用户和组的管理

前言

服务器最主要的工作是提供可靠的服务,提供服务就必须对外开放自己的网络,可靠就需要一定的机制来保证了。Linux中有一个3A的机制,首先是认证,就是我们经常听到的一句话,怎么证明你就是你;其次是授权,管理一个服务器,每个管理员都有自己的职责,那么我们就只分配对应的权限给特定的人,这样就可以明确事故的责任,从源头甩锅;最后是审计,总有一些黑客可以通过各种手段侵入我们的服务器,怎么保证我们所分配的权限没有被越权,这里我们可以通过记录管理员的操作,以保证权限的正确利用。

1组和用户

既然要分配权限,就要确定分配权限的对象。先对用户进行分门别类的划分一下。

超级管理员,它拥有这个服务器的全部权限,掌管一切,就是服务器的上帝,它具有自杀的权限,他可以让一切结束。其它用户的权限都在它的管理范围内。类似公司的老板,在linux中被定义为root

一般用户,具有一定的特殊权限。相当于员工。在linux被定义为普通账号,可以登录系统。有些大公司还有一些管理员,具有服务器大部分权利,有些管理员也可以控制着服务器自杀。类似公司的管理层,其本质还是员工,只不过root给他授予了更多的权限。

世界如此复杂总不能每个人都设定一个权限吧,号我们给用户分门别类,把类似的用户组织到一起分到一个组里,给这个组一个权限,这样可以大大减少我们分配权限的难度。Linux是很多开源人士攒出来的一个系统,每个使用linux的人都是人中龙凤。那好linux就设置了一种机制,默认在每个用户创建的时候,给用户创建一个与其同名的组,并且把这位人中龙凤定义为这个组的管理员,他可以把其他人加入自己的组中,其实就是为了方便大家联合开发和使用系统。

2用户和组的配置文件

在思想纲领的引导下,我们怎么实现用户和组的管理。Linux把创建的组和用户的参数放在多个文件中,这些文件的内容都有什么?

了解这些配置文件前,我们必须先了解linux怎么实现3A机制的。才可以更好的了解这些配置文件的作用。

1)        首先用户认证,linux怎么实现认证你就是你的,账号密码。账号放置在/etc/passwd文件中,密码放置在/etc/shadow文件中。

当一个用户登录时,系统拿到用户名和密码后首先遍历/etc/passwd文件,找到文件中对应用户的信息后,查看用户信息,账号没过期接着查/etc/shadow文件,密码正确就可以登录了。

/etc/passwd文件的格式,以冒号为分隔符

第一个字段是用户名

第二个字段是密码,现在密码不放在这个位置了,使用x代替

第三个字段是uid

第四个字段是gid

第五个字段是用户注释信息,可以没有

第六个字段是用户家目录

第七个字段是用户家目录

示例tom:x:500:500::/home/tom:/bin/bash

/etc/shadow的文件格式,同样是以冒号为分隔符

第一个字段是用户名

第二个字段是密码,这里的密码是经过加密过的密文,加密算法采用的是sha512。密码前面有!或!!,代表账号被锁定,此时这个账号不能登录系统。

第三个字段是用户上一次更改密码日期

第四个字段是用户密码最短使用时间,也就是几天内不能连续更改密码

第五个字段是密码有效时间

第六个字段是密码警告时间,提示用户更改密码

第七个字段是过期时间,用户在过期时间内没有更改密码,账号就会被锁定,密码字段最前面就会增加!!,只有管理员解锁才可以使用

第八个字段是账号到期时间

/etc/group

第一个字段是用组名

第二个字段是密码

第三个字段是gid

第四个字段是组内的其它用户

/etc/gshadow

第一个字段是组名

第二个字段是密码,与shadow一样!和!!代表账号锁定

第三个字段是组内管理者

第四个字段是组内的其它用户

2)        权限

在下一篇学习

3)        审计

在下一篇学习

3用户管理命令

1)        Useradd主要是用来添加用户的命令(可以使用su切换用户,会读取用户配置文件),命令格式如下

Useradd [option] username

-u #             指定uid,使用指定的uidid命令查看用户id信息)

