Linux-账号和权限管理

用户账号和组账号概述

1、账号简介

• 用户账号

1. 超级用户: root用户是Linux操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的。
   2.普通用户:由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。
   3.程序用户:在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如 bin、 daemon、ftp、 mail等。

• 组账号

基本组(私有组):基本组账号只有一个，一般为创建用户时指定的组。
在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号。
附加组(公共组):用户除了基本组以外，额外添加指定的组。

2、UID和GID

• UID和GID

UID (User lDentity，用户标识号)
GID (Group lDentify，组标识号)
root 用户账号的UID和GID号为固定值0
程序用户账号的UID和GID号默认值为1~499
普通用户账号的UID和GID号默认值为500~60000

3、用户账号文件/etc/passwd

• 保存用户名称、宿主目录、登录Shell等基本信息
  文件位置:/etc/passwd
  每一行对应一个用户的账号记录
  [root@localhost ~]# head -2 /etc/passwd
  root:x :0:0:root:/root:/bin/bash
  bin:x :1:1:bin:/bin:/sbin/nologin
• 用户账号文件/etc/passwd
  基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。
  在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专shadow文件中，而passwd文件中仅保留密码占位符"x”。
  

root:x0:0:root:/root/:/bin/bash
字段1:用户账号的名称
字段2:用户密码占位符"x”
字段3:用户账号的UID号
字段4:所属基本组帐号的GID号
字段5:用户全名
字段6:宿主目录
字段7:登录Shell信息(/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)

4、用户账号文件/etc/shadow

• 保存用户的密码、账号有效期等信息
  文件位置:/etc/shadow
  每一行对应一个用户的密码记录
  [root@localhost~]# head -2 /etc/shadow
  root:$ 1$ 55HB4pbx$acHqk4IZiHTZ9cw0ZJe8f0:14374:0:99999:7:…bin:*:14374:0:99999:7:.
  [root@localhost ~]# tail -1 /etc/shadow
  teacher:$1 $ BT7teaYX$s2sr6uFUwKhtU.8/8VpzB1:14374:0:99999:7:…:
• 用户账号文件/etc/ shadow
  默认只有root 用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容。
  
  root::18665:0:99999:7:::

字段1:用户账号的名称
字段2:使用Mos加密的密码字串信息，当为"*“或”!!"时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统
字段3:上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数
字段4:密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制
字段5:密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为9999，表示不进行限制
字段6:提前多少天警告用户密码将过期，默认值为7
字段7:在密码过期之后多少天禁用此用户
字段8:账号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算），默认值为空，表示账号永久可用。
字段9:保留字段(未使用）

5、添加用户账号-useradd命令

• useradd命令
  useradd[选项]…用户名
• 常用选项

-u、-d、-e、-g、-G、-M、-s
-u:指定用户的UID号，要求该UID号码未被其他用户使用。
-d:指定用户的宿主目录位置（当与-M一起使用时，不生效）。只能用绝对路径指定目录
-e:指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式。
-g:指定用户的基本组名（或使用GID号)，对应的组名必须已存在。
-G:指定用户的附加组名（或使用GID号)，对应的组名必须已存在。
-M:不建立宿主目录。
-s:指定用户的登录Shell，(比如/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)。

• 示例
  useradd -d /ftphome/mike -g mike -G ftpuser -s /sbin/nologin mike
  useradd -d /admin -g wheel -G root admin1
  useradd -e 2020-12-31 -s /sbin/nologin admin2
• 添加用户账号useradd或者adduser
  在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。
  若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。

6、设置/更改用户口令passwd

• passwd命令
  passwd[选项].….用户名
• 常用选项

.-d、-l、-S、u、
-d:清空指定用户的密码，仅使用用户名即可登录系统。
-l:锁定用户账户，锁定的用户账号将无法再登录系统。
-S:查看用户账户的状态（是否被锁定）。
-u:解锁用户账户。
root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。普通用户却只能执行单独的"passwd"命令修改自己的密码。

• 设置用户密码方法二: echo"密码" l passwd --stdin用户名

7、修改用户账号的属性usermod

• usermod命令
  usermod[选项].….用户名
• 常用选项

-l、-L、-U（以下选项与useradd命令中的含义相同）
-u、-d、-e、-g、-G、-s
-u:修改用户的UID号。
-d:修改用户的宿主目录位置。
-e:修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式。
-g:修改用户的基本组名(或使用GID号）。
-G:修改用户的附加组名(或使用GID号)。
-s:指定用户的登录shell。
-l:更改用户账号的登录名称。
-L:锁定用户账户。
-U:解锁用户账户。

• 示例
  将zhangsan用户的登录名称更改为zhangsan1
  usermod -l zhangsan1 zhangsan

8、删除用户账号userdel

• userdel命令
  userdel[-r]用户名（添加-r选项时，表示连用户的宿主目录—并删除）
• 示例
  [root@localhost~]# useradd zs
  [root@localhost ~]# Is -ld /home/zs/
  drwx------ 2 stu01 stu01 4096 09-09 12:38 /home/zs/
  [root@localhost~]# userdel -r zs（删除账号zs）
  [root@localhost ~]# Is -ld /home/zs/
  ls: /homelstuo1/:没有那个文件或目录

