用户、组和权限管理


Multi-tasks, Multi-Users


每个使用者:

用户标识、密码;

Authentication

Authorization

Audition


组:用户组,用户容器


用户类别:

管理员

普通用户

系统用户

登录用户


用户标识:UserID, UID

16bits二进制数字:0-65535

管理员:0

普通用户:1-65635

系统用户:1-499(CentOS6), 1-999(CentOS7)

登录用户:500-60000(CentOS6), 1000-60000(CentOS7)


名称解析:名称转换

Username <--> UID


根据名称解析库进行:/etc/passwd


组:

组类别1:

管理员组

普通用户组

系统组

登录组


组标识:GroupID, GID

管理员组:0

普通用户组:1-65635

系统用户组:1-499(CentOS6), 1-999(CentOS7)

登录用户组:500-60000(CentOS6), 1000-60000(CentOS7)


名称解析:groupname <--> gid

解析库:/etc/group


组类别2:

用户的基本组

用户的附加组


组类别3:

私有组:组名同用户名,且只包含一个用户;

公共组:组内包含了多个用户;


认证信息:

通过比对事先存储的,与登录时提供的信息是否一致;

password:

/etc/shadow

/etc/gshadow (组密码文件)


密码的使用策略:

1、使用随机密码;

2、最短长度不要低于8位;

3、应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类;

4、定期更换;


加密算法:

对称加密:加密和解密使用同一个密码;

非对称加密:加密和解密使用的一对儿密钥;

密钥对儿:

公钥:public key

私钥: private key

单向加密:只能加密,不能解密;提取数据特征码;

定长输出

雪崩效应 (相似的两个原密码,加密后完全不同)


算法:

md5: message digest, 128bits

sha:secure hash algorithm, 160bits

sha224

sha256

sha384

sha512


在计算之时加salt,添加的随机数;


/etc/passwd:用户的信息库

name:password:UID:GID:GECOS:directory:shell


name: 用户名

password:可以是加密的密码,也可是占位符x;

UID:

GID:用户所属的主组的ID号;

GECOS:注释信息

directory:用户的家目录;

shell:用户的默认shell,登录时默认shell程序;


/etc/shadow:用户密码

用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期段:过期期限:保留字段


/etc/group:组的信息库

group_name:password:GID:user_list


user_list:该组的用户成员;以此组为附加组的用户的用户列表;


相关命令:useradd, userdel, usermod, passwd, groupadd, groupdel, groupmod, gpasswd, chage, chsh, id, su




Linux用户和组管理


安装上下文:

进程以其发起者的身份运行;

进程对文件的访问权限,取决于发起此进程的用户的权限;


系统用户:为了能够让那后台进程或服务类进程以非管理员的身份运行,通常需要为此创建多个普通用户;这类用户从不用登录系统;



groupadd命令:添加组

groupadd [选项] group_name

-g GID:指定GID;默认是上一个组的GID+1;

-r: 创建系统组;(centos6:1-499,centos7:1-999)

例子:

[root@bogon go_dir]# groupadd -r testgroup

[root@bogon go_dir]# groupadd -g 2000 testgroup2

[root@bogon go_dir]# groupadd -r -g 200 testgroup3

[root@bogon go_dir]# tail -3 /etc/group

testgroup:x:983:

testgroup2:x:2000:

testgroup3:x:200:


groupmod命令:修改组属性

groupmod [选项] GROUP

-g GID:修改GID;

-n new_name:修改组名;

例子:

[root@bogon go_dir]# groupmod -g 6666 testgroup2

[root@bogon go_dir]# groupmod -n modtestgroup3 testgroup3

[root@bogon go_dir]# tail -2 /etc/group

testgroup2:x:6666:

modtestgroup3:x:200:

groupdel命令:删除组

groupdel [选项] GROUP

例子:

[root@bogon go_dir]# groupdel testgroup

[root@bogon go_dir]# groupdel testgroup2

[root@bogon go_dir]# groupdel modtestgroup3

[root@bogon go_dir]# tail -2 /etc/group

tcpdump:x:72:

lzw:x:1000:


useradd命令:创建用户

useradd [选项] 登录名

-u, --uid UID:指定UID;

-g, --gid GROUP:指定基本组ID,此组得事先存在;

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:指明用户所属的附加组,多个组之间用逗号分隔;

-c, --comment COMMENT:指明注释信息;

-d, --home HOME_DIR:以指定的路径为用户的家目录;通过复制/etc/skel此目录并重命名实现;指定的家目录路径如果事先存在,则不会为用户复制环境配置文件;