-o          不检查uid的唯一性

-g #             指定gid

-G         指定附加组,附加组为多个时用,分割多个组

-N         不创建与用户同名组,并使用users组做家目录

-d          指定家目录

-s          指定shell类型

-c          指定用户附加信息

-r           创建系统组,和普通组没有太大的区别,centos6的系统用户小于500,7小于1000,这个只不过是约定俗成的规定,没有硬性要求

2)        Usermod用来更改用户信息(用户信息可以使用finger username命令查看),命令格式如下

Usermod [option] username

-u #             更改uid,使用指定的uid

-g #             更改gid

-G         更改附加组,附加组为多个时用,分割多个组。直接填附加组的话,原本的附加组会被覆盖。

-a          添加,一般与-G一起使用,给用户添加附加组。

-e YYYY-MM-DD           指明过期日期

-s          更改shell类型

-c          更改用户附加信息

-d          更改家目录但不移动原家目录内的文件,使用-m移动原家目录文件

-l           更改名字

-L          锁定

-U         解锁

3)        Userdel用来删除用户

-r            删除用户的同时删除该用户的家目录

4)        Passwd用来更改用户密码,直接使用更改当前用户密码

Passwd username更改指定用户密码

-l            锁定用户

-u           解锁

-e           强制用户下次登录更改密码

-n           指定最短使用时间

-m          指定最大使用时间

-w          指定警告时间

-i            指定非活动时间

–stdin          从标准输入接受密码

5)        chage更简单的修改的时间的命令

直接输入chage进入提示模式

-m          最小使用时间

-M          最大使用时间

-W         警告时间

-I            过期时间

-E           停用时间

-d           修改时间

4组管理命令

1)        Groupadd添加组

-g           指定组gid

-r            创建系统组

2)        Groupmod更改组信息

-n           更改组名

-g           更改gid

3)        Groupdel删除组

4)        Gpasswd给组设置密码

-a           添加user进组

-d           删除组内user

-A           指定user具有管理权限

5)        Newgrp         把某个用户的组临时切换到其它组,创建文件时组是临时组。

总结

到生产环境中,我们将不会拥有root权限,我们手头上的账号可能只具有某个目录的管理权限,那时我们只能在针尖上跳舞。当我们管理团队的时候,责任的划分将与用户权限密切相关,管理好手下的人,先从用户权限入手总不会错。

原创文章,作者:mortimer2015,如若转载,请注明出处:http://www.178linux.com/53545

(0)
mortimer2015mortimer2015
上一篇 2016-10-22
下一篇 2016-10-22

相关推荐

  • CentOS6.7上编译安装Apache2.2和Apache2.4

    centos6.7上如何编译安装Apache2.2和Apache2.4

    Linux干货 2016-05-29
  • Hadoop新增datanode与SecondaryNameNode

    无论是新增namenode还是SecondaryNameNode,操作方法大致相同 一、如果新增datanode,需要保证namenode能无密码ssh连接到新datanode 如果是添加SecondaryNameNode,则需保证其能无密码ssh连接至各datanode和namenode,namenode也需要能无密码连接到新SecondaryNameNo…

    Linux干货 2015-03-08
  • Linux内核编译以及自制Linux系统

    内核编译 单内核体系设计、但充分借鉴了微内核设计体系的优点,为内核引入模块化机制。   内核组成部分: kernel: 内核核心,一般为bzImage,通常在/boot目录下,名称为vmlinuz-VERSION-RELEASE; kernel object: 内核对象,一般放置于/lib/modules/VERSION-RELEASE/ [ ]:…

    2016-09-21
  • 全面解析文件文件系统

    前言: 文件系统作为linux总最基础的但愿。理解并深入了解文件系统对linux的学习有重要意义。我们从文件系统创建,构成以及工作流程几个方面全方位的介绍文件系统的相关概念。 简述: 一块完整的磁盘经过分区后我们就可以通过格式化,根据我们的需求构建文件系统能使用的文件系统格式。传统的文档系统中,一个分区就只能够被格式化为一个文件系统。所以我们可以说一个文件系…

    Linux干货 2016-11-14
  • N25_第三周作业_leon

    N25_第三周作业_leon 1.       列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 [root@localhost ~]# who 全部 jj       tty1  …

    Linux干货 2017-01-06
  • centos系统自动化安装

    本章内容 系统安装过程配置anaconda自动化安装系统 安装程序 CentOS系统安装 系统启动流程: bootloader–>kernel(initramfs)–>rootfs–>/sbin/init anaconda: 系统安装程序 tui: 基于图形库curses的文本窗口 gui:图形窗口 安装程序启动过程 MBR…

    Linux干货 2016-09-19