Linux用户、组和权限管理

最新推荐文章于 2024-07-19 10:45:00 发布
最新推荐文章于 2024-07-19 10:45:00 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: linux基础管理 linux运维(所有)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gxy_learning/article/details/119744324
版权
本文详细介绍了Linux系统的用户和权限管理,包括用户类型、组的分类、配置文件解析,以及用户和组的创建、修改和删除。此外,还讨论了sudo提权、ACL权限控制、特殊权限(SUID、SGID、SBIT)以及umask设置。内容涵盖了用户权限的基本概念、操作指令和实践应用。
摘要由CSDN通过智能技术生成

Linux用户和权限管理

基础知识

  • Linux用户

    • 管理员:root 0
    • 普通用户:1-65535
      • 系统用户:Centos6:1-499,Centos7:1-999
      • 登录用户:Centos6:500+,Centos7:1000+

  • Linux组:

    • 管理员组:root 0

    • 普通组:

      • 系统组
      • 登录用户组

    • 组类别:

      • 基本组(主组):组名同用户名,且仅包含一个用户,私有组
      • 附加组(额外组):一个用户可以属于多个额外组

  • 用户和组相关的配置文件

    • /etc/passwd:用户及其属性信息(名称、UID、基本组ID等等)

    • /etc/group:组及其属性信息

    • /etc/shadow:用户密码及其相关属性

    • /etc/gshadow:组密码及其相关属性

[root@server1 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
字段解析:
name:password:UID:GID:描述:directory:shell

[root@server1 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
字段解析:
group_name:password:GID:user_list

[root@server1 ~]# cat /etc/shadow
root:$6$pGGxCptV$ORQhySfwpOCMr4mUPZ0bJfv3X82Zg8dCyqfcjfmafP5cyfaObevcXM2kl5azMfKYorG3BnjFwQyYkORIzGZry/:18819:0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
字段解析:
name:password:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期限:密码警告时间段:密码禁用日期:账户过期日期:保留字段

用户管理

信息查看

id
[root@server1 ~]# id
uid=0(root) gid=0(root)=0(root) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@server1 ~]# id user01
uid=1000(user01) gid=1000(user01)=1000(user01)
查看文件
[root@server1 ~]# ll /home
总用量 0
drwxr-xr-x. 4 root     root     29 711 20:22 abc
drwx------. 2 alice    alice    83 419 00:01 alice
drwxr-xr-x. 2 root     root      6 711 20:22 dfg
-rw-r--r--. 1 root     root      0 711 20:37 dir01
drwxr-xr-x. 2 root     root     36 711 20:39 dir02

用户管理

创建用户useradd
常用选项: 
‐u:指定uid 
‐g:指定gid 
‐c:用户注释信息
‐d:家目录
‐s:指定shell(/etc/shells) 
‐G:附加组 
‐r:创建系统用户 
默认设置:/etc/default/useradd

[root@server1 ~]# useradd zhangsan -G group1 -s /bin/csh -c '张三的信息'
[root@server1 ~]# id zhangsan
uid=1007(zhangsan) gid=1010(zhangsan) 组=1010(zhangsan),1009(group1)
[root@server1 ~]# cat /etc/passwd | grep zhangsan
zhangsan:x:1007:1010:张三的信息:/home/zhangsan:/bin/csh
修改用户组usermod
常用选项: 
‐ aG:将用户添加到附加组
‐ dm:移动用户新登录目录 
‐ L:锁定用户 
‐ U:解锁用户

[root@server1 ~]# usermod -G it user01 #覆盖附加组
[root@server1 ~]# id user01
uid=1000(user01) gid=1000(user01) 组=1000(user01),1011(it)

[root@server1 ~]# usermod -aG hr user01 #追加附加组
[root@server1 ~]# id user01
uid=1000(user01) gid=1000(user01) 组=1000(user01),1004(hr),1011(it)
修改用户密码passwd
常用选项:
‐n mindays:指定最短使用期限
‐x maxdays:最大使用期限 
‐w warndays:提前多少天开始警告
‐i inactivedays:非活动期限 
‐‐stdin:从标准输入接收用户密码 
echo "PASSWD" | passwd ‐‐stdin username

[root@server1 ~]# passwd zhangsan
更改用户 zhangsan 的密码 。
新的 密码:
无效的密码: 密码是一个回文
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
删除用户userdel
-r 连同家目录一起删除

