用户、组和权限

1.Linux安全模型

资源分派：

• Authentication：认证，验证用户身份
• Authorizaation：授权，不同的用户设置不同的权限
• Accounting | Audition：审计

1.1用户

Linux中每个用户是通过User Id (UID)来唯一标识的

• 管理员：root，0
• 普通用户：1-60000自动分配
  • 系统用户：1-499（CentOS 6以前），1-999（CentOS 7以后）

                对守护进程获取资源进行权限分配

• 登录用户：500+ （CentOS 6以前），1000+ （CentOS 7以后）

                给用户进行交互式登录使用

1.2用户组

Linux中可以将一个或多个用户加入用户组中，用户组是通过Group ID（GID） 来唯一标识的。

• 管理员组：root, 0
• 普通组：
  • 系统组：1-499（CentOS 6以前）, 1-999（CentOS7以后）, 对守护进程获取资源进行权限分 配
  • 普通组：500+（CentOS 6以前）, 1000+（CentOS7以后）,给用户使用

 ​​1.3用户和组的关系

• 用户的主要组(primary group)：用户必须属于一个且只有一个主组，默认创建用户时会自动创建 和用户名同名的组，做为用户的主要组，由于此组中只有一个用户，又称为私有组
• 用户的附加组(supplementary group)： 一个用户可以属于零个或多个辅助组，附属组

 1.4安全上下文

Linux安全上下文Context：运行中的程序，即进程 (process)，以进程发起者的身份运行，进程所能够

访问资源的权限取决于进程的运行者的身份

比如：分别以root 和wang 的身份运行 /bin/cat /etc/shadow ，得到的结果是不同的，资源能否能

被访问，是由运行者的身份决定，非程序本身

2.用户和组的配置文件 

2.1用户和组的主要配置文件

• /etc/passwd：用户及其属性信息(名称、UID、主组ID等）
• /etc/shadow：用户密码及其相关属性
• /etc/group：组及其属性信息
• /etc/gshadow：组密码及其相关属性

2.2passwd文件格式

login name：登录用名（wang）

passwd：密码 (x)

UID：用户身份编号 (1000)

GID：登录默认所在组编号 (1000)

GECOS：用户全名或注释

home directory：用户主目录 (/home/wang)

shell：用户默认使用shell (/bin/bash)

2.3shadow文件格式

登录用名

用户密码:一般用sha512加密

从1970年1月1日起到密码最近一次被更改的时间

密码再过几天可以被变更（

0表示随时可被变更）

密码再过几天必须被变更（99999表示永不过期）

密码过期前几天系统提醒用户（默认为一周）

密码过期几天后帐号会被锁定

从1970年1月1日算起，多少天后帐号失效

更改密码加密算法：

authconfig   --passalgo=sha256 --update

密码的安全策略

• 足够长
• 使用数字、大写字母、小写字母及特殊字符中至少3种
• 使用随机密码
• 定期更换,不要使用最近曾经使用过的密码

2.4group文件格式

群组名称：就是群组名称

群组密码：通常不需要设定，密码是被记录在 /etc/gshadow

GID：就是群组的 ID

以当前组为附加组的用户列表(分隔符为逗号)

2.5gshdow文件格式

群组名称：就是群的名称

群组密码：

组管理员列表：组管理员的列表，更改组密码和成员

以当前组为附加组的用户列表：多个用户间用逗号分隔

2.6文件操

• vipw和vigr
• pwck和grpck

3. 用户和组管理命令

用户管理命令

• useradd
• usermod
• userdel

组帐号维护命令

• groupadd
• groupmod
• groupdel

3.1 用户创建

useradd 命令可以创建新的Linux用户

格式：

useradd [options] LOGIN

常见选项：

-u UID

-o 配合-u 选项，不检查UID的唯一性

-g GID 指明用户所属基本组，可为组名，也可以GID

-c "COMMENT“ 用户的注释信息

-d HOME_DIR 以指定的路径(不存在)为家目录

-s SHELL 指明用户的默认shell程序，可用列表在/etc/shells文件中

-G GROUP1[,GROUP2,...] 为用户指明附加组，组须事先存在

-N 不创建私用组做主组，使用users组做主组

-r 创建系统用户 CentOS 6之前: ID<500，CentOS7 以后: ID<1000

-m 创建家目录，用于系统用户

-M 不创建家目录，用于非系统用户

-p 指定加密的密码

3.2用户属性修改

usermod 命令可以修改用户属性

格式：

usermod [OPTION] login

常见选项：

-u UID: 新UID

-g GID: 新主组

-G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使

用-a选项

-s SHELL：新的默认SHELL

-c 'COMMENT'：新的注释信息

-d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项

-l login_name: 新的名字

-L: lock指定用户,在/etc/shadow 密码栏的增加 !

