Linux - Gestión de cuentas y permisos - Cuenta de usuario y cuenta de grupo - Permisos y propiedad de archivos y directorios

Others 2021-01-19 18:44:54 views: null

Directorio de artículos

Prefacio

  • Como sistema operativo de servidor multiusuario y multitarea, el sistema Linux proporciona un estricto mecanismo de gestión de autoridad
  • Restrinja principalmente el acceso a los recursos desde dos aspectos: la identidad del usuario y los permisos de archivo

1. Administrar cuentas de usuario

1. Descripción general de la cuenta de usuario

  • En comparación con el sistema operativo Windows, la función de las cuentas de usuario y las cuentas de grupo en los sistemas Linux es esencialmente la misma
  • Lo mismo se basa en la identidad del usuario para controlar el acceso a los recursos, pero existen algunas diferencias en la forma de expresión y los detalles individuales.

1.1 Cuenta de usuario

En el sistema Linux, las cuentas de usuario se dividen en diferentes tipos según las necesidades de gestión del sistema, y ​​sus permisos y roles también son diferentes, incluyendo principalmente las siguientes tres categorías

  • Superusuario: el
    usuario root es la
    cuenta de superusuario predeterminada en el sistema operativo Linux y tiene la máxima autoridad sobre el host; el superusuario es el único en el sistema.
  • Los usuarios normales son
    creados por usuarios raíz u otros usuarios administradores, y sus permisos serán limitados. Por lo general, solo tienen permisos completos en el directorio de inicio del usuario.
  • Los usuarios del programa
    agregarán algunas cuentas de usuario específicas con pocos privilegios al instalar el sistema operativo Linux y algunas aplicaciones. Estos usuarios generalmente no pueden iniciar sesión en el sistema y solo se utilizan para mantener el funcionamiento normal del sistema o un programa, como bin, daemon, ftp, correo, etc.

1.2 número UID

  • Cada cuenta de usuario en el sistema Linux tiene una marca de identidad digital llamada UID (User IDentity, número de identificación de usuario)
  • Para el sistema, el UID se utiliza como base básica para distinguir a los usuarios. En principio, el número de UID de cada usuario debe ser único.
  • El número de UID utilizado por root es un valor fijo de 0; el número de UID de la cuenta de usuario del programa tiene un valor predeterminado de 1 ~ 999; el UID predeterminado de los usuarios normales es de 1000 ~ 60000

1.3 Archivo de cuenta de usuario

Linux desea que la cuenta de usuario, la contraseña y otra información del sistema se almacene en el archivo de configuración de respuesta. Puede administrar la cuenta de usuario modificando directamente estos archivos o utilizando comandos de administración de usuarios.

1.3.1 Archivo de cuenta de usuario- / etc / passwd

  • Guarde información básica como nombre de usuario, directorio de inicio y shell de inicio de sesión
  • Ubicación del archivo: / etc / passwd
  • Cada fila corresponde al registro de la cuenta de un usuario
[root@localhost~]# head-2 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

1.3.2 Archivo de cuenta de usuario- / etc / shadow

  • De forma predeterminada, solo el usuario root puede leer el contenido del archivo de sombra
  • Y no está permitido editar directamente el contenido del archivo.
root: $6$VyOUGgOC$v5H1LM1wagZc/FwGfnrtJFn1T:18445:0:99999:7:::
字段1:用户帐号的名称
字段2:使用MD5加密的密码字串信息,当为"*"或"! "时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统
字段3:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间隔的天数
字段4:密码的最短有效天数, 自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为0,表示不进行限制
字段5:密码的最长有效天数, 自本次修改密码后,经过该天数以后必须再次修改密码。默认值为99999,表示不进行限制
字段6:提前多少天警告用户密码将过期,默认值为7
字段7:在密码过期之后多少天禁用此用户
字段8:帐号失效时间,此字段指定了用户作废的天数(从1970年01月01日起计算) ,默认值为空,表示账号永久可用。
字段9:保留字段(未使用)
  • Utilice cat para ver / etc / shadow. De forma predeterminada, solo el usuario root puede leer el contenido del archivo y no se le permite editar directamente el contenido del archivo
  • Si el programa de actualización del programa falla durante la producción ambiental y aparece un mensaje de error que indica que la cuenta ha caducado, puede configurar la cuenta para que nunca caduque, es decir, cambie el quinto campo a 99999, lo que significa que no hay ninguna restricción.
  • Los permisos de Shadow son muy altos y no se pueden leer, editar ni ejecutar.

