linux账号与权限管理

---

用户账号文件

用户账号概述

用户账号的分类：
超级用户: root用户是Linux操作系统中默认的超级用户账号，对本主机拥有最高的权限，系统中超级用户是唯一的。
普通用户:由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。
程序用户:在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp、mail等。
用户标识UID (User IDentity ,用户标识号)
root用户账号的UID固定值0
程序用户账号的UID默认为
Centos5,6:1~499，
Centos7: 1~999
普通用户的UID默认为
Centos5,6:500~65535，
Centos7: 1000~65535

用户账号文件概述：
作用:保存用户名称、宿主自录、登录Sell等基本信息，每一行对应一个用户的帐号记录
文件位置:
/etc/passwd :保存用户名称、宿主目录、登录Shell等基本信息。
/etc/shadow:保存用户的账号、密码等有效信息

/etc/passwd：每一行对应一个用户的帐号记录
基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符“x”。
1│某条记录格式:root: x:0:0: root: / root :/bin/bash
1.字段1:用户帐号的名称
2.字段2:用户密码占位符“×”3.字段3:用户帐号的UID号
4.字段4:所属基本组帐号的GID号
5.字段5:用户全名
6.字段6:宿主目录
7.字段7:登录Shell信息( /bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁用户登陆
系统)

/etc/shadow：
每一行对应一个用户的密码记录。默认只有root用户能够读取文件中的内容，而不允许直接编辑该文件中的内容。
字段1:用户帐号的名称;
字段2:使用SHA512加密的密码字串信息，当为“”或“! !”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统;
字段3:上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数;
字段4.密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制;
字段5.密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制;
字段6.提前多少天警告用户密码将过期，默认值为7;
字段7:在密码过期之后多少天禁用此用户;
字段8:帐号失效时间，此字段指定了用户作废的天数(从1970年01月01日起计算)，默认值为空，表示账号永久可用;
字段9:保留字段(未使用)，没有特定用用途。

chage命令（补充）

chage命令:用来修改帐号和密码的有效期限，针对目前系统已经存在的用户
用法：chage [选项] 用户名
chage常用命令：

-m	密码可更改的最小天数。为零时代表任何时候都可以更改密码
-M	密码保持有效的最大天数。chage -M 60 root
-w	用户密码到期前，提前收到警告信息的天数
-E	帐号到期的日期。过了这天，此帐号将不可用
-d	上一次更改的日期
-i	停滞时期。如果一个密码已过期这些天，那么此帐号将不可用
-l	例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期

管理用户账号

添加用户账号—useradd命令

格式: useradd [选项] 用户名
若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。
若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。
useradd常用选项:

选项	作用
-u	指定用户的UID号，要求该UID号码未被其他用户使用
-d	指定用户的宿主目录位置(当与-M一起使用时，不生效)
-e	指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式
-g	指定用户的基本组名(或使用GID号)，对应的组名必须已存在
-G	指定用户的附加组名(或使用GID号)，对应的组名必须已存在
-M	不建立宿主目录。(—般用于系统用户账号)
-s	指定用户的登录Shell，(比如/bin/bash为可登陆系统，Isbin/nologin和/bin/false为禁止用户登陆系统)

设置/更改用户口令–passwd命令

. root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。
·普通用户却只能执行单独的“passwd"命令修改自己的密码。

passwd常用选项(只有超级用户可以使用选项):

选项	功能
-d	清空指定用户密码，仅使用用户名即可登录系统
-l	锁定用户账户，锁定的用户账号将无法登陆系统。（需要事先设好密码）
-s	查看用户账户的状态(是否被锁定)
-u	解锁用户账户

更改密码

passwd 用户名
或echo ‘密码’ | passwd stdin 用户名

修改用户账号属性——usermod命令

格式: usermod [选项] 用户名
常用选项:

选项	作用
-u	修改用户的UID号
-d	修改用户的宿主目录位置
-e	修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式
-g	修改用户的基本组名(或使用GID号)
-G	修改用户的附加组名(或使用GID号)
-M	不建立宿主目录，即使/etc/login.defs系统配置中已设定要建立宿主目录
-s	指定用户的登录Shell
-l	更改用户账号的登录名称格式: usermod -l 新名称 旧名称
-L	锁定用户账户
-U	解锁用户账户

删除用户账号—userdel命令

格式:
userdel 用户名
userdel [ -r] 用户名 （结合-r可以删除宿主目录）

用户账号的初始配置文件

用户账号的初始配置文件文件来源:
新建用户帐号时，从/etc/skel目录中复制而来主要的用户初始配置文件
~/.bash_profile
~/.bashrc
~/.bash_logout
用户账号的初始配置文件:
添加一个新的用户账号后，useradd命令会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件，较常用的初始配置文件包括".bash logout"、".bash_profile"和".bashrc”。其中，".bash_profile"文件中的命令将在该用户每次登录时被执行;".bashrc”文件中的命令会在每次加载"/bin/Bash"程序（当然也包括登录系统）时执行;而".bash_logout”文件中的命令将在用户每次退出登录时执行。理解这些文件的作用，可以方便我们安排一些自动运行的后台管理任务。在".bashrc"等文件中，可以添加用户自己设置的可执行语句（如Linux命令行、脚本控制语句等），以便自动完成相应的任务。
如果希望为所有用户添加登录后自动运行的命令程序、自动设置变量等，可以直接修改/etc
目录下的类似文件，如/etc/bashrc文件、/etc/profile 文件。例如，执行以下操作可以为所有用户自动设置myls 命令别名

