Linux之用户、权限的管理

最新推荐文章于 2024-04-05 07:30:00 发布

太阳花先生可爱多

最新推荐文章于 2024-04-05 07:30:00 发布

阅读量274

点赞数

分类专栏： linux系统

原文链接：https://www.jianshu.com/p/d190e0e84c8b

版权

linux系统专栏收录该内容

11 篇文章 5 订阅

订阅专栏

Linux User and Group、Mode Management

早期Linux系统设计为了能够实现多用户、多进程高效的利用服务器资源，在此种情况下，为了能够保证用户与用户之间的文件不被随意的访问及修改、删除等操作，用户、组的管理能在某种程序上实现管理用户或批量管理用户。由于Linux的设计哲学思想『一切皆文件』，用户对设备的访问就是对文件的访问。

此章节涉及到的命令汇总
useradd,usermod,userdel,groupadd,groupdel,groupmod,passwd,gpasswd,newgrp,su,id,chmod,chown,chgrp，setfacl,getfacl
==============

理论相关

User：

管理员
    UID：0，GID：0
系统用户
    UID：1-499  GID：1-499（Centos6）
    UID：1-999  GID：1-999(Centos7)
普通用户
    UID:500-60000  GID:500-6000(Centos6)
    UID:1000-60000 GID:1000-60000(Centos7)

group：

分类一：
    系统组
    普通用户组
分类二：
    基本组
    附加组
分类三：
    私有组
    公有组
注：组的UID、GID跟用户的分配类似

File Mode：

Linux系统安全上下文：
    当一个用户发起一个进程时，此进程将继承用户的属主、属组的权限，再以进程继承的权限来控制文件的访问权限。
Linux权限标识：
    r: Readable 读
    W: writable 写
    x: executable 执行
rwx标识对文件及目录的意义：
    对文件：
        r : 可以读取文件中的内容
        w : 可以修改及删除文件中的内容
        x : 可以将其发起为一个进程
    对目录：
        r : 可以查看目录中的文件，可以使用ls命令， 但不能使用 -l选项
        w : 可以创建、删除目录，但不能修改文件中的内容
        x : 可以使用cd命令进入目录
文件及目录权限详细表示方面
    文件：-rwxrwxrwx
        从左边第二位开始，每三位代表一个权限类别：
            u : owner
            g : owner group
            o : other
            a : 代表以上三项
    目录：drwxrwxrwx
            u、g、o同文件权限位
    
Linux内核对文件权限的表示方法：
    rwx: 4 2 1

Umask Mode Control

Linux对初始权限的控制来自于Umask的设定，其工作原理如下：
    对新建立的文件：
        666 - Umask值（由于Linux对文件的执行权限控制很严格，默认取消了文件的执行权限，所以这里是666）
    对新建立的目录：
        777 - Umask值 
Umask对管理员ROOT的初始值：022
Umask对普通用户的初始值为：002

普通用户建立的文件及目录权限如下：
    文件：
        666-002=664 （如果减得的结果为奇数，就自动加1）对应的权限如下：
            -rw-rw-r--
    目录：
        777-002=775 ，对应的权限如下：
            drwxrwxr-x
对管理员root建立的文件及目录权限如下：
    文件：
        666-022=644，对应的权限如下：
            -rw-r--r--
    目录：
        777-022=755，对应的权限如下：
            drwx-r-xr-x
注：Umask的值可以使用umask命令来设置，但只对当前进程(即shell)有效，如要长期有效，需将此值设置到/etc/profile文件中，或者家目录下的.开头的文件中

===================

Configuration file for Linux system

User：

`/etc/passwd` (记录用户的详细信息)
`/etc/shadow` (记录用户的密码信息)

Group：

`/etc/group`   (记录组的详细信息)
`/etc/gshadow` (记录组的密码信息)

定义创建用户时的默认配置信息：

`/etc/default/useradd`(记录创建用户所需设定的值)
    useradd -D 可以设置对应的参数
`/etc/login.defs`(配置创建用户预设详细参数)