2. Gestión de cuentas de usuario

2.1 Agregar cuenta de usuario-useradd

  • Formato de comando básico:
useradd [选项] 用户名

El uso más simple es: no agregue ninguna opción, solo use el nombre de usuario como parámetro del comando useradd y cree la cuenta de usuario especificada de acuerdo con la configuración predeterminada del sistema.
Al agregar una cuenta de usuario usando el comando useradd, las siguientes tareas se completan principalmente:
1. En / etc / Agregue un registro de la cuenta de usuario al final del archivo passwd y el archivo / etc / shadow
2. Si el directorio de inicio del usuario no se especifica explícitamente, se creará automáticamente un directorio de inicio con el mismo nombre que la cuenta de usuario en el directorio / home y se creará en este directorio Varios archivos de configuración inicial del usuario
3. Si el grupo al que pertenece el usuario no está claramente especificado, se creará automáticamente una cuenta de grupo básica con el mismo nombre que la cuenta de usuario, y la información de registro de la cuenta de grupo se guardará en los archivos / etc / group y / etc / gshadow

Opciones comunes Explicación
-u Especifique el número de UID del usuario y solicite que otros usuarios no utilicen el número de UID
-re Especifique la ubicación del directorio de inicio del usuario (cuando se usa con -M, no tiene efecto). Utilice solo la ruta absoluta para especificar el directorio
-mi Especifique la hora de vencimiento de la cuenta del usuario, puede usar el formato de fecha AAAA-MM-DD
-gramo Especifique el nombre del grupo básico del usuario (o use el número GID), el nombre del grupo correspondiente ya debe existir
-GRAMO Especifique el nombre del grupo adicional del usuario (o use el número GID), el nombre del grupo correspondiente ya debe existir
-METRO No cree un directorio de inicio
-s Inicio de sesión del usuario especificado

Shell, (por ejemplo, / bin / bash es el sistema de inicio de sesión, / sbin / nologin y / bin / false tienen prohibido a los usuarios iniciar sesión en el sistema)

  • Cuando usa useradd o adduser para agregar un usuario, no puede realizar ninguna operación, porque el usuario no está activado; solo después de que el usuario esté configurado con una contraseña se puede activar y luego se puede operar

2.2 Establecer / cambiar la contraseña de usuario-passwd

  • Después de agregar una cuenta de usuario a través del comando useradd, debe establecer una contraseña para que se use normalmente
  • Utilice el comando passwd para establecer o modificar la contraseña. El usuario root tiene derecho a administrar las contraseñas de otras cuentas (solo especifique el nombre de la cuenta como parámetro)
pawwd [选项] 用户名
Opciones comunes Explicación
-re Borre la contraseña del usuario especificado e inicie sesión en el sistema solo con el nombre de usuario
-l Bloquear la cuenta de usuario, la cuenta de usuario bloqueada ya no podrá iniciar sesión en el sistema
-S Ver el estado de la cuenta de usuario (si está bloqueada)
-u Desbloquear cuenta de usuario

Cuando no se especifica el nombre de usuario, es decir, para modificar la contraseña de la cuenta actual. El
usuario root puede especificar el nombre de usuario como parámetro para administrar la contraseña de la cuenta especificada; cuando no se especifica el nombre de usuario, la contraseña de la cuenta actual
solo puede ser modificada por usuarios normales. comando passwd "para modificar su propia contraseña

  • Establecer el método de contraseña de usuario dos:
echo “密码” | passwd --stdin 用户名

2.3 Modificar los atributos de la cuenta de usuario-usermod

  • Para las cuentas de usuario que ya existen en el sistema, puede usar el comando usermod para restablecer varios atributos
  • Cuando se usa el comando usermod, la mayoría de sus opciones corresponden a las opciones del comando useradd, y las funciones son similares.
Opciones comunes Explicación
-u Modificar el número de UID del usuario
-re Modificar la ubicación del directorio de inicio del usuario
-mi Modifique el tiempo de vencimiento de la cuenta del usuario, puede usar el formato de fecha AAAA-MM-DD
-gramo Modifique el nombre del grupo básico del usuario (o use el número GID)
-GRAMO Modifique el nombre del grupo adicional del usuario (o use el número GID)
-s El shell de inicio de sesión del usuario especificado
-l Cambiar el nombre de inicio de sesión de una cuenta de usuario
-L Bloquear cuenta de usuario
-U Desbloquear cuenta de usuario

