《linux就该这么学——笔记》第5章 用户身份与文件权限

最新推荐文章于 2023-11-29 11:02:33 发布
最新推荐文章于 2023-11-29 11:02:33 发布
阅读量265 收藏
点赞数
文章标签: linux shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leakey_lg/article/details/104097680
版权

用户身份与文件权限

5.1 用户身份与能力

在Linux系统中有三种用户身份:管理、系统用户、普通用户
1、系统管理员拥有最高的系统所有权UID=0,常用是root。
2、用户的三种身份:
管理员UID=0:系统的管理员用户
系统用户UID=1~999:服务程序会有独立的系统用户负责运行
普通用户UDI=1000~:由管理员创建的用于日常工作的用户
3、用户组GID:
通过GID用户组号码将多个用户加入到同一个组中,方便为组中的用户统一规划权限或指定任务。
基本用户组:创建用户时自动创建同名用户组。基本用户组可以为空,最多为一个。
扩展用户组:用户被纳入其它用户组时,称为扩展用户组。可以有多个扩展用户组。

5.1.1 useradd

useradd [选项] 用户名
更多参数
默认的用户家目录:/home/用户名
默认的shell解释器:/bin/bash
默认创建同名用户组
|参数|作用|
—|---
-d|指定用户的家目录
-e|账户到期时间,YYYY-MM-DD
-g|指定一个初始的用户基本组(必须已存在)
-G|指定一个或多个扩展用户组
-N|不创建与用户同名的基本用户组
-s|指定该用户的默认Shell解释器
/sbin/nologin解释器,表示用户不允许登录

5.1.2 groupadd 创建用户组

group [选项] 群组名
更多参数

[root@linuxprobe Desktop]# id xiaoguo
uid=1001(xiaoguo) gid=1001(xiaoguo) groups=1001(xiaoguo)
[root@linuxprobe Desktop]# usermod -G xiaozhai xiaoguo
[root@linuxprobe Desktop]# id xiaoguo
uid=1001(xiaoguo) gid=1001(xiaoguo) groups=1001(xiaoguo),8891(xiaozhai)
[root@linuxprobe Desktop]#

5.1.3 usermod 修改用户的属性

usermod [选项] 用户名
更多参数
Linux中一切都是文件,所以修改/etc/passwd配置文件也可以修改用户的属性

[root@linuxprobe Desktop]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)
[root@linuxprobe Desktop]# usermod -u 666888 linuxprobe
[root@linuxprobe Desktop]# id linuxprobe
uid=666888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)

5.1.4 passwd 修改用户密码、过期时间、认证信息等

passwd [选项] [用户名]
更多参数
普通用户只能使用passwd命令修改自身的系统密码
root管理员则有权限修改其他所有人的密码,root管理员修改密码时不需要验证旧密码。
–stdin 允许通过标准输入修改用户密码。

[root@linuxprobe Desktop]# passwd xiaoguo
Changing password for user xiaoguo.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@linuxprobe Desktop]#
----密码设定的过于简单重复会被拒绝----- 

[root@linuxprobe Desktop]# passwd -l xiaoguo
Locking password for user xiaoguo.
passwd: Success

5.1.5 usrdel 删除用户

userdel [选项] 用户名
默认删除后家目录会保留
-r 同时删除用户及用户家目录

[root@linuxprobe home]# userdel -r xiaoxiao

5.2 文件权限与归属

Linux系统中一切都是文件,但文件类型却不相同。

文件类型

文件类型字符代码文件实例
常规文件-二进制文件、纯文本、XML、压缩文件等
目录文件d文件夹
字符设备ccharacter device,如串口、键盘、鼠标、EEPROM等,以char为单位进行随机访问
块设备bblock device,如硬盘、SD卡、eMMC等,以block为单位进行随机访问
命名管道ppipe,存在于内存中,用于进程间通信,很少用到。
套接字ssocket文件,用于C/S网络通信
软链接lsymbolic link,类似Windows快捷方式

