Linux账号和权限管理

已于 2022-04-25 20:53:36 修改
阅读量2.8k 收藏 6
点赞数 3
文章标签: linux 云计算 运维
于 2022-03-27 18:22:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45088125/article/details/123771825
版权

文章目录

引言

作为一个多用户、多服务的服务器操作系统,Linux提供了严格的权限管理机制,主要从用户身份、文件权限两方面对资源的访问进行限制。本文将分别介绍Linux系统中用户和组账号的管理、文件权限和归属的管理、文件和目录的权限管理、文件和目录的归属管理。

一、用户账号

1、用户账号概述

(1)Linux基于用户身份对资源访问进行控制

  • 用户账号
    - 超级用户(root管理员,权限最高,ID为0)
    - 普通用户(以CentOS7为例,UID在1-999(保留),创建账号从1000开始)
    - 程序用户(伪用户,不能登录操作系统,只能正常运行服务,比如ftp和apache)

  • 组账号
    - 基本组(私有组)
    - 附加组(公有组)

  • UID和GID
    - UID(User IDentity,用户标识号)
    - GID(Group IDentify,组标识号)

(2)用户的分类

  • 超级用户:root用户是Linux操作系统中默认的超级用户账号,对本主机拥有至高无上的权限,类似于Windows操作系统中的Administrator用户。只有当进行系统管理、维护任务时,才建议使用root用户登录系统,日常事务处理建议只使用普通用户账号。 root 拥有对系统的最高的管理权限ID=0。

  • 普通用户:普通用户账号需要由root用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限
    系统用户UID:1-999(centos7版本)1-499(centos6版本)
    UID:即每个用户的身份标示,类似于每个人的身份证号码。

  • 程序用户:在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不介许登录到系统,而仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail等
    伪用户一般不会用来登录系统的,它主要是用于维持某个服务的正常运行如:ftp,apache

  • UID:即每个用户的身份标示,类似于每个人的身份证号码。

  • 管理员组:root,0

  • 普通组:GID

    • 系统组:1-499(Cent0S6)1-999(CENTOS7)
    • 普通组:500+(CentoS6),1000+(CENTOS7)
      表示该账户需要密码才能登录,为空时,账户无须密码即可登录

  • 组账号:

    • 基本组:基于某种特定联系(如都需要访问FTP服务)将多个用户集合在一起,即构成一个用户组,表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组,这个组称为该用户的基本组(或私有组);
    • 附加组:若该用户同时还包含在其他的组中,则这些组称为该用户的附加组(或公共组)。

简说:
用户和组的关系
用户是员工,组是职位,员工可以兼职多个岗位
总有一个最重要的身份,主要组和附加组
主要组:必须要一个,组有且唯一。
附加组:可有可无,可以有多个
默认行为当你创建一个新用户时会自动创建一个和之同名的主组

2、用户账号文件/etc/passwd

保存用户名称、宿主目录、登录Shell等基本信息

  • 文件位置:/etc/passwd
  • 每一行对应一个用户的账号记录
    在这里插入图片描述
    在这里插入图片描述

3、用户账号文件/etc/shadow

保持用户的密码、账号有效期等信息

  • 文件位置:/etc/shadow
  • 每一行对应一个用户的密码记录
    在这里插入图片描述
    在这里插入图片描述

4、chage命令

chage命令:用来修改帐号和密码的有效期限,针对目前系统已经存在的用户

chage [选项] 用户名

  • -m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
  • -M:密码保持有效的最大天数。chage -M 60 root
  • -W:用户密码到期前,提前收到警告信息的天数。
  • -E:帐号到期的日期。过了这天,此帐号将不可用。
  • -d:上一次更改的日期。
  • -I(大写i):停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
  • -l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

例:chage -E 2019-04-29 test
//其中,test为用户,用户将在2019年4月29日失效(不可登录)

chage -d 2019-06-30 test //设置test用户最后一次修改密码的日期为2019年6月30日
chage -d 0 test //则代表该test用户需立即修改密码

date -d “+45days” -u//如果不知道时间可以用date查看

  • -u:UTC时间

5、添加用户账号-useradd命令

useradd 选项 用户名

  • -d:指定用户的宿主目录位置(当与-M一起使用时,不生效)。
  • -e:指定用户的账户失效时间,可使用YYYY-MM-DD的日期格式。
  • -g:指定用户的基本组名(或使用GID号)。
  • -G:指定用户的附加组名(或使用GID号)。
  • -s:指定用户的登录Shell。
  • -u:指定用户的UID号,要求该UID号码未被其他用户使用。
  • -M:不建立宿主目录,即使/etc/loqin.defs系统配置中已设定要建立宿主目录。