Después de usar el comando -l para cambiar el nombre de usuario, el UID y GID originales no cambiarán

2.4 Eliminar cuenta de usuario-userdel

userdel  -r  用户名
#添加 -r 选项时,表示连用户的宿主目录一并删除

2.5 Archivo de configuración inicial de la cuenta de usuario

  1. Origen del archivo
1.useradd 命令添加一个新的用户账号后在该用户的宿主目录中建立一些初始配置文件
这些文件来自于账号模板目录/etc/skell,基本上都是隐藏文件  

2.主要的用户初始配置文件
~/.bash_profile
~/.bashrc
~/.bash_logout
  1. El archivo de configuración inicial en el directorio de inicio del usuario solo es válido para el usuario actual
~/.bash_profile  
此文件中的命令将在该用户每次登录时被执行,它会设置一些环境变量,并且会调用该用户的~/.bashrc文件

~/.bashrc  
此文件中的命令会在每次打开新的bash shell 时(也包括登录系统)被执行,并且会调用/etc/bashrc文件

~/.bash_logout
此文件中的命令将在用户每次退出登录或退出bash shell时执行
  1. El archivo de configuración global es válido para todos los usuarios:
/etc/profile
这个文件是为系统全局变量配置文件,可通过重启系统或者执行 source /etc/profile 命令使profile文件被读取

/etc/profile.d
这个文件实际上是 /etc/profile 的子目录,存放的是一些应用程序所需的启动脚本

/etc/bashrc
每一个运行bash shell的用户都会执行此文件,可通过执行bash 命令打开一个新的bash shell 时,使bashrc文件被读取

vim /etc/bashrc
alias myls=’/bin/ls -lhrt’

bash
type myls
  1. La variable PATH se utiliza para establecer la ruta de búsqueda predeterminada para programas ejecutables.
  2. Cómo surte efecto PATH:
每次启动系统的时候会初始化命令,会执行 /etc/profile 和 ~/.bash_profile
/etc/profile会将路径 /usr/local/bin、/usr/bin、 /usr/local/sbin、/usr/sbin追加到PATH中去
然后调用 /etc/profile.d 目录下的脚本

Dos, cuenta de grupo de administración

1. Gestión de cuentas grupales

  • Relativamente poco uso de comandos de cuentas grupales
  • Para las cuentas de usuario, las cuentas de grupo correspondientes se pueden dividir en dos tipos: grupo básico (grupo privado) y grupo adicional (grupo público)
  • Cada cuenta de usuario puede ser miembro de varias cuentas de grupo, pero solo hay una cuenta de grupo básica
  • El cuarto campo del archivo "/ etc / passwd" es el número GID del grupo básico del usuario.
  • Para qué grupos adicionales pertenece el usuario, debe reflejarse en el archivo de la cuenta correspondiente

1.1 Archivo de cuenta de grupo

Existen los siguientes dos archivos de configuración relacionados con las cuentas de grupo

  • / etc / group: guarde información básica como el nombre de la cuenta del grupo, el número GID y los miembros del grupo
  • / etc / gshadow: guarda información como la cadena de contraseña encriptada de la cuenta del grupo (rara vez se usa)
grep "postfix"  /etc/group
mail:x:12:postfix
postfix:x:89:
字段1:组帐号的名称
字段2:占位符"x"
字段3:组账号的GID
字段4:组账号包含的用户成员(一般不包括基本组对应的用户帐号) ,多个成员之间以逗号","分隔
  • Cuando el grupo que se va a consultar se utiliza como grupo básico, los miembros de su grupo básico no se muestran, solo se muestran los miembros del grupo adicional

1.2 Agregar cuenta de grupo-groupadd

  • Puede agregar una cuenta de grupo, cuando necesite especificar el número GID, puede usar la opción "-g"
groupadd  [-g  GID]  组账号名

1.3 Agregar, configurar, eliminar miembros del grupo-gpasswd

  • El comando gpasswd se usó originalmente para establecer la contraseña de la cuenta del grupo, pero esta función rara vez se usa. De hecho, el comando se usa más para administrar los miembros del usuario de la cuenta del grupo
gpasswd  选项  组账号名
Opciones comunes Explicación
-un Agregar un usuario al grupo
-re Eliminar a un miembro del usuario del grupo
-METRO Definir una lista de miembros del grupo, separados por comas

