linux用户组有那三种,Linux基础知识--4.LInux用户和用户组以及权限管理

Linux基础知识--4.LInux用户和用户组以及权限管理

一.Linux用户和用户组

Linux操作系统是一个多用户、多任务的操作系统。有时可能多个用户在linux系统上操作一个任务，有时可能完成多个任务。用户的主要作用就是完成用户本身要完成的任务，不同用户所具有的权限也不同，所以能完成的任务也是有不尽相同。组：个人理解就是将用户和权限关联在一起的“容器”，我们可以把执行相同任务的用户加入同一个组内。

当登录linux系统时要输入linux用户账号，但是linux主机不会是认识你的“账号名称”，它只会识别用户的ID号，每个登录系统的用户至少要包括两个ID，一个是用户ID(UID)，另一个是组ID(GID)。

1. 在linux系统中用户可分为三类：根用户(管理员用户)，系统用户和普通用户。

根用户root用户：可以操作系统任何文件和资源，拥有最高权限。

root：UID为0 GID为0

系统用户：这类用户不具有登录系统的能力，但是系统运行不可缺少的用户，比如bin、daemon、ftp、mail等。这类用户都是系统自身拥有的，而非后来添加。当然后续添加也行。

系统用户的UID：1-499 但是在CentOS7上UID是：1-999

GID：1-499 CentOS7上GID为：1-999

普通用户：这类用户是用来登录系统，有自己的家目录，但是权限有限。

普通用户的UID为500+ 在CentOS7上UID为：1000+

GID：500+ CentOS7上GID为：1000+

2.Linux用户组：

linux组的分类：基本组，私有组和附加组(也称额外组)

基本组：linux在创建用户的时候会同时创建和用户名相同的组，这个组就是基本组，不能把用户从这个组删除。

附加组：附加组也称额外组，是除基本组之外用户所在的其他组。用户可以从附加组中删除。

私有组：私有组就是一个linux用户的基本组在没有其他用户添加到此组，就称基本组属于这个用户的私有组。

3.linux中和用户、组相关的配置文件及文件内容的意义：

/etc/passwd：用户及其属性信息

/etc/shadow：用户密码及其相关信息

/etc/group：组及其属性信息

/etc/gshadow：组密码及其相关信息

1./etc/passwd文件中各字段含义：

用户名:密码:UID:GID:用户注释信息:用户家目录:默认shell

apache:x:48:48:Apache:/var/www:/sbin/nologin

2./etc/shadow文件中个字段的含义：

bin:*:15980:0:99999:7:::

用户名:加密之后的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期        限:密码警告时间段:密码过期恕限时间:账户过期时间:保留字段

注意:最近一次更改密码的日期：是从1970年1月1日到最近一个修改密码的天数。

密码最小使用期限：便是两次修改密码之间所需的最小天数，0表示没有。

密码最大使用期限：指的是密码保持有效的天数。

密码警告时间段：表示从系统警告用户到用户密码正式失效的天数。

密码过期恕限时间：如果用户过了警告时间仍没有从新设定密码，致使密码失效。用户仍然可以使用这个失效的密码在n天内登陆系统，若在这个期间人没有更改密码，则账号失效。

3./etc/group文件中各字段的含义：

bin:x:1:bin,daemon

组名:组密码:GID:以当前组为附加组的用户列表(分隔符为逗号)

4./etc/gshadow文件中各字段的含义：

bin:::bin,daemon

组名:组密码:组管理者:组成员

4.linux 用户和组相关的管理命令：

(1)用户创建：useradd

useradd [options] LOGIN

常用选项：

-u UID:指定UID

-g GID:指定GID

-c "COMMENT":用户注释信息

-d directory:指定用户的家目录

-s SHELL:指定用户的shell

-G group1,group2,...：指定用户的附加组，组事先要存在

-r：创建系统用户

和用户创建相关的一些文件和目录：

/etc/login.defs /etc/shells /etc/skel /etc/default/useradd

/etc/login.defs:此文件是创建用户时的一些限制，比如可以配置密码的最大过期天数，密码 最大长度等。该文件对root用户无效。

/etc/shells:该文件存在当前系统支持的shell

/etc/skel:该目录下存放了一些隐藏文件和目录。在建立用户时，用户初始化用户根目录。系 统会将此目录下的所有文件和目录都复制到新建用户的根目录，并且将用户的属主与用户组调整为与此根目录相同。

