1、用户和组的概念
Linux是多用户多任务(Multi-Users,Multi-tasks)的操作系统,对于每个使用者,使用用户标识(ID)、密码(Passwd)来唯一标识用户。对于用户的管理有3A认证:Authentication(认证)、Authorization(授权)、Audition(审计)。
用户类别分为管理员和普通用户,普通用户又分为系统用户和登录用户。
在此要说明一下,Linux中的进程以其发起者的身份运行,进程对文件的访问权限取决于发起此进程的用户及其所属组的权限。在Linux中,系统用户是普通用户,Linux为了能够让那些后台进程或服务类进程以非管理员的身份运行,通常需要为此创建多个普通用户,这类用户从不用登录系统,但是执行的是Linux后台的进程或服务,这样的用户为系统用户。Linux中的这个机制叫做安全上下文。
用户标识,英文全称为UserID,简写为UID,是16位的二进制数字,范围0-65535。管理员的UID为0,普通用户UID的范围为1-65535,其中系统用户的UID范围为1-499(CentOS6),1-999(CentOS7),登录用户的UID范围为500-60000(CentOS6),1000-60000(CentOS7)。Linux通过查询/etc/passwd来进行Username和对应的UID之间的转换。
而用户组即是多个用户的容器。
组的按照是不是管理员组可分为管理员组和普通用户组,而普通用户组又分为系统组和登录组。
组标识,英文全称GroupID,简写为GID。管理员组的GID为0,普通用户组的GID范围为1-65535,其中系统用户组的范围为1-499(CentOS6),1-999(CentOS7),登录用户组的范围为500-60000(CentOS6), 1000-60000(CentOS7) 。Linux通过查询/etc/group来进行GroupName和GID之间的转换。
按照是不是用户的主组,可以将组分类为用户的基本组和用户的附加组。
按照组中有的用户的个数,可以将组分类为私有组(组名同用户名,且只包含一个用户)和公共组(组内包含了多个用户)。
2、用户和组的认证管理
认证信息:通过比对事先存储的用户信息与登录时提供的信息是否一致来进行用户和组的认证。
用户密码的存放文件:/etc/shadow;
组密码的存放文件/etc/gshadow。
密码的使用策略:
- 使用随机密码;
- 最短长度不要低于8位;
- 应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类;
- 定期更换。
MD5加密例:
[root@localhost ~]# echo "How are you?" | md5sum
2f065f71bdbbfe3637ae14b43f1ae015 -
MD5输出密文128bits。
雪崩效应:
[root@localhost ~]# echo "How are you." | md5sum
054cac27898d2b0dd9bacebbeb7777f4 -
SHA加密例:
[root@localhost ~]# echo "How are you." | sha
SHA分为以下类型:
sha1sum、sha224sum、sha256sum、sha384sum、sha512sum。
SHA1Sum输出密文为160bits。
SHA512加密例:
[root@localhost ~]# echo "How are you." | sha512sum
b4cc87f93105567c448f0146b7e66a14a1578f5d2df2a8fa8dbb1cf493f6b35e1a52b15b8163c24fd8d3f91fb75a7562d83010493f6f26b1ab20491059d471ab -
SHA512输出密文为十六进制数字。
文件/etc/passwd是用户的信息库,文件格式:
name:password:UID:GID:GECOS:directory:shell
文件格式说明:
1)name:用户名;
2)password:可以是加密的密码,也可是占位符x;
3)UID:用户标识;
4)GID:用户所属的主组的ID号;
5)GECOS:注释信息;
6)directory:用户的家目录(即用户的主目录,是一个概念);
7)shell:用户的默认shell,登录时默认shell程序。
文件/etc/shadow存放用户密码,文件格式:
用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期段:密码禁用期:账户过期期限:保留字段
文件格式说明:
1)加密的密码以
之间的数字代表加密算法,1:md5, 2:sha1, 3:sha224, 4:sha256, 5:sha384, 6:sha512;第二个和第三个
之间的字符为加密后的密码;
2)最近一次修改密码的时间:从1970年1月1日到上一次修改密码所经过的天数;0代表用户应该在下次登录系统时更改密码;
3)密码禁用期:密码过期后,仍然接受此密码的天数(在此期间,用户应该在下次登录时修改密码)。密码到期并且过了这个宽期限之后,使用用户的当前密码将会不能登录;
