Linux账号用户和权限管理

用户账号和组账号概述

• Linux基于用户身份对资源访问进行控制
• 用户账号
  超级用户（root）：有且只有一个拥有最高的权限
  普通用户：由root用户或其他管理员用户创建的，可以登录到系统中拥有部分的操作权限
  程序用户：系统安装的某些应用程序自带的用户，用于实现程序可以正常运行所需要的必要用户，但是不能登录到系统中
• 组账号
  基本组（私有组）：基本组账号只有一个，一般为创建用户时指定的组，在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号
  附加组（公共组）：用户除了基本组以外，额外添加指定的组
• UID和GID
  UID(User IDentity,用户标识号)
  GID(Group IDentity,组标识号)
  root 用户账号的UID和GID号为固定值0
  程序用户账号的UID和GID号默认为1~499
  普通用户的UID和GID号默认为500~60000

用户账号文件/etv/passwd

• 保存用户名称、宿主目录、登录Shell等基本信息
• 基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只要root用户才能进行更改
• 在早期的UNIX操作系统中，用户账号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码淄川并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码存入专门的shadow文件中，二passwd文件中仅保留密码占位符“X”
• cat /etc/passwd
  可以看到很多的用户每一条代表一个用户的记录
  
• 第一段：用户账号的名称
• 第二段：用户密码占位符x
• 第三段：用户账号的UID号
• 第四段：所属基本组账号的GID号
• 第五段：用户全名
• 第六段：宿主目录
• 第七段：登录Shell信息（/bin/bash为可登录系统，/sbin/nologin和/bin/false为禁止用户登录系统）

用户账号文件/etc/shadow

• 保存用户的密码、账号有效期等信息
• 默认值有root用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容
• 每一段的意思
  
• 第一段：用户账号的名称
• 第二段：使用MD5加密的密码串信息，当为“*”、“！！”时表示此用户不能登录到系统。若该字段内容为空，则该用户无需密码即可登录系统
• 第三段：上次修改密码的时间，表示从1970年1月1日算起到最近一次修改密码时间的间隔天数
• 第四段：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制
• 第五段：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制
• 第六段：提前多少天警告用户密码将过期，默认值为7
• 第七段：在密码过期之后多少天禁用此用户
• 第八段：账号失效时间，此字段指定了用户做饭的天数1970.1.1算起，默认值为空，表示账号永久可用
• 第九段：保留字段（未使用）

添加用户账号

• useradd命令
  
• 在/etc/passwd 文件和/etc/shadow 文件的末尾添加该用户账号的记录
• 若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。
• 若没有明确指定用户所属的组，则自动创建于该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group/ 和/etc/gshadow文件中
• 常用选项
• -u：指定用户的UID号，要求该UID号码未被其他用户使用
• -d：指定用户的宿主目录位置(当与-M一起使用时，不生效) 。只能用绝对路径指定目录
• -e：指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式
• -g：指定用户的基本组名(或使用GID号) ，对应的组名必须已存在
• -G：指定用户的附加组名(或使用GID号) ，对应的组名必须已存在
• -M：不建立宿主目录
• -s：指定用户的登录Shell，(比如/bin/bash为可登陆系统， /sbin/nologin和/bin/false为禁止用户登陆系统)
• 实例
  useradd -d /admin -g wheel -G root zhangsab
  useradd -e 2021-12-31 -s /sbin/nologin lisi

设置/更改用户密码passwd

• passwd命令
  

• 常用选项
  不指定用户名时，修改当前用户密码
  普通用户不能指定用户名更改别的用户密码

• -d：清空指定用户的密码，仅使用用户名即可登录系统

• -l：锁定用户账户，锁定的用户账号将无法再登录系统

• -S：查看用户账户的状态(是否被锁定)

• -u：解锁用户账户

设置用户密码方法二

修改用户账号的属性 usermod

• usermod 命令
  
• 常用选项
• -l：更改用户的登录名称
• -L：锁定用户账户
• -U：解锁用户账户
• -u：修改用户的UID号
• -d：修改用户的宿主目录位置
• -e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式
• -g：修改用户的基本组名（或使用GID号）
• -G：修改用户的附加组名（或使用GID号）
• -s：指定用户的登录Shell
• 实例
• usermod -l zhangsan wangwu