9、用户账号的初始配置文件

• 文件来源
  ouseradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。
  这些文件来自于账号模板目录/etc/skell，基本上都是隐藏文件。
• 主要的用户初始配置文件

用户宿主目录下的初始配置文件只对当前用户有效
~/.bash_profile
#此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashrc文件
~/.bashrc
#此文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行，并且会调用/etc/bashrc文件
~/.bash_logout
#此文件中的命令将在用户每次退出登录或退出bash shell时执行

• 全局配置文件对所有用户有效

/etc/profile
#这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile 命令使profile文件被读取
/etc/profile.d/
这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需的启动脚本
/etc/bashrc
#每一个运行bash shell的用户都会执行此文件，可通过执行bash 命令打开一个新的bash shell时，使bashrc文件被读取
vi /etc/bashrc
alias myls=’ /bin/ls -lhr’
bash
type myls

• PATH变最用于设置可执行程序的默认搜索路径PATH生效的原理:

每次启动系统的时候会初始化命令，会执行/etc/profile和~/ ,bash_profile。/etc/profile会将路径/usr/local/bin、/usr/bin、/usr/local/sbin ,、/usr/sbin追加到PATH中去。然后调用/etc/profile.d目录下的脚本。

10、组账号文件

• 与用户帐号文件相类似
  /etc/group:保存组帐号基本信息
  /etc/gshadow:保存组帐号的密码信息
  grep “postfix” /etc/group
  

mail:x :12:postfix（组帐号名）
（组成员列表）postfix: x:89:
字段1:组账号的名称
字段2:占位符“x"
字段3:组账号的GID号
字段4:组账号包含的用户成员（一般不包括基本组对应的用户账号)，多个成员之间以逗号","分隔

11、添加组账号groupadd

• groupadd命令
  groupadd [-g GID]组账号名
  -g:指定GID号
  groupadd -g 1000 market
• 示例
  [root@localhost ~]# groupadd -g 1000 market(添加组账号market)
  [root@localhost ~]# tail -1 /etc/group
  market: x :1000:

12、添加删除组成员gpasswd

• gpasswd命令
  设置组账号密码(极少用)、添加/删除组成员gpasswd[选项]…组帐号名
• 常用选项

-a、-d、-M
-a:向组内添加一个用户成员
-d:从组内删除一个用户成员
-M:定义组成员列表，以逗号分隔

13、删除组账号groupdel

• groupdel命令
  groupdel组账号名
• 示例
  删除组账号market
  [root@localhost ~]# groupdel market
  [root@localhost ~]# grep “market” /etc/group

14、查询账号信息

• groups命令
  查询用户所属的组
  groups[用户名]
• id命令
  查询用户身份标识
  id[用户名]
• finger命令
  查询用户账号的登录属性（注:需要先进行安装finger软件包）
  yum install -y finger
  finger [用户名]
• w 、 who、users命令
  查询已登录到主机的用户信息

二、文件目录的权限和归属

1、访问权限

• 访问权限
  读取r:允许查看文件内容、显示目录列表
  写入w:允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
  可执行x:允许运行程序、切换目录
• 归属(所有权)
  属主:拥有该文件或目录的用户帐号
  属组:拥有该文件或目录的组帐号
• 示例
  [root@localhost ~]#ls -l
  drwxr-xr-x. 3 root root 101 2月 6 10:30 abrt
  -rw-r–r--. 1 root root 16 2月 6 10:34 adjtime
  

-rw-r–r--表示文件类型、权限
root root表示属主、属组

权限项	读	写	执行	读	写	执行	读	写	执行
字符表示	r	w	x	r	w	x	r	w	x
数字表示	4	2	1	4	2	1	4	2	1

权限分配|文件所有者|文件所属组|其他用户
rw-等于4+2+0=6
r-x等于4+0+1=5

2、设置文件和目录的权限-chmod命令

• chmod命令
• chmod [ugoa][±=][rwx]文件或目录…
  u、g、o. a分别表示属主、属组、其他用户、所有用户
  r、w、x分别表示读、写、运行权限
  +、 -、=分别表示增加、去除、设置权限
• chmod nnn文件或目录…
  nnn表示3位八进制数
• 示例
  touch aa
  chmod ugo+x aa
  chmod a+x aa
  chmod -x aa
  
• 常用选项
  -R:递归修改指定目录下所有子项的权限
  修改aa时，aa/bb/cc都被修改

3、设置文件和目录的归属-chown命令

• chown命令
  chown属主 文件或目录
  chown:属组 文件或目录(chgrp)
  chown属主:属组 文件或目录
  chown属主.属组 文件或目录
• 常用选项
  -R:递归修改指定目录下所有文件、子目录的归属

4、设置目录和文件的默认权限-umask命令

• umask作用
  控制新建的文件或者目录的权限
  默认权限去除umask的权限为新建的文件或者目录的权限

• umask设置:umask 022

• umask查看:umask

• 示例
  将umask设为000，新建目录或者文件，查看权限
  将umask设为022，新建目录或者文件，再查看权限
  

• 设置目录和文件的默认权限umask
  指定目前用户在新建文件或目录时的权限默认值
  新建的文件或者目录的权限为默认最大权限减去umake(普通文件的最大默认权限为6，目录的最大默认权限为0)