用户和权限管理
一、linux用户和组的分类
用户:
1. Linux是多用户使用的系统资源,多任务同时运行多个进程。
用户分为管理员(root)和普通用户两大类
2. 普通用户分为系统用户和登陆用户
系统用户:用于运行服务程序
普通用户:系统的资源的正常使用
用户的标识:UID 用16bits二进制数字:0-65535;
管理员:0
3. 普通用户分为(系统用户、登陆用户)
系统用户:centos 5或是 centos6 :1-499
Centos7 :1-999
登陆用户:centos 5或是 centos6 :500+
Centos7:1000+
4.用户有用户的名称解析库,用于用户名称的转换 解析库: username< - - UID
解析库的地址为 /etc/passwd : 用户名、UID及其它属性信息解析库;
组:
linux组分为管理员组 和普通用户组
普通用户组(系统组、登陆组)
Linux组的标识:GID
普通用户组(系统组、登陆组)
系统组:centos 5或是 centos6:1-499
Centos7:1-999
登陆组:centos 5或是 centos6:500+
Centos7:1000+
2.用户组有用户组的名称解析库,用于组名称的转换 解析库:groupname < - - > GID
3.用户组类别:以用户为核心
用户的主组又称基本组 (备注:用户的主组指基本组)
用户的附加组指的时额外组(备注:用户的附加组指额外的组)
4.组类别:根据组内容纳的用户来划分
(1)私有组:与用户名相同,且只有一个此用户;
(2)公共组:组内包含了多个用户
二、用户和组的管理
1.主要是用linux命令来进行管理:
组管理的命令有:groupadd , groupmod ,groupdel
用户管理的命令有:useradd, usermod, userdel
用户和组的的认证机制:passwd
2. 组解析库文件:/etc/group
GRPNAME:x:GID:user1, user2, ...(此内容为组解析库里的内容,从左至右代表的是)
组名:密码点位符:GID:以此组为附加组的用户列表,以逗号分隔
groupadd命令:添加组
groupadd [选项] group
groupadd +用户 :范例如下
[root@localhost home]#groupadd mage
[root@localhost home]# cat /etc/group | tail -n 1 (此命令是查看一下是否添加成功)
mege:x:1005:
groupadd + -g GID:指明GID;指明组的ID号范例如下
[root@localhost home]#group –g 1009 li 添加登陆用户组为 li 组gid 为1009
[root@localhost home]# cat /etc/group |tail -n 1查看一下组解析库里是否添加成功
li:x:1009:
groupadd + -r, --system:添加系统组;范例如下
[root@localhost home]# groupadd -r test1 添加系统组为 test1
[root@localhost home]# cat /etc/group | tail -n 1查看一下组解析库里是否添加成功
test1:x:989:
groupmod命令:修改组信息
groupmod [选项] GROUP
groupmod + -g GID 修改组的GID号 范例如下
[root@localhost ~]# groupmod -g 988 test1 (修改组test1的GID号为988)
[root@localhost ~]# cat /etc/group | tail -n 1 (查看组test1的GID号是否修改成功)
test1:x:988:
groupmod + -n NEW_NAME:修改组名;范例如下
[root@localhost ~]# groupmod -n test2test1
[root@localhost ~]# cat /etc/group | tail -n 1
test2:x:988:
groupdel命令:删除组
groupdel [选项] GROUP + 已经有的组可以将其组删除:范例如下
[root@localhost ~]# groupdel test2 (删除组test2)
