Linux用戶管理及權限
一、用戶管理
1、用戶User
1)令牌token,identity
2)Linux用戶:Username/UID
3)管理員:root,0
4)普通用戶:1-65535
系統用戶:1-499(CentOS6),1-999(CentOS7)對守護 進程獲取資源進行權限分配
登錄用戶:500+(Centos6),1000+(CentOS7)交互式 登錄
2、組group
1)Linux組:Groupname/GID
2)管理員組:root,0
3)普通組:
系統組:1-499(CentOS6),1-999(CentOS7)
普通組:500+(CentOS6),1000+(CentOS7)
3、組的類別
Linux組的類別:
用戶的主要組(primary group):
用戶必須屬於一個且只有一個主組
組名同用戶名,且僅包含一個用戶:私有組
用戶的附加組(supplementary group):
一個用戶可以屬於零個或多個輔助組
4、用戶話和組的配置文件
Linux用戶和組的主要配置文件:
1)/etc/passwd:用戶及其屬性信息(名稱、UID、主組ID等)
pwconv 將passwd當中的密碼映射到了/etc/shadow
pwunconv 取消映射,密碼仍然放在/etc/passwd當中
2)/etc/group:組及其屬性信息
3)/etc/shadow:用戶密碼及其相關屬性
用戶名 login name
密碼位 passwd
密碼上一次的修改時間
密碼的最小存活期
密碼的最大存活期
密碼過期之前提前多少天提醒用戶將會過期
密碼過期之後在用戶仍不改密碼後多少天觸發帳戶過期
帳戶過期時間
保留位
4)/etc/gshadow:組密碼及其相關屬性
vipw=vim /etc/passwd
vipw -s=vim /etc/shadow
vigr -s = vim /etc/gshadow
pwck //檢查/etc/passwd語法
grpck //檢查/etc/group語法
5、group文件格式
1)群組名稱:就是群組名稱
2)群組密碼:通常不需要設定,密碼是被記錄在/etc/gshadow
3)GID:就是群組的ID
4)以當前組為附加組的用戶列表(分隔符為逗號)
6、設置密碼
1)passwd [OPTIONS] UserName:修改指定用戶的密碼,僅root用戶權限
2)passwd:修改自己的密碼
3)常用選項:
-l // 鎖定指定用戶
-u //解鎖指定用戶
-e //強制用戶下次登錄修改密碼
-n mindays //指定最短使用期限
-x maxdays //最大使用期限
-w warndays //提前多少天開始警告
-i inactivedays //非活動期限
--stdin //從標準輸入接收用戶密碼
7、用戶和組管理命令
1) 用戶管理命令 useradd、usermod、userdel
2)組賬號維護命令 groupadd、groupmod、groupdel
8、切換用戶或以其他用戶身份執行命令
1)su username //表示非登錄式切換
2)su - username //表示登錄式切換
3) su - //表示登錄root
當前用戶是root時,切換到其他用戶不要密碼
二、文件權限
1、文件權限
1)文件的權限主要針對三類對象進行定義:ower(屬主,u)、group(屬組,g)、 other(其他,o)。
2)每個文件針對每類訪問者都定義了三種權限:r:Readable、w:Writeable、x:eXcutable
3)文件:
r:可使用文件查看類工具獲取其內容
w:可修改其內容
x:可以把此文件提請內核啟動為一個進程
4)目錄:
r:可以使用ls查看此目錄中文件列表
w:可在此目錄中創建文件,也可刪除此目錄中的文件
x:可以使用ls -l查看此目錄中文件列表,可以cd進入此目錄
X:只給目錄及已有部分x權限的文件加上x權限,不給三個權限 位完全沒有x的文件加x
5)對文件來說
當僅r權限作用在文件上的時候,用戶可以讀取該文件的內容:cat less more head tail
當僅w權限作用在文件上的時候,用戶可以修改文件的內容:>>
當僅x權限作用在文件上的時候,無作為.
當rw權限作用在文件上的時候,用戶即能讀與能修改:cat less more head tail vim nano > >>
當rx權限作用在文件上的時候,用戶可以執行該文件
當wx權限作用在文件上的時候,權限等同於僅w權限.