举例
1、创建新用户,设置密码
在这里插入图片描述
2、给用户指定宿主目录,设置基本组为wheel,附加组为root
在这里插入图片描述

在这里插入图片描述
3、给王五设置账号过期时间,并且不能登录账户(nologin)
在这里插入图片描述
4、赵六不建立宿主目录,在home里面找不到(useradd -M)
在这里插入图片描述
5、指定UID给用户李辰(useradd -u)
在这里插入图片描述

6、设置/更改用户命令-passwd

  • -d:清空指定用户的密码,仅使用用户名即可登录系统。
  • -l:锁定用户账户。
  • -S:查看用户账户的状态(是否被锁定)。
  • -u:解锁用户账户。

passwd命令扩充
#调用管道符,给zhangsan用户设置密码"123",为了方便系统管理,passwd命令提供了
–stdin选项,用于批量给用户设置初始密码。例如: echo “123456” | passwd --stdin zhuxuan

举例:
1、批量给用户设置密码(echo “123456” | passwd --stdin zhuxuan)
在这里插入图片描述
2、清除密码(passwd -d)
在这里插入图片描述
3、查看用户状态(passwd -S)
在这里插入图片描述
4、锁定用户(passwd -l)
在这里插入图片描述
5、解锁用户(passwd -u)
在这里插入图片描述

7、修改用户账号的属性-usermod

常用命令参数

  • -l:更改用户账号的登录名称(login Name)
  • -L:锁定用户账户
  • -U:解锁用户账户

以下选项与useradd命令中含义相同

  • -u:修改用户的ID号
  • -d:修改用户的宿主目录位置
  • -e:修改用户的账户失效时间,可使用 YYYY-MM-DD的日期格式
  • -g:修改用户的基本组名(或使用GID号)
  • -G:修改用户的附加组名(或使用GID号)
  • -s:指定用户的登录Shell

8、删除用户账号-userdel

userdel [-r] 用户名

  • 添加-r选项时,表示脸用户的宿主目录一并删除
  • 如果不加-r,删除之后在创建用户时会报错
    在这里插入图片描述
    举例:
    Userdel 直接删除用户不加参数,然后再重新创建出相同的用户
    在这里插入图片描述

9、用户账号的初始配置文件

  • 文件来源
    - 新建用户账号时,从**/etc/skel**目录中复制而来
  • 主要的用户初始配置文件
    - ~/.bash_profile
    - ~/.bashrc
    - ~/.bash_logout
    在这里插入图片描述
    注:ls -a才能查看,里面有隐藏文件

(1) .bash_profile

示例代码中为用户添加了2个环境变量(JAVAHOME和CLASSPATH),并修改了已有环境变量PATH的值.(PATH的查找是从前开始查找,找到就返回)
CLASSPATH环境变量的值是在JAVA运行时查找加载类的默认classpath.

(2).bashrc

例子中定义了路径,语言,命令别名(使用rm删除命令时总是加上-i参数需要用户确认,使用ls命令列出文件列表时加上颜色显示)。
每次修改.bashrc后,使用source/.bashrc(或者。/.bashrc)就可以立刻加载修改后的设置,使之生效。
一般会在bashprofile文件中显式调用bashrc。登陆linux启动bash时首先会去读取~/.bash profi le文件,这样~/bashrc也就得到执行了,你的个性化设置也就生效了。
关于环境变量的读取顺序:
用户登录->>加载~/bash profile --> bash profile中配置了首先是使~/.bashrc生效

(3).bash_logout

用途:用户登出时执行的命令

#~ /.bash_logout
#在当前用户登出时,打印出Logout 和当前时间
echo “Logout, ‘date’”