[root@localhost ~]# cat /etc/group | tail -n 1(查看一下组解析库里是否已经删除成功)
li:x:1009:
3.用户解析库:/etc/passwd
name:password:UID:GID:GECOS:directory:shell
useradd命令:添加用户
useradd + 新的用户名可直接添加之,范例如下
[root@localhost home]# useradd mage1 添加用户为mage1
[root@localhost home]# ls 查看mage1用户是否添加成功
bash basher lwm mage1 nologin testbash
useradd [选项] 登录名
useradd +-c选项 --comment COMMENT:添加新用户时,写注释信息,一般为Full Name;
范例 [root@localhost~]# useradd -c "magehao" mage4 (添加用户为mage4 注释信息 为“mamgehao“)
[root@localhost~]# cat /etc/passwd | tail -n 1 (查看一下新用户,和注释信息是 否添加成功)
mage4:x:1007:1007:magehao:/home/mage4:/bin/bash
-d, --home /PATH/TO/HOME_DIR:家目录路径;目标路径不能事先存在,否则会有警告,不会得利skel相关的文件给用户;
-g, --gidGROUP:用户的基本组组名或GID;
Useradd -G, --groupsGROUP1[,GROUP2,...[,GROUPN]]]:用户所属的附加组列表,彼此间用逗号隔开,中间没有空格;范例如下:
[root@localhost ~]useeradd -G magege wen (添加wen用户 附加组为 magege)
[root@localhost ~]# id wen
uid=1008(wen) gid=1008(wen) 组=1008(wen),1011(magege)
-m,--create-home:强制创建家目录;
-M:不创建用户主目录,即使系统在 /etc/login.defs 中的设置 (CREATE_HOME) 为 yes;
Useradd -r, --system:创建一个系统账户,范例如下
[root@localhost ~]# useradd -r test5
[root@localhost ~]# id test5
uid=992(test5) gid=989(test5) 组=989(test5)
-s,--shell SHELL:用户的登录 shell 名,默认为留空,让系统根据 /etc/default/useradd 中的 SHELL 变量选择默认的登录shell;
-u, --uidUID:用户 ID 的数字值。此值必须为唯一的,除非使用了 -o 选项。此值必须非负,默认使用大于等于UID_MIN,且大于任何其他用户 ID 最小值。
注意:创建登录用户时,为其自定义的shell程序必须为可登录shell,且要位于/etc/shells文件中;
useradd -D:显示创建用户时的默认设置;
useradd-D 选项:设置某默认选项;
-e, --expiredate EXPIRE_DATE:用户账号的过期期限;过期后会被锁定;日期以 YYYY-MM-DD 格式指定
-f, --inactive INACTIVE:密码过期后,账户被彻底禁用之前的天数。0表示立即禁用,-1 表示禁用这个功能。
4.usermod命令:修改账号信息一下为参数选项
Usermod -c, --comment COMMENT
-d,--home HOME_DIR:修改家目录为新的位置,但一般应该同时使用-m选项以保证原家目录中的文件会移动到新目录中;
-g, --gidGROUP
-G,--groups GROUP1[,GROUP2,...[,GROUPN]]]:修改时会覆盖原有的附加组;一同使用-a选项,表示为用户添加新的附加组;
-l,--login NEW_LOGIN:修改当前用户的用户名;
-s,--shell SHELL
-u,--uid UID
-L, --lock:锁定用户的密码。这会在用户加密的密码之前放置一个“!”
-U,--unlock:解锁用户的密码。这将移除加密的密码之前的“!”
