在 Linux 的世界里,权限管理是保障系统安全与高效运行的关键环节。对于学习 Java 全栈开发的同学而言,深入理解 Linux 权限系统不仅有助于日常开发环境的搭建与维护,在未来企业级开发中,面对多用户协作的服务器环境,更是不可或缺的技能。今天,让我们一同开启 Linux 权限系统和软件安装系列学习的第一站 ——Linux 用户与用户组管理。
一、Linux 用户 & 用户组基础认知
Linux 作为一款强大的操作系统,支持多用户、多任务同时执行。想象一下,在一个拥有 15 人的开发团队中,5 人属于测试团队,10 人属于运维团队,如何合理分配系统资源与权限,确保工作高效且安全地进行?答案就是巧妙运用 Linux 的用户组机制。
(一)用户组概述
用户组,简单来说,就是一个用于管理用户的组合。它就像是公司里的不同部门,将具有相同权限需求或业务关联的用户归为一组。用户组与用户之间存在多种关系:
- 一对一:一个用户对应一个用户组。例如,在一个小型项目中,某个核心开发人员被单独划分到一个特定的用户组,以便对其权限进行精准控制。
- 一对多:一个用户组包含多个用户。这是最为常见的情况,比如前面提到的测试团队和运维团队,各自作为一个用户组,组内有多名成员。在 Java 全栈开发项目中,测试团队成员可能需要对测试环境中的服务器有特定的读写权限,通过将他们归入同一个用户组,就能方便地统一设置权限。
- 多对多:一个用户可以同时属于多个用户组,一个用户组也可以包含来自不同业务场景的用户。比如,在一个大型项目中,部分技术骨干既参与开发工作,又需要协助运维进行系统测试,他们可能同时属于开发用户组和运维用户组,从而具备两个组的相关权限。
(二)查看用户组
在 Linux 系统中,/etc目录是系统配置的核心所在。要查看用户组资料,我们可以使用以下命令:
cat /etc/group
该文件的格式如下:
root:x:0:
这里,root是用户组名称;x是一个占位符,并非代表用户组有密码(在现代 Linux 系统中,用户组密码通常存储在其他安全机制中);0是用户组的 ID。用户组 ID 在系统中用于标识不同的用户组,就如同每个人的身份证号码一样,具有唯一性。
(三)添加用户组
添加用户组的命令为groupadd,其基本语法为groupadd [选项 选项值] 用户组的名称。常见选项如下:
- -g:设置组的 ID。若不设置,系统会从 1000 - 60000 之间自动递增分配 ID。例如:
groupadd dev01
groupadd -g 1005 test01
执行上述命令后,我们可以再次使用cat /etc/group查看用户组资料,确认新用户组是否添加成功。在 Java 项目开发中,可能会根据不同的项目模块或开发阶段创建对应的用户组,方便权限管理。比如,为一个新启动的 Java 微服务项目创建microservice_dev01用户组,用于管理参与该项目开发的人员权限。
(四)向用户组添加用户
向用户组添加用户需要用到gpasswd命令,其语法为gpasswd [选项] 用户名称 用户组。常见选项有:
- -a:添加用户到用户组。
- -d:从用户组中删除用户。
- -A:指定用户组的管理员。
- -M:批量添加用户到用户组中。
- -r:删除密码(这里的密码指的是用户组密码,在实际应用中较少使用)。
例如,我们先创建两个用户userwang和userzhang:
useradd userwang
useradd userzhang
然后将他们添加到dev01用户组:
gpasswd -a userwang dev01
gpasswd -a userzhang dev01
添加完成后,使用cat /etc/group查看用户组资料,会发现dev01用户组中已经包含了这两个用户。若要从用户组中删除userwang,则执行:
gpasswd -d userwang dev01
在企业开发中,当有新成员加入项目团队时,管理员可以通过这种方式将其添加到对应的用户组,赋予相应权限。例如,新入职的 Java 开发人员需要加入backend_dev用户组,参与后端代码开发工作,管理员就可以使用gpasswd -a new_dev_user backend_dev命令完成添加操作。
(五)删除用户组
删除用户组使用groupdel命令,语法为groupdel [选项 选项值] 用户组名称。其中,-f选项用于强制删除,当组内还有用户时,使用该选项可以将组内用户全部脱离组并删除用户组。例如:
groupdel -f dev01
删除后,再次查看/etc/group文件,会发现dev01用户组已不存在。在项目结束或团队架构调整时,可能会需要删除不再使用的用户组,以保持系统的整洁与安全。
(六)查看 Linux 用户
Linux 用户主要分为三类:超级用户、系统用户和普通用户。
- 超级管理员:即
root用户,拥有系统的一切权力,其 UID(用户 ID)为 0,在命令行中,其标识符为#。通过查看/etc/passwd文件,可以获取用户相关信息。 - 系统用户:这类用户是 Linux 操作系统的内置用户,如
IP、shutdown等,它们主要用于系统运行的特定功能,不能登录系统,UID 范围是 1 - 999。 - 普通用户:可以登录 Linux 操作系统进行日常操作的用户,UID 范围是 1000 - 60000,标识符是
$。/etc/passwd文件中每行记录的格式如下:
root:x:0:0:root:/root:/bin/bash
各字段含义为:
root:账号名称。x:账号密码占位符(实际密码存储在/etc/shadow文件中,且经过加密处理)。0:用户 ID。0:用户组 ID。root:描述信息。/root:root账号的家目录,也是登录系统后的默认位置。/bin/bash:解释器,/bin/bash表示该用户可以登录系统,/sbin/nologin则表示不能登录。