[root@server1 home]# ls
abc  alice  dfg  file10  gaoxinyu  nizhan  user01  user02  user03  user04  zhangsan
[root@server1 home]# userdel -r zhangsan
[root@server1 home]# ls
abc  alice  dfg  file10  gaoxinyu  nizhan  user01  user02  user03  user04

组管理

创建组groupadd
常用选项:
‐g:指定gid 
‐r:创建系统组
删除组groupdel

sudo提权

常用切换方式: 
su username:切换用户,不读取用户配置信息 
su ‐ username:完全切换(记住这个,就可)

[root@server1 ~]# id alice
uid=1004(alice) gid=1006(alice) 组=1006(alice)

#普通用户alice尝试创建用户wanger,被拒绝
[alice@server1 ~]$ useradd wanger
useradd: Permission denied.
useradd:无法锁定 /etc/passwd,请稍后再试。

#修改sudo提权配置文件
[root@server1 ~]# vim /etc/sudoers
将107行的%whee ALL=(ALL)   NOPASSWD:ALL前面的#和%删除
:wq!保存强制退出
[root@server1 ~]# gpasswd -a alice wheel
正在将用户“alice”加入到“wheel”组中
[root@server1 ~]# id alice
uid=1004(alice) gid=1006(alice) 组=1006(alice),10(wheel)

#重新登录alice用户,sudo提权
[root@server1 ~]# su - alice

#sudo提权并创建用户,成功
[alice@server1 ~]$ sudo useradd wanger
[sudo] alice 的密码:
[alice@server1 ~]$ ls /home
alice   wanger

权限管理

权限设置原因

  • 服务器中的数据价值

  • 员工的工作职责和分工不同

  • 应对自外部的攻击(挂马)

  • 内部管理的需要

基本概念

  • 文件的权限对象:
    • owner:属主,u
    • group:属组,g
    • other:其他,o

root不受权限限制,拥有所有权限

  • 文件的三种权限:

    • r:Readable 4
    • w:Writeable 2
    • x:eXcutable 1

  • 文件:

    • r:可读文件内容
    • w:可修改其内容
    • x:可作为命令执行

  • 目录:

    • r:可以使用ls查看此目录中的文件列表
    • w:可在此目录中创建mkdir,touch,也可以删除rmdir,rm -rf此目录中的文件
    • x:可以使用ls查看此目录中文件列表,可以cd进入此目录

注:一般给予目录读权限时,也将会给其执行权限

奇葩权限:
  • 设置不合理的权限,单独出现2或3的权限数字。如权限731中的3权限,3表示写+执行权限,但是写又必须需要能打开之后才可以写,因此必须需要具备可读权限,因此此权限设置不合理。

权限管理(u,g,o)

更改属主(组)chown
更改属组chgrp
[root@server1 ~]# chown alice:hr file1#改属主,属组
[root@server1 ~]# chown alice file1 #改属主
[root@server1 ~]# chown :hr file1 #改属组

[root@server1 ~]# chgrp g1 file1#改文件属组
[root@server1 ~]# ll file1
-rw-r--r--. 1 alice g1 0 712 18:01 file1

[root@server1 ~]# chgrp -R g1 dir1#改文件夹属组
[root@server1 ~]# ll
总用量 16
-rw-------. 1 root  root 1241 316 17:52 anaconda-ks.cfg
-rwxr-xr-x. 1 root  root 9024 524 12:11 a.out
drwxr-xr-x. 2 root  g1      6 712 18:10 dir1
更改文件权限chmod
常用选项:
‐R:递归设置,针对文件夹(目录)

[root@server1 ~]# chmod u=rwx,g=r,o=r file1
[root@server1 ~]# ll file1
-rwxr--r--. 1 alice g1 0 7月  12 18:01 file1

[root@server1 ~]# chmod u-x file1
[root@server1 ~]# ll file1
-rw-r--r--. 1 alice g1 0 7月  12 18:01 file1

[root@server1 ~]# chmod a-w file1
[root@server1 ~]# ll file1
-r--r--r--. 1 alice g1 0 7月  12 18:01 file1

[root@server1 ~]# chmod 764 file1
[root@server1 ~]# ll file1
-rwxrw-r--. 1 alice g1 0 7月  12 18:01 file1

删除文件失败如何解决?