/etc/default/useradd:通过useradd添加用户时的规则文件。

(2)删除用户：userdel

useradd [options] login

useradd -r UserName:连同用户的家目录一并删除

(3)用户属性的修改：usermod

usermod [OPTION] login

常用选项：

-u UID：修改UID

-g GID：修改GID

-G group1,group,..：新附加组，原来的附加组将覆盖，如果不想覆盖使用-a选项，表append

-s shell：指定新的shell

-c "COMMENT"：新的注释信息

-d HOME：修改家目录，一般和-m选项连用。表示将原有家目录的内容一直新的家目录中

-l Login_name：修改用户名

-L：锁定用户

-U：解锁用户

-e YYYY-MM-DD：指明用户账号过期日期

-f INACTIVE：设定非活动期限

(4)给用户添加密码:passwd

passwd [OPTIONS] UserName：修改指定用户的密码，仅root用户权限

passwd ：修改当前登录系统用户的密码

常用选项

-l：锁定指定用户

-u：解锁指定用户

-n mindays：指定密码最短使用期限

-x maxdays：指定密码最大使用期限

-w warndays：指定提前多少天开始警告

-i inactivedays：非活动期限

--stdin：从标准输入接收用户密码：

eg：echo "PASSWORD" | passwd --stdin USERNAME

(5)组创建：groupadd

groupadd [OPTION]... group_name

常用选项：

-g GID:指明组ID

-r:创建系统组

(6)删除组：groupdel

groupdel GroupName

eg: groupdel admingroup

(7)组属性修改：groupmod

groupmod [OPTION].. group

常用选项：

-n group_name：修改组名

-g GID：修改组ID

(8)组密码创建：gpasswd

让某个用户组具有一个管理员，这个用户组管理员能够管理那些账号可以加入/移除该用户组。

gpasswd [option] group

常用选项：

-a user：将user添加至指定组中

-d user：删除用户user的以当前组为组的附加组

-A user1,user2,...：设置有管理权限的用户列表

其中newgrp命令是临时切换到一个加密组中，如果用户本不属于此组，则需要组密码

(9)修改用户属性：chage

chage [OPTION]... LOGIN

常用格式：

-l：列出用户密码的相关信息：

-m mindays：修改密码的最小天数

-M maxdays：修改密码的最大天数

-I：密码过期后，锁定账号的天数

-d：指定密码最后修改的日期

-E：有效期，0表示立即过期，-1表示永不过期

-W：密码过期前，开始警告的天数。

(10)还有其他命令：chsh,finger,chfn。

chsh：修改用户的shell

chfn：change your finger information

finger:finger - user information lookup program

# finger zkc

Login: zkc            Name: Personal

Directory: /home/zkc                Shell: /bin/bash

Never logged in.

No mail.

No Plan.

二.Linux 权限管理

Linux的文件权限主要针对三类对象：属主(u)，属组(g)，其他(o)

每个文件针对每类访问者都定义了三类权限：读r,写w，执行x

我们可以使用ls -la查看某个文件的属性和文件名。如：[root@localhost ~]# ls -la

total 64

dr-xr-xr-x. 21 root root 4096 Aug 15 22:37 ..

-rw-------.  1 root root 1201 Aug 14 21:19 anaconda-ks.cfg

-rw-------.  1 root root 2138 Aug 15 22:36 .bash_history

-rw-r--r--.  1 root root   18 May 20  2009 .bash_logout

-rw-r--r--.  1 root root  176 May 20  2009 .bash_profile

-rw-r--r--.  1 root root  276 Aug 14 21:51 .bashrc

分别表示文件的类型和文件的权限，连接数，属主，属组，文件大小，文件最后被修改的时间，文件名。

1.文件的类型有一下几种：

-：普通文件。

d：目录文件。

l：连接文件

b：块设备文件.

c：字符设备文件

s：套接字文件

p：管道文件

2.文件对应属主，属组和其他的属性：rwx

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

目录和文件的权限意义：

1.权限对文件的意义：

r：可读取文件的内容，可以用文件查看类工具获取其内容

w：可以编辑，新增或者修改文件内容(但不包含删除)

x：该文件具有可执行的权限。可以把此文件提请内核启动为一个进程。

2.权限对目录的意义：

r：表示具有读取目录结构列表的权限。可以使用ls命令查看目录下的文件列表

w：这个可写入的权限对目录来说很强大。表示具有更改该目录结构列表的权限,包括：

新建新的文件与目录

删除已经存在的文件或目录(不论该文件的权限为何)

将已经存在的文件或目录进行重命名

转移该目录内的文件，目录位置

x：可以使用ls 命令查看目录下的文件列表，以及可以用cd转换到此目录下。

修改文件和目录权限：chmod

chmod [OPTION]... MODE FILE

-R：可递归修改权限

修改一类用户的所有权限：如：

a=rwx,u=rwx,g=rwx,o=rwx

uo=rw...

