学习札记:用户管理,权限管理和ACL欢乐”斗地主”

补充：touch /etc/nologin 启动系统维护功能,其他用户不能登陆,除了管理员,可以自定义内容,在普通用户登陆的时候可以看到相关维护提示,解除维护模式的话,必须要删除该文件,另外可以创建/run/nologin达到相同的效果(仅限于CentOS 7),

用户属性修改

usermod [OPTION] login

• -u UID: 新UID

• -g GID: 新基本组

• -G GROUP1[,GROUP2,…[,GROUPN]]]:新附加组,原来附加,组将会被覆盖;若保留原有,则要同时使用-a选项,表示append;

• -s SHELL:新的默认SHELL;

• -c ‘COMMENT’:新的注释信息;

• -d HOME: 新家目录不会自动创建,原家目录中的文件不会同时移动至新的家目录;若要创建新家目录并移动原家数据,同时使用-m选项

• -l login_name: 新的名字;

• -L: lock指定用户,在/etc/shadow 密码栏的增加 !

• -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉

• -e YYYY-MM-DD: 指明用户账号过期日期;

• -f INACTIVE: 设定非活动期限;

删除用户

userdel [OPTION]… login

• -r: 删除用户家目录;

  查看用户相关的ID信息

  id [OPTION]… [USER]

• -u: UID

• -g: GID

• -G: Groups

• -n: Name

切换用户或以其他用户身份执行命令

su [options…] [-] [user [args…]]

切换用户的方式:

su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录

su – UserName:登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换root,su至其他用户无须密码;非root用户切换时需要密码

换个身份执行命令:

su [-] UserName -c ‘COMMAND’

选项:-l –login:

su -l UserName 相当于 su – UserName

设置密码

passwd [OPTIONS] UserName: 修改指定用户的密码,仅root用户权限

passwd: 修改自己的密码;

常用选项:

• -l:锁定指定用户

• -u:解锁指定用户

• -e:强制用户下次登录修改密码

• -n mindays: 指定最短使用期限

• -x maxdays:最大使用期限

• -w warndays:提前多少天开始警告

• -i inactivedays:非活动期限;

• –stdin:从标准输入接收用户密码;

• echo “PASSWORD” | passwd –stdin USERNAME

修改用户密码策略

chage [OPTION]… LOGIN

• -d LAST_DAY

• -I, –inactive INACTIVE

• -E, –expiredate EXPIRE_DATE

• -M, –maxdays MAX_DAYS

• -m, –mindays MIN_DAYS

• -W, –warndays WARN_DAYS

• –l,显示密码策略,下一次登录强制重设密码

chage -d 0 tom

chage -m 0 –M 42 –W 14 –I 7 tom

chage -E 2016-09-10 tom

用户相关的其它命令

• chfn 指定个人信息

• chsh 指定shell

finger

查看用户详细信息

创建组

groupadd [OPTION]… group_name

• -g GID: 指明GID号;[GID_MIN, GID_MAX]

• -r: 创建系统组;

• CentOS 6: ID<500

• CentOS 7: ID<1000

修改和删除组

组属性修改:groupmod

groupmod [OPTION]… group

• -n group_name: 新名字

• -g GID: 新的GID;

组删除:groupdel

groupdel GROUP

更改组密码

组密码:gpasswd

gpasswd [OPTION] GROUP

• -a user: 将user添加至指定组中;

• -d user: 从指定组中移除用户user

• -A user1,user2,…: 设置有管理权限的用户列表

newgrp命令:临时切换基本组;

如果用户本不属于此组,则需要组密码

更改和查看组成员

groupmems [options] [action]

options:

• -g, –group groupname 更改为指定组 (只有root)

  Actions:

• -a, –add username 指定用户加入组

• -d, –delete username 从组中删除用户

• -p, –purge 从组中清除所有成员

• -l, –list

显示组成员列表

groups [OPTION].[USERNAME]… 查看用户所属组列表

修改文件的属主和属组

修改文件的属主:chown

chown [OPTION]… [OWNER][:[GROUP]] FILE…

用法:

