Day 7(云计算-zsn)

文章目录

Day 7(云计算-zsn)
- 一，用户
- - cat /etc/passwd 用户配置文件
  - usermod [options...] [选项参数] 用户名
  - -d 删除用户密码
  - -l 锁定用户密码
  - -u 解锁用户密码
- 二.组
- - groupmod [option...] [选项参数] 组名
  - gpasswd 组名给指定的组设置、删除密码
  - newgrp 组名登录新组
- 三.权限
- - 1.系统中的权限是在文件中标识（即居于文件进行管理）
  - 2.权限的两种描述方式
  - - 字符形式：r w x
    - 数值形式：r=4 w=2 x=1
  - 3.文件默认权限值
  - 4.权限字符含义
  - 5.linux中文件权限匹配方式
  - 6.更改文件的权限
  - - chmod 权限文件名对指定文件的权限进行更改
    - chown 更改文件所属用户
    - chgrp 更改文件所属组
- 课堂练习：
- - - （1）拷贝文件/etc/fstab到/var/tmp/fstab
    - （2）配置文件/ar/tmp/fstab的权限
  - 7.特殊权限
  - - u+s=4 所属用户的禁锢位suid
    - g+s=2 所属组的禁锢位sgid
    - o+t=1 sicky冒险位
  - 8.扩展权限：
  - 9./etc/shadow 用户密码文件
  - - 扩展
- 课堂练习：
- - 1.新建组shengchan,caiwu,jishu
  - 2.新建用户要求如下：
  - 3.实验
Day 7 作业：
- 1.创建下列用户,组,和组的成员关系（servera）
- 2.拷贝文件/etc/fstab 到/var/tmp/fstab 配置文件/var/tmp/fstab 的权限
- 3.创建一个共享目录/home/managers 特性如下

一，用户

[root@localhost ~]# useradd xiaohua          创建用户

cat /etc/passwd 用户配置文件

xiaohua:x:1001:1001::/home/xiaohua:/bin/bash
用户名：密码占位符：UID：GID：注释（描述字段）：用户家目录：shell字段
若UID为0是管理员
/bin/bash 可以进行交互式的登录
/sbin/nologin  不可以进行交互式的登录

远程登录：ssh +用户的IP地址进行远程登录

usermod [options…] [选项参数] 用户名

[root@localhost ~]# usermod --help
Usage: usermod [options] LOGIN

-l   修改用户登录信息
#usermod -l newxiao1 xiao1       //把xiao1改名为newxiao1
-u   更改用户UID
#usermod -u 1111 newxiao1             //将newxiao1用户的UID改为1111
#usermod newxiao1 -u 1111             //（同上：用户名和更改信息可以互换位置）
-g   更改用户的基本组(主组)
#usermod -g redhat newxiao1           //将newxiao1的基本组更改为redhat
-G   更改用户的附加组
#groupadd g1                          //创建g1组
#usermod -G g1 newxiao1               //将newxiao1的附加组更改为g1
-c   更改用户的注释信息
#usermod -c woshixiao1（用户名的注释信息） newxiao1（用户名）//将newxiao1用户的注释信息改为woshixiao1
-d   更改用户家目录     (一般不建议更改)
#usermod -d 家目录                    //前提：主机上必须事先存在一个家目录
-s   更改shell字段（可交互式shell，非交互式shell）（交互==登录）
#usermod -s /sbin/nologin newxiao1(用户名)
eg:
#usermod -l newname -u 1234  -g 1000 -c dashazi name

-d 删除用户密码

[root@localhost /]# passwd xiaohua           //给创建的用户设置密码
Changing password for user xiaohua.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.//密码设置成功，即xiaohua这一用户在登录时需要输入密码
[root@localhost /]# passwd -d xiaohua        //删除用户的密码
Removing password for user xiaohua.
passwd: Succes                           //删除密码成功，即xiaohua这一用户没有密码了

-l 锁定用户密码

[root@localhost /]# passwd xiaohua
Changing password for user xiaohua.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
[root@localhost /]# passwd -l xiaohua   //锁定用户密码，此时该用户的密码已不能再用，也不能远程登录
Locking password for user xiaohua.
passwd: Success

锁定用户密码后，用户不能远程登录，但可以通过root管理员身份切换到该用户身份（因为管理员登录其他用户身份时不用密码验证）

-u 解锁用户密码

[root@localhost /]# passwd -u xiaohua         //已将该用户密码解锁 ，可以正常远程登录
Unlocking password for user xiaohua.
passwd: Success