文件归属和权限

所有者,所有组,其他人

权限数值意义目录文件意义
r4可读可以浏览目录内文件列表
w2可写可以在目录内新增、删除、重命名文件
x1可执行能够进入该目录
权限数值权限数值
0–x1
-w-2-wx3
r–4r-x5
rw-6rwx7

chmod 设置文件或目录的权限
chmod 权限 文件

[root@linuxprobe ~]# ls -l anaconda-ks.cfg 
-rw-r-xrwx. 1 root root 1207 Jan 22 07:41 anaconda-ks.cfg

chown 属性
chown [参数] 所有者:所属组 文件或目录

[root@linuxprobe ~]# ls -l anaconda-ks.cfg 
-rw-r-xrwx. 1 linuxprobe linuxprobe 1207 Jan 22 07:41 anaconda-ks.cfg

5.3 文件的特殊权限

rwx无法满足复杂多变的工作环境,引入特殊权限位SUID SGID SBIT

5.3.1 SUID-------Ss

让程序的执行者临时获取到属主的权限
chmod u+s 文件名

[linuxprobe@linuxprobe ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jan 30  2014 /usr/bin/passwd
[linuxprobe@linuxprobe ~]$

原本x的位置,显示为s(S)说明该文件被赋予了SUID权限。
rwx—>rws
rw-—>rwS

5.3.2 SGID-------Ss

chmod -R g+s 文件名
1、对可执行文件,让执行者临时拥有属组。等同于SUID
2、对目录文件,在目录中创建的所有的新文件都默认归属于这个组用户

[root@linuxprobe home]# mkdir xiaoyun
[root@linuxprobe home]# chmod -R 777 xiaoyun
[root@linuxprobe home]# ls -ld xiaoyun
drwxrwxrwx. 2 root root 6 Jan 28 20:09 xiaoyun
[root@linuxprobe home]# chmod -R g+s xiaoyun
[root@linuxprobe home]# ls -ld xiaoyun
drwxrwsrwx. 2 root root 6 Jan 28 20:09 xiaoyun
[root@linuxprobe home]# 
---用户组的可执行权限x,变为了s---

在拥有SGID权限的目录中,无论谁创建新的文件,其所属组并不属于创建者,而是继承了该目录的所属组的属性。
简单来说,在这个特殊权限的文件夹中新建的文件与该文件夹的在一个组中。与创建者并无关联。

接上面实验
[linuxprobe@linuxprobe ~]$ cd /home/xiaoyun
[linuxprobe@linuxprobe xiaoyun]$ touch haha
[linuxprobe@linuxprobe xiaoyun]$ ls -l haha
-rw-rw-r--. 1 linuxprobe root 0 Jan 28 20:15 haha
---xiaoyn有SGID权限的目录。
   linuxprobe在xiaoyun目录中新建的haha文件,其所属组为root组。继承了xiaoyun的所属组属性。
   而不是通常默认的linuxprobe组

5.3.3 SBIT-------Tt

SBIT保护位权限,也叫粘滞位权限:确保非文件的所有者,不能删除该文件。
chmod -R o+t 目录名
rwx —>rwt
rw- —>rwT
实验

[lisi@linuxprobe tmp]$ touch aaa
[lisi@linuxprobe tmp]$ chmod 777 aaa
[lisi@linuxprobe tmp]$ ls -l aaa
-rwxrwxrwx. 1 lisi lisi 0 Jan 28 20:46 aaa
[lisi@linuxprobe tmp]$ chmod o+t aaa
[lisi@linuxprobe tmp]$ ls -ls aaa
0 -rwxrwxrwt. 1 lisi lisi 0 Jan 28 20:46 aaa
[lisi@linuxprobe tmp]$ exit
logout
[root@linuxprobe tmp]# su - zhangsan
Last login: Tue Jan 28 20:34:34 CST 2020 on pts/0
[zhangsan@linuxprobe ~]$ cd /tmp
[zhangsan@linuxprobe tmp]$ ls -l aaa
-rwxrwxrwt. 1 lisi lisi 0 Jan 28 20:46 aaa
[zhangsan@linuxprobe tmp]$ rm aaa
rm: cannot remove ‘aaa’: Operation not permitted
[zhangsan@linuxprobe tmp]$ rm -f aaa
rm: cannot remove ‘aaa’: Operation not permitted
[zhangsan@linuxprobe tmp]$ 
---lisi创建aaa文件,设置SBIT保护,zhangsan用户已经无法删除---