OWNER OWNER:GROUP
:GROUP 命令中的冒号可用.替换;

• -R: 递归

• chown [OPTION]… –reference=RFILE FILE…

修改文件的属组:chgrp

• chgrp [OPTION]… GROUP FILE…

• chgrp [OPTION]… –reference=RFILE FILE…

• -R 递归

文件权限

文件的权限主要针对三类对象进行定义:

• owner: 属主, u

• group: 属组, g

• other: 其他, o

  每个文件针对每类访问者都定义了三种权限:

• r: Readable

• w: Writable

• x: eXcutable

文件权限

文件:

• r:w:x:可使用文件查看类工具获取其内容,可修改其内容
  可以把此文件提请内核启动为一个进程

目录:

• r: 可以使用ls查看此目录中文件列表

• w: 可在此目录中创建文件,也可删除此目录中的文件

• x: 可以使用ls -l查看此目录中文件列表,可以cd进入此目录

• X:只给目录x权限,不给文件x权限

权限分配

• 文件所有者

• 文件所属组用户

• 其他用户

  修改文件权限

• chmod [OPTION]… OCTAL-MODE FILE…

• -R: 递归修改权限

• chmod [OPTION]… MODE[,MODE]… FILE…

MODE:

• 修改一类用户的所有权限:

• u= g= o= ug= a= u=,g=

• 修改一类用户某位或某些位权限

• u+ u- g+ g- o+ o- a+ a- + –

• chmod [OPTION]… –reference=RFILE FILE…参考RFILE文件的权限,将FILE的修改为同RFILE;

权限设置

新建文件和目录的默认权限

• umask值 可以用来保留在创建文件权限

新建FILE权限: 666-umask

• 如果所得结果某位存在执行(奇数)权限,则将其权限+1

• 新建DIR权限: 777-umask

• 非特权用户umask是 002从目录或文件上屏蔽掉最大权限相应的位,从而得出默认权限,算出来的结果加一(如果文件具有执行权限) root的umask 是 022

• umask: 查看

• umask #: 设定

• umask 002

• umask –S 模式方式显示

• umask –p 输出可被调用
  全局设置: /etc/bashrc 用户设置:~/.bashrc

Linux文件系统上的特殊权限

SUID, SGID, Sticky

• 三种常用权限:r, w, x

• 安全上下文

  user, group, other

• 前提:进程有属主和属组;文件有属主和属组

• (1) 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限

• (2) 启动为进程之后,其进程的属主为发起者;进程的属组为发起者所属的组

• (3)进程访问文件时的权限,取决于进程的发起者

• (a) 进程的发起者,同文件的属主:则应用文件属主权限

• (b) 进程的发起者,属于文件属组;则应用文件属组权限

• (c) 应用文件“其它”权限

可执行文件上SUID权限

任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限,启动为进程之后,其进程的属主为原程序文件的属主

SUID只对二进制可执行程序有效

SUID设置在目录上无意义

权限设定:

• chmod u+s FILE…

• chmod u-s FILE…

可执行文件上SGID权限

任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限,启动为进程之后,其进程的属主为原程序文件的属组

权限设定:

• chmod g+s FILE…

• chmod g-s FILE…

目录上的SGID权限

默认情况下,用户创建文件时,其属组为此用户所属的主组一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组通常用于创建一个协作目录

权限设定:

• chmod g+s DIR…

• chmod g-s DIR…

Sticky 位

具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权,在目录设置Sticky以删除该文件位,只有文件的所有者或root可以

sticky 设置在文件上无意义

权限设定:

• chmod o+t DIR…

• chmod o-t DIR…

SGID(在该目录里新建文件或目录，将自动继承该文件夹所属组的属性．)

