权限管理

一、Linux用户及用户组的基本概念

用户:用户是实现能够将有限的资源在多个使用者之间进行分配;、

用户组:用户组是指多个用户的集合,方便对一类需要同样权限的用户授权

Linux是多用户、多任务的操作系统。

    多用户指:多人同时使用系统资源;多任务:同时运行多个进程

二、用户及用户组类别

1、用户:名称解析库 /etc/passwd

a、管理员

root 用户标识(UID)为0

b、普通用户及系统用户

    普通用户的用户标识(既UID):

        CentOS 5,6: 500+

        CentOS 7: 1000+

    系统用户用户标识(既UID):

        CentOS 5,6: 1-499

        CentOS 7: 1-999

2、用户组:名称解析库 /etc/group

a、管理员组

组标识为:0

b、普通用户组及系统用户组

    普通用户组标识:

        CentOS 5,6: 500+

        CentOS 7: 1000+

    系统用户组标识:

        CentOS 5,6: 1-499

        CentOS 7: 1-999

3、用户组类别:

    以用户为核心分为:

        用户的主组:基本组;

        用户的附加组:额外组;

    以容纳的用户来划分:

        私有组:与用户名相同,且只有一个用户;

        共有组:组内包含了多个用户;

三、用户及用户组的认证机制

Linux的用户密码认证方式在centos7中使用sha512

认证信息库存储位置:

    用户的认证信息库:/etc/shadow

    组的认证信息库:/etc/gshadow

密码:加密存放,使用单向加密机制

算法:

md5: message digest, 128bits

sha1: secure hash algorithm, 160bits

sha224

sha256

sha384

sha512


三、权限的生效机制

进程的运行者:

    是否与文件的属主相同,如果是,则以文件属主的身份来访问此文件;否则

    是否属于文件的属组,如果是,则以文件属组的身份来访问此文件;否则

    以文件的其它用户的身份来访问此文件;

2016-03-08 10 57 41.png

四、用户及用户组管理命令

groupadd命令:添加组

    groupadd [options] group

    -g  GID:指明GID;

# groupadd -g 2000 testgrp
# grep "testgrp" /etc/group
testgrp:x:2000:

    -r, –system:系统组;

# groupadd -r testgrp1
# grep "testgrp1" /etc/group
testgrp1:x:985:


groupmod命令:修改组信息

    groupmod [选项] GROUP

    -g  GID 

    -n NEW_NAME:修改组名;

# grep "testgrp\>" /etc/group
testgrp:x:2000:
# groupmod -g 300 -n grptest testgrp
# grep "grptest" /etc/group
grptest:x:300:


groupdel命令:删除组

    groupdel [选项] GROUP

# grep "grptest" /etc/group
grptest:x:300:
# groupdel grptest
# grep "grptest" /etc/group


useradd命令:添加用户

    useradd  [选项]  登录名

    -c, –comment COMMENT:注释信息,一般为Full Name;

    -d, –home  /PATH/TO/HOME_DIR:家目录路径;目标路径不能事先存在,否则会有警告,不会复制skel相关的文件给用户;

    -g, –gid GROUP:用户的基本组组名或GID;

    -G, –groups GROUP1[,GROUP2,…[,GROUPN]]]:用户所属的附加组列表,彼此间用逗号隔开,中间没有空格;

# useradd -c "testuser" -d /home/testuser -g testgrp -G testgrp1 testuser
# id testuser
uid=5011(testuser) gid=5011(testgrp) groups=5011(testgrp),985(testgrp1)

    -m, –create-home:强制创建家目录;

            一般指当CREATE_HOME变量为设置时必须使用此参数 

    -M:不创建用户主目录,即使系统在 /etc/login.defs 中的设置 (CREATE_HOME) 为 yes;   

# useradd -M testuser2
# ls /home/
centos  gentoo   nologin    test1  test3
fedora  mageedu  slackware  test2  testuser

        -r, –system:创建一个系统账户

    创建系统用的UID在0-999之内。且不创建家目录

# useradd -r testuser3
# id testuser3
uid=990(testuser3) gid=984(testuser3) groups=984(testuser3)
# ls /home/
centos  gentoo   nologin    test1  test3
fedora  mageedu  slackware  test2  testuser

    -s, –shell SHELL:用户的登录 shell 名,默认为留空,让系统根据 /etc/default/useradd 中的 SHELL 变量选择默认的登录shell;

