Linux账号管理与ACL权限管理

Linux账号管理与ACL权限管理

Linux的账号与群组

使用者标识符：UID 与GID

每一个文件都具有『拥有人与拥有群组』的属性，每个登陆的使用者至少都会取得两个 ID ，一个是使用者 ID (User ID ，简称 UID)、一个是群组 ID (Group ID ，简称 GID)。
UID保存于/etc/passwd；GID保存于/etc/group；口令保存于/etc/shadow。

• /etc/passwd 文件结构
  • 账号名称
    就是登录账号，用来对应 UID 的，例如 root 的 UID 对应就是 0 (第三字段)，系统用户是1-499，普通用户是500+；
  • 口令：
    早期 Unix 系统的口令就是放在这字段上！但是因为这个文件的特性是所有的程序都能够读取，这样一来很容易造成口令数据被窃取， 因此后来就将这个字段的口令数据给他改放到/etc/shadow 中了。所以这里你会看到一个x；
  • UID：
    这个就是使用者标识符；
  • GID：
    与 /etc/group 有关，用来规范组名与 GID 的对应；
  • 用户信息说明栏：
    用来解释这个账号的意义；
  • 家目录：
    这是用户的家目录，root 的家目录在 /root ，所以当 root 登陆之后，就会立刻跑到 /root 目录里头啦！默认的用户家目录在 /home/yourIDname；
  • Shell：
    当用户登陆系统后就会取得一个 Shell 来与系统的核心沟通以进行用户的操作任务，默认为/bin/bash，用户合法但不能登录为/bin/nologin;
• /etc/shadow 文件结构
  • 账号名称：
    由于口令也需要与账号对应，因此，这个文件的第一栏就是账号，必须要与 /etc/passwd 相同；
  • 口令：
    这个字段内的数据才是真正的口令，而且是经过编码的口令 (加密)；
  • 最近更动口令的日期
    这个字段记录了更动口令那一天的日期，时间是以 1970 年 1 月 1 日作为 1 而累加的日期；
  • 口令不可被更动的天数：
    这个账号的口令在最近一次被更改后需要经过几天才可以再被变更！如果是 0 的话， 表示口令随时可以更动；
  • 口令需要重新变更的天数：
    为了强制要求用户变更口令，这个字段可以指定在最近一次更改口令后， 在多少天数内需要再次的变更口令才行；
  • 口令需要变更期限前的警告天数：
    当账号的口令有效期限快要到的时候 (第 5 字段)，系统会依据这个字段的配置，发出警告言论给这个账号；
  • 口令过期后的账号宽限时间(口令失效日)
    这个字段记录了更动口令那一天的日期，时间是以 1970 年 1 月 1 日作为 1 而累加的日期；
  • 账号失效日期：
    这个账号在此字段规定的日期之后，将无法再使用。
• /etc/group 文件结构
  • 组名：
  • 群组口令：
    很少用了，口令已经移动到 /etc/gshadow 去，因此这个字段只会存在一个x；
  • GID：
    就是群组的 ID ，我们 /etc/passwd 第四个字段使用的 GID 对应的群组名。
  • 此群组支持的账号名称：
    我们知道一个账号可以加入多个群组，那某个账号想要加入此群组时，将该账号填入这个字段即可。例，让 dmtsai 也加入 root 这个群组，那么在第一行的最后面加上[,dmtsai]，注意不要有空格， 例如root❌0:root,dmtsai。