4)账户过期期限:账户过期不同于密码过期,账户过期时,用户将不被允许登录,时间处于宽限期之后;密码过期时,用户将不被允许使用其密码登录,时间处于密码过期之后的宽限期;
5)保留字段:保留作将来使用。
文件/etc/group是组的信息库,文件格式:
group_name:password:GID:user_list
文件格式说明:
1)组的password保存在/etc/gshadow中;
2)user_list:该组的用户成员,即以此组为附加组的用户的用户列表(用户的基本组保存在/etc/passwd文件的GID属性中)。、
3、用户和组管理的常用命令
(1)groupadd命令
该命令用于添加组。命令格式:
groupadd [选项] group_name
-g GID:指定GID;默认是上一个组的GID+1;
-r: 创建系统组;
[root@localhost ~]# groupadd mygrp
[root@localhost ~]# groupadd -r testgrp
[root@localhost ~]# groupadd -g 2000 grp1
[root@localhost ~]# groupadd -r -g 306 mariadb
(2)groupmod命令
该命令用于修改组属性。命令格式:
groupmod [选项] GROUP
-g GID:修改GID;
-n new_name:修改组名;
[root@localhost ~]# groupmod -g 702 mariadb
[root@localhost ~]# groupmod -n perconaserver mariadb
new_name old_name
(3)groupdel命令
该命令用于删除组。命令格式:
groupdel [选项] GROUP
[root@localhost ~]# groupdel perconaserver
(4)useradd命令
该命令用于创建用户。命令格式:
useradd [选项] 登录名
-u, --uid UID:指定UID;
-g, --gid GROUP:指定基本组ID,此组得事先存在;
-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:指明用户所属的附加组,多个组之间用逗号分隔;
-c, --comment COMMENT:指明注释信息,可以写用户全名;
-d, --home HOME_DIR:以指定的路径为用户的家目录;通过复制/etc/skel目录并重命名实现;指定的家目录路径如果事先存在,则不会为用户复制环境配置文件;
-s, --shell SHELL:指定用户的默认shell,可用的所有shell列表存储在/etc/shells文件中;
-r, --system:创建系统用户;
-m, --create-home:如果不存在,则创建用户主目录。骨架目录中的文件和目录(可以使用-k选项指定),将会复制到主目录;
-M, :不创建用户主目录,即使系统在/etc/login.defs中的设置(CREATE_HOME)为yes;
-f, --inactive INACTIVE:密码过期后,账户被彻底禁用的天数。0表示立即禁用,-1表示禁用这个功能;如果未指定,useradd将使用/etc/default/useradd中的INACTIVE指定的默认禁用周期,或者默认为-1;
创建用户时的诸多默认设定配置文件为/etc/login.defs。
useradd -D:显示创建用户的默认配置;
useradd -D 选项: 修改默认选项的值;
修改的结果保存于/etc/default/useradd文件中;也可以通过直接编辑此文件实现修改useradd;
[root@localhost ~]# which adduser
/usr/sbin/adduser
[root@localhost ~]# file `which adduser` ` ` 命令引用,查看该命令的类型
/usr/sbin/adduser: symbolic link to `useradd'
[root@localhost ~]# useradd -u 3000 openstack
[root@localhost ~]# useradd -g cloud cloudstack
[root@localhost ~]# useradd -c "MogileFS DFS" mogilefs
[root@localhost ~]# groupadd mygrp
[root@localhost ~]# useradd -G mygrp archlinux
[root@localhost ~]# useradd -d /exercise/moosefs moosefs
[root@localhost exercise]# mkdir mytest
[root@localhost exercise]# useradd -d /exercise/mytest mytest
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
[root@localhost exercise]# ls -a /exercise/mytest/
. ..