此类修改权限之后将会把以前的权限覆盖

eg：

修改一类用户的某些位的权限：

u+rwx u-rwx o+x a+x 等。。

eg：[root@localhost ~]# ll a.txt

-r-xr--r-x. 1 root root 6 Aug 16 03:04 a.txt

[root@localhost ~]# chmod a+w a.txt

[root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

chmod [OPTION]... --reference=Rfile File...

查看Rfile文件的权限，将File文件的权限修改为同Rfile.

eg:[root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

[root@localhost ~]# vim b.txt

[root@localhost ~]# ls -l b.txt

-rw-r--r--. 1 root root 6 Aug 16 03:34 b.txt

[root@localhost ~]# chmod --reference=a.txt b.txt

[root@localhost ~]# ls -l b.txt

-rwxrw-rwx. 1 root root 6 Aug 16 03:34 b.txt

修改文件和目录的属主和属组：chown(仅root用户)

chown [OPTION]... [OWNER][:[GROUP]] FILE...

-R：可递归修改权限

用法：chown owner file

chown owner:group file

chown :group file

chown [OPTION]... --reference=RFile File...

修改文件File的属主属组同Rfile的属主属组

eg：[root@localhost ~]# chown zkc.zkc a.txt

[root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 zkc zkc 6 Aug 16 03:04 a.txt

[root@localhost ~]# chown --reference=b.txt a.txt

root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

修改文件的属组：chgrp

chgrp [OPTION]... GROUP File

chgrp [OPTION]... --reference=Rfile File...

eg:[root@localhost ~]# chgrp zkc a.txt

[root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 root zkc 6 Aug 16 03:04 a.txt

[root@localhost ~]# chgrp --reference=b.txt a.txt

[root@localhost ~]# ll a.txt

-rwxrw-rwx. 1 root root 6 Aug 16 03:04 a.txt

文件或目录创建时的遮罩码：umask

对文件：创建文件时的权利：666-umask

如果某类用户的权限减得结果中存在x权限，将其权限加1.

相对目录：777-umask

Linux文件系统上的特殊权限：SUID，SGID，Sticky

1.通过前面学习Linux文件系统有普通权限：r,w,x

2.Linux中的安全上下文：

前提：进程必须有属主和属组。也就是文件有属主和属组

a.任何一个可执行程序文件是否能能够执行，成为进程，取决于对这个文件发起者对这个文件是否拥有执行的权限。

b.启动为程序之后，其进程的属主为发起者，进程的属组为发起者所属的组

c.进程访问文件时的权限，取决于进程的发起者。

1.进程的发起者属于文件的属主；则使用文件属主的权限

2.进程的发起者属于文件的属组；则使用文件属组的权限

3.有文件'其他'的权限

3.SUID:

任何一个可执行程序文件是否能启动为进程，取决于一个程序文件是否拥有执行的权限。

可执行程序文件启动为进程之后，其进程的属主为源文件的属主(而不再属于发起者)

权限设置：

chmod u+s File..

chmod u-s File..

s这个标志出现在文件所有者的x权限上的。

SUID权限只对二进制程序有效

执行者对已该程序需要具有x的执行权限

本权限仅在执行程序的过程中有效。

eg：命令chmod只能root用户才能使用，虽然chmod的二进制文件的权限为：-rwxr-xr-x；

但是普通用户还是不能执行此命令！！如：[root@localhost tmp]# ls -l /bin/chmod

-rwxr-xr-x. 1 root root 50048 Nov 22  2013 /bin/chmod

[zkc@localhost tmp]$ whoami

zkc

[zkc@localhost tmp]$ chmod a+w test.sh

chmod: changing permissions of `test.sh': Operation not permitted

为此二进制文件添加s权限，再次执行以下,结果如下：[root@localhost tmp]# chmod u+s /bin/chmod

[root@localhost tmp]# ls -l /bin/chmod

-rwsr-xr-x. 1 root root 50048 Nov 22  2013 /bin/chmod

切换到普通用户：

[zkc@localhost tmp]$ chmod a+w test.sh

[zkc@localhost tmp]$ ls -l test.sh

-rwxrw-rw-. 1 root root 40 Aug 16 04:49 test.sh

/bin/chmod添加s权限后，普通用户能够执行命令chmod,这只是普通用户"暂时"拥有root的权限。

4.SGID：

常用功能：

a.设置在目录上：

1.默认情况下，用户创建文件时，其属组为此用户所属的基本组；一旦某目录被设定了SGID的权限，则对此目录有写权限的用户，在此目录中所创建文件的属组就为此目录所属的属组！!          2.如果用户对此目录有r和x权限，用户还可以进入此目录中。