二.组

[root@localhost ~]# groupadd xiaohua
[root@localhost ~]# cat /etc/group       //组配置文件
xiaohua：x:1001:
组名：组密码占位符：GID：组中的用户名

groupmod [option…] [选项参数] 组名

-n 修改组名 #groupmod -n grp1 g1

[root@localhost ~]# grep '^xiaohua' /etc/group
xiaohua:x:1001:
[root@localhost ~]# groupmod -n xiaoxiao xiaohua   //将xiaohua的组名改为xiaoxiao
[root@localhost ~]# grep '^xiaoxiao' /etc/group
xiaoxiao:x:1001:

-g 修改组id #groupmod -g 2222 g1

[root@localhost ~]# grep '^xiaoxiao' /etc/group
xiaoxiao:x:1001:
[root@localhost ~]# groupmod -g 2222 xiaoxiao    //将xiaoxiao的id更改为2222
[root@localhost ~]# grep '^xiaoxiao' /etc/group
xiaoxiao:x:2222:

gpasswd 组名给指定的组设置、删除密码

-r   删除组密码
-a   把指定用户加入组
#usermod -G redhat       ==    #gpasswd -a redhat g1
-M   指定多个用户加入组(指定新的组成员列表)
#gpasswd -M user1,user2,user3 g1
-d   将指定用户从组中移除
#gpasswd -d user1 g1
-A   指定组长（可以再组中添加成员或删除一个组用户）
#gpasswd -A user2 g1      把user2指定为组长
-R  锁定组（用户知道组密码也不能进行验证登录）

newgrp 组名登录新组

[root@localhost ~]# newgrp xiaoxiao

三.权限

1.系统中的权限是在文件中标识（即居于文件进行管理）

2.权限的两种描述方式

字符形式：r w x

数值形式：r=4 w=2 x=1

3.文件默认权限值

系统中目录文件的最高权限值 777

权限过滤值（权限掩码）umask 022

755（过滤后）

文本文件的最高权限（缺少x执行权限）666

权限过滤值（权限掩码）umask 022

644（过滤后）

6        6       6    （最高权限）
rw-     rw-     rw-
0        3       3（权限过滤值：权限掩码）
---     -wx     -wx
rw-     r--     r--            6  4  4

r  w  x      r-x    r--
4  2  1      4 1     47          5      4

4.权限字符含义

文本文件：r read 读取文件内容（cat,tac,more,less,head,tail,grep）

w write 编辑文件内容（vim > cat << EOF > file）

x excute 解释运行文件的内容（命令文件）

目录文件：r read 读取文件内容（ls ，ll）

w write 编辑文件内容

x excute 解释运行文件的内容（命令文件）（执行权限：cd）

目录文件权限标记：r-x （具有读和执行权限），rwx（具有读，写和执行权限）

5.linux中文件权限匹配方式

可执行文件进程的所属身份是用户发起者身份，判断进程发起者身份是否是目标文件的所属用户，如果是所属用户，匹配目标文件的所属权限；如果不是所属用户，判断进程发起者身份是否是目标文件的所属组用户，如果是所属组，直接匹配目标文件权限；不是所属组，则直接匹配目标文件其他用户的权限。

6.更改文件的权限

chmod 权限文件名对指定文件的权限进行更改

字符修改：
chmod  ugo=rwx  FILE1            //u==>users    g==>group   o==>other    a==>all
chmod  a=rwx  FILE1
chmod  -x  FIEL1
chmod  u=rwx,g+w,o-r   FILE
数值修改：
chmod  777  DIRNAME             //最高权限修改，所有用户都有读、写、执行的权限
chmod   7   DIRNAME   ==chmod  007  DIRNAME
chmod  u=7  FILENAME  ---错误---（要么只有字符形式，要么只有数值形式）

chown 更改文件所属用户

chown 用户名 FILE…

chown 用户名：组名 FILE…

chgrp 更改文件所属组

chgrp 组名 FILE…（文件名） //只对文件的所属组进行更改

课堂练习：

（1）拷贝文件/etc/fstab到/var/tmp/fstab

#cp /etc/fstab /var/tmp

（2）配置文件/ar/tmp/fstab的权限

●文件/var/tmp/fstab的拥有者是zhangsan文件/var/tmp/fstab属于zhangsan组

●文件/var/tmp/fstab对任何用户不可执行

●其他用户(当前和将来的)能对文件/var/tmp/fstab进行读操作

#useradd zhangsan
#chown zhangsan:zhangsan /var/tmp/fstab
#chmod a-x /var/tmp/fstab
#chmod o+r /var/tmp/fstab