组账号文件

组账号的分类
基本组(私有组):基本组账号只有一个，一般为创建用户时指定的组。在/etc/passwd文件中第4段记录的即为该用户的基本组GID号。
·附加组(公共组):用户除了基本组以外，额外添加指定的组。
组标识GID ( Group lDentifi，组标识号)
root用户账号的GID固定值0
程序用户账号的GID默认为：
Centos5,6:1~499,
Centos7: 1~ 999
普通用户的GID默认为：
Centos5,6: 500~65535，
Centos7: 1000~65535
组账号文件：
文件位置:
/etc/group:保存组帐号基本信息。
/etc/gshadow:保存组帐号的密码信息。

/etc/group中的格式：
字段1:组帐号的名称
字段2:占位符“×”
字段3:组账号的GID号
字段4:组账号包含的用户成员(一般不包括基本组对应的用户帐号)，多个成员之间以逗号","分隔

管理组账号

添加组账号—groupadd命令

格式：groupadd -g 组号 组名

添加设置删除组成员-gpassed命令

格式：gpasswd 【选项】 用户名 组名
gpasswd常用选项：

选项	作用
-a	向组内添加—个用户
-d	从组内删除—个用户成员
-M	定义组成员列表，以逗号分隔(重新定义，不是追加)

删除组账号-groupdel

格式： groupdel 组账号名

查询账号信息

查询用户账号所属组-groups命令

格式：groups 用户名

查询用户账号身份标识-id命令

格式：id 用户名

查询用户账号的登录属性-finger命令

格式：
finger ##直接查询登录的所有用户的属性
finger 用户名 ##查询指定用户的登录的属性
PS：需要先安装finger

查询当前主机的用户登录情况-w命令、who命令

格式：w 【选项】 用户名
第一行信息输出内容包含的信息说明如下:
当前系统时间；
系统运行时长；
登录用户数；
系统过去1，5，15分钟的平均负载信息；
平均系统负载是对当前正在运行或正在等待磁盘IO的作业数的度量。它基本上告诉您系统在给定间隔内的繁忙程度。
第二行信息包括如下字段说明:
USER ——登录用户名。
TTY——登录用户使用的终端名。
FROM——登录用户来源的主机名或IP地址.。
LOGIN@——用户登录时长。
IDLE——自用户上一次与终端进行交互以来的空闲时间。
JCPU——附加到ltty的所有进程使用的时间.
PCPU——用户当前进程所用的时间。
WHAT——用户当前的进程及选项/参数。

显示当前登录系统的所有用户的用户列表-users命令

直接输入users，回车可查询当前登录的所有用户。

文件/目录的权限和归属

在上述输出信息中，第3、4个字段的数据分别表示该文件的属主、属组，上面的"/etc/passwd"文件都属于root用户，root组:而第1个字段的数据表示该文件的访问权限，如: “-rw-r-r一”。权限字段由四部分组成，各自的含义如下:
第一个字符:表示该文件的类型，可以是d (目录)、b (块设备文件)、c(字符设备文件)、“-”(普通文件)、字母“l”(链接文件)等;
第2~4个字符:表示该文件的属主用户(User）对该文件的访问权限;
第5~7个字符:表示该文件的属组内各成员用户(Group）对该文件的访问权限;
第8~10个字符:表示其他任何用户(Other)对该文件的访问权限;
第11个字符:这里的“.”与SELinux有关，目前不需要关注。

设置文件、目录权限-chmod命令

格式：
字符形式：chmod 【u g o a…】【+ - =】 文件
数字形式：chmod nnn 文件、目录

权限项	读	写	执行	读	写	执行	读	写	执行
字符表示	r	w	x	r	w	x	r	w	x
数字表示	4	2	1	4	2	1	4	2	1
权限分配	文件所有者			文件所属组			其他用户
八进制数表示	7			7			7

在表示属主、属组用户或者其他用户对该文件的访问权限时，主要使用了三种不同的权限字符，权限字符也可以分别表示为八进制数字4、2、1，表示一个权限组合时需要将数字进行累加。各自含义如下:
读取r:允许查看文件的内容、显示目录列表
写入w︰允许修改文件内容，允许在目录中新建、移动、删除文件或子目录。
可执行x:允许运行程序、切换目录。
常用选项: -R:递归修改指定目录下所有子项的权限（包括目录中的文件)
[ugoa…][±=][rwx]"的形式中，三个组成部分的含义及用法如下所述:
“ugoa"表示该权限设置所针对的用户类别。"u”代表文件属主，“g"代表文件组内的用户，“o"代表其他任何用户“a"表示(ugo的总和);
“± ="表示设置权限的操作动作。“+"号代表增加权限，“-"号代表减少相应权限，“="号代表仅设置对应的权限;
“rwx”是权限的字符组合形式，也可以拆分使用，如“r”、“rx”等。

设置文件/目录归属-chown

格式：
chown 属主 文件或目录
chown ：属组 文件或目录
chown 属主：属组 文件或目录
常用选项:
-R:递归修改指定目录下所有子项的权限（包括目录中的文件)

反掩码umask的应用

我们新建一个新的文件或者目录时，它的默认权限时什么呢，这个与umask有关。
umask作用:
设置目录和文件的默认权限;
指定目前用户在新建文件或目录时的权限默认值;
新建的文件或者目录的权限为默认最大权限减去umask(普通文件的最大默认权限为6，目录最大默认权限为7)
格式:
umask查看:umask
umask设置:umask 755
常用选项:
-R:递归修改指定目录下所有子项的权限（包括目录中的文件)

总结

用户账号管理(useradd,passwd、usermod、
userdel)。
组账号管理(groupadd、gpasswd、groupdel）
用户账号文件与组账号文件。
查询账号相关信息的命令(groups.id、finger.
w)。
设置目录与文件权限(chmod)。
设置目录与文件归属(chown)。