权限位映射

SUID: user,占据属主的执行权限位

• s: 属主拥有x权限

• S:属主没有x权限

• SGID: group,占据属组的执行权限位

• s: group拥有x权限

• S:group没有x权限

• Sticky: other,占据other的执行权限位

• t: other拥有x权限

• T:other没有x权限

设定文件特定属性

• chattr +i 不能删除,改名,更改

• chattr +a 只能增加

• lsattr 显示特定属性

  访问控制列表

  ACL:Access Control List,实现灵活的权限管理,除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。

CentOS7.X之前版本,默认手工创建的ext4文件系统无ACL功能。需手动增加:

• tune2fs –o acl /dev/sdb1

• mount –o acl /dev/sdb1 /mnt

  ACL生效顺序:所有者,自定义用户,自定义组,其他人
  访问控制列表

为多用户或者组的文件和目录赋予访问权限rwx

mount -o acl /directory

getfacl file |directory

setfacl -m u:wang:rwx file|directory

setfacl -Rm g:sales:rwX directory

setfacl -M file.acl file|directory

setfacl -m g:salesgroup:rw file| directory

setfacl -m d:u:wang:rx directory 将来新文件会继承来自父目录的访问控制权限

setfacl -x u:wang file |directory

setfacl -X file.acl directory

访问控制列表

ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限),而非传统的组权限

getfacl 可看到特殊权限:flags

默认ACL权限给了x,文件也不会继承x权限。

base ACL 不能删除

• setfacl -k dir 删除默认ACL权限

• setfacl -b file1清除所有ACL权限

• getfacl file1 | setfacl –set-file=- file2 复制file1的acl权限给file2

访问控制列表

mask只影响除所有者和other的之外的人和组的最大权限
Mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)

用户或组的设置必须存在于mask权限设定范围内才会生效。
setfacl -m mask::rx file

–set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以.

如:
setfacl –set u::rw,u:wang:rw,g::r,o::- file1

备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL,只是cp命令需要
加上-p 参数。但是tar等常见的备份工具是不会保留目录
和文件的ACL信息

• getfacl -R /tmp/dir1 > acl.txt

• setfacl -R -b /tmp/dir1

• setfacl -R –set-file=acl.txt /tmp/dir1

• getfacl -R /tmp/dir1

作业:

4、三种权限rwx对文件和目录的不同意义
对于目录：
r:是ls等命令能读取其目录下的文件列表
w:能向目录中写入数据
x:能进入目录中
对于文件:
r:cat能相关工具能读取文件内容
w:能通过重定向或编辑器向其中写入内容
x:能有运行权限,如脚本
5、umask和acl mask 的区别和联系
umask:是规定了其创建文件和目录时的相关权限,一般文件不会具有运行权限
acl mask:是规定了访问控制列表中的用户或用户组所具有的最低权限
6、三种特殊权限的应用场景和作用
SUID:user位上的s权限,是给那些需要借助其他用户身份运行的程序提供了一种可行方式
SGID:group位上的s权限,在该目录里新建文件或目录，将自动继承该文件夹所属组的属性．
Sticky:other位上的s权限,可以划定目录里的用户只能对自己的文件进行删除操作,其余涉及其他用户数据的操作被禁止
7、设置user1，使之新建文件权限为rw——-
su – user1
umask 066
8、设置/testdir/f1的权限，使user1用户不可以读写执行，g1组可以读写/testdir/dir的权限，使新建文件自动具有acl权限：user1:rw,g1:—
setfacl -m u:user1:— /testdir/f1

setfacl -Rm g:g1:rw,u:user1:rw  /testdir/dir

备份/testdir目录中所有文件的ACL，清除/testdir的所有ACL权限，并利用备份还原
getfacl -R /testdir > /data/t/acl.txt
setfacl -R -b /testdir

清除acl后

setfacl -R –set-flie /data/t/acl.txt

getfacl -R /testdir