Linux的账号与权限管理
前言
本文主要讲解了如何创建管理Linux系统中的账号,并通过命令如何对账号的属性,权限进行管理。
3A认证
3A认证属于Linux系统中的验证机制:
A(authentication):验明正身 (A:账户密码一一对应,B:生物特征识别如指纹等,C:验证码:短信认证)其中短信认证最具安全性
A(authorization):授权(什么用户拥有什么样的权限)
A(accounting):审计(什么用户做了什么操作,导致了什么结果)
3A认证一般用于搭建网络,管理路由器
Linux中的管理用户账号和组账号
1.1用户的种类
-
超级管理员(给人使用):拥有最高权限的账户(默认叫做root)可正常登录
-
普通用户(给人使用):拥有部分权限,权限受制的用户。可正常登录
-
程序用户(人不可使用):不可正常登录,只给程序使用
1.2w命令
w命令可以看到当前登录用户,命令格式:w加回车可以看到当前登录的用户
-
USER:用户
-
TTY:登陆方式
-
FROM:从哪里登录
-
LOGIN@ :登陆时间
-
IDLE:进程
-
JCPU:附加到tty(终端)的进程所用的时间
-
PCPU:当前进程所用时间
-
WHAT:当前运行的进程
组的种类
2.1组的划分
-
基本组:一个用户一定要有一个基本组(用户的基本组有且只有一个)
-
附加组:一个用户可以没有附加组,也可以有多个附加组
2.2uid、gid
uid:系统用来识别用户的唯一标识
gid:系统用来识别组的唯一标识
uid首先是整数范围为0-60000
超级管理员 uid一定是0
识别是否为超级管理员只看uid是否为0
命令:id+用户名:查看当前用户的uid gid 以及组
程序用户uid范围(Centos7):1-999
普通用户uid范围:1000-60000
只能修改普通用户的uid范围
管理用户账号
3.1用户帐号文件
文件位置:/etc/passwd(用于存放用户信息)
第一字段:用户名
第二字段:密码占位符
第三字段:uid
第四字段:组id
第五字段:备注信息
第六字段:家目录位置
第七字段:默认shell程序
3.2保存用户的密码、账号有效期等信息
文件位置:/etc/shadow
第一段字段(teacher):用户名
第二段字段(上图从$-8的字符串):密码
当密码为*或者!!时,代表用户不能登录,如下图所示:
第三字段:上一次修改密码的时间,数字含义为从1970-1-1到改密码的时间一共经历了多少天
第四字段:最小修改密码间隔时间 ,如果是0 可以随意修改, 7代表7天后才可以修改
第五字段:密码有效期,默认99999天 273年,设置为 7 代表7天要求你重新设置密码
第六字段:密码到期提醒时间 设置为7 代表密码到期前7天会提示你
第七字段:密码过期后的宽限天数 设置为10 表示密码到期后还可以使用10天
第八字段:用户失效时间 同第 3 个字段一样,使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间,到期后无法登录
第九字段:保留字段
useradd命令
通式:useradd [选项]… 用户名(可以跟多个选项)
该命令主要用于创建新用户时,就给新用户设置属性权限。
4.1useradd -u:指定uid
从下图可以看到我们创建用户zhangsan将uid设置为1001
4.2useradd -g:指定基本组(组名和gid都可以)
下图可以看到我们创建用户lisi将gid设置为1001,要注意gid只能分配已存在的
4.3useradd -G:指定附加组(组名和gid都可以)
如下图所示,我们创建的zhaoliu用户基本组为1004,并指定了用户wangwu加入到了(1001)zhangsan的组中,此时wangwu作为附加组在1001(zhangsan)中
4.4 useradd -d:指定家目录
正常我们创建一个用户,他的家目录在根目录下的/home目录下的同用户名文件,我们通过这个命令可以自定义家目录的名字
4.5useradd -M:不建立家目录
通过我们上面的命令可以使创建的新用户不建立家目录
passwd命令
通式:passwd [选项] 用户名 回车后改密码
5.1passwd -d:清空密码(用户可以不输入密码直接登录)
5.2passwd -l:锁定用户,不允许登录
从上一个命令操作后,我们wangwu用户是可以直接不输密码进入用户界面的,我们现在使用锁定命令,将用户上锁
如上图所示,锁定后的用户将不会出现在系统用户切换界面
5.3passwd -u:解锁用户
用户wangwu被锁定后,我们进行解锁的操作即可正常登录
5.4passwd -S:查看锁定状态
usermod命令
usermod命令用于修改已有用户账户的属性
通式:usermod [选项] 已有的用户名
其中选项:-u、-d、-e、-g、-G、-s与useradd命令中的含义相同
6.1usermod -l:修改登录用户名称
更改用户名文件不会影响家目录的名称,只是用户名的替换
6.2usermod -L:锁定用户
6.3usermod -U:解锁用户
补充:锁定和解锁的用户务必使用含有密码的用户,不含密码的用户解锁需要配合选项[-p]使用(解锁并设置密码)用户容易出现无法解锁的问题。
6.4usermod -e:指定失效时间
格式:usermod -e 到期时间 用户名 (到期时间格式为2000-01-01)
如何给文件与目录设置权限与归属
文件/目录的权限和归属
我们通过命令可以看到根目录下方目录的权限
读取r:允许查看文件内容、显示目录列表
写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
可执行x:允许运行程序、切换目录
归属(所有权)
属主:拥有该文件或目录的用户账号
属组:拥有该文件或目录的组账号
查看文件/目录的权限和归属
格式:ls -l [文件名]
