用户,组及权限

2018-01-12 11:53:44来源:cnblogs.com作者:嵌动初心(aaron)人点击

分享

用户,组及权限

基本概念

1)用户,组,权限

  • 用户:获取资源的标识。(代表一个用户)/etc/passwd
  • 组:权限的集合,用于方便的指派权限,不能登录和使用。(代表一类用户 逻辑容器 可放用户 可关联权限)/etc/group
  • 权限:表示资源的访问能力。
权限:r, w, x文件:r:可读,可以使用类似cat等命令查看文件内容;w:可写,可以编辑或删除此文件;x: 可执行,eXacutable,可以命令提示符下当作命令提交给内核运行;目录:r: 可以对此目录执行ls以列出内部的所有文件;w: 可以在此目录创建文件;x: 可以使用cd切换进此目录,也可以使用ls -l查看内部文件的详细信息;

2)/etc/passwd文件的文件结构

passwd文件主要用来存储每个用户的相关信息,信息间用“:”隔开,具体文件格式如下:

account: 登录名password: 密码UID:用户IDGID:基本组IDcomment: 用户注释信息HOME DIR:家目录SHELL:用户的默认shell

通过命令行cat /etc/passwd进行查看/etc/passwd文件内容:

文件格式:LOGNAME:PASSWORD:UID:GID:COMMENT:HOME:SHELLroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologindesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinmengqc:x:500:500:mengqc:/home/mengqc:/bin/bash

每一行都是一个用户的信息,其中的“x”表示加密的passwd,passwd经过md5的方式加密,加密后的内容在用户的影子口令文件中(/etc/shadow 组的影子口令文件是/etc/gshadow)。

3)/etc/shadow文件的文件结构

/etc/shadow文件主要是存储与用户密码相关的内容。同样,信息间用“:”隔开。文件格式如下:

1)用户名:用户账号的字符串,由大小写字母和/或数字组成。登录名中不能有冒号(:),为了兼容起见,登录名中最好不要包含点字符(.),并且不使用连字符(-)和加号(+)打头。2)密码:存放着加密后的用户口令字.3)最近一次修改密码的时间:表示的是从某个时刻起,到用户最后一次修改口令时的天数。时间起点对不同的系统可能不一样。例如在SCOLinux中,这个时间起点是1970年1月1日。4)最短使用期限:指的是两次修改口令之间所需的最小天数。5)最长使用期限:指的是口令保持有效的最大天数。6)警告时间:表示的是从系统开始警告用户到用户密码正式失效之间的天数。7)非活动时间:表示的是用户没有登录活动但账号仍能保持有效的最大天数。8)过期时间:给出的是一个绝对的天数,如果使用了这个字段,那么就给出相应账号的生存期。期满后,该账号就不再是一个合法的账号,也就不能再用来登录了。

通过命令行输入sudo cat /etc/shadow进行文件内容查看:

文件格式:用户名:密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告时间:非活动时间:过期时间:root:!:17043:0:99999:7:::daemon:*:16652:0:99999:7:::bin:*:16652:0:99999:7:::sys:*:16652:0:99999:7:::sync:*:16652:0:99999:7:::games:*:16652:0:99999:7:::man:*:16652:0:99999:7:::lp:*:16652:0:99999:7:::

注意:
1)如果为空,则对应用户没有口令,登录时不需要口令;
2)星号代表帐号被锁定;
3)双叹号表示这个密码已经过期了;
4)$6$开头的,表明是用SHA-512加密;
5)$1$表明是用MD5加密;
6)$2$ 是用Blowfish加密;
7)$5$ 是用 SHA-256加密;

4)用户类别及用户组类别

  • 用户类别:
管理员:0普通用户: 1-65535    系统用户:1-499(系统后台运行的相关服务 无法登录)    一般用户:500-60000
  • 用户组类别:
用户组类别:管理员组:普通组:    系统组:    一般组:    用户组类别:    私有组:创建用户时,如果没有为其指定所属的组,系统会自动为其创建一           个与用户名同名的组    基本组:用户的默认组    附加组,额外组:默认组以外的其它组

相关管理命令

1)用户管理命令

  • useradd
语法:    useradd (选项)(参数)功能:    用于Linux中创建的新的系统用户。选项:    -u:UID (手动指定用户id) user -u 1000 user1 tail -1       /etc/passewd    -g:GID(基本组id)组必须存在    -G:GID,...  (附加组id)    -c:"COMMENT" (指定注释信息)    -d:/path/to/directory (指定家目录)    -s:SHELL /etc/shells:   指定了当前系统可用的安全shell    -m:-k 创建家目录    -M:不创建用户家目录    -r:添加系统用户    e.g:    useradd -c "caojin" -d /home/caojin user4    useradd     -s /sbin/nologin user5
  • userdel
语法:    userdel (选项)(参数)功能:    删除系统用户(不指定选项时 家目录时不会被删除的)。选项:    -r: 同时删除用户的家目录
  • id
语法:    id (选项)(参数)功能:    显示真实有效的用户ID(UID)和组ID(GID)。选项:    -u:显示用户ID。    -g:显示用户所属群组的ID。    -G:显示用户所属附加群组的ID。    -n 显示用户名。
  • usermod
语法:    usermod (选项)(参数)功能:    用于修改用户的基本信息。选项:    -u:修改用户ID。    -g:修改用户所属的群组。(基本组)    -a:-G GID:不使用-a选项,会覆盖此前的附加组。    -c:修改用户帐号的备注文字。    -d:修改用户登入时的目录;    -m:不使用-m选项,原有家目录中的文件将不会被复制到新的家目录        中。    -s:修改用户登入后所使用的shell;    -l:修改用户登录名    -L:锁定帐号    -U:解锁帐号
  • passwd
语法:    passwd (选项)(参数)功能:    设置用户的认证信息,包括用户密码、密码过期时间等。选项:    --stdin:从标准输入接收用户密码    -l:锁定用户账号    -u:解锁    -d: 删除用户密码
  • pwck:检查用户帐号完整性。
  • chsh:修改用户的默认shell。
  • chfn:修改注释信息。