5.userdel命令:删除用户账号
Userdel + -r选项 --remove:用户主目录中的文件将随用户主目录和用户邮箱一起删除。 范例 [root@localhost home]# userdel -r mage4 (将其mage4 删除)
[root@localhost home]# ls (查看一下是否删除成功)
bash basher lwm mage1 mage3 nologin testbash wen
[root@localhost home]#
6.passwd命令:密码管理命
passwd [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-wwarndays] [-i inactivedays] [--stdin] [username]
(1) passwd:修改自己的密码;后面不用加用户名
(2) passwd username:修改其它用户的密码,仅root有此权限;passwd +要修改的用户名即可,范例如下:
[root@localhost home]# passwd wen
更改用户 wen 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
密码复杂度:
(1) 不能少于8个字符;
(2) 不能使用与过去的密码太相似的密码;
(3) 应该使用四类字符中的至少三类;
Passwd + 选项:
-l:锁定密码,用户不能登陆进系统
-u:解锁解密,用户可以进行登陆系统
-d:清除密码,用户不需要密码即可登陆系统
--stdin:从标准输入接收密码;
echo"PASSWORD" | passwd --stdin USERNAME范例如下:
[root@localhost home]#echo "123" | passwd - -stdin wen
更改用户 wen 的密码 。
passwd:所有的身份验证令牌已经成功更新。
7.id命令:查看用户相关的id信
id [OPTION]... [USER]
选项
-u:仅查看uid
-g:仅查看gid
-G:查看所属的所有组的ID;
-n:显示名称,而非ID;
8.gpasswd命令:为组添加密码
组密码文件:/etc/gshadow
gpasswd [选项] group
-a USERNAME:把用户添加至组中,范例如下
[root@localhost home]# gpasswd -a wen magege
正在将用户“wen”加入到“magege”组中
-d USERNAME:从此组中移除此用户,范例如下
[root@localhost ~]# gpasswd -dwen magege
正在将用户“wen”从“magege”组中删除
9.newgrp命令:登录到一个新组(这里指的是用户登陆到新组中,会提到要密码)
[root@localhost ~]# gpasswd magege
正在修改 magege 组的密码
新密码:
请重新输入新密码:
[root@localhost ~]# su wen
[wen@localhost root]$ newgrp magege
密码:123
chage命令:修改用户账号的各种期限; chage+用户 ,范例如下
[root@localhost ~]# chage wen
正在为 wen 修改年龄信息
请输入新值,或直接敲回车键以使用默认值
最小密码年龄 [0]:
最大密码年龄[99999]:
最近一次密码修改时间(YYYY-MM-DD) [2016-03-10]:
密码过期警告 [7]:
密码失效 [-1]:
帐户过期时间(YYYY-MM-DD) [-1]:
二、用户和权限管理:
1.进程安全上下文:
进程:运行一个程序文件而产生,通常由一个用户发起;进程则以发起者的身份运行;
判断进程的发起者是否与文件属主相同,如果是,则以属主的身份来访问,从而应用属主权限;否则判断进程的发起者是否属于文件的属组,如果是,则应用属组权限;否则
应用“其它”权限
文件系统文件权限,以root用户/目录下的目录文件为例进行讲解如下
drwxr-xr-x. 20 root root 3180 3月 1016:50 dev
从左到右依次代表的含义解释:
d:指的是目录文件(文件类型)
rwx:属主权限 连接数 所有者 用户组 文件大小 修改日期 文件名
r-x: 属组权限
r-x: 其他用户对此文件目录的权限
20:硬连接数量,表示有多少个文件名连接到此节点(i-node)
R oot: 文件的所有者
Root:文件所有用户组
3180:文件的大小
10 16:50:文件修改的时间
Dev:文件名
三类用户:属主:owner, u 属组 group, g 其它:other, o
权 限:r: readable,可读 w: writable, 可写 x:excutable, 可执行
权限管理:r:可获取文件的数据;w:可修改文件的数据; x:可将此文件运行为进程;
目 录:r:可使用ls命令获取其下的所有文件列表;但不可以使用“ls -l”去获取详细信息,也不可以cd至此目录中;
w:可修改此目录下的文件列表, 即可以在此目录下创建或删除文件;
x:可以使用"ls -l“命令来获取其下的文件的详细属性信息,也可cd至此目录中;
rwxrwxrwx:(前三位:owner: rwx 中三位 group: rwx 后三位 other: rwx )
2.权限组合机制:
以owner为例:
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
3.权限管理:
ownership:仅管理员有权限
改属主:chown
改属组:chgrp
Chmod(修改用户的权限)
chmod命令:
作用:changefile mode bits
chmod[OPTION]... MODE[,MODE]... FILE...
chmod[OPTION]... OCTAL-MODE FILE...
chmod[OPTION]... --reference=RFILE FILE...
用户的标识符:u,g,o,a
(1)chmod [OPTION]... MODE[,MODE]... FILE...