[root@localhost exercise]# ls -a /etc/skel
. .. .bash_logout .bash_profile .bashrc .mozilla
[root@localhost exercise]# useradd -s /bin/csh keystone
[root@localhost exercise]# useradd -D
GROUP=100 创建用户时,要为其添加一个与用户同名的私有组
HOME=/home 用户创建时,是否为其创建家目录,如果创建,家目录的起始位置
INACTIVE=-1 非活动期限,-1代表禁用
EXPIRE= 过期期限,没有时间代表永不过期,默认为99999
SHELL=/bin/bash 默认SHELL
SKEL=/etc/skel 从哪复制用户的骨架信息
CREATE_MAIL_SPOOL=yes 是否给用户创建邮件缓冲队列,yes代表每创建一个用户,会在/var/spool/mail中为用户创建一个邮筒,用以接收邮件
(5)usermod命令
该命令用于修改用户属性。命令格式:
usermod [选项] 登录
-u, --uid UID:修改用户的ID为此处指定的新UID;
-g, --gid GROUP:修改用户所属的基本组;该组必须事先存在;
-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:修改用户所属的附加组;原来的附加组会被覆盖;附加组必须事先存在;
-a, --append:与-G一同使用,用于为用户追加新的附加组;
-c, --comment COMMENT:修改注释信息;
-d, --home HOME_DIR:修改用户的家目录;用户原有的文件不会被转移至新位置;
-m, --move-home:只能与-d选项一同使用,用于将原来的家目录移动为新的家目录;
-l, --login NEW_LOGIN:修改用户名;
-s, --shell SHELL:修改用户的默认shell;
-L, --lock:锁定用户密码;即在用户原来的密码字符串之前添加一个"!";
-U, --unlock:解锁用户的密码;去掉"!";
(6) userdel命令
该命令用于删除用户。命令格式:
userdel [选项] 登录
-r:删除用户时一并删除其家目录;默认不会删除用户的家目录;
例1:创建用户gentoo,UID为4001,基本组为gentoo,附加组为distro(GID为5000)和peguin(GID为5001)。
[root@localhost exercise]# groupadd -g 5000 distro
[root@localhost exercise]# groupadd -g 5001 peguin
[root@localhost exercise]# useradd -u 4001 -G distro,peguin gentoo
例2:创建用户fedora,其注释信息为"Fedora Core",默认shell为/bin/tcsh。
[root@localhost exercise]# useradd -c "Fedora Core" -s /bin/tcsh fedora
例3:修改gentoo用户的家目录为/var/tmp/gentoo;要求其原有文件仍能被用户访问。
[root@localhost tmp]# usermod -d /var/tmp/gentoo -m gentoo
例4:为gentoo新增附加组netadmin。
[root@localhost exercise]# usermod -a -G netadmin gentoo
(7)passwd命令
命令格式:
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
-l, -u:锁定和解锁用户;
-d:清除用户密码串;
-e DATE: 过期期限,日期;
-i DAYS:非活动期限;
-n DAYS:密码的最短使用期限;
-x DAYS:密码的最长使用期限;
-w DAYS:警告期限;
--stdin:从标准输入读入新密码,该标准输入可以是一个管道
passwd:修改用户自己的密码;
passwd USERNAME:修改指定用户的密码,但仅root有此权限,管理员修改任何用户的密码都不需要知道原来的密码。
[root@localhost home]# passwd -d keystone
Removing password for user keystone.
passwd: Success
[root@localhost exercise]# echo "mageedu" | passwd --stdin keystone
Changing password for user keystone.
passwd: all authentication tokens updated successfully.
[root@localhost exercise]# echo "mageedu" | passwd --stdin keystone &> /dev/null
[root@localhost exercise]# echo $?
0
(8)gpasswd命令
命令格式:
gpasswd [选项] group
-a USERNAME:向组中添加用户,让用户以此组为附加组
-d USERNAME:从组中移除用户
给组设置密码,可以防止用户随意将其基本组切换为该组,如果该组没有密码,用户则不能将其基本组切换为该组,如果该组为用户的附加组,则切换不需要密码。
(9)newgrp命令
该命令用于临时切换指定的组为基本组;使用exit退出切换。
命令格式:
newgrp [-] [group]
-: 会模拟用户重新登录以实现重新初始化其工作环境;
(10)chage命令
该命令用于更改用户密码过期信息。命令格式:
chage [选项] 登录名
-d
-E
-W
-m
-M
(11)id命令
该命令用于显示用户的真实和有效ID。
id [OPTION]... [USER]
-u: 仅显示有效的UID;
-g: 仅显示用户的基本组ID;
-G:仅显示用户所属的所有组的ID;
-n: 显示名字而非ID;
(12)su命令
该命令用于切换用户。
- 登录式切换:会通过读取目标用户的配置文件来重新初始化;
su - USERNAME
su -l USERNAME
- 非登录式切换:不会读取目标用户的配置文件进行初始化;
su USERNAME
管理员可无密码切换至其它任何用户,非管理员切换至任何用户时都必须给定目标用户的密码。
-c 'COMMAND':仅以指定用户的身份运行此处指定的命令;
(13)chsh命令
该命令用于修改当前用户或指定用户的shell,只有管理员才可以修改其他用户的shell。
(14)chfn命令
该命令用于修改finger信息。
(15)finger命令
该命令用于用户信息查询。
[root@localhost exercise]# finger
bash: finger: command not found...
[root@localhost exercise]# yum install finger
Complete!
