Linux账号和权限管理
一.管理用户账号
1.1、用户账号概述
超级用户(root):是 Linux 操作系统中默认的超级用户账号,对本主机拥有至高无上的权限,类似于 Windows 操作系统中的 Administrator 用户。只有当进行系统管理、维护任务时,才建议使用 root 用户登录系统,日常事务处理建议只使用普通用户账号。
普通用户:普通用户账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限。
程序用户:在安装 Linux 操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail 等。
用户标识号:UID
超级用户账号的UID固定值0
程序用户账号的UID默认为Centos5,6: 1~499,Centos7: 1~ 999
普通用户的UID默认为Centos5, 6: 500~ 65535,Centos7: 1000~ 65535
1.2、用户账号文件
操作系统中所有用户的账号基本信息都保存在/etc/passwd 文件中,保存用户名称、宿主目录、登录shell等基本信息
[root@localhost ~]# head -5 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
[root@localhost ~]# tail -5 /etc/passwd
hao123:x:1001:1001::/home/hao123:/bin/bash
user1:x:2000:2000::/home/user1:/bin/bash
user3:x:2001:2001::/opt/aa:/bin/bash
why:x:2002:2002::/home/user5:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
shadow 文件又被称为“影子文件”,保存用户的密码、账号有效期等信息,因此对 shadow文件的访问应该进行严格限制。默认只有 root 用户能够读取 shadow 文件中的内容,且不允许直接编辑该文件中的内容。
[root@localhost ~]# head -5 /etc/shadow
root:$6$mcY9c9ietgpIygcC$kCmOjYZPlhGOwbF5/tI.Ksy.bgFbBAUFIDNSqyqGSEMq6UbvEUow9mcl2UymZy7dILABBsYmV4.Z0m4p1Y6no1::0:99999:7:::
bin:*:17110:0:99999:7:::
daemon:*:17110:0:99999:7:::
adm:*:17110:0:99999:7:::
lp:*:17110:0:99999:7:::
[root@localhost ~]# tail -5 /etc/shadow
hao123:!!:18874:0:99999:7:::
user1:!!:18874:0:99999:7:::
user3:!!:18874:0:99999:7:::
why:!!:18874:0:99999:7:::
apache:!!:18875::::::
1.3、添加用户账号——useradd
useradd 命令用于添加用户账号
格式:useradd 【选项】... 用户名
[root@localhost ~]# useradd qiaozhi
[root@localhost ~]# tail -1 /etc/passwd
qiaozhi:x:2003:2003::/home/qiaozhi:/bin/bash
[root@localhost ~]# tail -1 /etc/shadow
qiaozhi:!!:18876:0:99999:7:::
[root@localhost ~]# ls -A /home//qiaozhi/
.bash_logout .bash_profile .bashrc .mozilla
常用选项:
-u:指定用户的uid号
-d:指定家目录
-g:指定用户基本组
-e:过期时间
-G:指定用户附加组
-M:创建新用户时不创建家目录
-s:bash环境
1.4、设置/更改用户口令——passwd
通过 useradd 命令新增用户账号以后,还需要为其设置一个密码才可以正常使用。passwd 命令可以设置或修改密码,root 用户有权管理其他账号的密码。
格式:passwd 【选项】... 用户名
更改用户 qiaozhi 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
住:密码一定不能少于8个字符且不能太简单
[root@localhost ~]# passwd qiaozhi
更改用户 qiaozhi 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
我这里设的是142917743
==常用命令:
-d:清空密码
-l:锁定用户
-S:查看用户账户的状态
-u:解锁用户
[root@localhost ~]# passwd -d qiaozhi
清除用户的密码 qiaozhi。
passwd: 操作成功
[root@localhost ~]# passwd -l qiaozhi
锁定用户 qiaozhi 的密码 。
passwd: 操作成功
[root@localhost ~]# passwd -S qiaozhi
qiaozhi LK 2021-09-06 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# passwd -u qiaozhi
解锁用户 qiaozhi 的密码。
passwd: 警告:未锁定的密码将是空的。
passwd: 不安全的操作(使用 -f 参数强制进行该操作)
1.5、修改用户账号的属性——usermod
格式:usermod 【选项】... 用户名
常用命令:
-l 修改用户名
-L 锁定用户
-U 解锁用户
注:-u -d -e -g -G -s 与useradd命令相同
修改的新名字在旧名字前面
[root@localhost ~]# usermod -l qiaoz zzz
usermod:用户“zzz”不存在
[root@localhost ~]# usermod -l zzz qiaoz
[root@localhost ~]# id zzz
uid=2002(zzz) gid=2002(qiaoz) 组=2002(qiaoz)
1.6、删除用户账号——userdel
格式: userdel 【-r】 用户名 注:-r连用户的宿主目录一并删除
[root@localhost ~]# ls -a /home/
. .. daiwei hao1 lisan lisi qiao qiaoz yang
[root@localhost ~]# userdel -r qiao
[root@localhost ~]# ls -a /home/
. .. daiwei hao1 lisan lisi qiaoz yang
二.管理组账号
2.1、组账号概述
***基本组(私有组):每一个用户账号至少属于一个组。
***附加组(公共组):用户除了基本组以外,额外添加指定的组。
GID:组标识号
2.2、组账号文件
