七.Linux基础操作之账户和权限管理

账户和权限管理

管理用户账号和组账号

• 用户账号和组账号概述

与Windows操作系统一样，Linux操作系统的每一个用户账户也都有唯一的用户名和密码。用户在登录时输入正确的用户名和密码。就能进入操作系统和自己的主目录。

• 用户账户

▶超级用户：root是Linux操作系统中默认的超级用户账户，对本机拥有至高无上的权限，类似与Windows操作系统的Administrator用户。只有当进行系统管理、维护任务时，才建议使用root用户登录系统，日常事务处理建议只使用普通用户账号。
▶普通用户：普通用户账号需要由root用户或其他管理员用户创建，拥有的权限受到一定限制，一般只在自己的宿主目录中拥有完整权限。
▶程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp、mail等。

• 组账号

基于某种特定联系（如都需要访问FTP服务）将多个用户集合在一起，即构成一个用户组，表示该组内所有用户的账号称为组账号。每个用户账号至少属于一个组，这个组称为该用户的基本组（或私有组）；若该用户同时还包含在其他的组中，则这些组称为该用户的附加组（或公共组）。
对主账号设置的权限将适用于组内的每一个用户账号。

• UID和GID

Linux操作系统的每一个用户账号都有一个数字形式的身份标记，称为UID（User IDentity，用户标识号），对于操作系统核心来说，UID是区分用户的基本依据，原则上每个用户的UID应该是唯一的。root用户的UID为固定值0，而程序用户的UID默认为1~499, 500~60000的UID号默认分配给普通用户使用。
与UID类似，每一个组账号也有一个数字形式的身份标记，称为GID（Group IDentity，组标识号）。root组账号的GID为固定值0，而程序组账号的GID默认为1~499, 500~60000的GID号默认分配给普通组使用。

用户账号管理

用户账号的配置文件有两个，分别是/etc/passwd 和/etc/shadow
前者用于保存用户名称，宿主目录，登陆shell 等基本信息
后者用于保存用户的密码账号有效期等信息。

• passwd文件的每一行内容包含了7个用“：”（冒号）分隔的配置字段，从左到右配置字段的含义如下所示。：

[root@localhost ~]# tail -1 /etc/passwd
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin

▶第1字段：用户账号的名称，也是登录系统时使用的识别名称
▶第2字段：进过加密的用户密码字串，或者密码占位符“x”
▶第3字段：用户账号的UID号
▶第4字段：所属基本组账号的GID号
▶第5字段：用户全名，可填写用户相关的说明信息
▶第6字段：宿主目录
▶第7字段：登录Shell等信息，用户登录后使用的Shell。

• shadow文件中的配置行格式：(默认只有root用户能够读取shadow文件中的内容，且不允许直接编辑)
  shadow文件的每一行内容包含了九个用“：”分隔的配置字段，从左到右各配置字段的含义如下:

[root@localhost ~]# tail -1 /etc/shadow
apache:!!:18553::::::

▶第1字段：用户账号名称
▶第2字段：使用SHA-512（哈希算法的一种）加密的密码字串信息，当为“*”或“！！”时表示此用户不能登录到系统。若该字段内容为空，则该用户无需密码即可登录系统。
▶第3字段：上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数。
▶第4字段：密码最短有效天数，自本次修改密码后，必须至少进过该天数才能再次修改密码。默认为0，表示不进行限制。
▶第5字段：密码最长有效天数，默认值为99999，表示不进行限制，如果写了那么进过该天数必须修改密码。
▶第6字段：提前多少天警告用户密码即将过期，默认值为7。
▶第7字段：在密码过期后多少天警用该用户。
▶第8字段：账号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算），默认值为空，表示账号永久可用
▶第9字段：保留字段。目前没有特定用途。

添加、修改、删除用户账号

• 添加用户：useradd 用户名

-u：指定用户的UID号，要求该UID没有被占用
-d：指定用户的目录
-e：指定用户的失效时间， 从1970.1.1计算
-g：指定用户的基本组名（或使用GID）useradd -G：指定用户的附加组名
-M：不建立宿主目录
-s：指定用户登陆shell
passwd 用户名 --为账号设置密码
-d：清空指定用户的密码
-L：锁定用户
passwd -s：查看用户状态 ，-u：解锁用户

• usermod ：修改用户属性

-u：修改用户的UID号
-d：修改用户的宿主目录位置
-e：修改用户的账号失效时间
-g：修改用户的基本组名
-G：修改用户的附加组名
-s：指定用户的登陆shell
-l：更改用户的账号的登录名称
-L：锁定用户账户
-U：解锁用户账户

组账号管理

组账号的配置文件也有两个，分别是/etc/group和/etc/gshadow 前者保存组的名称UID 成员等
。。。后者保存组账号的加密密码

grep“^root” /etc/group 检索root组有哪些用户
grep“root” /etc/group 检索哪些组包括root用户

• 添加，管理， 删除，组账号

1，添加组，groupadd 组名
2，添加组，gpaswd：-a 或 -d 用户名 组名
-a：添加组
-d：离开组
-m：添加多个：-m root 用户名
3，删除组：groupdel 组名

• 查询账号信息

1，groups 用户名：查询用户所属的组
2，id 用户名 ：查询用户账号的身份标识
3，finger 用户名：查询用户的登陆信息
4，w：查询当前主机的用户登陆情况

查看目录和文件的属性

第一个字符：表示文件类型：d（目录）b（块级设备） c（字符设备文件）“-” （普通文件）字母“L”（链接文件）
2–4：表示宿主用户对该文件的访问权限
5–7：表示组内成员对该文件的访问权限
8–10：表示其他用户对该文件的访问权限
11：与SELinux有关，代表 该文件存在“SELinux的安全标签，就是本设备开启了selinux

• 权限

r:查看文件内容 w：修改文件内容 x：执行该文件 r ，w ，x 可表示为 4 2 1

rwx=7 rw=6 rx=5 wx=3

• 设置目录或文件的归属
  chown 属主：或属组 文件或目录 同时设置 ：隔开
  可以使用-R 递归
• 设置文件或目录的
  chmod 【ugoa】 【±=】【rwx】 文件或目录
  u:宿主、 g 文件组内用户、 o 代表其它任何用户 、a：代表所有用户
  +：代表增加相应权限
  -：代表减少相应权限
  =：代表仅设置相应的权限