对应文档的格式说明

/etc/passwd

root:x:0:0:root:/root:/bin/bash

用户名:密码:UID:GID:用户注释信息:用户家目录:Shell定义

用户名: 用户的名称
密码: X表示占位符,也可以是密码
UID: 用户识别代码
GID: 用户所属组的GID(基本组)
用户注释信息:Comment,可以完善用户的基本信息
用户家目录: 系统登录用户后的工作目录
shell: 定义用户登录系统所使用的shell,指定的shell需要在/etc/shells中出现

/etc/shadow

root:$6$YqkEsOcfKPptyhnS$YD0ym4BZ52pzcCnU....:16781:0:99999:7:::

用户名:密码:上一次修改密码的时间:密码最小使用期限:最长使用期限:警告时间:帐户过期时间:保留字段

用户名: 用户的名称，对应/etc/passwd文件中
密码: Centos6中使用MD5加密算法，Centos7中使用sha1的算法，第一个$后面加密算法类型，第二个$后面表示salt,第三个$后面表示密码的提取码（参照加密类型）
上一次修改密码的时间: 指用户上次修改密码的时间，计算方法:从Linux元年1970年01月01日0点0分到目录所经过的秒数
密码最小使用期限: 指用户修改密码后，需要到多少天后方可更改密码,0表示禁用
密码最长使用期限: 指用户的密码到多少天后需要修改密码
警告时间: 指用户密码到期前多少天提示用户修改密码，0和空字段表示禁用此功能
帐户过期时间: 批帐户在密码过期后多少天还未修改密码，将被停用

/etc/group

root:x:0:

组名：密码：GID：User_list

组名：组的名称，默认同名用户名
密码: 组的密码占位符，用于用户临时切换至需要的组以获取相应权限，可以使用newgrp - GROUP_NAME切换
GID：组的全局识别号
User_list：隶属此组的用户，多个用户使用","隔开

/etc/gshadow

root:$6$PLRAi/Z/svr$PRelPtvLuGJqvFG3D8fbjYHDho2RQUe93glO.::

组名：密码：组管理者：User_list

组名：组的名称，同步/etc/group文件中
密码：第一个$后面表示加密算法，第二个$后面表示加密的密码
组管理者：可以对此组成员有操作权限，如果有多个，可以用逗号隔开
User_list：用户的列表，如果有多个，可以使用逗号隔开

=============

Linux管理用户的相关命令

添加用户：

`useradd` - create a new user or update default new user information
    synopsis: useradd [options] LOGIN
              useradd -D [options]
              
    options:
        -u : 指定用户的UID
        -g : 指定GID
        -c : 指定注释信息，如果有空格，需要使用" "包含
        -d : 指定用户家目录,创建用户时，会自动将/etc/skel中的文件复制到用户家目录下，如果指定的文件存               在将不会复制文件，如果父目录不存在，创建也将会失败
        -s : 指定用户shell
        -r : 指定创建一个系统用户
        -M ：不创建用户家目录
        -G : 指定附加组，多个使用逗号隔开
        -D ：修改创建用户的配置信息，文件位于/etc/default/useradd
            注：创建用户时的诸多默认设定配置文件为/etc/login.defs

修改用户：

`usermod` - modify a user account
    synopsis: usermod [options] LOGIN
    
    options:
        -u : 修改用户UID
        -g : 修改用户GID
        -c : 修改用户的注释信息
        -d : 修改用户家目录，需要配合使用-m选项才会自动复制用户家目录下的文件到新的家目录
        -m : move-home to new directory
        -s : 修改用户的shell
        -l : 修改用户的登陆名，即login名称
        -G : 修改用户的附加组信息，需要配合-a(append)一起使用，如果不使用-a将删除原来的附加组
        -a : --append,连接多个附加组的参数
        -L : 锁定用户，即lock,在/etcpasswd文件中，密码前面加!(一个)
        -U : 解锁用户，即unlock，在/etc/passwd文件中，取消密码前面的!号

删除用户

`userdel` - delete a user account and related files
    synopsis: userdel [options] LOGIN
    
    options:
        -r : 删除用户的同时删除用户的家目录，即--remove参数

用户密码设置

`passwd` - passwd - update user's authentication tokens
    synopsis:passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
    1、passwd (修改自己的密码)
    2、passwd USERNAME(修改其他用户的密码，root权限 )
    options:
        -l : 锁定用户，在/etc/passwd的密码前面加!!,
        -u : 解锁用户，在/etcpasswd的密码前!!取消
        -d : --delete,删除用户密码
        -e DATE : --expire,设定过期时间
        -i DAYS : 非活动时间
        -n days : 最短使用期限
        -x days : 最长使用期限
        -w days : 警告期限
        --stdin : `echo "PASSWD" | passwd --stdin root`

