Linux的账号和权限管理(1)
一、Linux账号管理
1.用户账号和组账号
Linux的用户账号分为普通账号,超级账号,程序账号。
| 用户账号 | 特点 |
|---|---|
| 普通用户 | root用户是Linux操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的。 |
| 超级账号 | 由root用户或其他管理员用户创建,拥有的权限会受到限制,一般只在用户自己的宿主目录中拥有完整权限。 |
| 程序账号 | 在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号, 这些用户一般不 允许登录到系统,仅用于维持系统或某个程序的正常运行,如bin、daemon、 ftp、 mail等。 |
组账号分为基本组(私有组)和附加组(公共组)
| 组账号 | 特点 |
|---|---|
| 基本组(私有组) | 基本组账号只有一个,一般为创建 用户时指定的组。在/etc/ passwd文件中第4字段记录的即为该用户的基本组GID号。 |
| 附加组(公共组) | 用户除了基本组以外,额外添加指定的组。 |
2.UID和GID
UID是用户标识号,GID是组标识号。
| 用户类型 | Centos5,6的默认UID和GID号 | Centos7的默认UID和GID号 |
|---|---|---|
| root用户 | 0 | 0 |
| 程序用户 | 1~499 | 1~999 |
| 普通用户 | 500~65535 | 1000~65535 |
3.用户账号文件
保存用户名称、宿主目录、登录Shell等基本信息
用户账号文件/etc/passwd
基于系统运行和管理需要,所有用户都可以访问passwd文件中的内容,但是只有root用户才能进行更改。
在早期的UNIX操作系统中,用户帐号的密码信息是保存在passwd文件中的,不法用户可以很容易的获取密码字串并进行暴力破解,因此存在一定的安全隐患。后来经改进后,将密码转存入专门的shadow文件中,而passwd文件中 仅保留密码占位符“x"。
[root@localhost ~]# head -2 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
用冒号区分了7个字段:
第一字段:用户帐号的名称
第二字段:用户密码占位符“x”
第三字段:用户帐号的UID号
第四字段:所属基本组帐号的GID号
第五字段:用户全名
第六字段:宿主目录
第七字段:登录Shell信息( /bin/bash为可登陆系统,/sbin/nologin和/bin/ false为禁止用户登陆系统)
4.用户账号文件
保存用户的密码、账号有效期等信息。
文件位置:/etc/shadow
[root@localhost ~]# head -2 /etc/shadow
root:$6$DFkRgt7kyu8eoPoF$X1hctQhpBCVzSaJOVEDEsUBpgEP2M7gEHVYZw9KL6YDWvEwAlPdBFxBzX0dnWQAWAgKkzz8c1m1b5uyKrLGZN.::0:99999:7:::
bin:*:17110:0:99999:7:::
用冒号区分9个字段:
第一字段:用户账号名称
第二字段:使用MD5加密的密码子串信息,当为“*”或“!!”时表示此用户不能登录到系统,若该字段内容为空,则该用户无需密码即可登录
第三字段:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间隔的天数。
第四字段:密码的最短有效天数,默认为0,表示不进行限制
第五字段:密码的最长有效天数,默认为99999,表示不进行限制
第六字段:提前多少天警告用户密码将过期,默认值为7
第七字段:在密码过期之后多少天内禁用此用户
第八字段:账号失效时间,此字段指定了用户作废的天数(从1970年01月01日起计算),默认值为空,表示账号永久可用
第九字段:保留字段,目前没有特殊用途
5.添加用户账号
useradd命令
useradd[选项]…用户名
| 常用选项 | |
|---|---|
| -u | 指定用户的UID号,要求该UID号码未被其他用户使用。 |
| -d | 指定用户的宿主目录位置(当与-M一-起使用时,不生效)。只能用绝对路径指定目录,且不需要事先创建目录 |
| -e | 指定用户的账户失效时间,可使用YYYY-MM-DD 的日期格式。 |
| -g | 指定用户的基本组名(或使用GID号),对应的组名必须已存在。 |
| -G | 指定用户的附加组名(或使用GID号),对应的组名必须已存在。 |
| -M | 不建立宿主目录。 |
| -s | 指定用户的登录Shell,( 比如/bin/bash为可登陆系统,/sbin/nologin和/bin/false为禁止用户登陆系统)。 |
6.设置/更改用户口令passwd
passwd[选项]…用户名
| 常用选项 | |
|---|---|
| -d | 清空指定用户的密码,仅使用用户名即可登录系统 |
| -l | 锁定用户账户,锁定的用户账号将无法再登录系统 |
| -S | 查看用户账户的状态(是否被锁定) |
| -u | 解锁用户账户 |
7.修改用户账号的属性usermod
usermod[选项]…用户名
| -u | 修改用户的UID号。 |
| -d | 修改用户的宿主目录位置。 |
| -e | 修改用户的账户失效时间,可使用YYYY -MM-DD的日期格式。 |
| -g | 修改用户的基本组名(或使用GID号)。 |
| -G | 修改用户的附加组名(或使用GID号)。 |
| -s | 指定用户的登录Shell。 |
| -I | 更改用户账号的登录名称。 |
| -L | 锁定用户账户。 |
| -U | 解锁用户账户。 |
8.删除用户账号userdel
useedel[-r]用户名
[root@localhost ~]# useradd hailan
[root@localhost ~]# ls -ld /home/hailan/
drwx------. 3 hailan hailan 78 4月 13 19:29 /home/hailan/
[root@localhost ~]# userdel -r hailan
[root@localhost ~]# ls -ld /home/hailan/
ls: 无法访问/home/hailan/: 没有那个文件或目录
9.用户账号的初始配置文件
用户宿主目录下的初始配置文件只对当前用户有效:
~/.bash_profile:此文件中的命令将在该用户每次登录时被执行,它会设置一些环境变量,并且会调用该用户的 ~/.bashrc文件。
~/.bashrc:此文件中的命令会在每次打开新的bash shell时(也包括登录系统)被执行,并且会调用/etc/bashrc文件。
~/.bash_logout:此文件中的命令将在用户每次退出登录或退出bash shell时执行。
/etc/profile:这个文件是为系统全局变量配置文件,可通过重启系统或者执行source /etc/profile 命令使profile文件被读取。
/etc/profile.d:这个文件实际上是/etc/profile的子目录,存放的是一些应用程序所需的启动脚本。
/etc/bashrc:每一个运行bash shell的用户都会执行此文件,可通过执行bash命令打开一个新的bash shell时,使bashrc文件被读取。
395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
