账号和权限管理

前言  

     在 Linux 操作系统的管理领域中，账号和权限管理是保障系统安全、稳定运行的核心要素。通过合理配置用户账号和组账号，以及精确设置目录与文件的权限和归属，能够有效控制系统资源的访问，避免非法操作和数据泄露风险，为系统构建起坚实的安全防线。

管理用户账号和组账号

      与 windows 操作系统相比，Linux 操作系统中的用户账号和组账号的作用在本质上是一样的，同样都是基于用户身份来控制对资源的访问，只不过在表现形式及个别细节方面存在一些差异。

用户账号和组账号概述   

       与 windows 操作系统一样，Linux 操作系统的每一个用户账号也都有唯一的用户名与密码。用户在登录时输入正确的用户名和密码，就能够进入操作系统和自己的主目录。本小节将介绍 Linux 操作系统中用户账号和组账号的相关概念。

用户账号

       在 Linux 操作系统中，根据系统管理的需要将用户账号分为不同的类型，主要包括超级用户、普通用户和程序用户，各类型拥有的权限、担任的角色也各不相同。

普通用户:普通用户账号需要由 root 用户或其他管理员用户创建，拥有的权限受到一定限制-般只在用户自己的宿主目录中拥有完整权限

程序用户:在安装 Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行，如 bin、daemon、ftp、mail 等。

UID和GID号

       Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记，称为 UID，对于操作系统核心来说，UID 是区分用户的基本依据，原则上每个用户的 UID 号应该是唯-的。root 用户账号的 UID 号为固定值0，而程序用户账号的 UID号默认为1-499，500-60000 的UID 号默认分配给普通用户使用。

用户账号管理

Linux 操作系统中的用户账号、密码等信息均保存在相应的配置文件中，直接修改这些文件或者使用用户管理命令都可以对用户账号进行管理。

用户账号文件

       在 passwd 文件开头的部分，包括超级用户 root 及各程序用户的账号信息，系统中新增加的用户账号信息将保存到 passwd 文件的末尾。passwd 文件的每一行内容中包含了七个用“:”(冒号)分隔的配置字段，从左到右各配置字段的含义分别如下所述。

第 1字段:用户账号的名称，也是登录系统时使用的识别名称。
第 2字段:经过加密的用户密码字串，或者密码占位符“x”。
第3 字段:用户账号的 UID 号。
第4字段:所属基本组账号的 GID号。
第 5 字段:用户全名，可填写与用户相关的说明信息。
第 6 字段:宿主目录，即该用户登录后所在的默认工作目录

第 7字段:登录 she11 等信息，用户完成登录后使用的 she11。

       基于系统运行和管理的需要，所有用户都可以访问passwd文件中的内容，但是只有root 用户才能进行更改。在早期的 WNIX 操作系统中，用户账号的密码信息也是保存在 passwd 文件中的，不法用户可以获取密码字串进行暴力破解，这样一来账号安全就存在一定的隐患。因此，后来将密码转存入专门的shadow 文件中，而 passwd 文件中仅保留密码占位符“x”。

       shadow 文件的每一行内容中包含了九个用“:”分隔的配置字段，从左到右各配置字段的含义分别如下所述。

第 1步骤:用户账号名称。

       第 2步骤:使用 SHA-512(哈希算法中的一种)加密的密码字串信息，当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统。第 3字段:上次修改密码的时间，表示从1970年 01月 01 日算起到最近一次修改密码时间隔的天数。

      第 4 步骤:密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。
默认值为 0，表示不进行限制。

      第 5 步骤:密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默
认值为 99999，表示不进行限制。

第 6 步骤:提前多少天警告用户密码将过期，默认值为7。

第 7步骤:在密码过期之后多少天内禁用此用户。

第 8步骤:账号失效时间，此字段指定了用户作废的天数默认值为空，表示账号永久可用。

第 9步骤:保留字段，目前没有特定用途。

添加、修改、删除用户账号

useradd 命令--添加用户账号

useradd 命令用于添加用户账号，其基本的命令格式如下:
useradd“选项”“用户名”

        最简单的用法是，不添加任何选项，只使用用户名作为 useradd 命令的参数，按系统默认配置建立指定的用户账号。在 centos 系统中，使用 useradd 命令添加用户账号时主要完成以下几项任务。 

第1项：在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录

第2项：若未明确指定用户的宿主目录，则在/ome 目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。

第3项若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group 和/etc/gshadow 文件中。

[root@localhost ~]# useradd zzk zeng

[root@localhost ~]# tail -1 /etc/passwdzzk zeng:x:1000:1000::/home/zzk zeng:/bin/bash

[root@localhost ~]# tail -1 /etc/shadowzzk zeng:!:20200:0:99999:7::

[root@localhost ~]#ls -A /home/zzk zengbash logout .bash profile .bashrc

      如果结合 useradd 命令的各种选项，可以在添加用户账号的同时对 UID 号、宿主目录、登录she11等相关属性进行指定。以下列出了 useradd 命令中用于设置账号属性的几个常见选项。

-u:指定用户的 UID号，要求该 UID 号码未被其他用户使用。
-d:指定用户的宿主目录位置。
-e:指定用户的账户失效时间，可使用 yrYY-0-DD 的日期格式。
-g:指定用户的基本组名。
-G:指定用户的附加组名。
-M:不建立宿主目录，即使/ete/login.defs 系统配置中已设定要建立宿主目录。
-s:指定用户的登录 shell。

      上述的各个选项可以组合使用。例如，执行以下操作可以创建一个辅助管理员账号admin，将其基本组指定为“whee1”，附加组指定为“root”，宿主目录指定为“/admin”

[root@localhost ~]# useradd -d /admin -g wheel -G root admin

     使用 passwd 命令除了可以修改账号的密码以外，还能够对用户账号进行锁定、解锁，也可以将用户的密码设置为空(无须密码即可登录)。与上述功能相关的几个选项如下所示

-d:清空指定用户的密码，仅使用用户名即可登录系统。
-1:锁定用户账户
-s:查看用户账户的状态。
-u:解锁用户账户。