Linux命令系列之 |
您所在的位置:网站首页 › linux用户组权限的意义 › Linux命令系列之 |
1.用户和组管理
用户和组相关文件: /etc/passwd:用户及其属性信息 /etc/shadow:用户密码及其相关属性 /etc/group:组及其属性信息 /etc/gshadow:组密码及其相关属性/etc/passwd文件格式: login name:登录用户名称 passwd:密码 UID:用户身份编号 GID:登录默认所在组编号 GECOS:用户全名或注释 home directory:用户主目录,家目录,如 /home/hong shell:用户默认使用shell(如/bin/bash)/etc/shadow文件格式: 登录用户名称 用户密码:一般用sha512加密 从1970年1月1日起到密码最近一次被更改的时间用户和组的关系: 用户的主要组:用户必须属于一个且只有一个主组,默认创建用户时会自动创建主组 用户的附加组:一个用户可以属于零个或多个辅助组,附属组 1.1组管理Linux中可以将一个或多个用户加入用户组中,用户组是通过GID(group identifie)来唯一标识。 管理员组:root - 0 普通组: 系统组:对守护进程获取资源进行权限分配 普通组:给用户使用用户组命令: groupadd:添加组 groupmod:修改组 groupdel:删除组 gpasswd:修改组密码 newgrp:临时切换组 groupmems:更改和查看组成员 groups:查看用户组关系 1.2用户管理linux中每个用户是通过UID(user identifie)来唯一标识的。 管理员UID:root - 0 普通用户UID:1-60000自动分配 系统用户:对守护进程获取资源进行权限分配 1-499(centos6版本以前),1-999(centos7版本之后) 登录用户:给用户进行交互式登录使用 500+(centos6版本以前),1000+(centos7版本之后)用户管理命令: useradd命令 - 可以创建新的Linux用户 #格式 useradd [option] LOGIN #常用选项 -u:UID -o:配合-u选项,不检查UID的唯一性 -g GID:指明用户所属基本组 -c "comment":用户注释信息 -d HOME_DIR:以指定路径为家目录 -s SHELL:指明用户默认shell程序 -G GROUP:为用户指明附加组,组须事先存在 -N:不创建私用组做主组,使用users组做主组 -r:创建系统用户 -m:创建家目录,用于系统用户 -M:不创建家目录,用于非系统用户 -p:指定密码usermod命令 - 可以修改用户属性 #格式 usermod [option] LOGINuserdel - 删除Linux用户 userdel [option]... LOGIN #常见选项 -f,--force 强制 -r,--remove 删除用户家目录和邮箱id - 查看用户的UID,GID信息 id [option]... [user] #常见选项 -u:显示UID -g:显示GID -G:显示用户所属的组ID -n:显示名称,需配合ugG使用su - switch user:可以切换用户身份,并且以指定用户的身份执行命令 #格式 su [option...] [-] [user [args..]] #常见选项 -l,--login su -l username,相当于su - username -c,--command 把一个简单命令传给shell切换用户的方式: su username:非登录模式切换,即不会读取目标用户的配置文件,不改变当前工作目录,为不完全切换 su - username:登录模式切换,会读取目标用户的配置文件,切换至自己家目录,即完全切换passwd - 可以修改用户密码 #格式 passwd [options] usename #常用选项 -d:删除指定用户密码 -l:锁定指定用户 -u:解锁指定用户 -e:强制用户下次登录修改密码 -f:强制操作 -n mindays -x maxdays -w warndays -i inactivedays:非活动期限 --stdin:从标准输入接收用户密码用户相关命令: chfn:指定个人信息 chsh:指定shell finger:查看用户个人信息 2.