    -u, –uid UID:用户 ID 的数字值。此值必须为唯一的,除非使用了 -o 选项。此值必须非负,默认使用大于等于UID_MIN,且大于任何其他用户 ID 最小值。

# cat /etc/shells 
/bin/sh
/bin/bash
/sbin/nologin
/usr/bin/sh
/usr/bin/bash
/usr/sbin/nologin
/bin/tcsh
/bin/csh
# useradd -s /bin/bash -u 3001 testuser4
# grep "testuser4\>" /etc/passwd
testuser4:x:3001:3001::/home/testuser4:/bin/bash

注意:创建登录用户时,为其自定义的shell程序必须为可登录shell,且要位于/etc/shells文件中;

        useradd -D:显示创建用户时的默认设置;

useradd -D  选项:设置某默认选项;

    -e, –expiredate  EXPIRE_DATE:用户账号的过期期限;过期后会被锁定;日期以 YYYY-MM-DD 格式指定

    -f, –inactive INACTIVE:密码过期后,账户被彻底禁用之前的天数。0 表示立即禁用,-1 表示禁用这个功能。

# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
# useradd -e 2020-03-08 testuser5
# useradd -f 3 testuser6

    为用户提供默认配置的配置文件:

/etc/login.defs, /etc/default/useradd

影子口令文件:/etc/shadow

/etc/shadow每个字段的意思:

            登录名:密码:最近一次的修改时间:密码的最短使用期限:密码最长使用期限:提前警告的天数:非活动期限:账号的禁用日期:保留字段


usermod命令:修改账号信息

    -c, –comment  COMMENT

    -d, –home  HOME_DIR:修改家目录为新的位置,但一般应该同时使用-m选项以保证原家目录中的文件会移动到新目录中;

    -g, –gid GROUP

    -G, –groups  GRO    UP1[,GROUP2,…[,GROUPN]]]:修改时会覆盖原有的附加组;一同使用-a选项,表示为用户添加新的附加组;

    -l, –login  NEW_LOGIN:修改当前用户的用户名;

    -s, –shell  SHELL

    -u, –uid  UID

# grep "mageedu" /etc/passwd
mageedu:x:5015:5015:mageedu:/home/mageedu:/bin/bash
# usermod -c "this is mageedu" -m -d /opt/mageedu -g 5000 -G 6000 -l mageedugood -u 3000 mageedu
# grep "mageedu" /etc/passwd
mageedugood:x:3000:5000:this is mageedu:/opt/mageedu:/bin/bash
# id mageedugood
uid=3000(mageedugood) gid=5000(mage) groups=5000(mage),6000(xueba)

    -L, –lock:锁定用户的密码。这会在用户加密的密码之前放置一个“!”

    -U, –unlock:解锁用户的密码。这将移除加密的密码之前的“!”

# grep "mageedu" /etc/shadow
mageedugood:$6$MKpxQ.kL$o6IBhP9uXHlccwXLUubV.Xp.k4KVJ5mTEtPtDeyoz4O38FRq1wuiyH1vyYlHEy9uqRt7a1Mzzf0bCnCKrtxHL/:16868:0:99999:7:::
# usermod -L mageedugood
# grep "mageedu" /etc/shadow   #此处可以看到锁定后在密码前面有一个!号
mageedugood:!$6$MKpxQ.kL$o6IBhP9uXHlccwXLUubV.Xp.k4KVJ5mTEtPtDeyoz4O38FRq1wuiyH1vyYlHEy9uqRt7a1Mzzf0bCnCKrtxHL/:16868:0:99999:7:::
# usermod -U mageedugood
# grep "mageedu" /etc/shadow
mageedugood:$6$MKpxQ.kL$o6IBhP9uXHlccwXLUubV.Xp.k4KVJ5mTEtPtDeyoz4O38FRq1wuiyH1vyYlHEy9uqRt7a1Mzzf0bCnCKrtxHL/:16868:0:99999:7:::

userdel命令:删除用户账号

    userdel [选项]  登录名

    -r, –remove:用户主目录中的文件将随用户主目录和用户邮箱一起删除

# userdel -r mageedugood
# id mageedugood
id: mageedugood: no such user
# ls /home/  #加上-r选项后同时删除用户的家目录以及用户邮箱
centos  gentoo   slackware  test2  testuser   testuser5
fedora  nologin  test1      test3  testuser4  testuser6
# userdel test1
# ls /home/   #未加-r可以找到test1用户的家目录
centos  gentoo   slackware  test2  testuser   testuser5
fedora  nologin  test1      test3  testuser4  testuser6
# id test1
id: test1: no such user

passwd命令:密码管理命令

(1) passwd:修改自己的密码;