MODE:
赋权表示法:直接操作一类用户的所有权限位rwx;
u= 如下范例:
[root@localhost/]# ls -ld dev (列出原有dev目录的权限)
drwxr-xr-x. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod u=r dev (修改dev目录的属主的权限为只读)
[root@localhost /]# ls -ld dev
dr--r-xr-x. 20 root root 3180 3月 10 16:50 dev
g= 如下范例
[root@localhost/]# ls -ld dev (列出原有dev目录的权限)
dr--r-xr-x. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod g=rwx dev (为dev目录属主添加写)
[root@localhost /]# ls -ld dev
dr--rwxr-x. 20 root root 3180 3月 10 16:50 dev
o= 如下范例
[root@localhost/]# ls -ld dev (列出原有dev目录的权限)
dr--rwxr-x. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod o=rwx dev (为dev目录文件添加写权限)
[root@localhost /]# ls -ld dev
dr--rwxrwx. 20 root root 3180 3月 10 16:50 dev
a= 如下范例
[root@localhost/]# ls -ld dev (列出原有dev目录的权限)
dr--rwxrwx. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod a=rwx dev (所有用户都有对dev目录文件的读写执行权限)
[root@localhost /]# ls -ld dev
drwxrwxrwx. 20 root root 3180 3月 10 16:50 dev
(2)两类用户权限相同:ug=,ugo= (有两个用户同时拥有可读、可写、或是可执行的权限时候,可以用这种办法)举例如下
Ug 属主和属组同时拥有读权限时 范例如下
[root@localhost/]# ls -ld dev (列出原有目录的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod ug=r dev (给目录文件的属主和属组添加读权限)
[root@localhost /]# ls -ld dev
dr--r-----. 20 root root 3180 3月 10 16:50 dev
ugo 属主和属组同时拥有读写执行权限时
[root@localhost ~]# ls -ld /dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 /dev
[root@localhost ~]# chmod ugo=rwx /dev (给属主、属组、其它 加上读写执行权限)
[root@localhost ~]# ls -ld /dev
drwxrwxrwx. 20 root root 3180 3月 10 16:50 /dev
(3)不同类的用户权限不同:u=,g=,o=
授权表示法:操作一类用户一位或多位权限;
u+
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod u+r dev (给属主添加读权限)
[root@localhost /]# ls -ld dev
dr--------. 20 root root 3180 3月 10 16:50 dev
u-
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
dr--------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod u-r dev (给属主去掉读权限)
[root@localhost /]# ls -ld dev
d---------. 20 root root 3180 3月 10 16:50 dev
g+
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod g+r dev (给属组添加读权限)
[root@localhost /]# ls -ld dev
d---r-----. 20 root root 3180 3月 10 16:50 dev
g-
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d---r-----. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod g-r dev (给属组去掉读权限)
[root@localhost /]# ls -ld dev
d---------. 20 root root 3180 3月 10 16:50 dev
o+
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod o+rwx dev (给它用户添加读写执行权限)
[root@localhost /]# ls -ld dev
d------rwx. 20 root root 3180 3月 10 16:50 dev
o-
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d------rwx. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod o-rwx dev (给它用户去掉读写执行权限)
[root@localhost /]# ls -ld dev
d---------. 20 root root 3180 3月 10 16:50 dev
a+
[root@localhost /]# ls -ld dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod a+r dev (给所有用户添加读权限)
[root@localhost /]# ls -ld dev
dr--r--r--. 20 root root 3180 3月 10 16:50 dev
a-
[root@localhost /]# ls -ld dev (列出目录文件原有的权限)
dr--r--r--. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod a-r dev (给所有用户去掉读权限)
[root@localhost /]# ls -ld dev
d---------. 20 root root 3180 3月 10 16:50 dev
(4) 两类用户权限授权机制:ug+,ug-, ... (指的时两类用户同时拥有可读可写可执行权限)
ug+ (同时给属主、属组添加权限)范例如下
[root@localhost /]# ls -ld dev (列出目录文件原有的权限)
d---------. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod ug+r dev (给属主和属组添加读权限)
[root@localhost /]# ls -ld dev
dr--r-----. 20 root root 3180 3月 10 16:50 dev
ug-
[root@localhost /]# ls -ld dev (列出目录文件原有的权限)
dr--r-----. 20 root root 3180 3月 10 16:50 dev
[root@localhost /]# chmod ug-r dev (给属主和属组去掉读权限)
[root@localhost /]# ls -ld dev
d---------. 20 root root 3180 3月 10 16:50 dev
(5)不同类的用户权限不同:u+,g+,o+ (同时给属主属主其它用户添加读写执行权限)范例如下:
[root@localhost/]# ls -ld dev (列出目录文件原有的权限)
d---------. 20root root 3180 3月 1016:50 dev
[root@localhost/]# chmod u+rwx,g+rwx,o+rwx dev (给属主,属组、其它用户添加可读可写可执行权限)
[root@localhost/]# ls -ld dev
drwxrwxrwx. 20 root root 3180 3月 10 16:50 dev
(6) chmod [OPTION]... OCTAL-MODE FILE...
