一、管理用户账号和组账号
1.1、用户账号和组账号概述
Linux操作系统中用户账号和组账号在本质上都是基于用户身份来控制对资源的访问,但在个别细节方面存在差异。
1、用户账号
& 根据系统管理的需要将用户分为不同的类型:
①超级用户:root 用户是 Linux 操作系统中默认的超级用户账号,对本主机拥有至高无上的权限,类似于 Windows 操作系统中的 Administrator 用户。只有当进行系统管理、维护任务时,才建议使用 root 用户登录系统,日常事务处理建议只使用普通用户账号。
②普通用户:普通用户账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限。
③程序用户:在安装 Linux 操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail 等。
2、组账号
& 基于某种特定联系(如都需要访问 FTP 服务)将多个用户集合在一起,即构成一个用户组,表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组,这个组称为该用户的基本组(或私有组);若该用户同时还包含在其他的组中,则这些组称为该用户的附加组(或公共组)。
& 对组账号设置的权限将适用于组内的每一个用户账号。
3、UID和GID号
& Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记,称为 UID(UserIDentity,用户标识号),UID 是区分用户的基本依据,原则上每个用户的 UID 号应该是唯一的。root 用户账号的 UID 号为固定值 0,而程序用户账号的 UID号默认为 1~499,500~60000 的 UID 号默认分配给普通用户使用。
& 与 UID 类似,每一个组账号也有一个数字形式的身份标记,称为 GID(Group IDentity,组标识号)。root 组账号的 GID 号为固定值 0,而程序组账号的 GID 号默认为 1~499,500~60000 的 GID 号默认分配给普通组使用。
1.2、用户账号管理
& Linux 操作系统中的用户账号、密码等信息均保存在相应的配置文件中,直接修改这些文件或者使用用户管理命令都可以对用户账号进行管理。
1、用户账号文件
& 与用户账号相关的配置文件主要有两个,分别是/etc/passwd 和/etc/shadow。前者用于保存用户名称、宿主目录、登录 Shell 等基本信息,后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中,每一行对应一个用户账号,不同的配置项之间使用“:”(冒号)进行分隔。
(1)passwd文件中的配置行格式
& 操作系统中所有用户的账号基本信息都保存在/etc/passwd 文件中,该文件是文本文件,任何用户都可以读取文件中的内容。
& 在 passwd 文件开头的部分,包括超级用户 root 及各程序用户的账号信息,系统中新增加的用户账号信息将保存到 passwd 文件的末尾。passwd 文件的每一行内容中包含了七个用“:”(冒号)分隔的配置字段,从左到右各配置字段的含义分别是:
①第 1 字段:用户账号的名称,也是登录系统时使用的识别名称。
②第 2 字段:经过加密的用户密码字串,或者密码占位符“x”。
③第 3 字段:用户账号的 UID 号。
④第 4 字段:所属基本组账号的 GID 号。
⑤第 5 字段:用户全名,可填写与用户相关的说明信息。
⑥第 6 字段:宿主目录,即该用户登录后所在的默认工作目录。
⑦第 7 字段:登录 Shell 等信息,用户完成登录后使用的 Shell。
& 所有用户都可以访问passwd文件中的内容,但是只有root
用户才能进行更改。
(2)shadow文件中的配置格式
& shadow 文件又被称为“影子文件”,其中保存有各用户账号的密码信息,因此对 shadow文件的访问应该进行严格限制。默认只有 root 用户能够读取 shadow 文件中的内容,且不允许直接编辑该文件中的内容。
& shadow 文件的每一行内容中包含了九个用“:”(冒号)分隔的配置字段,从左到右各配置字段的含义:
①第 1 字段:用户账号名称。
②第 2 字段:使用 SHA-512(哈希算法中的一种)加密的密码字串信息,当为“*”或“!!” 时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统。
③第 3 字段:上次修改密码的时间,表示从 1970 年 01 月 01 日算起到最近一次修改密码时间隔的天数。