1.4 Eliminar miembros del grupo-groupdel

groupdel  组账号名

2. Consultar información de la cuenta

2.1 Consultar el ID de identidad de una cuenta de usuario

  • Puede ver rápidamente el UID, GID y otra información de identificación de la cuenta de usuario especificada
id 用户名

2.2 Consultar el grupo al que pertenece la cuenta de usuario-grupos

  • Consultar el grupo al que pertenece el usuario
groups  用户名

2.3 Consultar los atributos de inicio de sesión del dedo de la cuenta del usuario

  • Consultar información detallada como los atributos de inicio de sesión de una cuenta de usuario, incluido el nombre de inicio de sesión, el nombre completo, el directorio del host, el shell de inicio de sesión, etc.
finger   用户名
  • Instale el paquete figer
yum -y install finger

2.4 Consultar el estado de inicio de sesión del usuario del host actual-w, who, usuarios

  • Consultar la información de los usuarios que han iniciado sesión en el host
补充:通常使用tty来简称各种类型的终端设备,,Centos7系统, tty1表示图形界面,,tty2-tty6表示文字界面,可以用ctrl+Alt+F1-F6切换。
按Ctrl+Alt+F2登陆,执行w命令,查看使用的终端就是tty2

pts说明是用远程工具连接的,比如xshell,后面的数字代表登录的时间顺序,越小证明登录的越早

3. Permiso y propiedad de directorios y archivos

  • En el modelo de seguridad del sistema de archivos de Linux, se asignan dos atributos a los archivos del sistema: permisos de acceso y propietarios de archivos, denominados "permisos" y "atribuciones" para abreviar
  • Entre ellos, los permisos de acceso incluyen tres tipos básicos: lectura, escritura y ejecutable. La atribución incluye propietario (la cuenta de usuario que posee el archivo) y el grupo (la cuenta de grupo que posee el archivo).
  • El sistema Linux controla el proceso de acceso del usuario a los datos de acuerdo con los derechos de acceso y la propiedad de los archivos o directorios.

1. Ver los permisos y la propiedad de los archivos

ls  -l  install.log 
-rw-r--r--  1  root  root   34298  04-02  00:23   install.log    

#  -rw-r--r-- :文件类型、权限    root  root   属主、属组

marca

2. Establecer permisos y propiedad de archivos

2.1 Establecer permisos de archivo-chmod

chown  属主  文件或目录
chown  :属组   文件或目录
chown  属主:属组   文件或目录
  • Opciones comunes:
    -R: modifica de forma recursiva la propiedad de todos los archivos y subdirectorios en el directorio especificado

2.2 Establecer la propiedad del archivo-chown

chmod   [ugoa...]    [+-=]    [rwx]    文件或目录
"ugoa"表示该权限设置所针对的用户类别。"u"代表文件属主,"g"代表文件属组内的用户, "o"代表其他任何用户,,"a"代表所有用户(缺省时为a)。

"+-="表示设置权限的操作动作。“+"代表增加相应权限,"-"代表减少相应权限, "="代表仅设置对应的权限。

"rwx"是权限的字符组合形式,也可以拆分使用,如""rx"等。
  • chmod nnn archivo o directorio-
    R: modifica recursivamente los permisos de todos los subdirectorios y archivos en el directorio especificado
  • Cambie los permisos del usuario xcf a los permisos más altos:
    chmod +777 xcf

2.3 Establecer permisos predeterminados para directorios y archivos-umask

  • Especifique el valor predeterminado del permiso del usuario actual al crear un nuevo archivo o directorio
  • El permiso de un archivo o directorio recién creado es el permiso máximo predeterminado menos umake (el permiso máximo predeterminado de los archivos ordinarios es 6 y el permiso máximo predeterminado de los directorios es 7)
umask设置::umask 022
umask查看: umask

将umask000,新建目录或者文件,查看权限
将umask设为022,新建目录或者文件,再查看权限

Supongo que te gusta

Origin blog.csdn.net/weixin_51486343/article/details/112155720
Recomendado
Clasificación
Diario
Más
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)

Code World

© 2018 codetd.com