  • sudo提权
  • 可检查用户对所在目录是否有w权限

ACL权限

  • ACL 是 Access Control List 的缩写,在 Linux 系统中, ACL 可实现对单一用户设定访问文件的权限。优势就是让权限控制更加的精准。
getfacl获取ACL权限
getfacl 文件或目录名
setfacl设置ACL权限
常用选项: 
‐m :修改acl设定参数
‐x :删除acl设定参数 
‐b :移除所有的ACL设定
‐R :递归 
‐d :添加默认的acl权限
  • 删除ACL权限
删除用户权限:setacl ‐x u:username filename 
删除组权限:setacl ‐x g:groupname filename 
删除整个acl权限:setacl ‐b filename
  • 用户设定ACL权限:setfacl -m u:username:权限 filename
设定alice对file1有rwx权限 
[root@server1 ~]# setfacl -m u:alice:rwx file1
[root@server1 ~]# getfacl file1
# file: file1
# owner: alice
# group: g1
user::rwx
user:alice:rwx
group::rw-
mask::rwx
other::r--

设定user对testdirectory目录下所有文件有rwx权限 
setfacl ‐R ‐m u:user:rwx testdirectory

去掉user对testdirectory的x权限 
setfacl ‐x u:user testdirectory/

去掉所有acl权限 
[root@server1 ~]# setfacl -b file1
[root@server1 ~]# getfacl file1
# file: file1
# owner: alice
# group: g1
user::rwx
group::rw-
other::r--

为testdirectory目录添加默认的acl权限,此目录下创建目录和文件,user都有rwx权限 
setfacl ‐d ‐m u:user:rwx testdirectory/
  • 组设定ACL权限: setfacl -m g:groupname:权限 filename
给acl_test1文件添加mygropu1组rx权限设定 
[root@study ~]# setfacl ‐m g:mygroup1:rx acl_test1
[root@study ~]# getfacl acl_test1 
# file: acl_test1 
# owner: root 
# group: root
user::rwx 
user:vbird1:rx 
group::r‐‐ group:mygroup1:rx # 组权限设定 
mask::rx 
other::r‐‐

特殊权限

文件的特殊权限包括:SUID、SGID、SBIT

SUID:冒险位S(4)

  • SUID:暂时借出程序所有者的权限

    • SUID权限仅对二进制文件(命令)有效 ,且仅在本程序中拥有改权限

查询命令所在的路径

[root@server1 ~]# whereis passwd
passwd: /usr/bin/passwd /etc/passwd /usr/share/man/man1/passwd.1.gz
[root@server1 ~]# type passwd
passwd 是 /usr/bin/passwd
  • 举例
    • 普通用户zhangsan修改密码=> 调用passwd命令=> 执行/usr/bin/passwd => 修改/etc/shadow文件
[root@server1 ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27856 4月   1 2020 /usr/bin/passwd
[root@server1 ~]# ll /etc/shadow
----------. 1 root root 1100 7月  12 17:44 /etc/shadow
普通用户没有直接修改/etc/shadow中密码的权利,只有root可以
普通用户可以通过使用具有s权限的passwd命令,借用root的权利来修改自己的密码
SGID:强制位S(2)
  • SGID:暂时借出用户组的权限 2
    • 二进制文件(命令)有效
[root@localhost ~]# useradd zhangsan 
[root@localhost ~]# useradd lisi 
[root@localhost ~]# ll /home/ 
total 0
drwx‐‐‐‐‐‐. 2 lisi lisi 62 Aug 5 09:51 lisi 
drwx‐‐‐‐‐‐. 2 zhangsan zhangsan 62 Aug 5 09:51 zhangsan
[root@localhost ~]# chmod 2770 /home/zhangsan 
[root@localhost ~]# ll ‐d /home/zhangsan
drwxrws‐‐‐. 2 zhangsan zhangsan 62 Aug 5 09:51 /home/zhangsan 
[root@localhost ~]# usermod ‐aG zhangsan lisi 
[root@localhost ~]# su lisi
[lisi@localhost root]$ cd /home/lisi/ 
[lisi@localhost ~]$ touch 1.txt 
[lisi@localhost ~]$ ll 
total 0 
‐rw‐rw‐r‐‐. 1 lisi lisi 0 Aug 5 09:56 1.txt
[lisi@localhost ~]$ cd /home/zhangsan
[lisi@localhost zhangsan]$ touch 1.txt 
[lisi@localhost zhangsan]$ ll 
total 0 
‐rw‐rw‐r‐‐. 1 lisi zhangsan 0 Aug 5 09:57 1.txt
#lisi用户在SGID目录创建文件的属主为 zhangsan(该目录的所属组)
SBIT:粘滞位T(1)

