账号与权限管理

usermod命令

语法：usermod [-选项][用户帐号]

说明：修改用户帐号命令

-c    修改用户帐号的备注文字。

-d    修改用户登入时的目录。

-e    修改帐号的有效期限。YYYY-MM-DD

-g    修改用户所属的群组。

-G    修改用户所属的附加群组。

-l     修改用户帐号名称。

-s    修改用户登入后所使用的shell。

-u    修改用户ID。

-U    解除密码锁定。===passwd -u

-L    锁定用户密码，使密码无效。（超级用户仍旧可以进入，普通用户则不可 以） =====passwd –l

文件权限

chmod命令

语法：chmod 文字法|数字法 文件名|目录名

说明：修改文件的权限只有root用户可以用

方法一：文字法

用户分类 :

        u：文件的拥有者，每一个文件都有一个拥有者。use       

        g ：文件所属组用户，每一个文件只能属于一个指定的组。group

        o：其他用户，非同组用户和所有者。other

用户权限 ：

        r ：用户是否有权力读文件的内容

        w ：用户是否有权利改变文件的内容

        x ：用户是否有权利执行文件

方法二：数字法

数值与权限对应：

        读权限对应的数值为4

        写权限对应的数值为2

        执行权限对应的数值为1

chmod

        u 表示 user，属主权限位

        g 表示 group，属组权限位

        o 表示 other，其他用户权限位

        a 表示所有，等于 ugo

                chmod u-r file／chmod a+x file

                也可使用数字代表权限，，对应的三个数字即为属主、属组、其他用户

chown命令

格式：chown 用户名或 : 组名 文件名        属主 : 属组

说明 ：改变文件的拥有者

chown

        既可单独修改属主，也可单独修改属组，也能同时修改属主属组

                chown 属主:属组 file／directory

                chown 属主.属组 file／directory

chgrp命令

语法：chgrp 组名 文件名

说明：改变文件所属的组

chgrp

        只能修改属组

        chgrp 属组 file／directory

sudo命令

用途：可替换的其他用户身份执行命令，若未指定目标用户，默认为root用户

shutdown –h now (正常情况下只能root用户使用)

sudo shutdown –h now（sudo——让其他用户也可使用，注意要事先备案）

格式：sudo[-u 用户名] 操作命令

说明：操作命令需在配置文件中授权给用户

sudo 配置文件：/etc/sudoers

groupdel

删除组命令

但是只能针对附加组，主组无法删除

扩展权限控制

SUID

        针对特殊指令，做提权，不建议随意更改默认指令属性，执行者对该程序需有x可执行权限

        chmod u+s 指令后，表示用户在使用指令时，借助的是管理员的身份

SGID

        主要针对目录【7】（文件亦可），对项目开发非常重要，同组成员可以互相编 辑文件

        chmod g+s 目录后，组成员创建的文件或目录，属主为自己，属组自动继承父目录

粘滞位

        只针对目录生效，面向 other 用户，彼此可以看到创建的文件，但是不可以修改删除

        chmod o+t 目录后，所有的 other 用户在目录中都拥有对自己文件的完全控制权限

groupadd

增加新用户组命令

格式：groupadd 【-选项】 用户组

-g GID 指定新用户组的组标识号（GID）

newgrp切换用户组

语法：newgrp [群组名称]

说明：登入另一个群组。

注意：(newgrp指令类似login指令，当它是以相同的帐号，另一个群组名 称，再次登入系统。欲使用newgrp指令切换群组，您必须是该群组的用户，否则将无法登入指定的群组。单一用户要同时隶属多个群组，需利用交 替用户的设置。若不指定群组名称，则newgrp指令会登入该用户名称的预设群组。)

groupmod

修改用户组的属性命令。

语法： groupmod 选项 用户组

-g GID 为用户组指定新的组标识号。

-n 新用户组 将用户组的名字改为新名字

例：将组tt的标识号改为600，组名修改为student。

# groupmod -g 600 -n student tt

userdel 命令

userdel [-r] username

不加-r 选项，只删除 passwd 和 shadow 文件中的用户信息

加-r 选项，删除 passwd 和 shadow 文件中的用户信息，同时删除用户的家目录和邮箱

passwd 密码修改

passwd -S 用户名  查看该用户的密码策略

passwd -l 用户名                                 锁定该用户

passwd -u 用户名                                 解锁

passwd -e 用户名 设置为下次登陆必须修改

分支主题 11

针对文件

        r 表示可以打开和读取文件

        w 表示可以对文件内容写入修改（但不能删除）

        x 表示文件可执行

针对目录

        （一般把rx一起给到目录）

        r 表示可以列出目录内容

        w 表示可以在目录中增删改查（即删除文件）

        x 表示可以进入目录，同时可以查看目录中文件的详细信息

useradd 命令

useradd username

1. 新建用户时，系统会将/etc/skel   中的目录及文件拷贝到新建用户的家目录中
2. 在/var/spool/mail 中，新建用户名的邮箱
3. 在 passwd、shadow 和 group 文件中，增加用户信息

扩展权限控制

setfacl 设置某个文件或者目录的 ACL 属性

        -m 设置 acl，针对用户，关键词为‘u’，针对组，关键词为‘g’，设置时，权限不能为空

        -x 删除设置的 acl 属性

        -d 只针对目录设置默认的 acl 参数

        -b 删除所有的 acl 属性

getfacl 获取某个文件或者目录的 ACL 属性

        -a 显示文件 acl 属性

        -d 显示默认的 acl 属性

        -R 查询递归的 acl 属性

        因为默认的属主属组只能控制一个用户和一个组，无法针对每个用户做权限控制,所 以借助 acl 属性，完善权限控制

umask

指定当前用户在建立文件或者目录的权限默认值

-S 以符号类型的方式显示出权限

root超级用户

        dir=755=777-022

         file=644=777-022-111

        root:：0022     ， 目录=777-022，文件=777-111

users普通用户

        dir=775=777-002 file=664=777-002-111

        普通用户：0002，目录=777-002，文件=777-111

影响用户属性

修改以后的用户

通过/etc/login.defs文件控制

用户创建时，默认的属性（比如  UID，GID，是否创建家目录，创建邮箱等）都是通过/etc/login.defs 文件控制的，修改此文件的属性，会影响以后创建的所有用户

修改已存在的用户

如果需要对现存账户的属性做修改，可以借助 chage 指令，修改用户的密码策略，也可通过编辑/etc/shadow

chage

        chage -l username，查看用户的密码策略

        chage -M 90 username，将用户的密码有效期修改为 90 天

文件属性

分为11个属性

        第一字段为文件属性

        第二至四字段为属主权限第五至七字段为属组权限

        第八至十字段为其他用户权限

        第十一个字段为扩展属性，‘.’表示没有扩展属性，‘+’表示有设置 ACL 扩展属性

文件类型

        ‘-’表示文件

‘        d’表示目录

        ‘l’表示符号链接‘b’表示块设备

        ‘c’表示特殊字符设备

user->group->other