用户权限管理 2.1 文件权限常用命令 chown:设置文件的所有者 chgrp:设置文件的属组 2.1.1 文件权限介绍文件权限对象定义: owner:属主,u group:属组,g other:其他,o文件针对访问者的权限 r:Readable 可读 w:Writeable 可写 x:Excutable 可执行对文件的权限: r 可使用文件查看工具,如,cat,获取内容 w 可修改其内容 x 可以把此文件提请内核启动为一个进程,即可以执行此文件对目录的权限: r 可以使用ls查看此目录中文件列表 w 可在此目录中创建文件,也可以删除此目录中的文件,而和此被删除的文件的权限无关 x 可以cd进入目录,可以使用ls -l看文件元数据,属于目录可访问的最小权限 X 只给目录x权限,不给无执行权限的文件x权限数学法权限: r 对应数字4 w 对应数字2 x 对应数字1 2.1.2文件授权授权方式: mode:who opt permission who:u,g,o,a opt:+,-,= permission:r,w,x实例:文件授权 #给文件授予用户写执行,组写执行,其他读执行 [root@local ~]# chmod u+wx,g-r,o=rx file.txt #给目录递归授权,文件属组为读写执行权限 [root@local ~]# chmod -R g+rwx /testdir #数字授权法:给文件授权用户读写,组读,其他用户读权限 [root@local ~]# chmod 644 file.txt 2.2 默认权限umask - 可以用来保留在创建文件权限 实现方式: 新建文件:默认权限 666-umask,如果所得结果某位存在执行权限(奇数),则将其权限+1,偶数不变 新建目录:默认权限 777-umask非特权用户umask默认是002 root的umask默认是022 umask用法: [root@local ~]# umask #模式方式显示 [root@local ~]# umask -S #输出可被调用 [root@local ~]# umask -p #修改umask值 [root@local ~]# umask num持久保存umask 全局设置: /etc/bashrc 用户设置:~/.bashrc 2.3 特殊权限r,w,x三种特殊权限: SUID SGID Sticky二进制的可执行文件上SUID特殊权限功能: 1. 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限 2. 启动为进程后,其进程的属主为原程序文件的属主 3. SUID只对二进制可执行程序有效 4. SUID设置在目录上无意义二进制的可执行文件上的SGID权限功能: 1. 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限 2. 启动为进程后,其进程的属组为原程序文件属组Sticky权限功能: 1. 具有写权限的目录通常用户可以删除目录中的任何文件,无论该文件的权限或拥有权在目录设置Sticky位,只有文件的所有者或root可以删除该文件。 2. sticky设置在文件上无意义特殊权限用法: #给文件属主添加SUID权限 [root@local ~]# chmod u+s file.txt #数字授权方式:给文件属主添加SUID权限 [root@local ~]# chmod 6xxx file.txt #取消文件属主SUID权限 [root@local ~]# chmod u-s file.txt #给文件属组添加SGID权限 [root@local ~]# chmod g+s file.txt #数字授权方式:给文件属组添加SGID权限 [root@local ~]# chmod 2xxx file.txt #取消文件属组SGID权限 [root@local ~]# chmod g-s file.txt #给文件其他用户添加Sticky权限 [root@local ~]# chmod o+t dir #数字授权方式:给文件其他用户添加Ssticky权限 [root@local ~]# chmod 1xxx dir #取消文件其他用户Sticky权限 [root@local ~]# chomd o-t dir设定文件特殊属性: [root@local ~]# chattr +i file.txt #不能删除,改名,更改 [root@local ~]# chattr +a file.txt #只能追加内容,不能删除,改名 [root@local ~]# lsattr #显示特定属性 2.4 文件访问控制列表ACLACL - Access Control List,实现灵活的权限管理 除了文件的所有者,所属组和其他人,可以对更多的用户设置权限 ACL命令用法: [root@local ~]# setfacl -m u:hong:- file.txt [root@local ~]# getfacl file.txtACL备份和还原 主要的文件操作命令,如cp,mv都支持ACL,只是cp命令需要加上-p参数。 但tar等常见的备份工具是不会保留目录和文件的ACL信息 3.相关概念及操作资源分派 Authentication:认证,验证用户身份 Authorization:授权,不同的用户设置不同权限 Accouting | Audition:审计安全上下文 Linux安全上下文context:运行中的程序,即进程(process),以进程发起者的身份运行,进程所能够访问的资源的权限取决于进程的运行者身份。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |