linux用户和用户组权限

Linux常规操纵 : 多用户操作

1.1 linux的用户与用户组理论

1.1.1 概述

Linux是一个真实的、完整的多用户多任务操作系统，多用户多任务就是可以在系统上建立多个用户，而多个用户可以在同一时间内登录同一个系统执行各自不同的任务，而互不影响。

        root ：系统维护

        www：网页修改

        ftp：文件上传

        mysql：SQL查询

不同用户具有不同的权限，每个用户是在权限允许的范围内完成不同的任务，linux正是通过这种权限的划分与管理，实现了多用户多任务的运行机制。

 

1.1.2 linux的用户分类

1. root 用户(linux的超级管理员)

拥有最高权限，可以登录系统，进行任何操作。

2. 虚拟用户(某项技术运行期间需要的用户)

这类用户也被称为伪用户或假用户，以与真实用户区分开来。这类用户不具有登录系统的能力，但却是系统运行不可缺少的用户，比如bin、daemon、adm、ftp、mail等，这类用户都是系统自身拥有的，而非后来添加的。

3. 普通真实用户(我们可以操作的)

这类用户等登录系统，权限有限，由管理员添加。

注意 :  linux是区分用户进行各种操作的,也就是说如果你想做任何操作都是必须先登录某个用户才可以做相关的操作,所以我们想要操作linux必须有自己的用户!

那怎么创建用户呢?

1.1.3 linux的用户组

Linux是一个多用户多任务的分时操作系统，如果要使用系统资源，就必须向系统管理员申请一个账户，然后通过这个账户进入系统。这个账户和用户是一个概念，通过建立不同属性的用户，一方面，可以合理的利用和控制系统资源，另一方面也可以帮助用户组织文件，提供对用户文件的安全性保护。

每个用户都用一个唯一的用户名和用户口令，在登录系统时，只有正确输入了用户名和密码，才能进入系统和自己的主目录。

用户组是具有相同特征用户的逻辑集合，有时我们需要让多个用户具有相同的权限。

比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有10个用户的话，就需要授权10次，显然这种方法不太合理。

另一种方法是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中，那么所有用户就具有了和组一样的权限。这就是用户组，将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，在很大程度上简化了管理工作。

说白了用户组就是对linux中同一类对象进行统一管理一种技术手段,将同一类用户放到一个组中去,封装成一个更大的整体;

就好比 同一类学生封装到一个班级里面,学生就是用户,班级就是组;对班级进行操作其实就是对这个班级的所有学生的操作;

 

1.1.4 用户与组的关系

用户和用户组的对应关系有：一对一、一对多、多对一和多对多；下图展示了这种关系：

        

一对一：即一个用户可以存在一个组中，也可以是组中的唯一成员。

一对多：即一个用户可以存在多个用户组中。那么此用户具有多个组的共同权限。

多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限。

多对多：多个用户可以存在多个组中。其实就是上面三个对应关系的扩展。

 

1.1.5 用户与组对linux的影响

假如 我们现在有这么几个用户  zwm sjg wxh

假设 zwm 和 sjg 用户 是 g1 组 wxh 是 g2 组

我们用 zwm 用户 创建了一个文件 file1

那么对于这个file1来说 就有 三种权限的设置

1. User --> 文件所有者 完全权限 读 写 执行 4 2 1 = 7

直接创建这个文件的用户(zwm),对这个文件享有很高的权限

2. Group  --> 文件所有者同组权限 读

这个用户所属组(g1组),与上面用户同组的用户对这个文件有什么样的操作权限

3. Others --> 除文件所有者和所有者组之外那些个用 0

其他用户(wxh),除了上面的用户和上面的组以外的其他人对这个文件有什么权限操作

举个例子

其中：

天神：root 用户，无所不能。

王大毛家：某个用户组

王大毛：某个用户组中的用户

王大毛房间的所有者是王大毛，里面的东西，其他人不能乱动，表示为所有者权限 （User）。

王大毛家内公共区域三兄弟可以共享，表示为所有者同组权限（Group）。

对于王大毛来说，张小猪就不是他们家的人，表示为所有者非同组权限（others）。

 