chmod [OPTION]...--reference=RFILE FILE...
--reference=RFILE:RFILE表示参考其权限模型;
范例如下:
[root@localhost/]# ls -l
-rw-rw-r--. 1 root root 541 3月 1009:05 fstab
[root@localhost/]# chmod - -reference=fstab li
[root@localhost/]# ls -l
-rw-rw-r--. 1 root root 594 3月 1009:00 li
chmod常用选项:
-R, --recursive:递归修改;将目录文件和目录文件下的文件都改成700.
[root@localhost/]# chmod -R 700 /tmp
[root@localhost/]# ls -ld /tmp
drwx------. 7 rootroot 4096 3月 1021:24 /tmp
[root@localhost/]# ls -l /tmp
总用量 8
-rwx------. 1 rootroot 827 3月 1008:29 ks-script-AzR9EI
-rwx------. 1 rootroot 42 3月 10 09:46which.out
-rwx------. 1 rootroot 0 3月 10 08:17yum.log
chown命令:
chown [OPTION]...[OWNER][:[GROUP]] FILE... 既能更改文件的属主又能更改文件的属组
更改文件的属主:
[root@localhosttmp]# ls –l (列出原有文件的属主或是属组)
-rwx------. 1 wen wen 42 3月 10 09:46 which.out
[root@localhosttmp]# chown wen:root which.out (更改文件which.out的属主)
[root@localhost tmp]# ls -l
-rwx------. 1 wen root 42 3月 10 09:46 which.out
2.chown[OPTION]... --reference=RFILE FILE... (根据参考文件进行修改属主属组)
[root@localhost tmp]# ls -l
总用量 8
-rwx------. 1 root root 827 3月 10 08:29 ks-script-AzR9EI
-rwx------. 1 wen root 42 3月 10 09:46 which.out
-rwx------. 1 root root 0 3月 10 08:17 yum.log
[root@localhost tmp]# chown--reference=ks-script-AzR9EI which.out (仿照ks-script-AzR9EI文件修改which.out)
[root@localhost tmp]# ls -ld which.out
-rwx------. 1 root root 42 3月 10 09:46 which.out
常用选项:-R, --recursive:递归修改;范例如下
3.chgrp命令:
chgrp[OPTION]... GROUP FILE... (只能更改文件的属组)范例如下
[root@localhost tmp]# ls -l
-rwx------. 1 root root 42 3月 10 09:46 which.out
[root@localhosttmp]# chgrp magege which.out (修改文件which.out的属组为magege)
[root@localhost tmp]# ls -l
-rwx------. 1 root magege 42 3月 10 09:46 which.out
chgrp[OPTION]... --reference=RFILE FILE...
4. umask:显示或设定文件模式掩码
(1)显示当前系统默认的umask
[root@localhost tmp]# umask
0022
系统默认为:0022表示特殊权限、所有者权限、所有组权限、其他人权限
(2)更改默认设置位置的地方,配置文件为 /etc/login.defe
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
文件:
666-umask
目录:
777-umask
注意:之所以文件用666去减,表示文件默认不能有执行权限;如果减得的结果中,u,g或o有执行权限时,则需要加1;
设定:umask MASK
注意:此设定仅对当前shell进程有效;
三、以上就是用户和组的管理以及用户和权限管理的管理了,再加再励,希望在马哥的带领下,一路狂奔,让自己的技术有更快的提升。
