Linux用户组和权限管理
Linux安全模型
Authentication:认证,验证用户身份
Authorization:授权,不同的用户设置不同权限
Accouting|Audition:审计
用户
Linux中每个用户是通过 User Id (UID)来唯一标识的
管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)
对守护进程获取资源进行权限分配
登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)
给用户进行交互式登录使用
用户组
Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID(GID) 来唯一标识的。
管理员组:root, 0
普通组:系统组:1-499(CentOS 6以前), 1-999(CentOS7以后), 对守护进程获取资源进行权限分配
普通组:500+(CentOS 6以前), 1000+(CentOS7以后), 给用户使用
用户和组的主要配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/shadow:用户密码及其相关属性
/etc/group:组及其属性信息
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
gshdow文件格式
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
用户管理命令
getent查看用户和组的配置文件
getent
#getent passwd root
root:x:0:0:root:/root:/bin/bash
#getent shadow root
root:$6$09WphkdSJadX2i0D$PHzs0ObRhTBpckz1rJqKAL33pidFtS76.VzGn73PQw/j3vWMFIH7DKVi/dHE6wugBG50e6OpZ3WWNU6Xtxh8W.:19248:0:99999:7:::
用户管理命令
useradd 命令可以创建新的Linux用户
useradd
-u UID
-o 配合-u 选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS 6之前: ID<500,CentOS7 以后: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
-p 指定加密的密码
usermod 命令可以修改用户属性
usermod
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使
用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限,即宽限期
userdel 可删除Linux 用户
userdel
-f, --force 强制
-r, --remove 删除用户家目录和邮箱
passwd 可以修改用户密码
passwd
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码,Ubuntu无此选项
#echo 123456 | passwd --stdin wang
chage 可以修改用户密码策略
chage
-d LAST_DAY #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPIRE_DATE #用户的有效期
-l 显示密码策略
新建用户的相关文件
/etc/default/useradd
/etc/skel/*
/etc/login.defs
批量修改用户口令
echo username:passwd | chpasswd
批量创建用户
newusers passwd 格式文件
id 命令可以查看用户的UID,GID等信息
id
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
su命令可以切换用户身份,并且以指定用户的身份执行命令
su
切换用户的方式:
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录录,即不完
全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
-l --login su -l UserName 相当于 su - UserName
-c, --command <command> pass a single command to the shell with -c
$su - root -c "getent shadow"
组管理命令
groupadd实现创建组
groupadd
-g GID 指明GID号;[GID_MIN, GID_MAX]
-r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
groupmod 组属性修改
groupmod
-n group_name: 新名字
-g GID: 新的GID
groupdel 可以删除组
groupdel
-f, --force 强制删除,即使是用户的主组也强制删除组,但会导致无主组的用户不可用无法登录
gpasswd命令,可以更改组密码,也可以修改附加组的成员关系
gpasswd
-a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
groupmems 可以管理附加组的成员关系
groupmems
-g, --group groupname #更改为指定组 (只有root)
-a, --add username #指定用户加入组
-d, --delete username #从组中删除用户
-p, --purge #从组中清除所有成员
-l, --list #显示组成员列表
CentOS8 生成sha512加密密码
#openssl passwd -6 magedu
文件权限管理
chown 命令可以修改文件的属主,也可以修改文件属组
chown
OWNER #只修改所有者
OWNER:GROUP #同时修改所有者和属组
:GROUP #只修改属组,冒号也可用 . 替换
-R #递归,此选项慎用,非常危险!
#chown wang f1.txt
#chown :admins f1.txt
#chown wang:admins f1.txt
chgrp 命令可以只修改文件的属组
chgrp
#chgrp admins f1.txt
文件的权限主要针对三类对象进行定义
owner 属主, u
group 属组, g
other 其他, o
用户的最终权限,是从左向右进行顺序匹配,即,所有者,所属组,其他人,一旦匹配权限立即生效,不再向右查看其权限
r和w权限对root 用户无效,只要所有者,所属组或other三者之一有x权限,root就可以执行
chmod修改文件权限
chmod
who:u,g,o,a
opt:+,-,=
permission:r,w,x
修改指定一类用户的所有权限
u= g= o= ug= a= u=,g=
修改指定一类用户某个或某个权限
u+ u- g+ g- o+ o- a+ a- + -
-R: 递归修改权限
新建文件和目录的默认权限
umask 的值可以用来保留在创建文件权限
新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变
新建目录的默认权限: 777-umask
非特权用户umask默认是 002
root的umask 默认是 022
持久保存umask
全局设置: /etc/bashrc
用户设置:~/.bashrc
修改umask
umask 002
Linux文件系统上的特殊权限
常见的权限:r, w, x 还有三种特殊权限:SUID, SGID, Sticky
SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限
SGID作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承
STICKY 作用于目录上,此目录中的文件只能由所有者自已来删除
SUID权限设定:
chmod u+s FILE...
chmod 4xxx FILE
chmod u-s FILE...
SGID权限设定:
chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...
Sticky权限设定:
chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...
权限位映射
SUID: user,占据属主的执行权限位
s:属主拥有x权限
S:属主没有x权限
SGID: group,占据属组的执行权限位
s: group拥有x权限
S:group没有x权限
Sticky: other,占据other的执行权限位
t:other拥有x权限
T:other没有x权限
设置文件的特殊属性,可以访问 root 用户误操作删除或修改文件
不能删除,改名,更改
chattr +i file
只能追加内容,不能删除,改名
chattr +a file
显示特定属性
lsattr
ACL权限功能
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
setfacl 可设置ACL权限
用户
#setfacl -m u:wang:- f1.txt
组
#setfacl -m g:admins:w f1.txt
清除所有ACL权限
#setfacl -b file1
getfacl 可查看设置的ACL权限
#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rwuser:wang:---
group::r--
group:admins:-wmask::rwother::r--
682
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