④第 4 字段:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为 0,表示不进行限制。
⑤第 5 字段:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。默认值为 99999,表示不进行限制。
⑥第 6 字段:提前多少天警告用户密码将过期,默认值为 7。
⑦第 7 字段:在密码过期之后多少天内禁用此用户。
⑧第 8 字段:账号失效时间,此字段指定了用户作废的天数(从 1970 年 01 月 01日起计算),默认值为空,表示账号永久可用。
⑨第 9 字段:保留字段,目前没有特定用途。
2、添加、修改、删除用户账号
(1)useradd命令——添加用户账号
& useradd命令用于添加用户账号,基本命令格式:useradd [选项] 用户名 (最简单的用法是不添加任何选项,只使用用户名作为useradd命令的参数,按系统的默认配置建立指定的用户账号)
& 在CentOS系统中,使用useradd命令添加用户账号时主要完成以下几项任务:
①在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。
②若未明确指定用户的宿主目录,则在/home 目录下自动创建与该用户账号同名的宿主目录,并在该目录中建立用户的各种初始配置文件。
③若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账号的记录信息将保存到/etc/group 和/etc/gshadow 文件中。
例如:创建名为bdqn_zeng的用户账号,并通过查看 passwd、shadow 文件和/home 目录来确认新增用户账号时的变化:
如果结合 useradd 命令的各种选项,可以在添加用户账号的同时对 UID 号、宿主目录、登录 Shell 等相关属性进行指定,创建选项有:
-u:指定用户的 UID 号,要求该 UID 号码未被其他用户使用。
-d:指定用户的宿主目录位置(当与-M 一起使用时,不生效)。
-e:指定用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。
-g:指定用户的基本组名(或使用 GID 号)。
-G:指定用户的附加组名(或使用 GID 号)。
-M:不建立宿主目录,即使/etc/login.defs 系统配置中已设定要建立宿主目录。
-s:指定用户的登录 Shell。
例如,执行以下操作可以创建一个辅助管理员账号admin,将其基本组指定为“wheel”,附加组指定为“root”,宿主目录指定为“/admin”:
例如,执行以下操作可以创建一个名为 b_down 的 FTP 账号(禁止终端登录),该账号将于2020-12-31 失效:
(2)passwd 命令——为用户账号设置密码
使用 passwd 命令可以设置或修改密码,root 用户有权管理其他账号的密码(指定账号名称作为参数即可)。例如,执行“passwd bdqn_zeng”命令可为 bdqn_zeng 账号设置登录密码,要根据提示重复输入两次,具体操作如下:
若普通用户要修改密码:
使用 passwd 命令除了可以修改账号的密码以外,还能够对用户账号进行锁定、解锁,也可以将用户的密码设置为空(无须密码即可登录)。涉及到的相关选项有:
-d:清空指定用户的密码,仅使用用户名即可登录系统。
-l:锁定用户账户。
-S:查看用户账户的状态(是否被锁定)。
-u:解锁用户账户。
(3)usermod 命令——修改用户账号属性
对于操作系统中已经存在的用户账号,可以使用 usermod 命令重新设置各种属性。usermod 命令同样需要指定账号名称作为参数。常用的选项有:
-u:修改用户的 UID 号。
-d:修改用户的宿主目录位置。
-e:修改用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。
-g:修改用户的基本组名(或使用 GID 号)。
-G:修改用户的附加组名(或使用 GID 号)。
-s:指定用户的登录 Shell。
-l:更改用户账号的登录名称(Login Name)。
-L:锁定用户账户。
-U:解锁用户账户。
若要修改已有账号的宿主目录,需要先将该账号原有的宿主目录转移到新的位置,然后通过 usermod 命令设置新的宿主目录位置。例如,执行以下操作可以将 admin 用户的宿主目录由/admin 转移至/home/admin:
例如,以下操作分别用于锁定、解锁用户账号 admin,但是在 CentOS 7 系统中,如果账户没有设置密码,那么该账户锁定后将无法使用“usermod -U”命令解锁。因此在锁定 admin 账户之前需要先为其设置账户密码:
若需要修改账号的登录名称,可以使用“-l”选项。例如,执行以下操作可以将 admin 用户的登录名称更改为 webmaster,下次登录时生效:
(4)userdel 命令——删除用户账号
例如,执行以下操作将删除名为 bdqn_zeng 的用户账号,同时删除其宿主目录/home/bdqn_zeng:
1.3 组账号管理
1.组账号文件
2.添加、管理、删除组账号
(1)groupadd 命令——添加组账号
(2)gpasswd 命令——添加、设置、删除组成员
如果需要同时指定组账号的所有成员用户,可以使用“-M”选项。例如:指定定组账号 adm 中的成员为 root、adm、daemon、webmaster、mike 这五个用户:
(3)groupdel 命令——删除组账号
1.4 查询账号信息
1.groups 命令——查询用户账号所属的组
2.id——查询用户账号的身份标识
3.finger 命令——查询用户账号的登录属性
4.w 命令——查询当前主机的用户登录情况
2 、管理目录和文件的属性
2.1 查看目录和文件的属性
在上述输出信息中,各自的含义如下所述:
第 1 个字符:表示该文件的类型,可以是 d(目录)、b(块设备文件)、c(字符设备文件)、“-”(普通文件)、字母“l”(链接文件)等。
第 2~4 个字符:表示该文件的属主用户(User)对该文件的访问权限。
第 5~7 个字符:表示该文件的属组内各成员用户(Group)对该文件的访问权限。
第 8~10 个字符:表示其他任何用户(Other)对该文件的访问权限。
第 11 个字符:这里的“.”与 SELinux 有关,目前不必关注。
在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了三种不同的权限字符:r、w、x,分别表示可读、可写、可执行。
2.2 设置目录和文件的权限
需要设置文件或者目录的权限时主要通过 chmod 命令进行。基本的命令格式如下:
chmod [ugoa…][+-=][rwx] 文件或目录…
或 chmod nnn 文件或目录…
“ugoa”表示该权限设置所针对的用户类别。“u”代表文件属主,“g”代表文件属组内
的用户,“o”代表其他任户,“a”代表所有用户(u、g、o 的总和)。
“+-=”表示设置权限的操作动作。何用“+”代表增加相应权限,“-”代表减少相应权限,“=”
代表仅设置对应的权限。
“rwx”是权限的字符组合形式,也可以拆分使用,如“r”“rx”等。
下面的操作将 mkdir 命令程序复制为 mymkdir,并通过去除 mymkdir 文件的“x”权限来验证可执行权限的变化:
需要将不同类别的用户对文件或目录的权限设置为不同值时,可以用逗号进行分隔。例如,执行以下操作可以调整 mymkdir 文件的权限,为属主用户添加执行权限,删除其他用户的读取权限:
更简便易用的方法是采用数字形式表示的权限模式。例如,若要将 mymkdir 文件的访问权限设置为“rwxr-xr-x”,其对应的数字组合是 755
2.3 设置目录和文件的归属
使用 chown 命令的基本格式如下:
同时设置属主、属组时,用户名和组名之间用“:”进行分隔。若只设置属组,则需使用“:组名”的形式。如果只需要设置目录或文件的属主,直接以用户名表示归属即可,例如,执行以下操作可将/var/ftp/pub/目录的属主由 root 改为 ftp(调整后用户 ftp 将拥有“rwx”的权限)。
如果同时设置目录和文件的属主、属组,则需要用到分隔符“:”。例如,执行以下操作可将 mymkdir 文件的属主更改为 daemon、属组更改为 wheel。
2.3 设置目录和文件的默认权限
umask 就是默认指定目前用户在新建文件或目录时的权限默认值。执行“umask 022” 即可以设置当前用户的默认权限。直接执行“umask”命令就是查看当前系统的默认权限。需要注意的是,umask 的分数指的是“该默认值需要减掉的权限”。因此 r、w、x 分别是 4、2、1,如果执行“umask 022”代表 group 和 other 被拿掉了权限"2",也就是被拿掉了“写”权限。
如果执行命令“umask 000”,代表文件的默认权限是“777”:
扫一扫
2925
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