-s, --shell SHELL:指定用户的默认shell,可用的所有shell列表存储在/etc/shells(安全shell)文件中;

-r, --system:创建系统用户;

例子:

[root@bogon go_dir]# groupadd gp1

[root@bogon go_dir]# groupadd gp2

[root@bogon go_dir]# tail -2 /etc/group

gp1:x:1002:

gp2:x:1003:

[root@bogon go_dir]# useradd -G gp1,gp2 lisi

[root@bogon go_dir]# tail -3 /etc/group

gp1:x:1002:lisi

gp2:x:1003:lisi

lisi:x:1004:


注意:创建用户时的诸多默认设定配置文件为/etc/login.defs


useradd -D:显示创建用户的默认配置;

useradd -D 选项: 修改默认选项的值;

修改的结果保存于/etc/default/useradd文件中;


usermod命令:修改用户属性

usermod [选项] 登录

-u, --uid UID:修改用户的ID为此处指定的新UID;

-g, --gid GROUP:修改用户所属的基本组;

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:修改用户所属的附加组;原来的附加组会被覆盖;

-a, --append:与-G一同使用,用于为用户追加新的附加组;

-c, --comment COMMENT:修改注释信息;

-d, --home HOME_DIR:修改用户的家目录;用户原有的文件不会被转移至新位置;(要和-m一起用才能转移)

-m, --move-home:只能与-d选项一同使用,用于将原来的家目录移动为新的家目录;

-l, --login NEW_LOGIN:修改用户名;

-s, --shell SHELL:修改用户的默认shell;

-L, --lock:锁定用户密码;即在用户原来的密码字符串之前添加一个"!";

-U, --unlock:解锁用户的密码;


userdel命令:删除用户

userdel [选项] 登录

-r:删除用户时一并删除其家目录;(默认是不删除的)


练习1:创建用户gentoo,UID为4001,基本组为gentoo,附加组为distro(GID为5000)和peguin(GID为5001);

练习2:创建用户fedora,其注释信息为"Fedora Core",默认shell为/bin/tcsh;


练习3:修改gentoo用户的家目录为/var/tmp/gentoo;要求其原有文件仍能被用户访问;

练习4:为gentoo新增附加组netadmin;


passwd命令:

passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]

(1) passwd:修改用户自己的密码;

(2) passwd USERNAME:修改指定用户的密码,但仅root有此权限;

-l, -u:锁定和解锁用户;

-d:清除用户密码串;

-e DATE: 过期期限,日期;

-i DAYS:非活动期限;

-n DAYS:密码的最短使用期限;

-x DAYS:密码的最长使用期限;

-w DAYS:警告期限;


--stdin:

echo "PASSWORD" | passwd --stdin USERNAME (脚本中通常这样用)


gpasswd命令:

组密码文件:/etc/gshadow

gpasswd [选项] group

-a USERNAME:向组中添加用户

-d USERNAME:从组中移除用户

(组密码有什么用?newgrp在切换组的时候用得上)


newgrp命令:临时切换指定的组为基本组(如果组没有组密码,则不能切换);

newgrp [-] [group]

-: 会模拟用户重新登录以实现重新初始化其工作环境;


chage命令:更改用户密码过期信息

chage [选项] 登录名

-d LAST_DAY (最近一次修改密码的时间)

-E, --expiredate EXPIRE_DATE (过期时间)

-I, --inactive INACTIVE (非活动期限)

-m, --mindays MIN_DAYS (最小使用期限)

-M, --maxdays MAX_DAYS (最大使用期限)

-W, --warndays WARN_DAYS (警告期限)


id命令:显示用户的真和有效ID; 

id [OPTION]... [USER]

-u: 仅显示有效的UID;

-g: 仅显示用户的基本组ID; 

-G: 仅显示用户所属的所有组的ID;

-n: 显示名字而非ID;


su命令:switch user

登录式切换(完全切换):会通过读取目标用户的配置文件来重新初始化

su - USERNAME

su -l USERNAME

非登录式切换(半切换):不会读取目标用户的配置文件进行初始化

su USERNAME


注意:管理员可无密码切换至其它任何用户;


-c 'COMMAND':仅以指定用户的身份运行此处指定的命令;


其它几个命令:chsh, chfn, finger, whoami, pwck, grpck


命令总结:groupadd, groupmod, groupdel, useradd, usermod, userdel, passwd, gpasswd, newgrp, id, su, chage