-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉

-e YYYY-MM-DD: 指明用户账号过期日期

-f INACTIVE: 设定非活动期限，即宽限期

3.3删除用户

userdel 可删除Linux 用户

格式：

userdel [OPTION]... Login

常见选项：

-f, --force   强制

-r, --remove 删除用户家目录和邮箱

3.4查看用户相关的ID信息

id 命令可以查看用户的UID，GID等信息

id [OPTION]... [USER]

常见选项：

u: 显示UID

-g: 显示GID

-G: 显示用户所属的组的ID

-n: 显示名称，需配合ugG使用

3.5切换用户或以其他用户身份执行命令

su: 即 switch user，命令可以切换用户身份，并且以指定用户的身份执行命令

格式：

su [options...] [-] [user [args...]]

常见选项：

-l  --login   su -l UserName   相当于 su - UserName

-c, --command <command>         pass a single command to the shell with -c

切换用户的方式：

• su UserName：非登录式切换，即不会读取目标用户的配置文件，不改变当前工作目录，即不完全切换
• su - UserName：登录式切换，会读取目标用户的配置文件，切换至自已的家目录，即完全切换

说明：root su至其他用户无须密码；非root用户切换时需要密码

注意：su 切换新用户后，使用 exit 退回至旧的用户身份，而不要再用 su 切换至旧用户，否则会生成很 多的bash子进程，环境可能会混乱。

换个身份执行命令：

su [-] UserName -c 'COMMAND'

3.6设置密码

passwd 可以修改用户密码

格式：

passwd [OPTIONS] UserName

常用选项：

-d：删除指定用户密码

-l：锁定指定用户

-u：解锁指定用户

-e：强制用户下次登录修改密码

-f：强制操作

-n mindays：指定最短使用期限

-x maxdays：最大使用期限

-w warndays：提前多少天开始警告

-i inactivedays：非活动期限

--stdin：从标准输入接收用户密码,Ubuntu无此选项

3.7修改用户密码策略

chage 可以修改用户密码策略

格式：

chage [OPTION]... LOGIN

常见选项：

-d LAST_DAY               #更改密码的时间

-m --mindays MIN_DAYS

-M --maxdays MAX_DAYS

-W --warndays WARN_DAYS

-I --inactive INACTIVE #密码过期后的宽限期

-E --expiredate EXPIRE_DATE #用户的有效期

-l 显示密码策略

3.8用户相关的其它命令

• chfn 指定个人信息
• chsh 指定shell，相当于usermod -s
• finger 可看用户个人信息

3.9创建组

groupadd实现创建组

格式

groupadd [OPTION]... group_name

常见选项：

-g GID 指明GID号；[GID_MIN, GID_MAX]

-r 创建系统组，CentOS 6之前: ID<500，CentOS 7以后: ID<1000

3.10修改组

groupmod 组属性修改

格式：

groupmod [OPTION]... group

常见选项：

-n group_name: 新名字

-g GID: 新的GID

3.11组删除

groupdel 可以删除组

格式

groupdel [options] GROUP

常见选项：

-f, --force 强制删除，即使是用户的主组也强制删除组,但会导致无主组的用户不可用无法登录

3.12 更改组密码

gpasswd命令，可以更改组密码，也可以修改附加组的成员关系

格式

gpasswd [OPTION] GROUP

常见选项：

-a user 将user添加至指定组中

-d user 从指定附加组中移除用户user

-A user1,user2,... 设置有管理权限的用户列表

3.13 临时切换主组

newgrp 命令可以临时切换主组， 如果用户本不属于此组，则需要组密码

格式：

newgrp [-] [group]

如果使用 - 选项，可以初始化用户环境

3.14更改和查看组成员

groupmems 可以管理附加组的成员关系

格式

groupmems [options] [action]

常见选项：

-g, --group groupname   #更改为指定组 (只有root)

-a, --add username     #指定用户加入组

-d, --delete username #从组中删除用户

-p, --purge               #从组中清除所有成员

-l,  --list                 #显示组成员列表

groups 可查看用户组关系

格式

#查看用户所属组列表
groups [OPTION].[USERNAME]...

4.文件权限管理

4.1文件所有者和属组属性操作

4.1.1设置文件的所有者chown

chown 命令可以修改文件的属主，也可以修改文件属组

格式

chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...

用法说明：

OWNER   #只修改所有者

OWNER:GROUP #同时修改所有者和属组

:GROUP   #只修改属组，冒号也可用 . 替换

--reference=RFILE  #参考指定的的属性，来修改  

-R #递归，此选项慎用，非常危险！

4.1.2 设置文件的属组信息chgrp

chgrp 命令可以只修改文件的属组

格式

 chgrp [OPTION]... GROUP FILE...
 chgrp [OPTION]... --reference=RFILE FILE...

