linux账号和权限管理

一.用户账号和组账号概述

Linux基于用户身份对资源访问进行控制

● 用户帐号

超级用户: root用户是 Linux 操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的。

普通用户:由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。

程序用户:在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行,如l bin. daemon. ftp- mail等。

● 组帐号

基本组（私有组):基本组账号只有一个，一般为创建用户时指定的组。在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号。

附加组（公共组):用户除了基本组以外，额外添加指定的组。
● UID和GID

UID (User lDentity，用户标识号)
GID (Group IDentify，组标识号)

1. root用户账号的UID和GID号为固定值0
2. 程序用户账号的 UID和GID号默认Centos5,6:1～499，Centos7:1 ～999
3. 普通用户的UID和GID号默认Centos5,6:500～65535，Centos7:1000 ～65535

二.用户账号文件

——passwd

保存用户名称、宿主目录、登录Shell等基本信息

① 文件位置:/etc/passwd
② 每一行对应一个用户的帐号记录
③ 所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。

☞ 用“:”分成了七个字段

• 字段1:用户帐号的名称
• 字段2:用户密码占位符"“x"”
• 字段3:用户帐号的UID号
• 字段4:所属基本组帐号的GID号
• 字段5:用户全名
• 字段6:宿主目录
• 字段7:登录shell信息（/bin/bash为可登陆系统，/sbin/nologin禁止过后有响应和/bin/false禁止过后无响应为禁止用户登陆系统)

——shadow

保存用户的密码、账号有效期等信息

① 文件位置:/etc/shadow
② 每一行对应一个用户的密码记录
③ 默认只有root 用户能够读取 shadow文件中的内容，且不允许直接编辑该文件中的内容。

root:$6$YmLin0uMPbsKc/sP$FNWVCNRBYQ2hFc6B3zCsYLowaI9f8234jw5iDJJMlIyun.RCAvZtAfde8stH22A6KIX5bNAeerk2C6WilLZmP1::0:99999:7:::

☞ 用“:”分成了九个字段

• 字段1:用户帐号的名称
• 字段2:使用MD5加密的密码字串信息，当为"*“或”!!"时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系纺
• 字段3:上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数
• 字段4:密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制
• 字段5:密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制
• 字段6:提前多少天警告用户密码将过期，默认值为7
• 字段7:在密码过期之后多少天禁用此用户
• 字段8:帐号失效时间，此字段指定了用户作废的天数（从1970年01月01日起计算)，默认值为空，表示账号永久可用。
• 字段9:保留字段(未使用)

三.添加用户账号

添加用户账号useradd或者adduser

在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。

若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。

▲ 常用选项:

• -u：指定用户的UID号，要求该UID号码未被其他用户使用。
• -d：指定用户的宿主目录位置（当与-M一起使用时，不生效）)。只能用绝对路径指定目录，且不需要事先创建目录
• -e：指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式。
• -g：指定用户的基本组名（或使用GID号），对应的组名必须已存在。
• -G：指定用户的附加组名（或使用GID号），对应的组名必须已存在。
• -M：不建立宿主目录。
• -s：指定用户的登录Shell，(比如/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)。

● 举例：

① 普通用户

-u 用户UID号为40000
-d 家目录位置为lyy
-g 基本组为wheel
-G 附加组为root
用户名abc

• vim /etc/passwd 查看
  

② 程序用户

-M 不建立宿主目录
-s 指定用户的登录shell
-e 账户失效时间

四.设置/更改用户口令-passwd

① passwd命令

passwd  [选项] ...  用户名

② 常用选项

• -d:清空指定用户的密码，仅使用用户名即可登录系统。
• -l:锁定用户账户，锁定的用户账号将无法再登录系统。
• -s:查看用户账户的状态(是否被锁定)。
• -u:解锁用户账户。

方法一：

★ 为用户账号设置密码passwd

1. root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。
2. 普通用户却只能执行单独的"passwd"命令修改自己的密码。
   举例：
   

方法二：

echo "密码" | passwd --stdin 用户名

例：

五.六.修改用户账号的属性-usermod

① usermod命令

usermod [选项]... 用户名

② 常用选项

• -l：更改用户账号的登录名称。
• -L：锁定用户账户。
• -U：解锁用户账户。

以下选项与useradd命令中的含义相同

修改用户账号属性usermod一

• -u：修改用户的UID 号。
• -d：修改用户的宿主目录位置。
• -e：修改用户的账户失效时间，可使用YYYY-MM-DD 的日期格式。
• -g：修改用户的基本组名(或使用GID号）。
• -G：修改用户的附加组名(或使用GID 号)。
• -s：指定用户的登录Shell。