例子:
如果需要每个用户登出时都清除输入的命令历史记录,可以在/etc/skel/.bash_logout文件中添加下面这行rm -f $HOME/.bash_history 。这样,当用户每次注销时,
.bash_history文件都会被删除.
在这里插入图片描述
在这里插入图片描述

  • history -c 清除历史记录
  • history -r /root/history.txt,把命令读进来作为当前bash的历史记录
  • history -w /root/history.txt,把当前bash的历史记录写入history.txt

echo “history -c” >> ~/.bash_logout
echo “history -c” >> ~/.bash_profile

二、组账号

1、组账号文件

与用户账号文件相类似

  • etc/group:保存组账号基本信息
  • etc/gshadow:保存组账号的密码信息
    在这里插入图片描述

2、添加账号-groupadd

groupadd命令

  • groupadd [-g GID] 组账号名

示例:
在这里插入图片描述

2、添加删除组成员-gpasswd

gpasswd命令

  • 设置组账号密码(极少用)、添加/删除组成员
  • gpasswd [选项] 组账号名

常用选项
-a:添加用户到组
-d:从组删除用户
-A:指定管理员
-M:指定组成员和-A的用途差不多
-r:删除密码
-R:限制用户登入组,只有组中的成员才可以用newgrp加入该组

示例:
1、添加用户到组(gpasswd -a)
在这里插入图片描述
2、从组中删除用户(gpasswd -d)
在这里插入图片描述
3、批量添加组成员,-M添加用户时会把原有的用户全部删除(gpasswd -M)

在这里插入图片描述

3、删除组账号-groupdel

groupdel命令

  • groupdel 组账号名

示例:
在这里插入图片描述

4、查询账号信息

(1)groups命令

  • 查询用户所属的组
  • groups [用户名]

在这里插入图片描述

(2)id命令

  • 查询用户身份标识
  • id [用户名]
    在这里插入图片描述

(3)finger命令

  • 查询用户账号的详细信息
  • finger [用户名]
    在这里插入图片描述

(4)w、who、users命令

  • 查询已登录到主机的用户信息

(5)lastlog命令

  • 用于显示系统中所有用户最近一次登录信息
    lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示Never logged。注意需要以root身份运行该命令。

常用选项:

  • -b<天数>:显示指定天数前的登录信息
  • -t<天数>:显示指定天数以来的登录信息
  • -u<用户名>:显示指定用户的最近登录信息
  • -h:显示召集令的帮助信息

实例:
1、显示3天前的登录信息(lastlog -b)
在这里插入图片描述
2、显示5天以来的登录信息(lastlog -t)
在这里插入图片描述
3、显示用户最近的登录信息(lastlog -u)
在这里插入图片描述
4、显示帮助信息(lastlog -h)
在这里插入图片描述

三、文件/目录的权限和归属

访问权限

  • 读取r:允许查看文件内容、显示目录列表
  • 写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
  • 可执行x:允许运行程序、切换目录

归属(所有权)

  • 属主:拥有该文件或目录的用户帐号
  • 属组:拥有该文件或目录的组帐号

在这里插入图片描述
在这里插入图片描述

1、rwx权限详解

(1)文件中的rwx

r:可读
w:可写[可写不代表可以删除,删除一个文件的前提是对文件所在的目录有写的权限]
x:可执行

(2)文件夹中的rwx

r:可读(可用ls查看目录内容)
w:可写[可在目录内创建+删除+重命名文件或目录]
x:可执行[可以进入目录]

(3)查看文件时候前缀

-rw-r--r--. 1 root root 1808 3月  22 08:39 initial-setup-ks.cfg

- 表示类型为文件
第一组rwx: 表示所有者 可读  可写 可执行
第二组rw-: 表示同组用户  可读 可写 但不能执行
第三组r--: 表示其他用户  只可读