7.特殊权限

umask 0022 默认权限掩码值

chhmod 4644 file

u+s=4 所属用户的禁锢位suid

仅对可执行文件（命令文件）设置有意义：可执行文件进程的所属身份是可执行文件自身的身份
[root@localhost /]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 33544 Dec 14  2019 /usr/bin/passwd
[redhat@www pub]$ passwd        //passwd进程的用户身份是root（是执行文件自身的身份）//passwd修改当前用户的密码，更改的是/etc/shadow
[root@www pub]# ll /etc/shadow
----------.1 root root 1744 Dec 3 11:30 /etc/shadow为什么普通用户可以修改/etc/shadow的密码信息？
原因是passwd进程的身份是root，作为root匹配目标文件可以忽略读写权限

g+s=2 所属组的禁锢位sgid

仅对可执行文件（命令文件）设置有意义：可执行文件进程的所属身份是可执行文件自身的身份(应用不是很多)
[root@www pub]#ll /usr/bin/touch
-rwxr-xr-x. 1 root root 96144 Jul 10  2021 /usr/bin/touch
[root@www pub]# chmod g+s /usr/bin/touch
[redhat@www pub]$ touch red2
[redhat@www pub]$ ll
-rw-rw-r--. 1 redhat root   0 Dec  3 16:13 red2对目录文件设置有意义：在目录下任意用户创建的文件，文件的所属组都是当前目录的所属组
[root@www ~]# mkdir /test
[root@www ~]# chmod 777 /test
[redhat@www ~]$ cd /test
[redhat@www test]$ touch red1
[redhat@www test]$ ll
total 0
-rw-rw-r--. 1 redhat redhat 0 Dec  3 16:19 red1
[root@www ~]# chmod g+s /test                //对/test 设置sgid
[root@www ~]# ll -d /test
drwxrwsrwx. 2 root root 18 Dec  3 16:19 /test
[redhat@www test]$ touch red2
[redhat@www test]$ ll
total 0
-rw-rw-r--. 1 redhat redhat 0 Dec  3 16:19 red1
-rw-rw-r--. 1 redhat root   0 Dec  3 16:20 red2  //创建文件的所属组取决于/test目录的所属组

o+t=1 sicky冒险位

仅对目录文件设置有意义：
o+t在该目录下，用户只能删除属于自己的文件，不能删除别人的文件
（目录文件对当前用户如果没有写权限，不能删除文件，对目录文件只要有写权限，用户可以删除任意用户创建的文件）

8.扩展权限：

./+ .表示没有扩展权限，+有扩展权限

查看文件的权限列表：getfacl FILENAME

设置扩展权限列表：setfcal -m u:用户名：对应的权限 FILENAME

setfcal -m g:组名：对应的权限 FILENAME

删除扩展权限列表：setfcal -x u:用户名： FILENAME

清空扩展权限： setfcal -b FILENAME

9./etc/shadow 用户密码文件

用户名：加密密码：最后—修改密码的天数（1970）：密码生效最短时间：最长时间：警告时间：延长时间：精确过期时间（1970）：保留字段

cat /etc/gshadow   组密码信息
xiaohua:!::
组名：组密码：组长：组成员
/etc/default/useradd
/etc/longin.defs
键=值
键  值