  • 该特殊权限针对目录,目录中的文件只能被文件的拥有者删除

  • SBIT用来做共享目录 :同一用户组的多个用户拥有共同的目录,在创建文件时该用户组的所有用户都有相同的权利操作文件。用户创建该目录时,只有自己或root可以删除该目录下的文件,其他用户不可以修改此文件

[root@server1 ~]# ll -d /tmp
drwxrwxrwt. 9 root root 264 712 14:01 /tmp#t表示具有SBIT权限
设置或修改特殊文件
使用数字,第一位表示特殊权限,后三位为基本权限
chmod u+s file1
chmod 4644 file1
chmod u-s file1
chmod 0644 file1

chmod g+s dir1
chmod 2755 dir1
chmod g-s dir1
chmod 0755 dir1

chmod o+t dir1
chmod 1755 dir1
chmod o-t dir1
chmod 0755 dir1

[root@server1 ~]# chmod 7644 file1
[root@server1 ~]# ll 
-rwSr-Sr-T. 1 alice g1      0 7月  12 18:01 file1

注:
大写的高级权限表示普通权限没有x执行权限
小写的高级权限表示普通权限有x执行权限
特殊权限生效的前提是:文件(夹)必须拥有x执行权限

进程umask

umask :文件或目录的遮掩码

File:666 ‐ umask :root创建的文件权限默认为644,普通用户创建的文件权限默认为664

Dir: 777 ‐ umask :root创建的目录权限默认为755,普通用户创建的目录权限默认为775

扩展:实际上我们创建一个普通文件最高权限666(预设没有x权限)。而创建一个文件夹其最高权限777

实际文件权限 = 最高权限 - umask的值

  • 查看:umask
[root@server1 ~]# umask
0022  #root默认为022
[zhangsan@server1 ~]$ umask
0002  #普通用户默认为022

  • 临时设定:umask 设置值(不建议修改)

  • 永久设定:修改相关配置文件~/.bashrc(不建议修改)

