当访问操作系统时,基于账户身份对资源访问进行控制
用户账号标识方式:UID
组账号标识方式:GID
管理员root UID 为0
系统用户UID为1-999
普通用户UID为1000及以后
一个用户必须至少属于一个组(基本组/附加组)
创建用户用useradd +用户名
在
/etc/passwd 文件中查看创建的用户(所有的用户都在/etc/passwd文件中)
用户信息由7个部分组成:
用户名:密码占位符:UID:基本组GID:用户描述信息(可以为空):用户家目录:用户解释器
在创建用户时(useradd)指定其属性
-u:指定UID标记号
id命令:查看用户的ID
-d:指定用户家目录,默认/home(不能事先创建目录)
-G:指定所属的附加组(拓展组)
创建一个组groupadd
-s:指定用户的登录解释器
/sbin/nologin :禁止用户登录操作系统
usermod命令:修改已经存在的用户信息(
其实修改/etc/passwd(保存用户信息)文件的内容)
-l:更改用户账号的名称
-u:更改用户ID
-d:更改家目录路径(不会创建新目录)
-G:更改附加组(重置,如果没有附加组就会添加附加组,有附加组就会更改附加组,如果有两个附加组,更改后只有更改的附加组一个)
-s:更改登录解释器
passwd命令:给用户设置密码(交互式方式)
passwd [选项] 用户名
用管理员修改密码,不需知道用户的旧密码,修改的密码不用担心密码的复杂度
--stdin 非交互式
su命令:临时登录(在root中登录不需要密码),如果普通用户su 普通用户需要密码,用exit退出
s - 用户名
在普通用户中设置密码直接passwd需要设置密码的复杂度
/etc/shadow :用户密码文件(保存密码字符串、有效期,普通用户的权限查看不了),即使没有设置密码,也会在文件中显示用户信息
用户名称:
加密后的密码字符串(!!号表示自从创建用户后没有设置过密码):
上一次修改密码的时间(从1970-1-1到上一次的天数):
密码最短的使用时间(0表示没有限制):
密码最长使用时间:
密码过期前的警告天数(默认7):
密码过期后多少天禁用此账户:
账户失效时间(默认为空):
保留字段(未使用)
用户家目录下面的主要配置文件:~/.bashrc:每次进入新的Bash环境时执行(开启新的终端)
在~/.bashrc中定义的别名是永久别名,在某个用户的家目录下面设置(定义别名),只针对该用户生效(在root中修改只对root生效,su 其他用户则无效)
/etc/bashrc:全局配置文件,对所有的用户都生效
userdel命令:删除用户,-r 删除用户的家目录(如果用户没有家目录,也会把用户删除)
/etc/group:保存组账号的基本信息
组账号名称:组的密码占位符:组的GID:组的成员内容
gpasswd命令:添加组账号
-a:添加组成员,每次只能添加一个
-d:删除组成员,每次只能删除一个
-M:设置多个用户,但设置完后之前的用户信息就会消失(重置组的成员),‘ ’用来清空组成员
-A:定义组的管理员(可以不属于当前组),设置某个用户为某个组的管理员后,该用户就可以对该组添加用户或者删除用户,减少了root的负担,加上‘用户名,用户名’,同时设置多个用户为管理员
/etc/gshadow:组管理信息配置文件
组名:组的密码(!表示没有密码):组的管理员:组的成员
groupdel命令:删除组,只能删除不是基本组的组
当执行useradd命令时会在/etc/passwd增加一行信息,在/etc/shadow增加一行信息,在/home新增用户家目录,在/var/spool/mail增加用户邮件文件,在/etc/group增加一行组信息,在/etc/gshadow增加一行组的管理信息
当执行userdel -r命令时会在/etc/passwd删除一行信息,在/etc/shadow删除一行信息,在/home删除用户家目录,在/var/spool/mail删除用户邮件文件,在/etc/group删除一行组信息,在/etc/gshadow删除一行组的管理信息
计划任务(不需要人参与,固定的去执行任务),按照设置的时间间隔为用户反复执行某一固定的系统任务
软件包:cronie、crontabs(默认安装)
系统服务:crond(系统默认开机自启动)
日志文件:/var/log/cron
crontab 命令:管理计划任务策略
crontab -e [-u 用户名] :编辑(如果后面不加用户名,就会默认当前登录的用户进行编辑)
计划任务书写格式:
分 时 日 月 周 任务命令行(绝对路径)每分钟执行一次
*:匹配范围内任意时间