权限数值法的转换
SUID=4 SGID=2 SBIT=1
r=4 w=2 x=1
sst替换的是原有x权限
SST替换的是原无x权限
数值法表示时,特殊权限写在最前面。
例:
rwS r-s -wT=7652
6543=ss+r-xr—wx=r-sr-S-wx
7654=rwSr-sr–T

5.4 文件的隐藏属性

下图中文件名前带.的文件是隐藏文件

[root@linuxprobe tmp]# ls -al
total 16
drwxrwxrwt. 14 root     root     4096 Jan 28 20:48 .
drwxr-xr-x. 17 root     root     4096 Jan 28 18:39 ..
drwxrwxrwt.  2 root     root       50 Jan 28 18:40 .ICE-unix

5.4.1 chattr 设置文件的隐藏权限

chattr [参数] 文件
更多参数
+添加权限 -取消权限
i:无法对文件进行修改,若为目录则无法新建或删除文件
a:只能追加内容,无法覆盖/删除内容。如:日志类文件

lsattr 查看文件的隐藏权限

lsattr [参数] 文件
更多参数

5.5 文件访问控制列表(ACL)

一般权限、特殊权限、隐藏权限有一个共性:是针对某一类用户设置的。
ACL是基于普通文件和目录针对指定的用户或用户组设置文件或目录的操作权限。
若对目录设置了ACL,目录中的文件会继承目录的ACL。

5.5.1 setfacl 管理文件的ACL规则

setfacl [参数] 文件名称

参数作用
-R设置目录文件时的递归参数
-m设置普通文件
-b删除ACL权限
u:用户名:权限 文件名设置用户权限
g:组名:权限 文件名设置用户组权限

实验:

[root@linuxprobe home]# mkdir xiaoqian
[root@linuxprobe home]# chmod -R 000 xiaoqian
[root@linuxprobe home]# ls -ld xiaoqian
d---------. 2 root root 6 Jan 28 22:23 xiaoqian
#设置zhangsan用户拥有xiaoqian目录的rwx权限
[root@linuxprobe home]# setfacl -Rm u:zhangsan:rwx xiaoqian
[root@linuxprobe home]# ls -ld xiaoqian
#<kbd>+</kbd>显示的ACL的控制权限
#系统默认用户的ACL权限显示在用户组权限位
d---rwx---+ 2 root root 6 Jan 28 22:23 xiaoqian

5.5.2 getfacl 显示文件上设置的ACL权限信息。

getfacl 文件名称

#使用getfacl查看xiaoqian的权限
[root@linuxprobe home]# getfacl xiaoqian
# file: xiaoqian
# owner: root
# group: root
user::---
user:zhangsan:rwx #显示出zhangsan拥有的权限
group::---
mask::rwx
other::---

5.6 su命令与sudo命令

su 切换用户

su 用户·
管理员切换用户不需要密码;普通用户切换需要密码
su - 用户
-号表示完全切换,环境变量信息也变更为新用户的相就信息

sudo 给普通用户提供额外的权限来完成原本root管理员才能完成的任务

sudo [参数] 命令名称
sudo功能
1、限制用户执行指定的命令
2、记录用户执行的每一条命令
3、配置文件(/etc/sudoers)提供集中的用户管理、权限与主机等参数
4、验证密码后5分钟内(默认值)无须再让用户再次验证密码
visudo命令 配置放行root权限,只有root管理员才可以使用这个命令。
visudo 第99行
用户名 ALL=(ALL) ALL
第一个ALL:配置来源地址,本地、远程、iP等,ALL表示不限制来源地址。
第二个(ALL):获取最高权限
第三个ALL:放行所有命令,不建议使用。
推荐:完整路径+命令,多个命令用逗号间隔。