与用户账号文件相类似
- /etc/group:保存组帐号基本信息
- /etc/gshadow:保存组帐号的密码信息
[root@localhost ~]# head -5 /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
[root@localhost ~]# head -5 /etc/gshadow
root:::
bin:::
daemon:::
sys:::
adm:::
2.3、添加组账号——groupadd
格式:groupadd 【-g GID】 组名称
[root@localhost ~]# groupadd -g 1500 market
[root@localhost ~]# tail -4 /etc/group
daiwei:x:2000:
daiwei2:x:2001:
qiaoz:x:2002:
market:x:1500:添加成功
2.4、添加和删除组成员——gpasswd
格式: gpasswd 【选项】... 用户名 组
常用选项:
| 选项 | 作用 |
| -d | 从组内删除一个用户 |
| -a | 向组内加入一个用户 |
| -M | 定义组成员列表,以逗号,分隔 |
2.5、删除组账号——groupdel
格式:groupdel 组账号名
[root@localhost ~]# tail -5 /etc/group
qiaoz:x:2002:
market:x:1500:
q1:x:2003:
q2:x:2004:
q3:x:2005:
[root@localhost ~]# groupdel market
[root@localhost ~]# tail -5 /etc/group
daiwei2:x:2001:
qiaoz:x:2002:
q1:x:2003:
q2:x:2004:
q3:x:2005:
2.6、查询账号信息——finger
格式:finger 【用户名】
[root@localhost ~]# finger root
Login: root Name: root
Directory: /root Shell: /bin/bash
On since 二 9月 7 14:43 (CST) on :0 from :0 (messages off)
On since 二 9月 7 14:44 (CST) on pts/0 from 192.168.32.1
2 hours 15 minutes idle
On since 二 9月 7 15:57 (CST) on pts/1 from 192.168.32.1
2 seconds idle
No mail.
No Plan.
2.7、查询已登录到主机的用户信息——w、who、users
[root@localhost ~]# who
root :0 2021-09-07 14:43 (:0)
root pts/0 2021-09-07 14:44 (192.168.32.1)
root pts/1 2021-09-07 15:57 (192.168.32.1)
[root@localhost ~]# w
17:38:45 up 2:29, 3 users, load average: 0.00, 0.01, 0.03
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root :0 :0 14:43 ?xdm? 36.47s 0.19s /usr/libexec/gnome-session-binary --session gnome-classic
root pts/0 192.168.32.1 14:44 2:16m 0.22s 0.22s -bash
root pts/1 192.168.32.1 15:57 5.00s 0.06s 0.00s w
[root@localhost ~]# users
root root root
三.管理目录和文件属性
3.1、访问权限
(1)读取r: 允许查看文件内容、显示目录列表
(2)写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
(3)可执行x:允许运行程序、切换目录
3.2、归属(所有权)
(1)属主:拥有该文件或目录的用户帐号
(2)属组:拥有该文件或目录的组帐号
3.3、查看文件/目录的权限和归属
[root@localhost ~]# ls -l
总用量 8
-rw-------. 1 root root 2056 9月 3 16:12 anaconda-ks.cfg
-rw-r--r--. 1 root root 2104 9月 3 16:23 initial-setup-ks.cfg
drwxr-xr-x. 2 root root 6 9月 3 16:23 公共
drwxr-xr-x. 2 root root 6 9月 3 16:23 模板
drwxr-xr-x. 2 root root 6 9月 3 16:23 视频
drwxr-xr-x. 2 root root 6 9月 3 16:23 图片
drwxr-xr-x. 2 root root 6 9月 3 16:23 文档
drwxr-xr-x. 2 root root 6 9月 3 16:23 下载
drwxr-xr-x. 2 root root 6 9月 3 16:23 音乐
drwxr-xr-x. 2 root root 6 9月 3 16:23 桌面
d-rw-r–r--,用数值形式表示该权限644,该文件属性是文件所有者可读可写文件所属组可读 其他用户可读
3.4、设置文件和目录的权限——chmod
chmod 【ugoa】u(属主)g(属组)o(其他用户)a(所有用户)【+-=】+增加-去除=设置权限【rwx】r、w、x 读、写、运行权限 文件或目录....
chmod nnn(3位八进制数)文件或目录...
[root@localhost opt]# chmod +rwx aa
[root@localhost opt]# ll
总用量 4
drwxr-xr-x. 3 root root 16 9月 6 20:36 11
drwxr-xr-x. 2 root root 6 9月 4 12:20 aa
-rw-r--r--. 1 root root 2107 9月 4 08:46 passwd
drwxr-xr-x. 2 root root 6 3月 26 2015 rh
常用命令:-R 递归修改知道目录下所有子项目的权限
[root@localhost opt]# mkdir -p sss/ccc/ddd
[root@localhost opt]# chmod -R 777 sss
[root@localhost opt]# ll -R sss
sss:
总用量 0
drwxrwxrwx. 3 root root 17 9月 7 17:56 ccc
sss/ccc:
总用量 0
drwxrwxrwx. 2 root root 6 9月 7 17:56 ddd
sss/ccc/ddd:
总用量 0
3.5、权限掩码umask
umask作用:
控制新建的文件或者目录的权限
默认权限去除umask的权限为新建的文件或者目录的权限
umask设置:umask 022
umask查看: umask