账户与安全
创建账户及组
1.lastlog:所有用户登陆情况【-u UID号:只查看单个用户】
2 whoami:查看我是哪个用户
3.useradd:创建新账号
-u UID: 指定用户的UID号 -d 家目录: 指定用户的家目录 -c 用户说明: 指定用户的说明
-g 组名: 指定用户的基本组 -G 组名: 指定用户的附加组【多个组用逗号隔开】
-s shell: 手工指定用户的登录shell。默认是/bin/bash -M:不创建家目录,一般与-s结合使用
如:useradd -s /sbin/nologin -M user1 创建无法登录系统且没有家目录的用户user1
4.groupadd:创建组账户(Linux用户必须至少属于一个组)
-g:设置组ID号
5.id:显示账户及组信息
如:id root
修改、删除账户及组
1.passwd:更新账号认证信息
-S 查询用户密码的密码状态 -l 暂时锁定用户 -u 解锁用户
-d:快速清空账户密码 --stdin 可以通过管道符输出的数据作为用户的密码
passwd:为当前用户设置新密码
如:passwd tom #指定修改tom的密码
echo "123456" |passwd --stdin tom #设置tom的密码为123456
2.usermod:修改账户信息
-u UID:修改用户的UID号 -c 用户说明: 修改用户的说明信息 -G 组名:修改用户的附加组 -g:修改用户的基本组 -l:修改用户名
-L: 临时锁定用户(Lock) -U:解锁用户锁定(Unlock) -s Shell解释器名 用户名:修改用户的默认解释器
3.强制用户第一次登陆修改密码
gpasswd -0 用户名
4.userdel:删除账户及相关文件
-r :删除用户的同时删除用户家目录
5.groupldel:删除组账户
账户与组文件解析
1.账户信息文件:/etc/passwd
如: root:x:0:0:root:/root:/bin/bash
分别代表 用户名:密码占位符:UID:GID:描述信息:家目录:解释器
2.账户密码文件:/etc/shadow
内容如下: bin:*:16659:0:99999:7:::
3.组账户信息文件:/etc/group
如: root:x:0:
组账户名称:密码 占位符:组成员信息
4.组账户密码文件:/etc/gshadow
如: root:::
组账号名称:组密码:组管理员:组成员
<gpasswd 组名>:为组设置密码,如:gpasswd admin #给admin组设置密码
<gpasswd -A 账户名称 组账户名称>:为组添加管理员
如:gpasswd -A main admin #将main设置为admin的管理员
gpasswd -a 用户名 组名:添加 gpasswd -d 用户名 组名:删除
文件及目录权限
r(读取)、w(写入)、x(执行)
-rw-r–r--. 1 root root 24772 12月 30 2017 install.log
文本文件: 目录:
r:cat less head tail ls
w:vim > mkdir、rm、mv、cp、touch更改目录内容操作
x:Shell脚本编写时赋予 cd
修改文档属性
1.chmod:改变文件或目录权限
-R 递归修改
u:所有者 g:所属组 o:其他人 a:所有人
如:chmod g-x,o-wx install.log #所属组去掉执行权限,其他人去掉写和执行权限
chmod u=rwx,g=rx,o=- test.txt
还可以使用数字来修改权限
如:chmod 700 install.log
chown:改变文件的所有者和所属主(root下) 如:chown tom:stugrp 文件 #所有者为tom,所属组为stugrp
chgrp:改变文件所属组
2.chown:改变文件的所有者和所属主(root下)
如:chown tom:stugrp 文件 #所有者为tom,所属组为stugrp
chgrp:改变文件所属组
3.附加权限(特殊权限):
(1)Set GID(4),附加在属组的x位,适用于目录,可以使目录下新增的子文档自动继承父目录所属组身份(传递属组身份)
chmod g+s 目录 注意:如果为S表示之前没有x权限,为s表示之前有x权限
(2)Set UID(2),(尚方宝剑)附加在属主的x位,适用于可执行文件,让使用者具备文件属主的身份及部分权限
chmod u+s 可执行文件 #使普通用户使用命令时具有root身份
(3)Sticky Bit(1),附加在其他人的x位上,标识为t,适用于开放w权限的目录,阻止用户滥用w写入权限
chmod o+t 目录 #检查执行者的身份是不是该文档的所有者
4.umask -S:显示新建文件/目录的缺省权限; umask 数值:更改默认权限
5.chattr:设置文件的隐藏权限
a:只能增加,不能删除 i:不能修改
6.lsattr:显示文件的隐藏权限
ACL访问控制权限
1.getfacl:查看文档的ACL权限
2.setfacl:设置文档访问控制列表
-b:删除所有附件的ACL条目 -k:删除默认的ACL -m:添加ACL条目
-x:删除指定的ACL条目 -R:递归处理所有的子文件与子目录
如:setfacl -m u:user1:rw test.txt #使用户user1对test.txt文件可读可写
setfacl -x g:user2 test.txt #删除user2组的ACL条目
setfacl -b test.txt #删除所有附加的ACL条目
3. ACL作用:能够对个别用户、个别组单独设置权限