Linux管理组的相关命令

添加组

`groupadd` - create a new group
    synopsis: groupadd [options] group
    
    options:
        -g : 指定GID号
        -r : 指定为一个系统组

修改组

`groupmod` - modify a group definition on the system
    synopsis: groupmod [options] GROUP
    options:
        -g : 修改GID号码
        -n : 修改组名称 （groupmod -n NEW_GROUP OLD_GROUP）

删除组

`groupdel` - delete a group
    synopsis: groupdel GROUP_NAME

组密码设置

`gpasswd` - administer /etc/group and /etc/gshadow
    synopsis: gpasswd [option] group
    
    options:
        -a USER_NAME GROUP_NAME: 向组内添加用户
        -d USER_NAME GROUP_NAME: 把用户从组内删除
        -r USER_NAMEG : 删除组的密码

临时切换到其他组，好能够获取相应权限

`newgrp` - log in to a new group
    synopsis: newgrp [-] [group]
        - : 模拟用户登陆， 以实现重新初始化环境变量

查看用户相关信息

`id` - print real and effective user and group IDs
    synopsis: id [OPTION]... [USERNAME]
    
    options:
        -u : 查看UID号
        -g : 查看GID号
        -G : 查看附加组GID号，其他包含基本组ID号
        -n : 将各ID转换为对应的名称

切换用户

`su` - switch user
    sysnopsis: su [-] USER
    
    options:
        - : 以登陆方式切换用户，以完成用户环境变量、配置信息加载
        -c : 不用登陆用户即可以以指定用户执行命令
              `su - mariabd -c 'id -u'`

用户权限管理

`chmod` - change file mode bits
    sysnopsis: chmod [OPTION]... MODE[,MODE]... FILE...
               chmod [OPTION]... OCTAL-MODE FILE...
               chmod [OPTION]... --reference=RFILE FILE...
    options:
        -r --recursive : 递归修改
        --reference : 参照某文件来修改           
    Usage: 
        1、赋权等值法
            chmod u=rwx,g=rwx,0=rwx FILE
            chmod a=rwx FILE
        2、赋权加减法
            chmod u-rwx,g-rwx,o-rwx FILE
            chmod ugo-x FILE
            chmod u+rwx,go+r FILE
            chmod a+r FILE
        3、十进制赋权法
            chmod 777 FILE
        4、参照赋值法
            chmod --reference/var/log/file FILE
        
        注意：1、在使用a+w的情况下，只有属主才会加w,go是不会加上W权限
             2、目录有写权限操作，但对目录下的文件同有写权限时，用户是不能写文件、但有删除文件的能力

=============

chmod自己没有执行权限的解决方法：

1、使用ACL控制修复

1、setfacl -m u:root:rwx /bin/chmod
2、/bin/chmod 755 /bin/chmod
3、setfacl -b /bin/chmod (-b表示清除所有ACL访问规则 )

2、使用系统盘的emergency模式，使用光盘的chmod修改根文件系统中的chmod权限

=========

用户属主、属组修改（ownership）

`chown` - change file owner and group
    synopsis: chown [OPTION]... [OWNER][:[GROUP]] FILE...
              chown [OPTION]... --reference=RFILE FILE... 
    options:
        -R :  --recursive 递归修改
        --reference : 参照某文件来修改
    Usage:
        chown mariadb FILE : 只修改文件的属主为mariadb
        chown mariadb:mariadb FILE :修改文件的属主、属组为mariadb
        chown mariadb:mariadb FILE : 同上
        chown --reference=/var/log/file FILE : 参照/var/log/file来修改FILE的属主、属组
        
`chgrp` - chgrp - change group ownership
    synopsis: chgrp [OPTION]... GROUP FILE...
              chgrp [OPTION]... --reference=RFILE FILE...
              
        注：由于chgrp只能修改属组，故一般情况都使用chown代替

=============