2)组管理命令

  • groupadd
语法:    groupadd (选项)(参数)功能:   创建一个新的工作组,新工作组的信息将被添加到系统文件中。选项:    -g:指定新建工作组的id(GID)。    -r:添加为系统组(无家目录)。    
  • groupmod
语法:    groupmod (选项)(参数)功能:   更改群组识别码或名称。需要更改群组的识别码或名称时,可用groupmod指令来完成这项工作。选项:    -g:设置欲使用的群组识别码。(GID)    -n:GRPNAME 设置欲使用的群组名称。(指定组名)
  • groupdel
语法:    groupdel (选项)(参数)功能:   用于删除指定的工作组,本命令要修改的系统文件包括/ect/group和/ect/gshadow。若该群组中仍包括某些用户,则必须先删除这些用户后,方能删除群组。e.g:    # groupadd damon  //创建damon工作组        # groupdel damon  //删除这个工作组
  • gpasswd
语法:    gpasswd (选项)(参数)功能:   是Linux下工作组文件/etc/group和/etc/gshadow管理工具。选项:     a:添加用户到组;    -d:从组删除用户;    -A:指定管理员;    -M:指定组成员和-A的用途差不多;    -r:删除密码;    -R:限制用户登入组,只有组中的成员才可以用newgrp加入该组;
  • newgrp
语法:    newgrp (选项)(群组名称)功能:   切换用户所在用户组命令,登录另一个群组。

3)权限管理命令

  • chown
语法:    chown (选项)(参数)功能:    改变某个文件或目录的所有者和所属的组,该命令可以向某个用户授权,使该用户变成指定文件的所有者或者改变文件所属的组。用户可以是用户或者是用户ID,用户组可以是组名或组id。文件名可以使由空格分开的文件列表,在文件名中可以包含通配符。选项:    -R: 修改目录及其内部文件的属主    --reference=/path/to/somefile file,...//属主和属组都改变了e.g:    # chown Hadoop /tmp/abc    # chown --reference=/tmp/abc /tmp/test    # chown :Hadoop /tmp/abc

注意:只有只有管理员可以使用此命令。

  • chgrp
语法:    chgrp (选项)(参数)功能:    用来改变文件或目录所属的用户组。该命令用来改变指定文件所属的用户组。其中,组名可以是用户组的id,也可以是用户组的组名。文件名可以 是由空格分开的要改变属组的文件列表,也可以是由通配符描述的文件集合。如果用户不是该文件的文件主或超级用户(root),则不能改变该文件的组。在UNIX系统家族里,文件或目录权限的掌控以拥有者及所属群组来管理。您可以使用chgrp指令去变更文件与目录的所属群组,设置方式采用群组名称或群组识别码皆可。选项:    -R     --reference=/path/to/somefile file,...    (引用参考)//设定为和前面文件一样的属主   
  • chmod
语法:    chmod (选项)(参数)功能:    1)修改三类用户的权限:    # chmod MODE file,...        -R        --reference=/path/to/somefile file,...    # chmod 750 /tmp/abc //rwxr-x---         75 表示075。5表示005        2)修改某类用户或某些类用户权限:    u,g,o,a    # chmod 用户类别=MODE file,...    # chmod u=rwx /tmp/abc              Rw- / rw. Rx            u=r,g=r / go=r          g=r,o=        3)修改某类用户的某位或某些位权限:    u,g,o,a    # chmod 用户类别+|-MODE file,...    # chmod u-x /tmp/abc            U+x,g-x            a+x 也可写成 +x     
  • umask
语法:    umask (选项)(参数)功能:    用来设置限制新建文件权限的掩码。当新文件被创建时,其最初的权限由文件创建掩码决定。用户每次注册进入系统时,umask命令都被执行, 并自动设置掩码mode来限制新文件的权限。用户可以通过再次执行umask命令来改变默认值,新的权限将会把旧的覆盖掉。选项:    -p:输出的权限掩码可直接作为指令来执行;    -S:以符号方式输出权限掩码。e.g:    利用umask命令可以指定哪些权限将在新文件的默认权限中被删除。例如,可以使用下面的命令创建掩码,使得组用户的写权限,其他用户的读、写和执行权限都被取消:    # umask u=, g=w, o=rwx    # umask //显示当前的umask    # umask 022

最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台