账号和权限管理
一、管理用户账号和组账号
1、用户账号和组账号概述
1、用户账号
超级用户:用户是Linux操作系统中默认的超级用户账号,对本主机拥有至高无上的权限。
普通用户:普通用户账号需要由用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限。
程序用户:在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号, 这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行。
2、组账号
3、UID和GID号
root用户账号的UID号为固定值0,而程序用户账号的UID号默认为1 -499,5OO-6OOOO 的UD号默认分配给普通用户使用,原则上每个用户的UID号应该是唯一的。
root组账号的GID号为固定值0,而程序组账号的GID号默认为1-499,500-60000的GD号默认分配给普通组使用
2、用户账号管理
1、用户账号文件
/etc/passwd:保存用 户名称、宿主目录、登录Shell等基本信息
/etc/shadow:保存用户的密码、账号有效期等信息
(1)passwd文件中的配置行格式
查看/etc/passwd文件开头、末尾的几行内容
第1字段:用户账号的名称,也是登录系统时使用的识别名称。
第2字段:经过加密的用户密码字串,或者密码占位符"x"。
第3字段:用户账号的UID号。
第4字段:所属基本组账号的GID号。
第5字段:用户全名,可填写与用户相关的说明信息。
第6字段:宿主目录,即该用户登录后所在的默认工作目录。
第7字段:登录Shell等信息,用户完成登录后使用的Shell.
(2)shadow文件中的配置行格式
第1字段:用户账号名称。
第2字段:使用SHA-512 (哈希算法中的一种)加密的密码字串信息,当为"*“或”!!" 时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统。
第3字段:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间 隔的天数。
第4字段:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改 密码。默认值为0,表示不进行限制。
第5字段:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。 默认值为99999,表示不进行限制。
第6字段:提前多少天警告用户密码将过期,默认值为7。
第7字段:在密码过期之后多少天内禁用此用户。
第8字段:账号失效时间,此字段指定了用户作废的天数(从1970年01月01日起计算), 默认值为空,表示账号永久可用。
第9字段:保留字段,目前没有特定用途。
2、添加、修改、删除用户账号
(1) useradd命令:添加用户账号
创建名为zeng的用户账号,并通过查看passwd、shadow文件和/home目录来确认新增用户账号时的变化
-u:指定用户的UID号,要求该UID号码未被其他用户使用。
-d:指定用户的宿主目录位置(当与-M一起使用时,不生效)。
-e:指定用户的账户失效时间,可使用丫YYY-MM-DD的日期格式。
-g:指定用户的基本组名(或使用GID号)。
-G:指定用户的附加组名(或使用GID号)。
-M:不建立宿主目录,即使/etc/logm.defs系统配置中已设定要建立宿主目录。
-s:指定用户的登录Shell.
创建一个辅助管理员账号admin,将其基本组指定为"wheel",附加组指定为"root",宿主目录指定为"/admin"
创建一个名为down的FTP账号(禁止终端登录),该账号将于2020-12-31失效
(2)passwd命令:为用户账号设置密码
为zeng账号设置登录密码
更改登录密码
-d:清空指定用户的密码,仅使用用户名即可登录系统。
-I:锁定用户账户。
-S:查看用户账户的状态(是否被锁定)。
-u:解锁用户账户。
锁定账号
解锁账号
(3)usermod命令:修改用户账号属性
-u:修改用户的UID号。
-d:修改用户的宿主目录位置。
-e:修改用户的账户失效时间,可使用YYYY-MM-DD的日期格式。
-g:修改用户的基本组名(或使用GID号)。
-G:修改用户的附加组名(或使用GD号)。
-s:指定用户的登录Shell
-I:更改用户账号的登录名称
-L:锁定用户账户。
-U:解锁用户账户。
锁定、解锁用户账号zeng,如果账户没有设置密码,那么该账户锁定后将无法使用 "usermod -U"命令解锁。因此在锁定zeng账户之前需要先为其设置账户密码
将zeng用户的登录名称更改为webmaster,下次登录时生效
(5)userdel命令:删除用户账号
删除名为zeng的用户账号,同时删除其宿主目录
3、组账号管理
1、组账号文件
/etc/group:保存组账号 名称、GID号、组成员等基本信息
/etc/gshadow:保存组账号的加密密码字串等信息
查询root组包括哪些用户成员、哪些组中包含root用户
2、添加、管理、删除组账号
(1)groupadd命令:添加组账号
添加一个名为class01的组账号
(2) gpasswd命令:添加、设置、删除组成员
向root组中添加成员用户mike、删除成员用户webmaster。
指定组账号adm中的成员为root、adm、daemon、webmaster、mike这五个用户
(3)groupdel命令:删除组账号
删除组账号class01
4、查询账号信息
1、groups命令:查询用户账号所属的组
显示当前用户(root) 和daemon用户所属的组账号信息
2、id:查询用户账号的身份标识
查看root账号的用户ID号、组ID号,以及所在的附加组ID号
3、finger命令:查询用户账号的登录属性
使用"finger root’-命令可以显示root账号的详细信息
4、w命令:查询当前主机的用户登录情况
二、管理目录和文件的属性
1、查看目录和文件的属性
查看/etc目录和/etc/passwd文件的详细属性
第1个字符:表示该文件的类型,可以是d(目录)、b(块设备文件)、c(字符设备文件)、
(普通文件)、字母"|’(链接文件)等。
第2~4个字符:表示该文件的属主用户对该文件的访问权限。
第5~7个字符:表示该文件的属组内各成员用户对该文件的访问权限。
第8~10个字符:表示其他任何用户对该文件的访问权限。
第11个字符:这里的与SELinux有关,目前不必关注。
2、设置目录和文件的权限
读取r:允许查看文件内容,显示目录列表
写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
可执行x:允许运行程序,切换目录
| - | rwx | r-x | r- - | zhangsan | xiaoshoubu | a.txt |
|---|---|---|---|---|---|---|
| -(文件) | 属主 | 属组 | 其他人 | 属主 | 属组 | |
| d(目录) | u | g | o | u | g |
a代表所有人相当于ugo
权限 r(读) w(写入) x(可执行)
去除mymkdir文件的"x"权限
调整mymkdir文件的权限,为属主用户添加执行权限,删除其他用户的读取权限
若要将mymkdir文件的访问权限设置为"rwxr-xr-x",其对应的数字组合是755
以递归的方式将/var/ftp/pub目录中所有子目录、文件的权限都设置为"rw—r—r—"
3、设置目录和文件的归属
将/var/ftp/pub/目录的属主由root改为ftp
将mymkdir文件的属主更改为daemon、属组更改为wheel