,:分隔多个不连续的时间点
-:指定连续时间范围
/n:指定时间频率,每n一次
例:每分钟记录系统时间
-l [-u 用户名] :查看
-r [-u 用户名] :清除(或者使用crontab -e 编辑文件删除)
/var/spool/cron/root:任务文件
基本权限与归属:
访问权限:读取:允许查看内容 -r(read)
写入:允许修改内容 -w(write)
可执行:允许运行和切换 -x(execute)
对于文本文件:
r读取权限:cat、less、grep、head、tail
w写入权限:vim、>、>>
x可执行权限:Shell、Python
对于目录:
r读取权限:ls命令查看目录内容
w写入权限:能够创建、删除、修改目录的内容(不能修改目录本身)
x可执行权限:能够cd切换到此目录下
归属关系:所有者(属主):拥有此文件/目录的用户 -u(user)
所属组(属组):拥有此文件目录的组 -g(group)
其他用户:除所有者、所属组以外的用户 -o(other)
-d查看目录
前三个rwx是所有者root的权限,中间三个r-x是所属组root的权限,后三个r-x是其他用户的权限
root无视所有权限,比如/etc/shadow文件
在根目录下面只要/tmp目录带特殊权限
chmod命令:修改权限
chmod [ugoa] [+-=][rwx] 文件
背景变绿代表设置其他用户有w权限(权限设置的开放)
a代表所有人设置相同的权限
-R :递归修改权限(针对目录本身及目录下面的所有子文件子目录已经存在的设置相同权限)
如果对文件有读写权限但对文件的父目录只有读没有写权限就不能访问该文件
权限位的8进制数表示:
r、w、x、分别对应4、2、1,然后求和7
chmod nnn 文件
数字不适合小访问修改权限
chown命令:修改归属关系
chown 属主 文件
chown 属主:属组 文件
chown :属组 文件
查看用户对于该数据所处的身份,所有者>所属组>其他人,配置及停止(当匹配到权限就不会往下面继续匹配)
例如:当一个目录归属属主为zhangsan属组为stu,对zhangsan的权限为rwx,对stu权限为rwx,对其他人权限为r-x,另一个用户lisi就只能进入到该目录,不能创建和删除,当把lisi加入到stu组(gpasswd -a)中,lisi就有了wrx权限(需要重新注销登录),就能够创建,修改目录。当zhangsan权限为r-x时,把zhangsan加入到stu组中,此时zhangsan的权限还是为r-x不能修改目录,因为Linux匹配原则为所有者>所属组>其他人当匹配到所有者的权限时就不会合并/兼容到下面(所有组)的权限
1.
2.
ACL策略管理:能够对个别用户、个别组设置独立的权限(仅Linux系统支持)
setfacl命令:定义ACL控制策略
getfacl命令:查看ACL策略
setfacl [选项] u/g:用户名/组名:权限:文件
-m:修改ACL策略
查看ACL策略
-x:清除指定的ACL策略
-b:清除所有已设置的ACL策略
-R:递归设置ACL策略
黑名单的使用(单独拒绝某些用户)
Linux中判断用户具备的权限:1、先查看用户或者组是否有ACL策略(最大)。2、查看用户,对于该数据所处的身份,所有者>所属组>其他人,配置及停止(当匹配到权限就不会往下面继续匹配)
附加权限
Sticky Bit:粘滞位(普通用户
无法删除他人文档)
占用其他用户x的位置
显示t表示其他人有x权限,T表示其他人没有x权限
适用于目录,在设置了粘滞位的文件夹下面,即使用户有写入权限,也不能删除或改名其他用户文档
Set GID 权限
占用属组的x位
显示s表示属组有x权限,S表示属组没有x权限
对目录有效,新建的文档会
自动继承此目录的属组身份
Set UID权限
占用属主的x位
显示s表示属主有x权限,S表示属主没有x权限
仅对可执行的程序有效,当其他用户执行带有SUID标记的程序时,具有此程序属主的的身份和相应的权限。例如:对mkdir命令设置SUID,当其他用户创建目录时,属主不再是该用户,而是root用户。相当于使用该命令时是用root的身份来使用(切换到root用户)
umask值:
在创建目录时会创建默认的权限,用777-022(umask的值)=默认权限
在创建目录时加 -m 选项,表示指定目录的权限
/etc/skel文件:做为新建家目录的来源
当用户没有家目录的时候。可以复制该模板,到用户的家目录下面,并且修改该文件的属主和属组,该用户就能正常登录。
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