註意:文件的常見權限是r-- rw- rwx
6)對目錄來說
當僅r權限作用在目錄上的時候,用戶可以短列出目錄下的文件 名。
當僅w權限作用在目錄上的時候,無作為.
當僅x權限作用在目錄上的時候,用戶可以進入該目錄,並且在知 道具體文件名且具有相關權限的情況下,可以訪問子文件。
當rw權限作用在目錄上的時候,權限等同於僅r權限。
當rx權限作用在目錄上的時候,用戶進入,長列出。
當wx權限作用在目錄上的時候,用戶可以進入且可以創建及刪除 文件。但不能使用文件名通配符
註意:目錄的常見權限r-x rwx
7)文件權限八進制數字表示
--- 000 0(無任何權限)
--x 001 1 (只有執行權限)
-w- 010 2 ( 只有寫權限)
-wx 011 3 (有讀寫權限)
r-- 100 4 (只有讀權限)
r-x 101 5 (有讀執行權限)
rw- 100 6 (有讀寫權限)
rwx 111 7 (有讀寫執行權限)
例如:640:rw-r----- (所有者擁有全部權限,所屬組只有讀權限,而其他人無任何權限)
2、修改文件權限
1)chmod [OPTION]...OCTAL-MODE FILE...
-R:遞歸修改權限
2)chmod [OPTION]...MODE[,MODE]...FILE...
MODE:
修改一類用戶的所有權限:
u= g= o= ug= a= u= g=
修改一類用戶或某些位權限
u+ u- g+ g- o+ o- a+ a- + -
3)chmod [OPTION]...--reference=RFILE FILE...
參考RFILE文件的權限,將FILE修改為同RFILE
3、Linux文件系統上的特殊權限
1)SUID:當對一個可執行的二進制文件作用了suid權限之後,任何人在執行該文件時臨時擁有其所屬人的權限。
2)SGID:當對一個可執行的二進制文件作用了sgid權限之後,任何人在執行該文件時臨時擁有其所屬組的權限。
當對於一個目錄作用了sgid權限之後,任何人在該目錄下創建的文件的所屬組與該目錄的所屬組相同。
3)Sticky:當對於一個目錄作用了sticky權限之後,該目錄下的文件僅其文件的所屬人,或目錄的所屬人及root才能刪除。
4)特殊權限修改
chmod u+或-s FILE...4/0xxx
chmod g+或-s DIR... 2/0xxx
chmod o+或-t DIR... 1/0xxx
既有suid又有sgid 6xxx
既有suid又有sticky 5xxx
既有sgid又有sticky 3xxx
全有7xxx
註意:權限位原本有x的,加上特殊權限後,顯示為小寫,原本無x,顯示為大寫。
4、訪問控制列表
1)ACL:Access Control List,實現靈活的權限管理
2)除了文件的所有者,所屬組和其他人,可以對更多的用戶設置權限
3)CentOS7默認創建的xfs和ext4文件系統具有ACL功能
4)CentOS7之前版本,默認手工創建的ext4文件系統無ACL功能,需手動增加。
tune2fs -o acl /dev/sdb1
mount -o acl /dev/sdb1 /mnt/test
5)ACL生效順序:
owner > acl user > group 與 acl group 誰的權限多,誰優先 > other
6)訪問控制列表
為多用戶或者組的文件和目錄賦予訪問權限rwx
mount -o acl /directory
getfacl file |directory
setfacl -m u:wang:rwx file |directory
setfacl -Rm g:sales:rwX directory
setfacl -M file.acl file|directory
setfacl -m g:salesgroup:rw file| directory
sesetfacl -x u:wang file |directory
setfacl -X file.acl directory
setfacl -m m:r-x file |directory 設置上限閥值 或chmod g=r-x
setfacl -d -m u/g:username/groupname file |directory 設置默認權限
setfacl -k file |directory 清除默認權限
setfacm -b file |directory 清除acl屬性
Linux用戶管理及權限