可用数字表示:
r = 4
w = 2
x = 1
因此rwx = 4+2+1 = 7

2、设置文件和目录的权限chmod

chmod 权限变更格式 文件或目录路径

  • chmod [ugoa] [+ - =] [rwx] 文件或目录
  • chmod nnn 文件或目录
chomod  [ugoa]    [+ - =]          [rwx]      文件或目录

u:所有者(属主)  g:所有组(属组) o:其他人	 a:所有人
+:增加   -:去除   =:设置权限
r:读  w:写   x:运行权限

1. u=rwx,g=rx,o=x
2. o+w					其它用户增加w权限
3. a-x					所有人减去执行权限

chomd  nnn  文件或目录
nnn:表示3位8进制数

r = 4   w = 2  x = 1	rwx = 7	  rx = 5
chmod u=rwx,g=rx,o=x   可以写成		chmod 751

示例:
在这里插入图片描述
在这里插入图片描述

3、设置文件和目录的归属chown

chown命令

  • chown 属主 文件或目录
  • chown :属组 文件或目录
  • chown 属主:属组 文件或目录

常用选项

  • -R:递归修改指定目录下所有文件、子目录的归属

实例:
在这里插入图片描述
在这里插入图片描述

4、权限掩码umask

umask作用

  • 控制新建的文件或目录的权限
  • 默认权限去除umask的权限为新建的文件或者目录的权限

umask设置:umask 022
umask查看:umask

示例:
1、将umask设为022,查看权限(实际权限755)
在这里插入图片描述
2、将umask设为000,查看权限(实际权限777)
在这里插入图片描述

四、总结

  • 用户账号管理(useradd、passwd、usermod、userdel)
  • 组账号管理(groupadd、gpasswd、groupdel)
  • 用户账号文件与组账号文件
  • 查询账号相关信息的命令(groups、id、finger、w)
  • 设置目录与文件权限(chmod)
  • 设置目录与文件归属(chown)
  • 权限掩码(umask)
风雪一更ing
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux中用户不可用,解决方法!
刘的博客
09-24 5280
创建用户 test用户后,切换用户 #su test  发现无法切换,提示为:This account is currently not available 看看test的帐号信息 #more /etc/passwd 由于test是刚创建的,如果没有其他用户创建,test信息应该在最后一行 test:x:502:504::/home/test:/sbin/nologin 发现它的...
Linux系统账号权限管理
最新发布
qq_54188720的博客
04-15 933
超级用户:root 用户是 Linux 操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的。普通用户:由root用户或其他管理员用户创建,拥有的权限会受到限制,一般只在用户自己的宿主目录中拥有完整权限。程序用户:在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail 等。
linux 切换用户报错:This account is currently not available
独孤飞磊
03-22 4852
在用su命令切换用户的时候,报错This account is currently not available。这是因为用户的shell禁止登陆了。方式一:修改/etc/passwd。方式二:使用命令修改。
Linux操作系统账号密码失效检测
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
12-23 2898
根据我开发的邮件接口上调用操作,触发告警 GO的WEB编程(GIN实现邮件接口报警) Gin编写邮件接口(支持多人发送) Gin编写邮件告警接口(添加优化日志记录) 首先,我们Linux操作系统可以创建多个用户账号。 但是为了系统安全考虑,我们会给账号密码设置有效期和复杂难度,防止非法操作爆破我们的机器。 但是每次修改完,到规定时间需要修改账号密码,这个每次人工来看,比较麻烦,所以做个账号密码到期的警告。当密码快要过期时,我们可以发邮件告警。 账号密码过期设置 function Che
linux账号权限管理理论
12-08
对于Linux的世界来说,无论是初学者还是高手,账号权限管理都是必须要掌握的,理解掌握为以后提高技术具有重要的作用
linux账号权限管理
03-26
linux账号权限管理
关于Linux账号管理详解
09-15
这两个文件协同工作,确保了用户账户的安全和管理。 用户管理主要包括以下几个操作: 1. **用户账号添加**:使用`useradd`命令来创建新用户。基本格式为`useradd [-u UID] [-g 初始群组] [-G 次要群组] [-m/M] [-c...
linux用户和组权限管理
12-13
linux用户和组权限管理 1.用户文件/etc/passwd 2.密码文件/etc/shadow * 现在用户的密码都是加密保存在这个文件里了,需要管理员权限才能打开,不再保存在passwd里。
Linux 账号管理与权限设置
11-18
