用戶,組及許可權 基本概念 1)用戶,組,許可權 用戶: 獲取資源的標識。(代表一個用戶)/etc/passwd 組: 許可權的集合,用於方便的指派許可權,不能登錄和使用。(代表一類用戶 邏輯容器 可放用戶 可關聯許可權)/etc/group 許可權: 表示資源的訪問能力。 2)/etc/passwd文件的文件 ...
用戶,組及許可權
基本概念
1)用戶,組,許可權
- 用戶:獲取資源的標識。(代表一個用戶)/etc/passwd
- 組:許可權的集合,用於方便的指派許可權,不能登錄和使用。(代表一類用戶 邏輯容器 可放用戶 可關聯許可權)/etc/group
- 許可權:表示資源的訪問能力。
許可權:
r, w, x
文件:
r:可讀,可以使用類似cat等命令查看文件內容;
w:可寫,可以編輯或刪除此文件;
x: 可執行,eXacutable,可以命令提示符下當作命令提交給內核
運行;
目錄:
r: 可以對此目錄執行ls以列出內部的所有文件;
w: 可以在此目錄創建文件;
x: 可以使用cd切換進此目錄,也可以使用ls -l查看內部文件的詳
細信息;2)/etc/passwd文件的文件結構
passwd文件主要用來存儲每個用戶的相關信息,信息間用“:”隔開,具體文件格式如下:
account: 登錄名
password: 密碼
UID:用戶ID
GID:基本組ID
comment: 用戶註釋信息
HOME DIR:家目錄
SHELL:用戶的預設shell
通過命令行cat /etc/passwd進行查看/etc/passwd文件內容:
文件格式:LOGNAME:PASSWORD:UID:GID:COMMENT:HOME:SHELL
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash每一行都是一個用戶的信息,其中的“x”表示加密的passwd,passwd經過md5的方式加密,加密後的內容在用戶的影子口令文件中(/etc/shadow 組的影子口令文件是/etc/gshadow)。
3)/etc/shadow文件的文件結構
/etc/shadow文件主要是存儲與用戶密碼相關的內容。同樣,信息間用“:”隔開。文件格式如下:
1)用戶名:用戶賬號的字元串,由大小寫字母和/或數字組成。登錄名中不能有冒號(:),為了相容起見,登錄名中最好不要包含點字元(.),並且不使用連字元(-)和加號(+)打頭。
2)密碼:存放著加密後的用戶口令字.
3)最近一次修改密碼的時間:表示的是從某個時刻起,到用戶最後一次修改口令時的天數。時間起點對不同的系統可能不一樣。例如在SCOLinux中,這個時間起點是1970年1月1日。
4)最短使用期限:指的是兩次修改口令之間所需的最小天數。
5)最長使用期限:指的是口令保持有效的最大天數。
6)警告時間:表示的是從系統開始警告用戶到用戶密碼正式失效之間的天數。
7)非活動時間:表示的是用戶沒有登錄活動但賬號仍能保持有效的最大天數。
8)過期時間:給出的是一個絕對的天數,如果使用了這個欄位,那麼就給出相應賬號的生存期。期滿後,該賬號就不再是一個合法的賬號,也就不能再用來登錄了。通過命令行輸入sudo cat /etc/shadow進行文件內容查看:
文件格式:用戶名:密碼:最近一次修改密碼的時間:最短使用期限:最長使用
期限:警告時間:非活動時間:過期時間:
root:!:17043:0:99999:7:::
daemon:*:16652:0:99999:7:::
bin:*:16652:0:99999:7:::
sys:*:16652:0:99999:7:::
sync:*:16652:0:99999:7:::
games:*:16652:0:99999:7:::
man:*:16652:0:99999:7:::
lp:*:16652:0:99999:7:::註意:
1)如果為空,則對應用戶沒有口令,登錄時不需要口令;
2)星號代表帳號被鎖定;
3)雙嘆號表示這個密碼已經過期了;
4)$6$開頭的,表明是用SHA-512加密;
5)$1$表明是用MD5加密;
6)$2$ 是用Blowfish加密;
7)$5$ 是用 SHA-256加密;
4)用戶類別及用戶組類別
- 用戶類別:
管理員:0
普通用戶: 1-65535
系統用戶:1-499(系統後臺運行的相關服務 無法登錄)
一般用戶:500-60000- 用戶組類別:
用戶組類別:
管理員組:
普通組:
系統組:
一般組:
用戶組類別:
私有組:創建用戶時,如果沒有為其指定所屬的組,系統會自動為其創建一
個與用戶名同名的組
基本組:用戶的預設組
附加組,額外組:預設組以外的其它組相關管理命令
1)用戶管理命令
- useradd
語法:
useradd (選項)(參數)
功能:
用於Linux中創建的新的系統用戶。
選項:
-u:UID (手動指定用戶id) user -u 1000 user1 tail -1
/etc/passewd
-g:GID(基本組id)組必須存在
-G:GID,... (附加組id)
-c:"COMMENT" (指定註釋信息)
-d:/path/to/directory (指定家目錄)
-s:SHELL /etc/shells: 指定了當前系統可用的安全shell
-m:-k 創建家目錄
-M:不創建用戶家目錄
-r:添加系統用戶
e.g:
useradd -c "caojin" -d /home/caojin user4
useradd -s /sbin/nologin user5- userdel
語法:
userdel (選項)(參數)
功能:
刪除系統用戶(不指定選項時 家目錄時不會被刪除的)。
選項:
-r: 同時刪除用戶的家目錄- id
語法:
id (選項)(參數)
功能:
顯示真實有效的用戶ID(UID)和組ID(GID)。