[root@localhost exercise]# finger keystone
Login: keystone Name:
Directory: /home/keystone Shell: /bin/csh
Last login Sun Nov 20 12:27 (CST) on pts/0
No mail.
No Plan.
(16)pwck命令
该命令用于检查用户密码是否存在异常。
(17)grpck: 命令
该命令用于检查组是否存在异常。
pwck和grpck这两个命令用来做用户的健康状态审计。
4、权限管理
ls -l
rwxrwxrwx
左三位:定义user(owner)的权限,即属主权限;
中三位:定义group的权限,即属组权限;
右三位:定义other的权限,即其他人权限。
进程安全上下文
进程的属主与文件的属主是否相同:
如果相同,则应用属主权限;
否则,则检查进程的属主是否属于文件的属组:
如果是,则应用属组权限;
否则,就只能应用other的权限;
(进程的属主:进程的发起者,即当前运行进程命令的用户)
其中,
r:readable, 读
w:writable, 写
x:excutable,执行
对于文件:
r 代表可获取文件的数据,即可执行cat, head, tail, more, less命令;
w 代表可修改文件的数据;
x 代表可将此文件运行为进程。
对于目录:
r 代表可使用ls命令获取其下的所有文件列表;不能获取详细信息,即不能使用ls -l命令;
w 代表可修改此目录下的文件列表,即创建或删除文件,也可以创建或删除其子目录;
x 代表可cd至此目录中,且可使用ls -l来获取所有文件的详细属性信息。
权限组合机制:
— 000 0
–x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
5、权限管理常用命令
(1)chmod命令
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
chmod [OPTION]... --reference=RFILE FILE...
chmod [OPTION]... MODE[,MODE]... FILE...
MODE表示法:
1)赋权表示法:直接操作一类用户的所有权限位rwx。
u=,g=,o=,a=,ug=
[root@localhost exercise]# ll fstab
-rw-r--r--. 1 root root 689 Nov 20 16:44 fstab
[root@localhost exercise]# chmod g=rw fstab
[root@localhost exercise]# chmod ug=r fstab
[root@localhost exercise]# chmod u=rwx,g=rw,o= fstab
[root@localhost exercise]# ll fstab
-rwxrw----. 1 root root 689 Nov 20 16:44 fstab
2)授权表示法:直接操作一类用户的一个权限位r,w,x;
u+,u-,g+, g-,o+,o-,a+,a-
[root@localhost exercise]# chmod +x fstab
[root@localhost exercise]# ll fstab
-r-xr-xr-x. 1 root root 689 Nov 20 16:44 fstab
[root@localhost exercise]# chmod -x fstab
[root@localhost exercise]# ll fstab
-r--r--r--. 1 root root 689 Nov 20 16:44 fstab
[root@localhost exercise]# chmod +w fstab 全局写仅对属主有效
[root@localhost exercise]# ll fstab
-rw-r--r--. 1 root root 689 Nov 20 16:44 fstab
chmod [OPTION]... OCTAL-MODE FILE...
[root@localhost exercise]# chmod 660 fstab
[root@localhost exercise]# ll fstab
-rw-rw----. 1 root root 689 Nov 20 16:44 fstab
[root@localhost exercise]# chmod 66 fstab
[root@localhost exercise]# ll fstab
----rw-rw-. 1 root root 689 Nov 20 16:44 fstab 66左侧补零
chmod [OPTION]... --reference=RFILE FILE...
根据参考文件RFILE修改FILE的权限。
[root@localhost exercise]# chmod --reference=/var/log/messages fstab
[root@localhost exercise]# ll fstab
-rw-------. 1 root root 689 Nov 20 16:44 fstab
选项:
-R, --recursive:递归修改,修改该目录及该目录下的子目录、文件的权限为该权限;
一般在上述授权表示法、赋权表示法中使用,目录一般有x权限,文件不应有x权限。一般用于创建许多空目录,形成目录树。
用户仅能修改属主为自己的那些文件的权限。
(2)chown命令
chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
选项:
-R:递归修改,修改该目录及该目录下的子目录、文件的权限;
[root@localhost exercise]# chown -R keystone skel 修改属主
[root@localhost exercise]# chown -R archlinux:mygrp skel 修改属主和属组,:分割
[root@localhost exercise]# chown -R root.root skel 修改属主和属组,.分割
[root@localhost exercise]# chown :mygrp mytest 可以用来只改属组
[root@localhost exercise]# chown -R --reference=/exercise/mytest skel
(3)chgrp命令
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
仅管理员可修改文件的属主和属组。
用户对目录有写权限,但对目录下的文件没有写权限时,不能修改文件内容,但可以删除此文件。
(4)umask命令
umask为文件的权限反向掩码,遮罩码。
对于文件,666-umask得到文件的默认权限;
对于目录,777-umask得到目录的默认权限。
(注:之所以文件用666去减,表示文件默认不能拥有执行权限;如果减得的结果中有执行权限,则需要将其加1;
例umask为023,对于文件:666-023=644,对于目录:777-023=754)
umask:查看当前umask
umask MASK: 设置umask
此类设定仅对当前shell进程有效;
(5) install命令
该文件用于拷贝命令并设置属性。
单源复制:
install [OPTION]... [-T] SOURCE DEST
多源复制:
install [OPTION]... SOURCE... DIRECTORY
install [OPTION]... -t DIRECTORY SOURCE...