-R 递归

4.2文件权限

4.2.1文件权限说明

文件的权限主要针对三类对象进行定义

owner 属主, u

group 属组, g

other 其他, o

注意：

用户的最终权限，是从左向右进行顺序匹配，即，所有者，所属组，其他人，一旦匹配权限立即生效，不再向

右查看其权限

r和w权限对root 用户无效

只要所有者,所属组或other三者之一有x权限,root就可以执行

每个文件针对每类访问者都定义了三种常用权限

每个文件针对每类访问者都定义了三种权限

r Readable

w Writable

x eXcutable

对文件的权限：

r 可使用文件查看类工具，比如：cat，可以获取其内容

w 可修改其内容

x 可以把此文件提请内核启动为一个进程，即可以执行（运行）此文件（此文件的内容必须是可执行）

对目录的权限：

r 可以使用ls查看此目录中

文件列表

w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关

x 可以cd进入此目录，可以使用ls -l查看此目录中文件元数据（须配合r权限），属于目录的可访问的最小权限

X 只给目录x权限，不给无执行权限的文件x权限

4.2.2 修改文件权限chmod

格式

chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限，将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...

4.3 新建文件和目录的默认权限

umask 的值可以用来保留在创建文件权限

实现方式：

•         新建文件的默认权限: 666-umask，如果所得结果某位存在执行（奇数）权限，则将其权限+1,偶 数不变
•         新建目录的默认权限: 777-umask

非特权用户umask默认是 002

root的umask 默认是 022

查看umask

umask
#模式方式显示
umask –S 
#输出可被调用
umask –p

 修改umask

umask #

持久保存umask

• 全局设置： /etc/bashrc
• 用户设置：~/.bashrc

4.4 Linux文件系统上的特殊权限

前面介绍了三种常见的权限：r, w, x 还有三种特殊权限：SUID, SGID, Sticky

特殊权限

• SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限
• SGID

                作用于二进制可执行文件上,用户将继承此程序所有组的权限

                作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承

• STICKY 作用于目录上,此目录中的文件只能由所有者自已来删除

4.4.1 特殊权限SUID

前提：进程有属主和属组；文件有属主和属组

• 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属主为发起者,进程的属组为发起者所属的组
• 进程访问文件时的权限，取决于进程的发起者

二进制的可执行文件上SUID权限功能：

• 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属主为原程序文件的属主
• SUID只对二进制可执行程序有效
• SUID设置在目录上无意义

SUID权限设定：

chmod u+s FILE...
chmod 4xxx FILE
chmod u-s FILE...

4.4.2 特殊权限SGID

二进制的可执行文件上SGID权限功能：

• 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属组为原程序文件的属组

SGID权限设定：

chmod g+s FILE... 
chmod 2xxx FILE
chmod g-s FILE...

目录上的SGID权限功能：

        默 认情况下，用户创建文件时，其属组为此用户所属的主组，一旦某目录被设定了SGID，则对此目录有 写权限的用户在此目录中创建的文件所属的组为此目录的属组，通常用于创建一个协作目录

SGID权限设定：

chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...

4.4.3 特殊权限 Sticky 位

具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权

在目录设置Sticky 位，只有文件的所有者或root可以删除该文件

sticky 设置在文件上无意义

Sticky权限设定：

chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...

4.4.4 特殊权限数字法

SUID SGID STICKY

000 0

001 1

010 2

011 3

100 4

101 5

110 6

111 7

权限位映射

SUID: user,占据属主的执行权限位

        s：属主拥有x权限

        S：属主没有x权限

SGID: group,占据属组的执行权限位

        s： group拥有x权限

        S：group没有x权限

Sticky: other,占据other的执行权限位

        t：other拥有x权限

        T：other没有x权限

4.5 设定文件特殊属性

设置文件的特殊属性，可以访问 root 用户误操作删除或修改文件

不能删除，改名，更改

chattr +i file

只能追加内容，不能删除，改名

chattr +a file

显示特定属性

lsattr

4.6 访问控制列表 ACL

4.6.1 ACL权限功能

ACL：Access Control List，实现灵活的权限管理

除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

ACL生效顺序：

所有者，自定义用户，所属组|自定义组，其他人

 4.6.2 ACL相关命令

setfacl 可设置ACL权限

getfacl 可查看设置的ACL权限

mask 权限

• mask只影响除所有者和other的之外的人和组的最大权限
• mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission)
• 用户或组的设置必须存在于mask权限设定范围内才会生效

4.6.3 备份和还原ACL

主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不 会保留目录和文件的ACL信息