Linux用户及权限管理

文章目录

Linux用户及权限管理
- 1用户账号和组账号概述
- 2用户账号文件/etc/passwd
- 3影子文件/etc/shadow/
- - 3.1针对系统已存在的用户修改账号和密码的有效期限
- 4用户账号管理
- - 4.1添加用户账号useradd
  - 4.2设置更改用户口令passwd
  - 4.3修改用户账号属性usermod
  - 4.4删除用户账号userdel
  - 使用userdel时，加上-r选项，表示删除用户的宿主目录。如果不加 -r ，删除之后再创建用户时会报错。
- 5组账号管理
- - 5.1添加组账号-groupadd
- 5.2添加、删除组成员-gpasswd
- 6查看账号信息
- - 6.1 查询用户所属的组-groups命令
  - 6.2查询用户身份标识-id命令
- 7文件/目录的权限和归属
- - 7.1设置文件和目录的权限-chmod
  - 7.2权限掩码-umask
- 8总结

1用户账号和组账号概述

①用户账号分类

●超级用户： root用户是Linux操作系统中默认的超级用户账号，对本机拥有至高无上的权限。类似于windows操作系统中的Administrator 用户。只有当进行系统管理、维护任务时，才建议使用root用户登录系统，日常事务处理建议值使用普通用户账号。（用户ID（UID）=0）

●普通用户：普通用户账号需要由 root 用户或其它管理员用户创建，拥有的权限受到一定的限制，一般只有在用户自己的宿主目录中拥有完整的权限。（UID：1-999(centos7版本) 1-449(centos6版本)，创建新用户时UID会从1000创建，1-999是默认保留给程序用户创建的）

●程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用维持系统或某个程序的正常运行，

②组账号

●基本组（私有组）：基于某种特定联系（如都需要访问 ftp 服务），将多个用户集合在一起，构成一个用户组，表示该组内所有用户的账号称为组账号，每一个用户账号至少属于一个组（创建用户时，会自动创建一个所属组，当前创建的用户默认属于当前的组），这个组称为该用户的基本组（私有组）。

●附加组（公共组）：若该用户同时还包含在其它的组中，则这些组称为该用户的附加组（公共组）。

③UID和GID

●UID（用户id）：相当于身份证，用户标识号

● GID（组id）：组标识号，标识一个组的id。

2用户账号文件/etc/passwd

保存用户名称、宿主目录、登录 shell 等基本信息的文件。每当创建了一个新用户，都会在此文件中自动生成一组记录，用来描述新创建的信息

查看文件后五行信息

详细解释

hao 用户名，用户名仅是为了方便记忆。Linux系统是通过UID来识别用户身份，分配用户权限。
x 密码占位符，表示此用户设有密码，但是不是真正的密码，真正的密码保存在 /etc/shadow 文件中。此文件只有 root 用户可以浏览和操作，提高安全性。虽然“ x ” 不是真正的密码，但是也不能删除，如果删除，系统会认为这个用户没有密码，从而导致只输入用户名而不用密码就可以登录。（只能在本地使用无密码登录，远程是不可以的）
1000 用户账号的UID号，普通用户的账号从1000开始，（1-999保留给程序用户）
1000 所属基本组账号的GID号
hao 描述信息
/home/hao 宿主目录，即该用户登录后在默认的工作目录。root 用户目录为/root，普通用户在/home下面

3影子文件/etc/shadow/

保存用户的密码、账号有效期等信息。只有 root 用户有读权限，其它用户没有任何权限，这样就保证了用户密码的安全性。

查看后两行信息

详细解释

hao 账户名
6 6 6E… 存放真正加密的密码，采用SHA512散列算法，更加安全，以前加密使用MD5或DES
！！或 * 表示没有密码不能进行登陆，新创建的用户也是，如果前面显示双感叹号，表示该账户被锁定了。
19164 上一次修改密码的时间，从1970年1月1日开始算。
可以使用命令进行查看哪一天改过：date -d “1970-01-01 19115 days ”
0 多久之后才可以修改密码，如果是0，则密码可以随时修改，该字段规定了第三个字段起，多久时间不能修改密码，如果是10，表示10天之后才能修改。
99999 密码的有效期，默认99999（273年），表示永久有效
7 密码到期前的第几天发出告警信息，默认是7天，每次登陆系统都会向该账户发出“修改密码”的告警信息
空密码过期宽限天数，过期了还可以登陆，如果过了宽限天数，账户将会被完全禁用，如果是-1，则代表密码永远不会失效
空账号失效时间，使用自1970年1月1日以来的总天数作为账户的失效时间