(2) passwd  username:修改其它用户的密码,仅root有此权限;

密码复杂度:

    (1) 不能少于8个字符;

    (2) 不能使用与过去的密码太相似的密码;

    (3) 应该使用四类字符中的至少三类;

# passwd test2
Changing password for user test2.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.

选项:

    -l:锁定密码

    -u:解锁解密

    -d:清除密码

# grep "test2" /etc/shadow
test2:$6$9E3j7rHK$XBRQVO0SVqivKXi7gHTadSjAkjpZz72YsGa60xHK.uUQlnHhsD8w4ttT466ADR9AuXz8KrBWhxRfnGHeFGXiZ/:16868:0:99999:7:::
# passwd -l test2
Locking password for user test2.
passwd: Success
# grep "test2" /etc/shadow
test2:!!$6$9E3j7rHK$XBRQVO0SVqivKXi7gHTadSjAkjpZz72YsGa60xHK.uUQlnHhsD8w4ttT466ADR9AuXz8KrBWhxRfnGHeFGXiZ/:16868:0:99999:7:::
# passwd -u test2
Unlocking password for user test2.
passwd: Success
# grep "test2" /etc/shadow
test2:$6$9E3j7rHK$XBRQVO0SVqivKXi7gHTadSjAkjpZz72YsGa60xHK.uUQlnHhsD8w4ttT466ADR9AuXz8KrBWhxRfnGHeFGXiZ/:16868:0:99999:7:::
# passwd -d test2
Removing password for user test2.
passwd: Success
# grep "test2" /etc/shadow
test2::16868:0:99999:7:::

    与usermod不同的是,passwd在锁定时密码前面有两个!!号

特殊用法:可以避免交互式

    –stdin:从标准输入接收密码;

echo "PASSWORD" | passwd  –stdin  USERNAME

# echo "mageedu"|passwd --stdin test2
Changing password for user test2.
passwd: all authentication tokens updated successfully.

gpasswd命令:为组添加密码

    组密码文件:/etc/gshadow

gpasswd [选项] group

    -a USERNAME:把用户添加至组中;

    -d USERNAME:从此组中移除此用户;

# gpasswd -a test3 xueba
Adding user test3 to group xueba
# grep "xueba" /etc/gshadow
xueba:$6$bxtP5/lZt$umET9D6NeQrdWDGNG0LfpUQiJ5Poq8Xa0GoaDQqJFvqLVm3GWrCxOtDnCXbGjZngS4S7lumQE9hW18DgWPBrm.::test2,test3
# gpasswd -d test2 xueba
Removing user test2 from group xueba
# grep "xueba" /etc/gshadow
xueba:$6$bxtP5/lZt$umET9D6NeQrdWDGNG0LfpUQiJ5Poq8Xa0GoaDQqJFvqLVm3GWrCxOtDnCXbGjZngS4S7lumQE9hW18DgWPBrm.::test3

newgrp命令:登录到一个新组

chage命令:修改用户账号的各种期限;

$ touch testfile
$ ll testfile 
-rw-rw-r-- 1 test2 test2 0 Mar  8 12:43 testfile
$ newgrp xueba
$ touch testfile2
$ ll testfile2 
-rw-r--r-- 1 test2 xueba 0 Mar  8 12:44 testfile2

五、文件系统权限简介

文件系统文件权限:

    三类用户:

属主:owner, u

属组:group, g

其它:other, o

        所有:All,a

    权限:

r: readable,可读

w: writable, 可写

x:excutable, 可执行 

权限管理:

    文件:

r:可获取文件的数据;

w:可修改文件的数据;

x:可将此文件运行为进程;

    目录:

r:可使用ls命令获取其下的所有文件列表;但不可以使用“ls -l”去获取详细信息,也不可以cd至此目录中;

w:可修改此目录下的文件列表, 即可以在此目录下创建或删除文件;

x:可以使用"ls -l“命令来获取其下的文件的详细属性信息,也可cd至此目录中;


六、文件系统权限管理命令

chmod命令:

作用:change file mode bits

        使用方式:

    chmod [OPTION]… MODE[,MODE]… FILE…

        # 以ugoa的方式来进行授权

    chmod [OPTION]… OCTAL-MODE FILE…

        # 权限数字是数值模式:是从一到四的八进制数字(0-7),分别用4(读权限) 2(写权限)             1(可执行权限) 

    chmod [OPTION]… –reference=RFILE FILE…

        # 标识权限参照某文件修改

(1) chmod [OPTION]… MODE[,MODE]… FILE…

MODE:

    赋权表示法:直接操作一类用户的所有权限位rwx;

        u=

        g=

        o=

        a=

        两类用户权限相同:ug=, go=

        不同类的用户权限不同:u=,g=,o=

# ll
total 4
-rw-r--r-- 1 root root 595 Mar  8 15:57 fstab
# chmod u=r,g=w,o=x fstab 
# ll
total 4
-r---w---x 1 root root 595 Mar  8 15:57 fstab

# ll
total 4
-r---w---x 1 root root 595 Mar  8 15:57 fstab
# chmod a=rw fstab 
# ll
total 4
-rw-rw-rw- 1 root root 595 Mar  8 15:57 fstab

    授权表示法:操作一类用户一位或多位权限;

        u+, u-

        g+, g-

        o+, o-

        a+, a-

        两类用户权限收授机制相同:ug+, ug-, …

        不同类的用户权限不同:u+,g+,o+

# ll
total 4
-rw-rw-rw- 1 root root 595 Mar  8 15:57 fstab
# chmod u+x,g-w,o-r fstab 
# ll
total 4
-rwxr---w- 1 root root 595 Mar  8 15:57 fstab

# ll
total 4
-rwxr-xr-x 1 root root 595 Mar  8 15:57 fstab
# chmod ug-x,o+w fstab 
# ll
total 4
-rw-r--rwx 1 root root 595 Mar  8 15:57 fstab

# ll
total 4
-r--r--r-x 1 root root 595 Mar  8 15:57 fstab
# chmod a+w fstab 
# ll
total 4
-rw-rw-rwx 1 root root 595 Mar  8 15:57 fstab

(2) chmod [OPTION]… OCTAL-MODE FILE…

    OCTAL-MODE:权限标识

        r:4

        w:2

        x:1

# chmod 755 fstab 
# ll
total 4
-rwxr-xr-x 1 root root 595 Mar  8 15:57 fstab

# chmod 600 fstab 
# ll
total 4
-rw------- 1 root root 595 Mar  8 15:57 fstab

# chmod 644 fstab 
# ll
total 4
-rw-r--r-- 1 root root 595 Mar  8 15:57 fstab

注意:使用数字标识权限时不可省略,例如:

# ll
total 4
-rw-r--r-- 1 root root 595 Mar  8 15:57 fstab
# chmod 60 fstab 
# ll
total 4
----rw---- 1 root root 595 Mar  8 15:57 fstab

这里本来要改文件的属主为6(rw),文件的属组没有权限,但是更改后就变成属组为6,而属主与其他用户没有权限    

(3) chmod [OPTION]… –reference=RFILE FILE…

    常用选项:

    -R, –recursive:递归修改;

# ll mode/
total 4
-rw-r--r-- 1 root root 595 Mar  8 16:13 fstab
# ll mode/ -d
drwxr-xr-x 2 root root 18 Mar  8 16:13 mode/
# chmod -R o+w mode/
# ll mode/ -d
drwxr-xrwx 2 root root 18 Mar  8 16:13 mode/
# ll mode/
total 4
-rw-r--rw- 1 root root 595 Mar  8 16:13 fstab

            –reference=RFILE:RFILE表示参考其权限模型;

# ll
total 4
----rw---- 1 root root 595 Mar  8 15:57 fstab
# ll /etc/fstab 
-rw-r--r--. 1 root root 595 Mar 12  2016 /etc/fstab
# chmod --reference=/etc/fstab /tmp/fstab 
# ll
total 4
-rw-r--r-- 1 root root 595 Mar  8 15:57 fstab

chown命令:修改属主或属组

    chown [OPTION]… [OWNER][:[GROUP]] FILE…

    chown [OPTION]… –reference=RFILE  FILE…

        #   此处也是参照文件修改,只是此处修改的是属主和属组( 注意:此处不修改权限)

# ll -d mode/
drwxr-xrwx 2 root root 18 Mar  8 16:13 mode/
# chown mageedu.mageedu mode/
# ll -d mode/
drwxr-xrwx 2 mageedu mageedu 18 Mar  8 16:13 mode/