账号管理

useradd

• 功能：添加用户
• 格式
  useradd [-u UID] [-g 初始群组] [-G 次要群组] [-mM] [-c 说明栏] [-d 家目录绝对路径] [-s shell] 用户名
  • -u ：后面接的是 UID ，是一组数字。直接指定一个特定的 UID 给这个账号；
  • -g ：后面接的那个组名就是我们上面提到的 initial group ， 该群组的 GID 会被放置到 /etc/passwd 的第四个字段内。
  • -G ：后面接的组名则是这个账号还可以加入的群组。
  • -M ：强制不要创建用户家目录(系统账号默认值)
  • -m ：强制要创建用户家目录(一般账号默认值)
  • -c ：用户信息注释
  • -d ：指定家目录，使用绝对路径
  • -r ：创建一个系统的账号，这个账号的 UID 会有限制
  • -s ：后面接一个 shell ，默认是 /bin/bash （用户合法但不可用：/bin/nologin）
  • -e ：后面接一个日期，格式为YYYY-MM-DD，账号失效日期；
  • -f ：后面接 shadow 的第七字段项目，指定口令是否会失效。0为立刻失效，
  • -1 ：口令永远不失效。
• 若使用默认值创建用户即：useradd username时
  • 在 /etc/passwd 里面创建一行与账号相关的数据，包括创建 UID/GID/家目录等；
  • 在 /etc/shadow 里面将此账号的口令相关参数填入，但是尚未有口令；
  • 在 /etc/group 里面加入一个与账号名称一模一样的组名；
  • 在 /home 底下创建一个与账号同名的目录作为用户家目录，且权限为700。

passwd

功能：修改密码
格式：
passwd [-l] [-u] [–stdin] [-S] [-n 日数] [-x 日数] [-w 日数] [-i 日期] 用户名

• –stdin ：可以透过来自前一个管线的数据，作为口令输入，例如 echo “password” | passwd --stdin 用户名
• -l ：是 Lock 的意思，会将 /etc/shadow 第二栏最前面加上 ! 使口令失效；
• -u ：与 -l 相对，是 Unlock ；
• -S ：列出口令相关参数，亦即 shadow 文件内的大部分信息；
• -n ：后面接天数，shadow 的第 4 字段，多久不可修改口令天数；
• -x ：后面接天数，shadow 的第 5 字段，多久内必须要更动口令；
• -w ：后面接天数，shadow 的第 6 字段，口令过期前的警告天数；
• -i ：后面接 日期，shadow 的第 7 字段，口令失效日期。

usermod

功能：修改用户信息
格式：
usermod [选项] [用户名]

• -c ：后面接账号的说明；
• -d ：后面接账号的家目录；
• -e ：后面接日期，格式是 YYYY-MM-DD；
• -f ：后面接天数；
• -g ：后面接初始群组；
• -G ：后面接次要群组；
• -a ：与 -G 合用，添加次要群组的支持；
• -l ：后面接账号名称；
• -s ：后面接 Shell 的实际文件；
• -u ：后面接 UID；
• -L ：暂时将用户的口令冻结，无法登录；
• -U ：解冻用户的口令，可以登录。

userdel

功能：删除用户
格式：
userdel [选项][用户名]

• -r：连同用户得我家目录一起删除

id

功能：查询用户相关的UID/GID等信息
格式：id 用户名

groupadd

功能：添加组
格式：
groupadd [选项] [组名]

• -g ：后面接某个特定的 GID ，用来直接给予某个 GID；
• -r ：创建系统群组。

groupdel

功能：删除组
格式：
groupdel 组名

ACL

ACL 可以针对单一使用者，单一文件或目录来进行 r,w,x 的权限规范。

• 使用者 (user)：可以针对使用者来配置权限；
• 群组 (group)：针对群组为对象来配置其权限；
• 默认属性 (mask)：还可以针对在该目录下在创建新文件/目录时，规范新数据的默认权限。

setfacl

功能：配置某个目录/文件的 ACL 规范
格式：
setfacl [-bkRd] [{-m|-x} acl参数] 文件名

• -m ：配置后续的 acl 参数给文件使用，不可与 -x 合用；
• -x ：删除后续的 acl 参数，不可与 -m 合用；
• -b ：移除所有的 ACL 配置参数；
• -k ：移除默认的 ACL 参数；
• -R ：递归配置 acl ，亦即包括次目录都会被配置起来；
• -d ：配置默认 acl 参数，只对目录有效，在该目录新建的数据会引用此默认值；
• –set：设置文件或者目录的acl（覆盖以前的文件参数）
• –restore：恢复

针对特定使用者的方式：

u:[使用者账号列表]:[rwx]

针对特定群组的方式：

g:[群组列表]:[rwx]

针对有效权限 mask 的配置方式：

m:[rwx]

getfacl

功能：取得某个文件/目录的 ACL 配置项目
格式：
getfacl 文件名