示例：

-l 更改用户的登录名称为lll

[root@centos7-1 ~]# usermod -d /aa lll    更改了宿主目录
[root@centos7-1 ~]# usermod -s /sbin/nologin lll   更改了登录权限
[root@centos7-1 ~]# tail -1 /etc/passwd
lll:x:40000:10::/aa:/sbin/nologin

六.删除用户账号-userdel

① userdel命令

userdel [-r] 用户名

添加-r选项时，表示连用户的宿主目录一并删除

◆ 示例：

七.用户账号的初始配置文件

① 文件来源
useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。
这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件。
② 主要的用户初始配置文件
~/.bash_profile
~/.bashrc
~/.bash_logout

用户宿主目录下的

① 初始配置文件只对当前用户有效

☞ ~ / .bash profile
——此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/ .bashrc文件

☞ ~ / .bashrc
——此文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行，并且会调用/etc/bashrc文件
举例：

在最后一行，加入可随意切换bash，不影响
☞ ~ / .bash_logout
——此文件中的命令将在用户每次退出登录或退出bash shell时执行

以上只针对当前用户有效

② 全局配置文件对所有用户有效

☞ ~ /etc/profile
——这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile命令使profile文件被读取

☞ ~ / etc/profile.d/
——这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需的启动脚本

☞ ~ /etc/ bashrc
——每一个运行bash shell的用户都会执行此文件，可通过执行bash 命令打开一个新的bash shell时，使 bashrc文件被读取

☝ 小知识：
——PATH生效的原理:
每次启动系统的时候会初始化命令，会执行/etc/profile和~/ .bash _profile。/etc/profile会将路径/usr/local/bin、/usr/bin、/usr/local/sbin ,/usr/sbin 追加到PATH中去。然后调用/etc/profile.d目录下的脚本。

八.组账号文件

• /etc/group:保存组帐号基本信息
• /etc/gshadow:保存组帐号的密码信息
  
  每个字段解析：
  字段1:组帐号的名称
  字段2:占位符“X”
  字段3:组账号的GID号
  字段4:组账号包含的用户成员（一般不包括基本组对应的用户帐号)，多个成员之间以逗号" ,"分隔

添加组账号-groupadd

① groupadd命令

groupadd [-g GID] 组账号名 

② 示例

添加删除组成员gpasswd

① gpasswd命令
●设置组帐号密码(极少用)、添加/删除组成员

gpasswd [选项]... 组帐号名

② 常用选项

• -a:向组内添加一个用户
• -d:从组内删除一个用户成员
• -M:定义组成员列表，以逗号分隔

◆ 示例

添加的组账号必须是已存在的


进入查看

删除组账号-groupdel

① groupdel命令

groupdel 组帐号名

② 示例

九.查询账号信息

① groups命令

查询用户所属的组

• groups [用户名]
  

② id命令
查询用户身份标识

• id [用户名]
  

③ finger命令——查询用户账号的登录属性

注:需要先进行安装finger软件包

• finger[用户名]
  

④ w . who、users命令

• 查询已登录到主机的用户信息
  

十.文件/目录的权限和归属

① 访问权限

• 读取r:允许查看文件内容、显示目录列表
• 写入w:允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
• 可执行x:允许运行程序、切换目录

② 归属(所有权)

• 属主:拥有该文件或目录的用户帐号
• 属组:拥有该文件或目录的组帐号
  

十一.设置文件和目录的权限-chmod

① chmod命令

chmod [ugoa] [+-=][rwx] 文件或目录.…

1. u、g、o. a 分别表示属主、属组、其他用户、所有用户
2. +、-、=分别表示增加、去除、设置权限
3. r、w、X分别表示读、写、运行权限
   或

chmod nnn 文件或目录.….

1. nnn：3位八进制数

② 常用选项

-R:递归修改指定目录下所有子项的权限

● 示例：

更改权限

创建一个多层目录aa/bb/cc
同时更改权限，只有root用户可读可执行，使用递归命令-R即可同时完成

十二.设置文件和目录的归属-chown

① chown命令

• chown属主文件或目录
• chown :属组文件或目录
• chown属主:属组文件或目录

② 常用选项

• -R:递归修改指定目录下所有文件、子目录的归属

十三. 设置目录和文件的默认权限-umask

① umask作用

• 控制新建的文件或者目录的权限
• 默认权限去除umask的权限为新建的文件或者目录的权限
  ② umask设置: umask XXX
  ③ umask查看: umask
  ④ 示例
• 将umask设为022，新建目录或者文件，查看权限
• 将umask设为222，新建目录或者文件，再查看权限

新建的文件或者目录的权限为默认最大权限减去umake
(普通文件的最大默认权限为6，目录的最大默认权限为7)
示例一：
新文件111的默认最大权限为666，减去umask（022），权限结果为644
示例二：

更改umask为222，文件222权限为222，目录AA权限为555