Linux账号和权限管理

Posted 2021-06-19 姜超1

一、用户账号和组账号概述

Linux基于用户身份对资源访问进行控制

1、用户账号分为三种

超级用户：root用户是Linux操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的

普通用户：有root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限

程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到操作系统，仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp等

2、组账号

基本组（私有组）：基本组账号只有一个，一般为创建用户时指定的组

附加组（公共组）：用户除了基本组以外，额外添加指定的组

3、标识号

UID(User IDentity,用户标识号）

GID(Group IDentify,组标识号）

root用户账号的UID和GID号为固定值0

程序用户账号的UID和GID号默认为Centos5、6：1~499，Centos7：1~999

普通用户的UID和GID号默认为Centos5、6：500~60000，Centos7：1000~60000

二、用户账户文件

保存用户名称、宿主目录、登录shell等基本信息

文件位置：/etc/passwd

每一行对应一个用户的账号记录

root：x：0：0：root：/root：/bin/bash

一共有七个字段

字段一：用户账号的名称

字段二：用户密码占位符“x"

字段三：用户账号的UID号

字段四：所属基本组账号的GID号

字段五：用户全名

字段六：宿主目录

字段七：登录Shell信息（/bin/bash为可登录系统，且不允许直接编辑该文件中的内容。

 保存用户的密码、账号有效期等信息

文件位置：/etc/shadow 

每一行对应一个用户的密码记录，默认只有root用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容

三、添加用户账号

useradd命令

 常用选项

-u：指定用户的UID号，要求该UID号码未被其他用户使用

-d：指定用户的宿主目录位置（当与-M一起使用时，不生效）只能用绝对路径指定目录，且不需要事先创建目录

-e：指定用户的账户失效时间，可使用YYY-MM-DD的日期生效

-g：指定用户的基本组名（或使用GID号），对应的组名必须已存在

-G：指定用户的附加组名（或使用GID号），对应的组名必须已存在

-M：不建立宿主目录

-s：指定用户的登录Shell，（比如/bin/bash为可登录系统，/sbin/nologin和/bin/false为禁止用户登录系统）

四、设置更改用户口令passwd

root用户可以指定用户名作为参数，对指定账号的密码进行管理；不指定用户名说，修改当前账号的密码。普通用户却只能执行单独的“passwd”命令修改自己的密码

  常用选项

-d：清空指定用户的密码，仅使用用户名即可登录系统

-l：锁定用户账户，锁定的用户账号将无法再登录系统

-s：查看用户账户的状态（是否被绑定）。

-u：解锁用户账户

设置用户密码方法二：echo “密码” | passwd --stdin用户名

五、修改用户账号的属性

  常用选项

-I：更改用户账号的登录名称

-L：锁定用户账号

-U：解锁用户账号

举例：usermod  -I  master  adminl  ##将adminl用户的登录名称更改为master

六、用户账号的初始配置文件

文件来源：userdd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号模板目录/etc/skel/,基本上都是影藏文件用

1、用户宿主目录下的初始配置文件只对当前用户有效，主要的用户账号的初始配置文件有以下几类

~/.bash_profile

此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashre文件

~/.bashre

此文件中的命令会在每次打开新的bash shell(也包括登录系统）被执行，并且会调用/etc/bashre文件

~/.bash_logout

此文件中的命令将在用户每次退出登录或退出bash shell时执行

2、全局配置文件对所有用户有效

/etc/profile

这个文件时为系统安全局变量配置文件，可通过重启系统或者执行source /etc/profile命令使profile文件被读取

/etc/profile.d/

这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需要的启动脚本

/etc/bashrc

每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，bashrc文件被读取

七、组账号

1、组账号文件

与用户账号文件相类似

/etc/group：保存组账号基本信息

/etc/gshadow：保存组账号的密码信息

2、添加组账号

  示例：[root@localhost ~]# groupadd -g 1000 market

3、添加删除组成员

  常用选项

-a：向组内添加一个用户

-d：从组内删除一个用户成员

-M：定义组成员列表，以逗号分隔

4、删除组账号groupdel

 示例：[root@localhost ~]# groupdel market

八、查询账号信息

1、查询用户所属的组

2、查询用户身份标识

 3、查询用户账号的登录属性  注：需要先进行安装finger软件包

 4、使用 w、who、users命令查询已登录到主机的用户信息

 九、文件目录的权限和归属

1、访问权限：

读取r：允许查看文件内容，显示目录列表

写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录

可执行x：允许运行程序、切换目录

归属（所有权）

属主：拥有该文件或目录的用户账号

属组：拥有该文件或目录的组账号

2、查看文件/目录的权限和归属

权限项	读写	写	执行	读	写	执行	读	写	执行
字符表示	r	w	x	r	w	x	r	w	x
数字表示	4	2	1	4	2	1	4	2	1
权限分配	文件所有者			文件所属组			其他用户

3、设置文件和目录的权限

 或者