丹增
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux就该这么用户身份文件权限
Lakers2015的博客
02-08 491
Linux 用户文件权限
linux就该这么——笔记》第6 存储结构与磁盘划分
leakey_lg的博客
01-29 221
存储结构与磁盘划分 FHS(Filesystem Hierarchy Standard)文件系统层次化标准 一切从“/”开始 1、一切文件都是从根目录(/)目录开始 2、FHS采用树形结构来存放文件 ,以及定义了常见目录的用途 3、严格区分大小写,且不能使用/符号 目录名称 应放置文件的内容 /root root用户的别墅 /home 普通用户的家目录 /bin binar...
linux设置密码有效期,设置永不过期
最新发布
qq_41504815的博客
11-29 4607
l #例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。-I #停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。-m #密码可更改的最小天数,为0时代表任何时候都可以更改密码。1.查看admin用户密码默认情况,默认为永不修改。-E #帐号到期的日期。过了这天,此帐号将不可用。-W #用户密码到期前,提前收到警告信息的天数。-M #密码保持有效的最大天数。-d #上一次更改的日期。2.设置密码定期过期。
linux 设置用户过期时间
LQ的博客
12-01 1万+
设置新用户缺省密码的过期时间 vi /etc/login.defs 修改PASS_MAX_DAYS的值即可 以上设置只适用于进行该设置以后,新添加的用户,即把这个设置作为新添用户的缺省设置 对于系统已经存在的账号 passwd -x 90 account 例如修改root账户 passed -x 90 root 设置某个用户的密码有效期 chage -m 0 -M 90 -W 15 root 说明: (1)以上命令表示设置用户root的密码最小有效期为0天,最长有效期为90天,在密码过期前15天对用
linux区分三种用户角色,Linux用户角色划分
weixin_35012177的博客
05-01 2839
Linux系统中,用户是分角色的,角色不同,对应权限不同。用户角色通过UID和GID识别。大致分为三种:超级用户,普通用户,虚拟用户。超级用户:默认是root用户,其UID和GID都是0。root用户在每台Unix和Linux系统中都是唯一且真是存在的,通过它可以登陆系统,操作系统中任何文件执行系统中任何命令,拥有最高管理权限。普通用户:系统中大多数用户都是普通用户,实际中也一般使用普通用户操作...
Linux】账户密码过期
jn10010537的博客
09-17 6414
方法1:登录时会提示你用户密码过期,先输入当前密码,再输入跟当前密码不相似的新密码,设置成功后就正常登录了。即将两次改变密码之间的相距的最大天数设置成99999天(274年,足够你祖孙3代人使用了)方法2:在管理节点处重置密码,比如root节点重置各个普通用户的密码。可以通过修改 /etc/shadow中的相应内容来实现密码永不过期!Linux操作系统是可以设置密码有效时间,到期则密码会过期。所谓永不过期,指的是你活着能见证的这段岁月,永不过期。方法2:cat /etc/shadow。
Linux设置用户密码过期时间或永不过期
weixin_44147924的博客
12-02 1万+
1.由于安全考虑需要设置密码有效期的情况,比如很多公司电脑会设置三个月有效期,有的也会对Linux服务器有这种要求,需要设置用户密码过期时间。2.没有安全考虑,且大部分机器做了互信,定期密码失效会影响业务,需要设置密码永不过期。
习《Linux就该这么》随堂笔记第二课
01-20
2020-02-15 习《Linux就该这么》随堂笔记第二课 授课老师:刘遄 第一 部署虚拟环境安装Linux系统、新手必须掌握的Linux命令 1)、安装配置vm虚拟机 注意事项:1、电脑内存小于2G的,虚拟机内存设为1G,电脑...
Linux笔记【1】——Linux前需要了解的一些东西
01-09
首次接触Linux,边习边写出了这一篇博客,一方面为了巩固自身的知识,另一方面希望可以给其他刚入门的朋友提供一点点帮助。如果有内容有错误或者不准确欢迎指正。 本篇及系列文均在CentOS虚拟机上展开。 首先,...
Linux设置用户的密码有效期
大宇进阶之路的博客
08-18 1万+
使用命令chage加参数可以查看,更改用户密码的有效期。
Linux下密码过期时间设置 (chage 的设置)
热门推荐
shenghuiping2001的专栏
08-02 3万+
Linux下对于新添加的用户用户密码过期时间是从/etc/login.defs中PASS_MAX_DAYS提取的,普通系统默认就是99999,而有些安全操作系统是90。更改此处,只是让新建的用户默认密码过期时间变化,已有用户密码过期时间仍然不变。 [root@linuxidc