1.2 linux的用户与用户组实战

因为用户组与用户是一对多的关系,用户肯定是要从属于某个组的,所以我们先从用户组操作起来

1.2.1 Linux用户组的CURD操作

1.2.1.1 GR 组的查询

1. 组信息的查询

执行 : 

[root@localhost ~]# cat /etc/group

用户组的所有信息都存放在/etc/group文件中。此文件的格式是由冒号(:)隔开若干个字段，这些字段具体如下：

组名:口令:组标识号:组内用户列表

具体解释：

组名：

    组名是用户组的名称，由字母或数字构成。与/etc/passwd中的登录名一样，组名不应重复。

口令：

    口令字段存放的是用户组加密后的口令字。一般Linux系统的用户组都没有口令，即这个字段一般为空，或者是*，有口令默认是x。

    因为涉及到对组的管理所以linux的组也是有自己的密码的

组标识号 主键ID(可以重复的)：

    组标识号与用户标识号类似，也是一个整数，被系统内部用来标识组。别称GID.

组内用户列表：

    是属于这个组的所有用户的列表，不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组，也可能是附加组。

 

2. 组密码的查询

执行

[root@localhost ~]# cat /etc/gshadow

由冒号(:)隔开若干个字段，这些字段具体如下：

用户组名:用户组密码:用户组管理者:支持的账号名称

具体解释：

用户组名：

        是用户组的名称，由字母或数字构成。

用户组密码:

这个段可以是空的或!，如果是空的或有!，表示没有密码。

用户组管理者:

这个字段也可为空，如果有多个用户组管理者，用,号分割。

组成员:

如果有多个成员，用,号分割。

当你每次创建的时候 为了保证这个账户归属某个组 所以 创建一个账户的同时 / 创建一个与用户同名的组

root 账户 root组

 

1.2.1.2 GC 添加组

groupadd

语法 : 

groupadd [选项] 组名

命令功能：

添加群组。

选项和参数：

-g GID：后面接某个特定的 GID ，用来直接给予某个GID；

-h ：显示此帮助信息并推出

-r ：创建一个系统群组。

-o ：允许创建有重复 GID 的组

 

实例：

1）创建一般群组(GID 从 1000 ! 1000以下代表是系统组)

[root@localhost ~]# groupadd group1

[root@localhost ~]# cat /etc/group | grep group1

group1:x:1000:

| N个命令的管道连接符 它的意义就是在于 将前一个命令的结果作为原始数据传入下一个命令 

此处我们将 cat /etc/group 命令的执行结果 通过 | 传入给 grep 命令 grep命令的作用是在指定内容中查找给定的关键字,因为我们要用grep查找 group1 关键词 所以通过上面命令的执行将包含

group1 关键词的那行查询出来;

 

2）创建一个自定义GID的组名

GID : 和我们之间数据库的主键ID一样,用来定位一个组的有效标识,但是linux的GID可以重复(使用-o 参数指定即可);

GID的编号 : 0~999 传统上是保留给系统帐号使用。自定义的组是1000以上的,刚才我们创建的group1组的ID就是1000;

[root@localhost ~]# groupadd -g 1003 group3

[root@localhost ~]# cat /etc/group | grep group3

group3:x:1003:

此处需要注意一个问题,因为我们自定义的组ID已经指定到了1003 所以按照ID递进原则之后我们如果创建group3组的话ID不会是我们没有用到的1002 而是 1003+1 --> 1004

[root@localhost ~]# cat /etc/group | grep group4

group4:x:1004:

3）创建系统群组

[root@localhost ~]# groupadd -r sysop1

[root@localhost ~]# cat /etc/group | grep sysop1

sysop1:x:995:

注意 系统群组的ID是 0-999 所以此处分配了一个 995的ID

此时大家就要考虑一个问题了,如果系统保