Linux用户和权限管理

用户和权限管理Linux用户管理简介-1•Linux的单用户多任务。例如同时上网、听音乐；•Linux的多用户。可以支持1000个以上用户同时使用一台计算机，使资源充分利用；•Linux系统的多任务。允许每个用户同时运行多个作业，进程间可相互通信，但不会互相干扰，前台后台同时工作，提高了用户的工作效率；Linux用户管理简介-2用户在系统中是分为角色的，通过UID来识别角色•root用户，系统唯一，可以操作系统任何文件和命令，拥有最高权限，UID=0•虚拟用户，不具有登录系统能力，但却是系统运行不可缺少的用户。如：bin、daemon、ftp、mail等，UID为1---499之间•普通真实用户，可以登录系统，权限有限，靠管理员创建，UID为500—60000之间Linux用户管理简介-3为了更好的管理用户，出现组group的概念。•基本组（私有组）当用户创建文件和文件夹时，默认属于私有组•附加组（公共组）用户账号文件-/etc/passwd•用于保存用户的帐号基本信息–文件位置：/etc/passwd–每一行对应一个用户的帐号记录,一行有7个段位，用“：”隔开[root@localhost~]#tail-2/etc/passwdsabayon:x:86:86:Sabayonuser:/home/sabayon:/sbin/nologinqin:x:500:500:BENETStudentUser:/home/benet:/bin/bash用户名密码UIDGID用户名全称用户家目录用户登录shell[root@localhost~]#tail-2/etc/shadowxfs:!!:14374:0:99999:7:::teacher:$1$BT7teaYX$s2sr6uFUwKhtU.8/8VpzB1:14374:0:99999:7:::用户账号文件-/etc/shadow•用于保存密码字串、密码有效期等信息–文件位置：/etc/shadow–每一行对应一个用户的密码记录用户名加密密码，如果有两个感叹号，表示锁定，如果空白，则代表没有密码上次修改密码时间，从1970年1月1日开始修改密码间隔最少的天数，0为不限制密码最大使用期限密码过期前警告的天数密码过期时间root@localhost~]#tail-1/etc/gshadowjishu:!::lisiroot@localhost~]#grepadm/etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon:::组账号文件•与用户帐号文件相类似–/etc/group：保存组帐号基本信息–/etc/gshadow：保存组帐号的密码信息用户组名称用户组密码GID用户列表，如果为空，表示用户组为GID的用户名用户组用户组密码，如果是空或者有“！”，表示没有密码用户组管理者组成员，用逗号“，”隔开添加用户账号•useradd命令格式：useradd[选项]...用户名•常用命令选项-u：指定UID标记号-d：指定宿主目录，缺省为/home/用户名useradd-d/qinqin-e：指定帐号失效时间，格式YYYY-MM-DDuseradd-e2080-01-17qin-g：指定用户的基本组名（或UID号）useradd-gcaiwubuchuna-G：指定用户的附加组名（或GID号）useradd-Gcaiwubukuaiji-M：不为用户建立并初始化宿主目录-s：指定用户的登录Shelluseraddtest-s/sbin/nologin-n:取消建立以用户名称为名的群组删除用户账号•userdel命令格式：userdel[选项]用户名•常用命令选项-r：把用户的宿主目录一并删除设置密码•passwd命令格式：passwd[选项]用户名•常用命令选项-d：清空用户的密码，使之无需密码即可登录-l：锁定用户帐号passwd-lqin-S：查看用户帐号的状态（是否被锁定）-u：解锁用户帐号passwd-ufqin-x:最大密码使用时间（天）-n:最小密码使用时间（天）修改已有用户属性•usermod命令格式：usermod[选项]用户名•常用命令选项-l：更改用户帐号的登录名称-L：锁定用户账户usermod-Lqin-U：解锁用户账户usermod-Uqinusermod-p123456qin以下选项与useradd命令中的含义相同•-u、-d、-e、-g、-G、-s密码老化命令•chage命令格式：chage[选项]用户名•常用命令选项-mdays:指定用户改变密码所间隔的最小天数-Mdays:指定密码有效的最多天数-ddays：指定自从1970年1月1日起，密码被改变的天数-Edate:指定账号被锁的日期（YYYY-MM-DD）-Wdays:指定密码过期前要向用户告警的天数chage-d0qin首次登陆必须更改密码组管理命令•groupadd:添加组账号格式：groupadd[选项]用户名•groupdel:删除组账号格式：groupdel组帐号名•groupmod:修改用户组的属性格式：groupmod[选项]用户名•gpasswd命令用途：设置组帐号密码（极少用）、添加/删除组成员格式：gpasswd[选项]...