创建目录:
install [OPTION]... -d DIRECTORY...
常用选项:
-m, --mode=MODE:设定目标文件权限,默认为755;
-o, --owner=OWNER:设定目标文件属主;
-g, --group=GROUP:设定目标文件属组;
[root@localhost exercise]# install -o archlinux -g mygrp -m 640 /etc/inittab ./inittab
[root@localhost exercise]# ll inittab
-rw-r-----. 1 archlinux mygrp 511 Nov 20 19:46 inittab
[root@localhost exercise]# install -d hello 创建空目录
[root@localhost exercise]# ll -d hello
drwxr-xr-x. 2 root root 4096 Nov 20 19:46 hello
(6)mktemp命令
该命令用于创建临时文件或临时目录。
mktemp [OPTION]... [TEMPLATE]
常用选项:
-d:创建临时目录;
-u: 只是写个名字,不会真正创建该文件;用来测试,可否创建;
注意:mktemp会将创建的临时文件名直接返回,因此,可直接通过命令引用保存起来。创建的临时文件一个月后会被删除,但应在/tmp下创建,其他目录下可能不会被删除;文件后缀名至少有三个X。
6、综合练习
- 新建系统组mariadb, 新建系统用户mariadb, 属于mariadb组,要求其没有家目录,且shell为/sbin/nologin;尝试root切换至用户,查看其命令提示符。
[root@localhost ~]# groupadd -r mariadb
[root@localhost ~]# useradd -r -M -g mariadb -s /sbin/nologin mariadb
[root@localhost ~]# tail /etc/passwd
chrony:x:990:985::/var/lib/chrony:/sbin/nologin
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
gnome-initial-setup:x:989:984::/run/gnome-initial-setup/:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
yanyan:x:1000:1000:yanyan:/home/yanyan:/bin/bash
mariadb:x:988:983::/home/mariadb:/sbin/nologin
[root@localhost ~]# cd /home
[root@localhost home]# ls
centos docker gentoo lost+found yanyan
[root@localhost home]# su - mariadb
su: warning: cannot change directory to /home/mariadb: No such file or directory
This account is currently not available.
- 新建GID为5000的组mageedu,新建用户gentoo,要求其家目录为/users/gentoo,密码同用户名。
[root@localhost home]# groupadd -g 5000 mageedu
[root@localhost home]# mkdir /users
[root@localhost home]# useradd -m -d /users/gentoo gentoo
[root@localhost home]# passwd gentoo
Changing password for user gentoo.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
- 新建用户fedora,其家目录为/users/fedora,密码同用户名。
[root@localhost home]# useradd -m -d /users/fedora fedora
[root@localhost home]# passwd fedora
Changing password for user fedora.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
- 新建用户www, 其家目录为/users/www;删除www用户,但保留其家目录。
[root@localhost home]# useradd -m -d /users/www www
[root@localhost home]# userdel www
- 为用户gentoo和fedora新增附加组mageedu。
[root@localhost home]# usermod -a -G mageedu gentoo
[root@localhost home]# usermod -a -G mageedu fedora
- 复制目录/var/log至/tmp/目录,修改/tmp/log及其内部的所有文件的属组为mageedu,并让属组对目录本身拥有写权限。
[root@localhost home]# cp -r /var/log /tmp
[root@localhost home]# chown -R :mageedu /tmp/log
[root@localhost home]# ll -d /tmp/log
drwxr-xr-x. 17 root mageedu 4096 Nov 20 21:32 /tmp/log
[root@localhost home]# chmod g+w /tmp/log
[root@localhost home]# ll -d /tmp/log
drwxrwxr-x. 17 root mageedu 4096 Nov 20 21:32 /tmp/log