Linux 账号管理与权限设置 Linux 账号管理与权限设置是 Linux 系统中非常重要的一个方面,它包括用户账号的管理、权限设置、ACL 的掌握等方面的内容。本文将详细介绍 Linux 账号管理与权限设置的知识点。 一、用户...
【Error】centOS下切换用户报“This account is currently not available”错误
Muz_victory的博客
03-26 2624
问题描述: 今天在使用Linux切换用户时报错提示“This account is currently not available”,上网搜索了一圈之后发现是用户的shell禁止登录了 解决方法: 只要开启shell登录即可。 操作步骤: 1.用vi查看账户信息 cat /etc/passwd | grep 用户名 发现它的shell是“/sbin /nologin”,需要将起改成...
Linux passwd文件被清空
weixin_34004576的博客
10-29 384
密码文件被清空,幸好没有退出远程终端。 Linux 在默认情况下对/etc/passwd /etc/group /etc/shadow /etc/gshadow都进行了自动备份,拷贝后恢复即可。 没有找到关于备份这类文件的官方说明文档,谁知道请共享一下:hunt1574@foxmail.com,多谢! 过程: [root@app1~]#ls-l/e...
Linux不显示用户名,以及新用户创建删除(ubuntu,xshell)
m0_48643365的博客
04-11 4802
xshell连接Ubuntu登录后不显示用户名 只显示"$“符号,回退键会变为”^H",tab键直接空格时,解决办法: 1.执行命令 sudo -s 2.切换到root帐户下,然后再用命令:vim /etc/passwd 3.点击i(进入插入模式) 4.找对对应的用户名 一行,将最后的 /bin/sh 修改为/bin/bash 5.按esc,键入(:wq),保存退出 创建用户 adduser + name 这里使用的是adduser而不是useradd,因为使用useradd增加用户需要添加相应的格式,
This account is currently not available(当前账户不可用)
qq_43691308的博客
01-19 1737
linux使用su切换用户时出现: root@xin:/etc/apache2# su www-data This account is currently not available. 读取passwd文件,发现该用户是这样的 www-data:x:33:33:www-data:/var/www:/sbin/nologin root下使用vim更改为 www-data:x:33:33:ww...
【系统运维Linux系统下新增用户命令useradd与adduser的区别
05-08 4917
useradd与adduser都是创建新的用户 在CentOs下useradd与adduser是没有区别的都是在创建用户,在home下自动创建目录,没有设置密码,需要使用passwd命令修改密码。 而在Ubuntu下useradd与adduser有所不同 1、useradd在使用该命令创建用户是不会在/home下自动创建与用户名同名的用户目录,而且不会自动选择shell版本,也没有设置密码
linux设置用户账号有效期,Linux下控制帐户过期的多种方法
weixin_29635919的博客
04-29 5372
Linux下控制帐户过期的方法:企业里一般给无人管理的角色账户或开发人员临时需求等可以设定账户有效期,提升安全!法一:添加用户时useradd linuxidc -e 01/28/12或修改下面文件的参数:[root@linuxidc skel]# grep EXPIRE /etc/default/useraddEXPIRE=实例7:指定参数执行useradd -D -e[root@linuxid...
您的账户已被停用,请向系统管理员咨询 解决方案(亲测有效)
热门推荐
清平乐的技术专栏
05-07 4万+
当你的电脑误操作了以下步骤,或者被篡改了设置了这里 那恭喜你,重启后就登不上Administrator账户了 首先看一下网上的两种无效方式 无效方式一:带命令符的安全模式 一般两种方式进入安全模式: 方式一:F8进入 方式二:按住shift 重启 cmd 中输入 net user administrator /active:yes 亲测无效,依然登录不进去 无效方式二:PE进入设置用户和组...
linux用户不能su: This account is currently not available
学亮编程手记
09-08 2099
今天在linux下切换用户发现提示This account is currently not available,说是无效用户了后来网上查了一下发现是用户的shell禁止登录了,解决方法只要开启shell登录即可。 解决办法: 比如我是 su apache的时候出现的问题 用vi看看 apache的帐号信息 # cat /etc/passwd | grep apache 发现它的shell是“/sbin /nologin”,需要将起改成“/bin/bash” # vi /etc/passwd ...
linux账号权限管理
04-06
Linux账号权限管理是指在Linux系统中,对用户和用户组进行管理控制的一项功能。通过Linux账号权限管理,可以为每个用户分配对文件和系统的不同权限,从而保证系统的安全性和稳定性。同时,管理员可以通过Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风雪一更ing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值