# ll fstab 
-rwxr-xr-x 1 root root 595 Mar  8 15:57 fstab
# chown .mageedu fstab    #此处表示修改属组(属组与属主的分隔符可以用点或者冒号(.或:)
# ll fstab 
-rwxr-xr-x 1 root mageedu 595 Mar  8 15:57 fstab
# chown mageedu. fstab    #此处表示修改属主
# ll
total 4
-rwxr-xr-x 1 mageedu mageedu 595 Mar  8 15:57 fstab

常用选项:

    -R, –recursive:递归修改;

                # 与chmod使用方式相同,此处不在过多介绍

chgrp命令:修改属组

    chgrp [OPTION]… GROUP FILE…

    chgrp [OPTION]… –reference=RFILE FILE…

# ll fstab 
-rwxr-xr-x 1 mageedu mageedu 595 Mar  8 15:57 fstab
# chgrp xueba fstab 
# ll fstab
-rwxr-xr-x 1 mageedu xueba   595 Mar  8 15:57 fstab

六、下面介绍几个比较实用的用户与用户组相关的Linux命令

chsh命令:修改用户的登录shell

    chsh [option] [username]

    -s:指定shell

    -l:查看可用shell列表

chfn命令:修改用户的详细信息

    chfn [option] [username]

    -f,–full-name 名字

    -o,–office 办公地址

    -p,–office-phone 办公电话

finger命令:用户信息查找程序

    finger [-lmsp] [user …] [user@host …]

    -s:显示用户的列出该用户的帐号名称,真实姓名,登入终端机,闲置时间,登入时间以及地址和电话;

pwck:用来验证/etc/passwd和/etc/shadow文件的内容格式完整性

    pwck [options] [passwd [ shadow ]]

    -s:以用户id排序文件 /etc/passwd /etc/shadow

    -r:只读方式运行命令

grpck:用来验证/etc/group /etc/gshadow件的内容格式完整性

grpck [options] [group [ shadow ]]

    -s:以组id排序文件 /etc/group /etc/gshadow

    -r:只读方式运行命令


原创文章,作者:Ace,如若转载,请注明出处:http://www.178linux.com/12664

(0)
AceAce
上一篇 2016-03-20
下一篇 2016-03-20

相关推荐

  • 马哥教育网络班21期+第二周课程练习

    Linux上的文件管理类命令都有哪些?其常用的方法及其相关示例。     cp:将源文件或者目录复制到目标文件或者目录中。     mv:将文件或目录重新命名,或者将源文件从源目录移到目标目录中。     rm:删除指定的一个文件或者多个文件或者目录。       &n…

    Linux干货 2016-07-16
  • 第一篇

     新的征程又开始了,努力吧!

    Linux干货 2016-12-26
  • 几个有意思的小脚本

    ①.用脚本画一个圣诞树 效果 ②.用脚本画一个类似国际象棋的棋盘 半成品效果 再像这样在下面多写几个循环,就可以了,我这个方法太笨,全写完要截图的太多,就放一部分意思下 ③.编写一个脚本,打印出九九乘法表 效果 ④.编写一个脚本,可接收一个 1-7 的数字作为参数,用 if 和 case 两种方法实现根据输入的数字输出对应星期的英文 用if的方法 用case…

    2017-05-11
  • iptables简单概念..

    iptables: 包过滤型的防火墙 Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件;    主机防火墙     网络防火墙   &…

    Linux干货 2017-06-19
  • N26-博客作业-week10

    1、请详细描述CentOS系统的启动流程(详细到每个过程系统做了哪些事情) 2、为运行于虚拟机上的CentOS 6添加一块新硬件,提供两个主分区;  (1) 为硬盘新建两个主分区;并为其安装grub;  (2) 为硬盘的第一个主分区提供内核和ramdisk文件; 为第二个分区提供rootfs;  (3) 为rootfs提供bas…

    2017-04-09
  • M22 使用NFS实现web共享发布

    实验目的: 搭建两个LAMP web发布系统搭建WordPress博客网站,并使用NFS作为共享的网络文件系统使这两个web服务器发布的内容一致。 实验工具: webServer1 Centos6.8 172.18.55.6 webServer2 Centos7.3 172.18.55.7 nfsServer Centos7.3 172.18.55.71 w…

    2017-04-26

评论列表(1条)

  • stanley
    stanley 2016-03-20 11:57

    理论与实战相结合,很不错。