b.针对文件进行设置：SGID对二进制程序有用，二进制文件的执行者需要有x权限。当执行者执行此二进制程序文件时，执行具有该程序用户组的权限：

权限设定：

chmod g+s File/DIR

chmod g-s File/DIR

eg：在/tmp目录下创建一个目录kk。在没有向kk目录设置g+s权限时，普通用户(此普通用户对此目录有写权限)在此目录下创建的文件的属组还是普通用户所属的组：如：[root@localhost tmp]# ls -ld kk

drwxrxrwx. 2 root root 4096 Aug 16 06:30 kk

[zkc@localhost kk]$ ls -l a

-rw-rw-r--. 1 zkc zkc 0 Aug 16 06:35 a

向目录kk添加g+s权限,添加权限之后，所创建的文件是目录所属的属组[root@localhost tmp]# chmod g+s kk

[root@localhost tmp]# ls -ld kk

drwxr-srwx. 2 root root 4096 Aug 16 06:36 kk

[zkc@localhost kk]$ touch zkc

[zkc@localhost kk]$ ls -l

total 0

-rw-rw-r--. 1 zkc zkc  0 Aug 16 06:35 a

-rw-rw-r--. 1 zkc root 0 Aug 16 06:38 zkc

当其他用户在有SGID权限的目录下创建文件时，文件的属组都为目录所属的组，因此，用户之间可以相互删除对方的文件，这样做是不安全的。所以就出现了第三种特殊权限Sticky。

5.Sticky：

这个特殊权限只对目录有效，对文件无效。对目录的作用有：

1.当用户对此目录有w,x权限时，既具有写入的权限

2.当用户在此目录下创建文件或目录时，仅自己或root才有权限删除此文件

权限设定：

chmod o+t DIR...

chmod o-t DIR...

eg：在一个目录下，此目录对其他用户有w权限。先以不同用户创建文件，查看是否能相互删除文件，然后在设置Sticky权限之后，在此查看能否相互删除文件。

a.在不设定Sticky权限的情况下[root@localhost tmp]# ls -ld test

drwxr-xr-x. 2 root root 4096 Aug 16 06:59 test

[root@localhost tmp]# chmod o+w test

[root@localhost tmp]# ls -ld test

drwxr-xrwx. 2 root root 4096 Aug 16 06:59 test

转到普通用户：[zkc@localhost test]$ touch zkc

[zkc@localhost test]$ ls -l

total 0

-rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc

[kk@localhost test]$ touch kk

[kk@localhost test]$ ls -l

total 0

-rw-rw-r--. 1 kk  kk  0 Aug 16 07:05 kk

-rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc

查看是否能删除对方文件：[zkc@localhost test]$ rm -rf kk

[zkc@localhost test]$ ls

zkc

发现能删除对方文件

b.设定Sticky权限：[root@localhost tmp]# chmod o+t test

[root@localhost tmp]# ls -ld test

drwxr-xrwt. 2 root root 4096 Aug 16 07:06 test

在kk用户下删除zkc用户创建的文件zkc:kk@localhost test]$ rm -rf zkc

rm: cannot remove `zkc': Operation not permitted

[kk@localhost test]$ ls -l

total 0

-rw-rw-r--. 1 zkc zkc 0 Aug 16 07:05 zkc

设定Sticky权限之后，虽然目录test的其他(o)权限有w权限，但是不能删除其他用户所创建的文件！

特殊权限的权限位：

SUID ：4  SGID：2  Sticky：1

SUID：user,占据属主的执行权限位：

s：属主拥有x权限

S：属主没有x权限

GUID：group，占据属组的执行权限位：

s：属组拥有x权限

S：属组没有x权限

Sticky：other，占据other的执行权限位：

t：other拥有x权限

T：other没有x权限

到此Linux基础中的用户，组，权限和特殊权限基本知识点介绍结束。。