组帐号名常用命令选项-a：向组内添加一个用户-d：从组内删除一个用户成员-M：定义组成员列表，以逗号分隔切换用户身份•su切换身份格式：su[选项][-][用户]root切换一般用户，不需要输入密码普通用户切换成其他用户，要输入目标用户的密码如果不跟用户名，默认切换成rootlinux用户相关配置文件•/etc/skel目录:添加用户时，这个目录的文件自动复制到新添加用户的家目录•/etc/login.defs文件:创建用户时的一些规则•/etc/default/useradd文件：通过useradd添加用户时的规则文件查询账号信息•id命令：查询用户身份标识格式：id[用户名]•groups命令:查询用户所属的组格式：groups[用户名]•finger命令：查询用户帐号的详细信息格式：finger[用户名]•users、w、who命令用途：查询已登录到主机的用户信息•whoami命令：显示当前用户名称图形化工具配置用户和组可以通过system-config-users命令打开文件/目录的权限和归属1•访问权限读取r：允许查看文件内容、显示目录列表写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录可执行x：允许运行程序、切换目录•归属（所有权）属主：拥有该文件或目录的用户帐号属组：拥有该文件或目录的组帐号文件/目录的权限和归属2rw-r--r--420400400644权限项读写执行读写执行读写执行字符表示rwxrwxrwx数字表示421421421权限分配文件所有者文件所属组其他用户[root@localhost~]#ls-linstall.log-rw-r--r--1rootroot3429804-0200:23install.log文件类型、权限属主、属组设置文件和目录的权限u、g、o、a分别表示属主、属组、其他用户、所有用户+、-、=分别表示增加、去除、设置权限3位八进制数格式2：chmodnnn文件或目录...•chmod命令–格式1：chmod[ugoa][+-=][rwx]文件或目录...常用命令选项-R：递归修改指定目录下所有子项的全新•chown命令格式：chown属主文件或目录chown:属组文件或目录chown属主:属组文件或目录•常用命令选项-R：递归修改指定目录下所有文件、子目录的归属•chgrp：改变档案所属群组-R：递归修改指定目录下所有文件、子目录的归属设置文件和目录的归属使用附加权限SET位权限主要用途：•为可执行（有x权限的）文件设置，权限字符为“s”•其他用户执行该文件时，将拥有属主或属组用户的权限SET位权限类型：•SUID：表示对属主用户增加SET位权限•SGID：表示对属组内的用户增加SET位权限[root@localhost~]#ls-l/usr/bin/passwd-rwsr-xr-x1rootroot198762006-07-17/usr/bin/passwd普通用户以root用户的身份，间接更新了shadow文件中自己的密码应用示例：/usr/bin/passwd使用附加权限粘滞位权限（Sticky）主要用途：•为公共目录用户不能删除该目录中其他用户的文件（例如，权限为777的）设置，权限字符为“t”应用示例：/tmp、/var/tmp[root@localhost~]#ls-ld/tmp/var/tmpdrwxrwxrwt8rootroot409609-0915:07/tmpdrwxrwxrwt2rootroot409609-0907:00/var/tmp粘滞位标记字符使用附加权限设置SET位、粘滞位权限使用权限字符•chmodug±s可执行文件...•chmodo±t目录名...使用权限数字：•chmodmnnn可执行文件...•m为4时对应SUID，2对应SGID，1对应粘滞位，可叠加ACL是AccessControlList的缩写，主要的目的是在提供传统的owner,group,others,read,write,execute权限之外的细部权限设定。主要可以针对几个项目：使用者(user)：可以针对使用者来设定权限；群组(group)：针对群组为对象来设定其权限；默认属性(mask)：还可以针对在该目录下在建立新文件/目录时，规范新数据的默认权限；细部权限规划：ACL的使用设置aclsetfacl：设定某个目录/文件的ACL规范。格式：setfacl[-bkRd][{-m|-x}acl参数]目标文件名选项或参数：-m：设定后续的acl参数给档案使用，不可与-x合用；-x：删除后续的acl参数，不可与-m合用；-b：移除所有的ACL设定参数；-R：递归设定acl；-d：设定预设acl参数的意思！只对目录有效，在该目录新建的数据会引用此默认值setfacl-mu:qin:rwx-R/qingetfacl：查看某个目录/文件的ACL设置。格式：getfacl目标文件名