    • 在文件中追加 :
    • umask 设置值
xiaotanggao
关注
专栏目录
Linux用户组和权限管理
Petrus
09-28 520
1. Linux 安全模型 资源分派: Authentication:认证,验证用户身份 Authorization:授权,不同的用户设置不同权限 Accouting|Audition:审计 当用户登陆成功时,系统会自动分配令牌token,包括:用户标识和组成员等信息 1.1 用户 Linux中每个用户是通过 User Id (UID)来唯一标识的 管理员:root ,0 普通用户:1-60000 自动分配 系统用户:1-499(Centos 6 以前 ),1-999(Centos 7以后)
linux--用户、组、权限
大虾好吃吗
08-21 2693
用户、组、权限
Linux用户和组与权限介绍
最新发布
weixin_51705943的博客
07-19 972
Linux 系统是一个多用户多任务的操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户管理文件,并为用户提供安全性保护。文件属性的九个字符,分为三个组,被称为文件模式,并注明读(r)、写(w)、和执行(x)权限授予文件的所有者、文件的所有组、和其它的用户
Linux基础知识——Linux用户组权限
测试0901-1
01-04 345
一、权限 chmod 权限说明:文件或目录的权限分为①可读r ②可写w ③可执行x ④不可以- 1、使用ls -l 命令查看文件,可以知道权限分为三部分 一个文件有3个权限位,如下图所示(红色、黄色、兰色) 示例:第一行第一部分(红色)rwx 为所有者的权限:可读可写可执行第二部分(黄色)rwx 为所属组的权限:可读可写可执行第三部分(兰色)rwx 为其...
Linux用户和组权限管理
热门推荐
shenyuanhaojie的博客
08-05 3万+
文章目录1.前言2.用户和组基本概念(1)用户(2)用户组(3)用户和组的关系(4)安全上下文 1.前言   Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。   用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。 2.用户和组基本概念 (1)用户 Linux中每个用户是通过 User Id(UID)来唯一标识的 管理
Linux权限_用户_和用户
u013622866的博客
07-11 239
Linux用户UID就判断操作系统中用户的身份。 Centos7.x: 0:超级管理员 1-999:系统用户(包含Linux中自带服务) 1000以上普通用户 Centos6.x : Root用户 (ID 0)超级管理员 系统用户 (ID 1-499) 普通用户 (ID 500以上) Linux用户的相关的文件 /etc/passwd 保存用户信息 [root@...
linux用户和组权限管理
12-13
linux用户和组权限管理 1.用户文件/etc/passwd 2.密码文件/etc/shadow * 现在用户的密码都是加密保存在这个文件里了,需要管理员权限才能打开,不再保存在passwd里。
linux用户组以及权限总结
09-15
本文将深入探讨Linux用户组的概念、权限机制以及如何更改权限。 首先,让我们理解Linux中的用户组概念。在Linux系统中,每个用户都至少属于一个用户组。用户组可以分为以下三种类型: 1. 文件所有者:即文件的创建...
linux用户和组管理常见命令总结
09-14
了解和熟练掌握这些命令对于Linux系统的日常管理和维护至关重要,无论是简单的用户创建、权限分配,还是复杂的权限控制和安全管理,都离不开这些基本操作。通过合理的用户和组管理,可以确保系统资源的安全和高效...
Linux用户用户权限管理详解
梧桐门的专栏
10-19 691
Linux用户管理三个重要文件详解: Linux登陆需要用户名、密码。/etc/passwd 文件保存用户名。登录Linux时,Linux 先查找 /etc/passwd 文件中是否有这个用户名,没有则跳出,有则读取用户名的user ID 、 group ID 、用户名对应的根目录路径以及所使用的 shell ,最后在 /etc/shadow 中核对该 UID 对应的 PWD 是否正确,正确
linux 用户组 权限
想吃大盘鸡
03-31 326
用户组三 文件权限#删除一个文件夹。
Linux 用户 用户权限管理
cslqm
11-07 607
Linux 用户 用户权限管理 adduser man adduser  [options]  [--home  DIR]  [--shell  SHELL]  [--no-create-home]        [--uid ID] [--firstuid ID] [--lastuid ID] [--ingroup GROUP | --gid  ID]        [--d
Linux 用户用户组、权限
D32618666604的博客
07-12 1659
Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。在Linux系统对于权限的设定非常的敏感,如果某个用户执行一个操作时,提示权限不足,那么根据Linux系统的权限设定的思想(没有权限绝对不会睁一只眼闭一只眼),就能够判断出该用户不具备此文件的执行权限。book2:所有者和属组为root用户和A组,权限为root用户可读可写可执行,A组的可读可执行不可写,其他人没有权限。sudo可以限制用户执行部分root的权限。
LinuxLinux用户用户组权限
Maybe_ch的博客
02-12 540
记录在学习中一些需要记住的知识点。 用户用户用户信息保存在 /etc/passwd 用户密码信息 /etc/shadow 用户组信息 /etc/group 1.改变文件所有者为hechong chown hechong by-id 2.改变文件所有组为root chown .root by-id 文件属性 “l”是链接文件,相当于windows的快捷方式; “b”是块设备,比如硬盘; “...
Linux下的用户、组及各种权限管理
u012379954的博客
03-31 727
0 引入 本次博客会详解用户,组等资源分配对象的概念,并且给出所有的用户、组的增、删、修改命令以及su的使用,还会讲到用户权限管理,有普通的读、写、执行权限,还有特殊权限SUID、SGID、SBIT。扩展权限也会稍微提及。 目录 0 引入 1 用户、组及其密码的概念和详解 1.1 用户、组的概念 1.2用户、组详解 1.2.1 UID、GID的规则 1.2.2 用...
Linux用户组与权限
L2111533547的博客
03-29 1万+
Linux用户与权限 前言:在Linux操作系统中任何文件都属于某一特定的用户,而任何用户都隶属于至少一个用户组。用户是否有权限对某文件进行访问、读写及执行,受到系统严格约束。这种清晰、严谨的用户用户组管理系统在很大程度上保证了Linux系统的安全性。 一.用户账号和组账号 Linux基于用户身份对资源访问进行控制 用户账号 超级用户:root用户Linux操作系统中默认的超级用户账号,在本机中权限最高,只有当进行系统管理、维护任务时,才建议使用root用户登录系统,日常事物处理建议只使用普通账号。
Linux——用户账号和管理
Kiro君的博客
03-28 3069
Linux——账号和权限管理
linux用户组和权限管理
03-16
Linux用户组和权限管理是指在Linux系统中对用户和文件进行权限控制的一种机制。用户组是一组用户的集合,可以将用户分组,方便管理和授权。权限管理是指对文件或目录的访问权限进行控制,包括读、写、执行等操作。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值