未完待续。。。
1.用户身份能力
Linux中,UID具有唯一性,用户身份通过UID来区分
UID | 用户类型 |
0 | 系统的管理员用户 |
1~999 | 系统用户 |
1000+ | 普通用户 |
用户组: 可以把多个用户加入到同一个组,方便为同一组的用户统一规划权限或指定任务;
Linux系统中每创建一个用户,就自动创建一个同名的基本用户组,只包含该用户一人;该用户以后可以纳入其他用户组,称为该用户的扩展用户组。
useradd命令:创建新的用户
参数 | 作用 |
-d | 指定用户的家目录(默认为/home/username) |
-e | 账户的到期时间,格式为YYYY-MM-DD. |
-u | 指定该用户的默认UID |
-g | 指定一个初始的用户基本组(必须已存在) |
-G | 指定一个或多个扩展用户组 |
-N | 不创建与用户同名的基本用户组 |
-s | 指定该用户的默认Shell解释器 |
例子:创建一个普通用户并指定家目录的路径:/home/linux、用户的UID:8888以及Shell解释器:/sbin/nologin
[root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe
[root@linuxprobe ~]# id linuxprobe
uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe)
groupadd命令:创建用户组
例子:创建一个名为myUserGroup的用户组
[root@linuxprobe ~]# groupadd myUserGroup
usermod命令:修改用户的属性
参数 | 作用 |
-c | 填写用户账户的备注信息 |
-d -m | 参数-m与参数-d连用,可重新指定用户的家目录并自动把旧的数据转移过去 |
-e | 账户的到期时间,格式为YYYY-MM-DD |
-g | 变更所属用户组 |
-G | 变更扩展用户组 |
-L | 锁定用户禁止其登录系统 |
-U | 解锁用户,允许其登录系统 |
-s | 变更默认终端 |
-u | 修改用户的UID |
例子:将用户linuxprobe加入到root用户组中,修改扩展用户组为root组,修改用户的uid
#查看linuxprobe的用户信息
[root@linuxprobe ~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)
#修改该用户的扩展权限组为root组
[root@linuxprobe ~]# usermod -G root linuxprobe
[root@linuxprobe ~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
#修改该用户的uid为8888
[root@linuxprobe ~]# usermod -u 8888 linuxprobe
[root@linuxprobe ~]# id linuxprobe
uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
passwd命令:修改用户密码、过期时间、认证信息等
普通用户只能使用passwd命令修改自身的系统密码,而root管理员则有权限修改其他所有人的密码;
root管理员在Linux系统中修改自己或他人的密码时不需要验证旧密码;
参数 | 作用 |
-l | 锁定用户,禁止其登录 |
-u | 解除锁定,允许用户登录 |
--stdin | 允许通过标准输入修改用户密码,如echo "NewPassWord" | passwd --stdin Username |
-d | 使该用户可用空密码登录系统 |
-e | 强制用户在下次登录时修改密码 |
-S | 显示用户的密码是否被锁定,以及密码所采用的加密算法名称 |
例子:修改root用户的密码,修改linuxprobe用户的密码
[root@linuxprobe ~]# passwd
Changing password for user root.
New password:此处输入密码值
Retype new password: 再次输入进行确认
passwd: all authentication tokens updated successfully.
[root@linuxprobe ~]# passwd linuxprobe
Changing password for user linuxprobe.
New password:此处输入密码值
Retype new password: 再次输入进行确认
passwd: all authentication tokens updated successfully.
例子:1,锁定用户。2,显示用户是否锁定,以及加密算法;3,解锁用户。4,显示用户是否锁定,以及加密算法
[root@linuxprobe ~]# passwd -l linuxprobe
Locking password for user linuxprobe.
passwd: Success
[root@linuxprobe ~]# passwd -S linuxprobe
linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked.)
[root@linuxprobe ~]# passwd -u linuxprobe
Unlocking password for user linuxprobe.
passwd: Success
[root@linuxprobe ~]# passwd -S linuxprobe
linuxprobe PS 2017-12-26 0 99999 7 -1 (Password set, SHA512 crypt.)