選項:
-u:顯示用戶ID。
-g:顯示用戶所屬群組的ID。
-G:顯示用戶所屬附加群組的ID。
-n 顯示用戶名。- usermod
語法:
usermod (選項)(參數)
功能:
用於修改用戶的基本信息。
選項:
-u:修改用戶ID。
-g:修改用戶所屬的群組。(基本組)
-a:-G GID:不使用-a選項,會覆蓋此前的附加組。
-c:修改用戶帳號的備註文字。
-d:修改用戶登入時的目錄;
-m:不使用-m選項,原有家目錄中的文件將不會被覆制到新的家目錄
中。
-s:修改用戶登入後所使用的shell;
-l:修改用戶登錄名
-L:鎖定帳號
-U:解鎖帳號- passwd
語法:
passwd (選項)(參數)
功能:
設置用戶的認證信息,包括用戶密碼、密碼過期時間等。
選項:
--stdin:從標準輸入接收用戶密碼
-l:鎖定用戶賬號
-u:解鎖
-d: 刪除用戶密碼- pwck:檢查用戶帳號完整性。
- chsh:修改用戶的預設shell。
- chfn:修改註釋信息。
2)組管理命令
- groupadd
語法:
groupadd (選項)(參數)
功能:
創建一個新的工作組,新工作組的信息將被添加到系統文件中。
選項:
-g:指定新建工作組的id(GID)。
-r:添加為系統組(無家目錄)。
- groupmod
語法:
groupmod (選項)(參數)
功能:
更改群組識別碼或名稱。需要更改群組的識別碼或名稱時,可用groupmod指令來完成這項工作。
選項:
-g:設置欲使用的群組識別碼。(GID)
-n:GRPNAME 設置欲使用的群組名稱。(指定組名)- groupdel
語法:
groupdel (選項)(參數)
功能:
用於刪除指定的工作組,本命令要修改的系統文件包括/ect/group和/ect/gshadow。若該群組中仍包括某些用戶,則必須先刪除這些用戶後,方能刪除群組。
e.g:
# groupadd damon //創建damon工作組
# groupdel damon //刪除這個工作組- gpasswd
語法:
gpasswd (選項)(參數)
功能:
是Linux下工作組文件/etc/group和/etc/gshadow管理工具。
選項:
a:添加用戶到組;
-d:從組刪除用戶;
-A:指定管理員;
-M:指定組成員和-A的用途差不多;
-r:刪除密碼;
-R:限制用戶登入組,只有組中的成員才可以用newgrp加入該組;- newgrp
語法:
newgrp (選項)(群組名稱)
功能:
切換用戶所在用戶組命令,登錄另一個群組。3)許可權管理命令
- chown
語法:
chown (選項)(參數)
功能:
改變某個文件或目錄的所有者和所屬的組,該命令可以向某個用戶授權,使該用戶變成指定文件的所有者或者改變文件所屬的組。用戶可以是用戶或者是用戶ID,用戶組可以是組名或組id。文件名可以使由空格分開的文件列表,在文件名中可以包含通配符。
選項:
-R: 修改目錄及其內部文件的屬主
--reference=/path/to/somefile file,...//屬主和屬組都改變了e.g:
# chown Hadoop /tmp/abc
# chown --reference=/tmp/abc /tmp/test
# chown :Hadoop /tmp/abc註意:只有隻有管理員可以使用此命令。
- chgrp
語法:
chgrp (選項)(參數)
功能:
用來改變文件或目錄所屬的用戶組。該命令用來改變指定文件所屬的用戶組。其中,組名可以是用戶組的id,也可以是用戶組的組名。文件名可以 是由空格分開的要改變屬組的文件列表,也可以是由通配符描述的文件集合。如果用戶不是該文件的文件主或超級用戶(root),則不能改變該文件的組。在UNIX系統家族裡,文件或目錄許可權的掌控以擁有者及所屬群組來管理。您可以使用chgrp指令去變更文件與目錄的所屬群組,設置方式採用群組名稱或群組識別碼皆可。
選項:
-R
--reference=/path/to/somefile file,...
(引用參考)//設定為和前面文件一樣的屬主
- chmod
語法:
chmod (選項)(參數)
功能:
1)修改三類用戶的許可權:
# chmod MODE file,...
-R
--reference=/path/to/somefile file,...
# chmod 750 /tmp/abc //rwxr-x---
75 表示075。5表示005
2)修改某類用戶或某些類用戶許可權:
u,g,o,a
# chmod 用戶類別=MODE file,...
# chmod u=rwx /tmp/abc
Rw- / rw. Rx
u=r,g=r / go=r
g=r,o=
3)修改某類用戶的某位或某些位許可權:
u,g,o,a
# chmod 用戶類別+|-MODE file,...
# chmod u-x /tmp/abc
U+x,g-x
a+x 也可寫成 +x - umask
語法:
umask (選項)(參數)
功能:
用來設置限制新建文件許可權的掩碼。當新文件被創建時,其最初的許可權由文件創建掩碼決定。用戶每次註冊進入系統時,umask命令都被執行, 並自動設置掩碼mode來限制新文件的許可權。用戶可以通過再次執行umask命令來改變預設值,新的許可權將會把舊的覆蓋掉。
選項:
-p:輸出的許可權掩碼可直接作為指令來執行;
-S:以符號方式輸出許可權掩碼。
e.g:
利用umask命令可以指定哪些許可權將在新文件的預設許可權中被刪除。例如,可以使用下麵的命令創建掩碼,使得組用戶的寫許可權,其他用戶的讀、寫和執行許可權都被取消:
# umask u=, g=w, o=rwx
# umask //顯示當前的umask
# umask 022