Linux常用命令:用户、权限管理
baiduwenku112的博客
08-20 511
(二)用户、权限管理 目录 (二)用户、权限管理 1) 查看当前用户:whoami 2) 查看登录用户:who 3) 查看登录用户:w 4) 退出登录账户: exit 5) 切换用户:su 6) 添加、删除组账号:groupadd、groupdel 7) 修改用户所在组:usermod 8) 添加用户账号:useradd 9) 设置用户密码:passwd 10) 删除用户:userdel 11) 查询用户登录情况:last 12) 修改文件权限:chmod (1)字母法:c.
Linux修改用户密码使用期限账号到期时间
爱辉弟的博客
06-20 2万+
Linux修改用户密码使用期限: 用chage命令进行查看。主要用与密码失效是通过此命令来管理 [root@node2 ~ ]# chage --help Usage: chage [options] LOGIN Options: -d, --lastday LAST_DAY set date of last password change to LAST_DAY -E, ...
linux创建用户,添加及修改shell
wqh0830的博客
02-20 2万+
1、创建用户: useradd -d /test -s /bin/bash -m test -d:指定用户的家目录 -s:用户的登录shell -m:创建用户家目录 创建密码: passwd test 然后输入两遍新密码 2、查看创建的用户: vim /etc/passwd 此文件中记录着所有用户的信息,以6个冒号分隔出7段信息: 如:root:x:0:0:root:/r...
Linux账户密码过期安全策略设置
weixin_33805743的博客
06-20 1257
Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些: /etc/login.defs: # Password aging controls:##       PASS_MAX_DAYS   Maximum number of days a pas...
linux 查看、修改用户及密码过期时间
weixin_34260991的博客
06-20 6455
WARNING: Your password has expired. Password change required but no TTY available.提示密码过期,设置新用户密码的过期时间如下实例:[root@Centos6 /]# passwd -x 90 euser -> 执行操作后,euser用户的密码时间改为90天有效期2、查看该euser用户过期...
linux环境下设置用户密码过期期限
amazingsmile的专栏
12-10 9927
关于密码过期时间和用户过期时间的设置,通常使用chage命令和usermod命令。 设置某个用户的过期时间(accountexpires)可以用usermod -e来设置 查看某个用户的密码(passwordexpires)过期时间等信息,可以用:chage-l username 如:chage-l lizi 就会给出lizi这个用户的密码过期时间信息:Last passw
Linux怎么设置密码过期时间_Linux 密码过期(WARNING:Your password has expired )
leenhem的博客
07-07 2148
Linux怎么设置密码过期时间_Linux 密码过期(WARNING:Your password has expired )介绍原因命令记录总结 介绍 最近遇到两次这个问题,我们公司用的是开源的堡垒机Jumpserver 但是最近有两个同遇到了 WARNING:Your password has expired 第一次遇到这个问题也没有往深了去查,当时去堡垒机后台修改用户密码,已经重新生成key都不行(这两步骤,我不记得我做没做),今天又遇到了一个同遇到了这个问题,就去查了一下下 原因 我们当时为
Linux密码过期及修改
Cherry
05-07 1万+
密码策略查看 一、检查crond权限。 1、cat /etc/corn.deny,文件是空的。 2、ll /usr/bin/crontab,具备S权限位,正常。 二、检查PAM模块。 cat /etc/pam.d/crond,文件配置正常,与其他主机上的无异常。 三、查看系统日志 cat /var/log/secure,日志中显示 有用户密码过期! 使用passwd命令修改一下用户的密码,或者,执...
Linux入门基础笔记
11-15
Linux入门基础笔记主要包括了Linux的重要性、优点以及一些实验总结。实验一主要介绍了Linux的重要性和优点。 在实验一中,首先对Linux的重要性进行了介绍。Linux是一种开源的操作系统,能够在各种设备上运行。Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值