删除用户账号 userdel

• userdel 命令
  
• 添加 -r选项时，表示连用户的宿主目录一并删除

用户账号的初始配置文件

• 文件来源
• useradd 命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件
• 这些文件来自于账号模板目录/etc/skel/,基本上都是隐藏文件
• 用户宿主目录下的初始配置文件只对当前用户有效
• 主要的用户初始配置文件
• ~/.bash_profile
• 此文件中的命令将在该用户每次登陆时被执行，它会设置一些环境变量，并会调用该用户的~/.bashrc文件
• ~/.bashrc
• 此文件中的命令会在每次打开新的bash shell时（也包括登陆系统）被执行，并且会调用/etc/bashrc文件
• ~/.bash_logout
• 此文件中的命令将在用户每次退出登陆或退出bash shell时执行
• 全局配置文件对所有用户有效
• /etc/profile：这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile或. /etc/profile命令调用shell环境执行使profile文件被读取
• /etc/profile.d/：这个文件实际上是/etc/profile的子日录，存放的是一些应用程序所需的启动脚本
• /etc/bashrc：每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，使bashrc文件被读取

• vi /etc/bashrc
  

• alias myls='/bin/ls -lhr'     #在末端添加
  

• bash     #进入一个新的bash环境
  

• type myls   如果不在全局文件中编辑添加的话将查找不到设置的别名
  

组账号文件

• 与用户账号文件类似
• /etc/group：保存组账号基本信息
• /etc/gshadow：保存组账号的密码信息

• grep "postfix" /etc/group
  

• mail:x:qw:postfix
  

• postfix:x:89:
  

• 第一段：组账号的名称
• 第二段：占位符 “x”
• 第三段：组账号的GID号
• 第四段：组账号包含的用户成员（一般不包括基本组队员的用户账号），多个成员之间以逗号“,”分割

添加组账号 groupadd

• groupadd命令

• 示例
• groupadd -g 1000 market

添加删除组成员 gpasswd

• gpasswd 命令
• 设置组账号密码（极少用）、添加/删除组成员
  
• 常用选项
• -a：向组内添加一个用户
• -d：从组内删除一个用户成员
• -M：定义组成员列表，以逗号分隔(定义什么用户为组成员就只有什么用户)
• 实例
• gpasswd -M zhangsan,lisi market

删除组账号 groupdel

• groupdel命令

• 实例
• groupdel market #删除组账号market

查询账号信息

• groups 命令

• 查询用户所属的组
  
  

• id命令

• 查询用户身份标识

• finger 命令
• 查询用户账号的登录属性
  注：系统没有默认安装需要先进行安装finger软件包
  
• 通过
• rpm -qa | grep finger
• 搜索有没有安装finger没有就进行如下操作
• cd /etc/yum.repos.d/
• ls

• yum install -y finger #本地yum源仓库没有的话通过官方源下载

• 通过yum安装简单一点这就是为什么之前重点了解的原因

• w、who、users命令

• 查询已登录到主机的用户信息

文件/目录的权限和归属

• 访问权限
• 读取r：允许查看文件内容、显示目录列表
• 写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
• 可执行x：允许运行程序、切换目录
• 归属（所有权）
• 属主：拥有该文件或目录的用户帐号
• 属组：拥有该文件或目录的组帐号
• 查看
  
  
• (s)setuid:有的文件会有s这个权限是指让普通用户可以以root用户的角色原则之一root账户才能允许的程序或命令（容易被攻击的一个点）

设置目录和文件的权限 chmod

• chmod 命令

• ugoa：分别便是属主、属组、其他用户、所有用户
• ±= ：分别表示增加、去除、设置权限
• rwx：分别表示读、写、运行权限

或

• nnn：表示三位八进制数7代表可读、可写、可执行,777表示所有用户可读、可写、可执行
• 可读（r）=4
• 可写（w）=2
• 可执行（x）=1
• 常用选项
• -R：递归修改指定目录下所有子项的权限
• 实例
• chmod a+x abc.sh #给所有用户加上可执行的权限a不写默认是a
• chmod 777 abc.sh

---

• mkdir -p aa/bb/cc #递归创建文件
• chmod -R 777 aa #递归设置权限即aa和aa目录下的所有字目录一同修改了权限

设置文件和目录的归属 chown

• chown 命令

• 修改属主
  

• 修改属组
  

• 一起修改属主和属组
  

• :和.都可以使用

• -R：递归修改指定目录下所有子目录及文件的归属

设置目录和文件的默认权限 umask

• umask作用
• 指定目前用户在新建文件或目录时的权限默认值
• 新建的文件或目录的权限为默认最大权限减去umake（普通文件的最大默认权限为6, 目录的最大默认权限为7）
• umask设置： umask 022
• umask 查看：umask
  
• 第一个0不用看
• 即当前新建文件的权限为644新建的目录权限为755