若要查看单个用户的详细信息,可使用id [用户名]命令。例如,执行id userwang,会显示userwang用户的 UID、所属用户组等信息。在企业开发环境中,通过查看用户信息,可以快速了解用户的权限范围和所属团队,便于进行协作与管理。
(七)添加用户
添加用户使用useradd命令,语法为useradd [选项] 用户名称。常见选项如下:
- -u:指定 UserID。
- -g:指定 User GroudID。
- -G:指定 User GroudName。
- -d:指定家目录。
- -s:指定 Shell 脚本(
/sbin/nologin表示不能登录系统,/bin/bash表示可以登录系统)。 - -c:添加备注信息。
例如:
# 新增用户iwe2
useradd iwe2
# 新增用户iwe1,并且添加到test01组中
useradd -G test01 -s /bin/bash -c "将iwe1账号添加到test01组中" iwe1
在 Java 全栈开发中,当搭建开发环境时,可能需要为不同的开发人员创建独立的用户账号,并将其加入相应的用户组,确保每个开发人员都有合适的权限进行代码编写、调试等工作。
(八)设置密码
设置用户密码使用passwd命令,语法为passwd [用户名称]。Linux 系统中的密码规则较为严格,建议使用复杂且难以猜测的密码,例如结合诗词与特殊字符,如Flzx3qc_14yhl9t(对应 “大鹏一日同风起_扶摇直上九万里”)。若普通用户遗忘密码,可联系Root管理员进行重置。在企业环境中,定期更换密码是保障系统安全的重要措施,管理员需要提醒用户设置强密码,并按照规定周期进行密码更新。
(九)查看密码
用户密码信息存储在/etc/shadow文件中,但需要注意的是,普通用户没有权限查看该文件,只有root账号凭借其超级权限可以查看。例如,执行cat /etc/shadow,会看到类似如下的记录:
iwe2:$6$rounds=100000$bmopnLYXKiLJExew$RgFwLB78RAwg6651/G.oFRxVjrZm5rW11kkz1RwbdidFzzQgabBfH6In5UGOhBsc.YRvgWckqXl6ZZH8JTFcZ1:20030:0:99999:7:::
各字段含义为:
iwe2:用户名称。$6$rounds=100000$bmopnLYXKiLJExew$RgFwLB78RAwg6651/G.oFRxVjrZm5rW11kkz1RwbdidFzzQgabBfH6In5UGOhBsc.YRvgWckqXl6ZZH8JTFcZ1:用户密码(经过加密处理)。20030:最后一次修改时间(从 1970 年 1 月 1 日起计算的天数)。0:密码修改的间隔时间(默认单位:天)。99999:密码有效期(默认单位:天)。7:警告天数,提前 7 天提醒用户修改密码。:::宽限时间,密码过期后留给用户的最后时间。:::账号失效时间。::保留字段。
(十)修改用户
修改用户信息使用usermod命令,语法为usermod [选项] 用户名。常见选项如下:
- -u:修改 UserID。
- -g:修改 User GroudID。
- -G:修改附加组。
- -d:修改家目录。
- -s:切换 Shell 命令(
/sbin/nologin或/bin/bash)。 - -L:锁定用户,不允许登录。
- -U:解锁用户。
- -c:备注。
例如,要锁定iwe3账号,执行:
usermod -L iwe3
若要解锁,则执行:
usermod -U iwe3
在企业开发中,当员工离职或休假时,管理员可以通过锁定用户账号,确保系统安全。当员工回归岗位时,再进行解锁操作。
(十一)删除用户
删除用户使用userdel命令,语法为userdel [选项] 用户名称。选项-f用于强制删除,-r选项用于删除家目录。例如,执行userdel -r iwe2,会删除iwe2用户及其家目录。在项目人员变动时,及时删除不再使用的用户账号,有助于保持系统的安全性和整洁性。
(十二)切换用户
切换用户使用su命令,语法为su [用户名称]。需要注意的是,root账号切换其他账号,不需要输入密码;而其他账号切换到root账号,需要输入密码。例如,普通用户userwang要切换到root账号,执行su root,然后输入root密码即可完成切换。在日常开发与系统维护中,根据不同的操作需求,合理切换用户账号,确保操作在合适的权限下进行。
二、未来在企业工作的小技巧
- 定期清理用户与用户组:在企业环境中,随着项目的推进和人员的变动,系统中可能会残留一些不再使用的用户账号和用户组。定期进行清理,不仅可以提高系统性能,还能降低安全风险。可以编写一个定期执行的脚本,检查用户账号的最后登录时间、所属用户组的使用情况等,自动清理长时间未登录且无关联项目的用户账号和空用户组。
- 基于项目的用户组动态管理:对于 Java 全栈开发项目,项目周期内可能会有人员的加入和离开。采用基于项目的用户组动态管理策略,当项目启动时,创建对应的用户组,并根据人员角色分配权限;项目结束后,及时清理相关用户组和用户账号。例如,使用自动化脚本,在项目创建时,根据预设的项目模板,自动创建用户组、添加用户并分配权限;项目结束时,执行清理脚本,删除不再使用的用户和用户组。
- 用户权限审计:定期进行用户权限审计,检查用户实际拥有的权限与应有的权限是否一致。可以使用一些工具,如
auditd,对系统操作进行日志记录和分析。通过审计,及时发现权限滥用或权限不足的情况,进行调整,保障系统的安全性和稳定性。
通过对 Linux 用户与用户组管理的学习,我们为深入理解 Linux 权限系统奠定了基础。在后续的学习中,我们将继续探索 Linux 权限系统的更多奥秘,以及软件安装的相关知识,不断提升自己在 Linux 环境下的操作技能和开发能力。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