3.1针对系统已存在的用户修改账号和密码的有效期限

格式：chage 【选项】用户名

选项作用
-l 列出当前的设置，由非特权用户来确定他们的密码或账号何时过期
-d 上一次更改的日期
-m 密码可更改的最小天数。为0时代表任何时候都可更改
-M 密码保持有效的最大天数
-W 用户密码到期前，以前多少天收到警告信息。
-I ( 大写的i ) 停滞时期，如果一个密码已过期这些天，那么此账号将不可再用
-E 账号到期的日期，过了这天，此账号将不可再用

4用户账号管理

4.1添加用户账号useradd

常用方式

选项作用
-u 指定用户的UID号，要求该UID号未被其它用户使用
-d 指定用户的宿主目录位置（当与-M 一起使用时，不生效）
-e 指定用户的账户失效时间，可使用 YYYY-MM-DD 的是日期格式
-g 指定用户的基本组名（或使用GID号）
-G 指定用户的附加组名（或使用GID号）
-M 不建立宿主目录，即使/etc/login.defs 系统配置已设定要建立宿主目录
-s 指定用户的登录shell
例1修改密码如图所示

4.2设置更改用户口令passwd

选项	作用
-d	清空指定用户的密码，仅适用用户名即可登录系统
-l	锁定用户账户（锁定之后，在/etc/shadow里面密码字段中前面多出两个！）
-u	解锁用户账户
-S	查看用户的状态（是否被锁定）

例2更改清除锁定密码操作，如图

4.3修改用户账号属性usermod

选项作用
-u 修改用户的UID号
-d 修改用户的宿主目录位置
-e 修改用户的账户失效时间
-g 修改用户的基本组名
-G 修改用户的附加组名
-M 不建立宿主目录
-s 指定用户的登录Shell
以上上面选项和useradd命令中的含义相同
-I 更改用户账号的登录名称格式：usermod -l 新名称旧名称
-L 锁定用户账户
-U 解锁用户账户
修改UID号

修改家目录位置

4.4删除用户账号userdel

使用userdel时，加上-r选项，表示删除用户的宿主目录。如果不加 -r ，删除之后再创建用户时会报错。

5组账号管理

/etc/group：保存组账号基本信息

/etc/gshadow：保存组账号的密码信息

5.1添加组账号-groupadd

不加 -g 的话，会默认创建组id号。

创建GID为1997的组账号

5.2添加、删除组成员-gpasswd

gpasswd命令可以实现设置组账号密码、添加或删除组成员

选项	作用
-a	向组内添加一个用户
-d	从组内删除一个用户成员
-M	定义组成员列表，以逗号分隔（以前的组成员都会清空）

例添加一个用户

6查看账号信息

6.1 查询用户所属的组-groups命令

6.2查询用户身份标识-id命令

7文件/目录的权限和归属

●访问权限

读取 r ：允许查看文件内容、显示目录列表

写入 w ：允许修改文件内容、允许在目录中新建、移动、删除文件或子目录

可执行 x ：允许运行程序、切换目录

特殊的一个的tmp（临时文件）文件 t：

●归属（所有权）

属主：拥有该文件或目录的用户账号

属组：拥有该文件或目录的组账号

7.1设置文件和目录的权限-chmod

上述格式中，字符组合“ [ugoa] [±=] [rwx] " 或数字组合“nnn”的形式表示要设置的权限模式。其中“nnn”为需要设置的具体权限值，如“775” “644”等。

而“[ugoa] [±=] [rwx] ”的形式中，三个组部分的含义及用法如下所述。

“ugoa ” 表该权限设置所针对的用户类别。 “u”代表文件属主。“g”代表文件属组的用户名。“o”代表其他任何用户，“a”代表所有用户（u、g、o的总和）

“+ - =”表示设置权限的操作动作。 “+”代表增加相应权限，“ - ”代表减少相应权限，“ = ”代表仅设置对应的权限。

“ rwx ”是权限的字符组合形式，也可以拆分使用，如“r”，“ rx ”等。

7.2权限掩码-umask

umask作用

控制新建的文件或目录的权限（创建文件的话，执行权限不会受影响）

默认权限去除umask的权限为新建的文件或目录的权限

umask设置： umask 002

umask查看： umask

8总结

用户账号管理

useradd ：增加用户
passwd ：设置用户密码
usermod ：修改用户属性
userdel ：删除用户
组账号管理

groupadd ：增加用户组账号
gpasswd ：增加、删除用户组成员
groupdel ：删除用户组账号
用户账号文件与组账号文件

用户账号文件

查看用户账号：/etc/passwd

查看用户账号密码：/etc/shadow

组账号文件

查看组账号：/etc/group

查看组账号密码：/etc/gshadow
增加用户
passwd ：设置用户密码
usermod ：修改用户属性
userdel ：删除用户
组账号管理