扩展

/etc/default/useradd 用户创建默认加载的配置文件

参数	含义
GR0UP=100	这个选项用于建立用户的默认组，也就是说，在添加每个用户时，用户的初始组就是 GID 为 100 的这个用户组。但 CentOS 并不是这样的，而是在添加用户时会自动建立和用户名相同的组作为此用户的初始组。也就是说这个选项并不会生效。 Linux 中默认用户组有两种机制：一种是私有用户组机制，系统会创建一个和用户名相同的用户组作为用户的初始组；另一种是公共用户组机制，系统用 GID 是 100 的用户组作为所有新建用户的初始组。目前我们采用的是私有用户组机制。
HOME=/home	指的是用户主目录的默认位置，所有新建用户的主目录默认都在 /home/下。
INACTIVE=-1	指的是密码过期后的宽限天数，也就是 /etc/shadow 文件的第七个字段。这里默认值是 -1，代表所有新建立的用户密码永远不会失效。
EXPIRE=	表示账号过期时间，也就是 /etc/shadow 文件的第八个字段。默认值是空，代表所有新建用户没有失效时间，永久有效。
SHELL=/bin/bash	表示所有新建立的用户默认 Shell 都是 /bin/bash。
SKEL=/etc/skel	在创建一个新用户后，你会发现，该用户主目录并不是空目录，而是有 .bash_profile、.bashrc 等文件，这些文件都是从 /etc/skel 目录中自动复制过来的。因此，更改 /etc/skel 目录下的内容就可以改变新建用户默认主目录中的配置文件信息。
CREATE_MAIL_SPOOL=yes	指的是给新建用户建立邮箱，默认是创建。也就是说，对于所有的新建用户，系统都会新建一个邮箱，放在 /var/spool/mail/ 目录下，和用户名相同。

/etc/login.defs 登录用户默认匹配的配置文件

注：配置文件中的#表示注释 MAIL_DIR    /var/spool/mail   \#创建用户时，要在目录/var/spool/mail中创建一个用户mail文件PASS_MAX_DAYS  99999    \#密码最大有效期PASS_MIN_DAYS  0    \#两次修改密码的最小间隔时间PASS_MIN_LEN  5      \#密码最小长度，对于root无效PASS_WARN_AGE  7   \#密码过期前多少天开始提示#创建用户时不指定UID的话自动UID的范围UID_MIN          500\#用户ID的最小值UID_MAX         60000  \#用户ID的最大值#自动组ID的范围GID_MIN          500\#组ID的最小值GID_MAX         60000    \#组ID的最大值USERDEL_CMD  /usr/sbin/userdel_local  \#当删除用户的时候执行的脚本
CREATE_HOME   yes     \#使用useradd的时候是够创建用户目录
USERGROUPS_ENAB yes    \#用MD5加密密码

课堂练习：

1.新建组shengchan,caiwu,jishu

#groupadd shengchan
#groupadd caiwu
#groupadd jishu

2.新建用户要求如下：

*wjx是shengchan组的附加用户

*liuy是caiwu组的附加用户

*zxx是jishu组的附加用户

*新建admin用户，此用户不属于以上提到的三个部门，以上用户密码设置为redhat

#useradd wjx           新建wjx用户
#useradd -G shengchan wjx    ==    #usermod   -G  shengchan wjx
#useradd -G caiwu liuy
#useradd zxx
#gpasswd -a zxx jishu
#useradd admim
(1)#passwd wjx
(2)#echo redhat | passwd --stdin liuy
(3)#echo zxx:redhat | chpasswd
(4)#vim file
wjx:redhat
liuy:redhat
zxx:redhat
admin:redhat
#cat file | chpasswd

3.实验

创建学习组1，学习组2；他们的组gid分别为1111,2222，添加成员并将uid为1088，和uid为1066的成员设置为两个组的组长，其中一个组组长有一个‘外号’laoda。不同学习组成员进入其他组需要密码才能进入（设置密码）；即使密码泄露也不希望组之外的成员进入。

添加组
#groupadd std1
#groupmod -g 1111 stdl
#groupadd -g 2222 std2
创建用户
#useradd userl
#useradd -u 1088 user2
把用户加入组
#usermod -G std1 user1
#gpasswd -a user2 stdl
#gpasswd -A user2 std1#useradd dal
#useradd -u 1066 da2
#gpasswd#gpasswd -A d2 std2#usermod-C laoda user2
组密码设置
#gpasswd std1
#gpasswd std2
#gpasswd -R std1
#gpasswd -R std2不允许用户远程登录
usermod -s /sbin/nologin u1
passwd -d u1
passwd-l u

Day 7 作业：

1.创建下列用户,组,和组的成员关系（servera）

• 创建组sysmgrs

[root@localhost ~]# groupadd sysmgrs
[root@localhost ~]# cat /etc/group
sysmgrs:x:1001:

• 一个名为 natasha 的用户,其属于 sysmgrs,这个组是该用户的从属组
• 一个名为 harry 的用户,属于 sysmgrs,这个组是该用户的从属组
• 一个名为 sarah 的用户,其在系统汇总没有可以交互的 shell

