Linux账号和权限管理的相关知识

一.用户账号和组账号概述

1.1 Linux基于用户身份对资源访问进行控制

• 用户账号
  ①超级用户：root 用户是 Linux 操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的。
  ②普通用户：由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。
  ③程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如 bin、daemon、ftp、mail 等。

• 组账号
  ①基本组：基本组账号只有一个，一般为创建用户时指定的组。
  ②附加组：用户除了基本组以外，额外添加指定的组。

• UID和GID
  ①UID（用户标识号）
  ②GID（组标识号）

root 用户账号的 UID和GID 号为固定值 0
程序用户账号的 UID和GID 号默认为 1～499
普通用户的 UID和GID 号默认为500～60000

1.2 用户账号文件/etc/passwd

• 保存用户名称、宿主目录、登录Shell等基本信息
  ①文件位置：/etc/passwd
  ②每一行对应一个用户的账号记录

例：root:X:0:0:root:/root:/bin/bash
字段1：用户帐号的名称
字段2：用户密码占位符“x”
字段3：用户帐号的UID号
字段4：所属基本组帐号的GID号
字段5：用户全名
字段6：宿主目录
字段7：登录Shell信息（/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统）
（每一个：隔开为一字段）

1.3用户账号文件/etc/shadow

• 保存用户的密码、账号有效期等信息
  ①文件位置：/etc/shadow
  ②每一行对应一个用户的密码记录

例:root:$ 6 $ VyOUGqOC $ v5HlLM1wagZC/FwGfnrtJFnlT:18445:0:99999:7:::
字段1：用户帐号的名称
字段2：使用MD5加密的密码字串信息，当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统
字段3：上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数
字段4：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制
字段5：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制
字段6：提前多少天警告用户密码将过期，默认值为7
字段7：在密码过期之后多少天禁用此用户
字段8：帐号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算），默认值为空，表示账号永久可用。
字段9：保留字段（未使用）

（一）useradd：添加用户账号

• 常用选项
  -u：指定用户的 UID 号，要求该 UID 号码未被其他用户使用。
  -d：指定用户的宿主目录位置（当与-M 一起使用时，不生效）。
  -e：指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
  -g：指定用户的基本组名（或使用 GID 号），对应的组名必须已存在。
  -G：指定用户的附加组名（或使用 GID 号），对应的组名必须已存在。
  -M：不建立宿主目录。
  -s：指定用户的登录 Shell（比如/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统）。

useradd -d /admin -g wheel -G root admin1

(二）passwd：为用户账号设置密码

• 常用选项
  -d：清空指定用户的密码，仅使用用户名即可登录系统。
  -l：锁定用户账户，锁定的用户账号将无法再登录系统。
  -S：查看用户账户的状态（是否被锁定）。
  -u：解锁用户账户。

设置用户密码方法二：echo “密码” | passwd --stdin 用户名

(三）usermod：修改用户账号属性

• 常用选项
  -u：修改用户的 UID 号。
  -d：修改用户的宿主目录位置。
  -e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
  -g：修改用户的基本组名（或使用 GID 号）。
  -G：修改用户的附加组名（或使用 GID 号）。
  -s：指定用户的登录 Shell。
  -l：更改用户账号的登录名称。
  -L：锁定用户账户。
  -U：解锁用户账户。

例：将 admin1用户的登录名称更改为 master
usermod -l admin master

（四）userdel：删除用户账号

• 格式
  userdel [-r] 用户名

添加“-r”选项时可以将该用户的宿主目录一并删除

二.组账号管理
（一）groupadd：添加组账号

• -g：指定GID号

groipadd -g 1000 market

(二）gpasswd：添加删除组成员

• 常用选项
  -a：向组内添加一个用户
  -d：从组内删除一个用户成员
  -M：定义组成员列表，以逗号分隔

三.文件/目录的权限和归属
1.访问权限

• 读取r： 允许查看文件内容、显示目录列表
• 写入w： 允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
• 可执行x： 允许运行程序、切换目录

2.访问归属

• 属主： 拥有该文件或目录的用户帐号
• 属组： 拥有该文件或目录的组帐号

3.设置文件/目录的权限和归属：chmod

格式①：
chmod [ugoa…] [±=] [rwx] 文件或目录

“ugoa”表示该权限设置所针对的用户类别。
“u”代表文件属主，
“g”代表文件属组内的用户，
“o”代表其他任何用户，
“a”代表所有用户（缺省时为a）。
“±=”表示设置权限的操作动作。
“+”代表增加相应权限，
“-”代表减少相应权限，“=”代表仅设置对应的权限。

格式②：
chmod nnn 文件或目录

4.设置目录和文件的归属：chown
格式：
chown 属主 文件或目录

chown :属组 文件或目录
chgrp 属组 文件或目录

chown 属主:属组 文件或目录
chown 属主.属组 文件或目录

常用选项：

• -R：递归修改指定目录下所有子目录及文件的归属

5.设置目录和文件的默认权限：umask

作用：

• 指定目前用户在新建文件或目录时的权限默认值
• 新建的文件或者目录的权限为默认最大权限减去umake（普通文件的最大默认权限为6，目录的最大默认权限为7）

5.1 umask查看：umask
5.2 umask设置：umask 000