userdel命令
参数 | 作用 |
-f | 强制删除用户 |
-r | 同时删除用户及用户家目录 |
例子:删除用户:先查看该用户信息,再删除该用户及其家目录,再查看一次。
[root@linuxprobe ~]# id linuxprobe
uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
[root@linuxprobe ~]# userdel -r linuxprobe
[root@linuxprobe ~]# id linuxprobe
id: linuxprobe: no such user
-------------------------------------------------------------------------------------------------------------------
2.文件权限与归属
文件类型区分
- | 普通文件 |
d | 目录文件 |
l | 链接文件 |
b | 块设备文件 |
c | 字符设备文件 |
p | 管道文件 |
文件权限
--------- (9位组成,前3位表示文件的所有者有的读,写,执行权限;中间3为便是文件所属组的读,写,执行权限;后3位表示其他用户的读,写,执行权限)
r --> 4;
w --> 2;
x --> 1;
例子:rwxrw-r-- (764)表示该文件的所有者对该文件有读,写,执行权限;该文件的所属组对该文件有读,写权限;其他用户对该文件只有读权限;
3.文件的特殊权限
SUID是一种对二进制程序进行设置的特殊权限
例子:1,(----------.)只有root才有权限操作/etc/shadow文件,2,(-rwsr-xr-x)但是用户自己可以通过/bin/passwd来修改自己的用户密码
[root@linuxprobe ~]# ls -l /etc/shadow
----------. 1 root root 1004 Jan 3 06:23 /etc/shadow
[root@linuxprobe ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwd
SGID
让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);
在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。
(只言片语说不清,看书例子。。。)
SBIT
。。
chmod命令:设置文件或目录的权限
例子:将test文件的权限变成760(所有者可读可写可执行,所属组可读可写,其他用户没有权限)
[root@linuxprobe ~]# ls -al test
-rw-rw-r--. 1 linuxprobe root 15 Feb 11 11:50 test
[root@linuxprobe ~]# chmod 760 test
[root@linuxprobe ~]# ls -l test
-rwxrw----. 1 linuxprobe root 15 Feb 11 11:50 test
chown命令:设置文件或目录的所有者和所属组
[root@linuxprobe ~]# ls -l test
-rwxrw----. 1 linuxprobe root 15 Feb 11 11:50 test
[root@linuxprobe ~]# chown root:bin test
[root@linuxprobe ~]# ls -l test
-rwxrw----. 1 root bin 15 Feb 11 11:50 test
4.文件的隐藏属性
chattr命令:用于设置文件的隐藏属性
添加:需要在命令后追加 “+参数”
移除:命令后追加 “-参数”
参数 | 作用 |
i | 无法对文件进行修改;若对目录设置了该参数,则仅能修改其中的子文件内容而不能新建或删除文件 |
a | 仅允许补充(追加)内容,无法覆盖/删除内容(Append Only) |
S | 文件内容在变更后立即同步到硬盘(sync) |
s | 彻底从硬盘中删除,不可恢复(用0填充原文件所在硬盘区域) |
A | 不再修改这个文件或目录的最后访问时间(atime) |
b | 不再修改文件或目录的存取时间 |
D | 检查压缩文件中的错误 |
d | 使用dump命令备份时忽略本文件/目录 |
c | 默认将文件或目录进行压缩 |
u | 当删除该文件后依然保留其在硬盘中的数据,方便日后恢复 |
t | 让文件系统支持尾部合并(tail-merging) |
x | 可以直接访问压缩文件中的内容 |
lsattr命令:用于查看文件的隐藏属性
例子:查看linuxprobe文件的隐藏属性
[root@linuxprobe ~]# lsattr linuxprobe
-----a---------- linuxprobe
5.文件访问控制列表ACL
概述、
如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了;
基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限;
如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。
setfacl命令:用于管理文件的ACL规则
文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制;
使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制;
针对目录文件需要使用-R递归参数;
针对普通文件则使用-m参数;
如果想要删除某个文件的ACL,则可以使用-b参数;
getfacl命令:用于显示文件上设置的ACL信息
[root@linuxprobe ~]# getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
user:linuxprobe:rwx
group::r-x
mask::rwx
other::---
6.su命令与sudo服务
su命令:切换用户
[root@linuxprobe ~]# id
uid=0(root) gid=0(root) groups=0(root)
[root@linuxprobe ~]# su - linuxprobe
Last login: Wed Jan 4 01:17:25 EST 2017 on pts/0
[linuxprobe@linuxprobe ~]$ id
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
sudo命令:给普通用户提供额外的权限来完成原本root管理员才能完成的任务
参数 | 作用 |
-h | 列出帮助信息 |
-l | 列出当前用户可执行的命令 |
-u 用户名或UID值 | 以指定的用户身份执行命令 |
-k | 清空密码的有效时间,下次执行sudo时需要再次进行密码验证 |
-b | 在后台执行指定的命令 |
-p | 更改询问密码的提示语 |