[root@localhost ~]# useradd -G sysmgrs natasha
[root@localhost ~]# useradd harry
[root@localhost ~]# usermod -G sysmgrs harry
[root@localhost ~]# useradd -s /sbin/nologin  sarah
natasha:x:1001:1002::/home/natasha:/bin/bash
harry:x:1002:1003::/home/harry:/bin/bash
sarah:x:1003:1004::/home/sarah:/sbin/nologin

• 用户 natsha,harry,sarah 的密码都要设定为:modteed

[root@localhost ~]# echo modteed | passwd --stdin natasha
Changing password for user natasha.
passwd: all authentication tokens updated successfully.
[root@localhost ~]# echo modteed | passwd --stdin harry
Changing password for user harry.
passwd: all authentication tokens updated successfully.
[root@localhost ~]# echo modteed | passwd --stdin sarah
Changing password for user sarah.
passwd: all authentication tokens updated successfully.

修改：(1)#groupadd sysmgrs
#useradd -G sysmgrs natasha
#useradd harry
#usermod -G sysmgrs harry   #gpasswd -a harry sysmgrs
#useradd -s /sbin/nologin  sarah
(4))#echo modteed | passwd --stdin natasha
#echo modteed | passwd --stdin harry
#echo modteed | passwd --stdin sarah

2.拷贝文件/etc/fstab 到/var/tmp/fstab 配置文件/var/tmp/fstab 的权限

[root@localhost ~]# cp /etc/fstab /var/tmp/fstab
[root@localhost ~]# ll /var/tmp
total 4
-rw-r--r--. 1 root root 579 Dec  4 20:02 fstab

• 文件/var/tmp/fstab 的拥有者是 root ，文件/var/tmp/fstab 属于 root 组

[root@localhost ~]# chown root:root /var/tmp/fstab
[root@localhost ~]# ll /var/tmp/fstab
-rw-r--r--. 1 root root 579 Dec  6 14:07 /var/tmp/fstab

• 文件/var/tmp/fstab 对任何用户不可执行

[root@localhost ~]# chmod a-x /var/tmp/fstab

• 用户 natasha 能够对文件/var/tmp/fstab/具有读写权限

[root@localhost ~]# setfacl -m u:natasha:rw /var/tmp/fstab

• 用户 harry 对文件/var/tmp/fstab 既不能读也不能写

[root@localhost ~]# setfacl -m u:natasha:- /var/tmp/fstab

• 其他用户(当前和将来的)能对文件/var/tmp/fstab 进行读操作

[root@localhost ~]# chmod o=r /var/tmp/fstab

修改：(1)#cp /etc/fstab /var/tmp/fstab
(2)#chown root:root /var/tmp/fstab
(3)#chmod a-x /var/tmp/fstab
(4)#setfacl -m u:natasha:rw /var/tmp/fstab
(5)#setfacl -m u:natasha:- /var/tmp/fstab
(6)#chmod o=r /var/tmp/fstab

3.创建一个共享目录/home/managers 特性如下

[root@localhost ~]# mkdir -pv /home/managers
mkdir: created directory '/home/managers'           //创建managers
[root@localhost ~]# ll /home
drwxr-xr-x.  2 root    root       6 Dec  6 14:28 managers

• /home/managers 目录的所有权是 sysmgrs

[root@localhost ~]# chown sysmgrs:sysmgrs /home/managers
chown: invalid user: ‘sysmgrs:sysmgrs’

• sysmgrs 组成员对目录有读写和执行的权限。除此之外的其他用户没有任何权限(root 用户除外)

[root@localhost ~]# chmod g=rx /home/managers
[root@localhost ~]# ll /home/
drwxr-xr-x+  2 root    root       6 Dec  6 14:28 managers

• 在/home/managers 目录中创建的文件,其组所有权会自动设置为属于 sysmgrs组

[root@localhost ~]# #chmod g+s /home/managers

修改：(1)#mkdir -pv /home/managers
(2)#chown sysmgrs:sysmgrs /home/managers或：#chown sysmgrs /home/managers#setfacl -m g:sysmgrs:rwx /home/managers
(3)#chmod g=rx /home/managers或：#chmod o=- /home/managers#chmod 770 /home/managers#chmod g+s /home/managers