对安全要求高的服务器,都须要构建合理的用户权限等级制度和服务器操作规范。在linux中主要是通过用户配置文件来查看和更改用户信息。
配置文件
保存用户信息的文件:/etc/passwd
保存密码的文件:/etc/shadow
保存用户组的文件:/etc/group
保存用户组密码的文件:/etc/gshadow
/etc/passwd格式
共7个数组,示例数据为:
root:x:0:0:root:/root:/bin/bash
用户名:密码位:UID(用户标示号):GID(缺省组标示号):描述信息:寄主目录:命令原语(使用的shell,默认为bash)
使用命令:man5passwd
用户名:用户登入系统的用户名
密码:密码位
UID:用户标示号
GID:默认组标识号
描述信息:储存用户的描述信息
寄主目录:用户登入系统的默认目录,普通用户默认是在/home/下
命令解析器:用户使用的Shell,默认是bash
Linux用户分类
超级用户:(root,UID=0)
普通用户:(UID在500到60000)
伪用户:(UID在1到499)
伪用户:
bin、daemon、shutdown、halt等,任何Linux系统默认都有这种伪用户
2、伪用户一般不须要或未能登入系统
3、可以没有寄主目录
/etc/shadow格式
共9个数组,示例数据为:
root:111FAKb8T5g$3ni9CM7RlbrwWpDGfWP0:15439:0:99999:7:::
查看命令:man5shadow
用户名:登入系统的用户名
(忘掉密码,可在shadow下删掉加密密码,不需密码才能登入,之后更改密码)
密码过期后宽限天数:0表示密码过期后立刻失效,-1表示密码永远不会失效
标志:标志
操作用户命令
添加用户命令:useradd
-u指定组ID(uid)
-g指定所属的组名(gid)
-G指定多个组,用冒号“,”分开(Groups)
-c用户描述(comment)
事例:
useradd-u888-gusers-Gsys,root-c“hrzhang”zhangsan
passwdzhangsan
用户密码:生产环境中,用户密码宽度8位以上,设置大小写加数字加特殊字符,要定期更换密码。
更改用户命令:usermod(usermodify)
-l更改用户名(login)usermod-lab(b改为a)
-g添加组usermod-gsystom指定组必须存在
-G更改用户附加组usermod-Gsys,roottom
–L锁定用户帐号密码(Lock)
–U解锁用户帐号(Unlock)
删掉用户命令:userdel(userdelete)
-r删掉帐号时同时删掉目录(remove)
删掉用户时,默认删掉同名的组。
eg:
useraddspark
userdel–rspark
用户组
每位用户起码属于一个用户组
每位用户组可以包含多个用户
同一个用户组的用户享有该组共有的权限
初始组和附加组
附加组:指用户可以加入多个其他的用户组,并拥有这种组的权限,附加组可以有多个。
Id命名
使用id用户名可查看指定用户的id和组id情况
Eg:
/etc/group格式
共4个数组,数据格式为:
root:x:0:root
sys:x:3:root,bin,adm
组名:组密码位:GID:组成员(组内所有用户列表)
组名:用户所在的组
组密码:密码位,通常不使用
GID:主标识号
组内用户列表:属于该组的用户列表
/etc/gshadow文件格式
root:::
bin:::bin,daemon
组名:组密码:组管理员用户名:组中附加用户
操作用户组命令
添加组:groupadd
-g指定gid
更改组:groupmod
-n修改组名(newgroup)
groupmod-nnew_gnameold_gname
删掉组:groupdel
groups
显示用户所属组
2.权限管理
三种基本权限
r读权限(read)
w写权限(write)
x执行权限(execute)
第1位:文件类型(d目录,-普通文件,l链接文件)
第2-4位:所属用户(所有者)权限,用u(user)表示
第5-7位:所属组权限qqforlinux,用g(group)表示
第8-10位:其他用户(其他人)权限,用o(other)表示
第2-10位:表示所有的权限,用a(all)表示
完整信息:一个文件,所属用户具有读写执行权限;所属组的用户
有读写权限,没有执行权限;其他用户只有读权限
类型:f二补码文件l软联接文件d目录b块设备文件c字符设备文件p管线文件(了解)
字符权限对文件的涵义对目录的涵义
r读权限可以查看文件内容可以列举目录的内容(ls)
w写权限可以更改文件内容可以在目录中创建删掉文件(mkdir,rm)
x执行权限可以执行文件可以步入目录(cd)
文件:
r-cat,more,head,tail,less
w-echo,vi
x-命令,脚本
目录:
r-ls
w-touch,mkdir,rm,rmdir
x-cd
能删掉文件的权限是对该文件所在的目录有wx权限。
权限修改-chmod
chmod改变文件或目录权限(changemode)
chmod[{ugoa}{±=}{rwx}][文件名或目录]
chmod[mode=421][文件或目录]
参数:-R下边的文件和子目录做相同权限操作(Recursive递归的)
比如:chmodu+xa.txt
rwx111
只有x12^0=1
只有w121+0*20=2
只有r12^2+021+0*20=4
rwx1+2+4=7
750rwxr-x—
用数字来表示权限(r=4,w=2,x=1,-=0)
比如:chmod750b.txt
rwx用二补码表示是111,十补码4+2+1=7
r-x用二补码表示是101,十补码4+0+1=5
注意:root用户有最大权限,读写不受权限控制。
不能用一个普通用户去更改另一个普通用户的权限。
权限是文件或目录的对外开放程度,
所有者权限控制文件或目录所有者对文件或目录的权限,
所属组权限控制的是组里其他人的权限,
其他人权限控制的非所有者和所属组的用户。
修改所有者-chown
命令:chown[-cfhvR][–help][–version]user[:group]file…
功能:修改文件或则文件夹的拥有者
-c:若该档案拥有者确实早已修改linux命令手册,才显示其修改动作
-f:若该档案拥有者难以被修改也不要显示错误讯息
-h:只对于联结(link)进行变更,而非该link真正指向的档案
-v:显示拥有者变更的详尽资料
-R:对目前目录下的所有档案与子目录进行相同的拥有者变更(即以递回的形式挨个变更)
参数格式:
user:新的档案拥有者的使用者ID
group:新的档案拥有者的使用者群体(group)
eg:chownleefile1把file1文件的所有者改为用户lee
eg:chownlee:testfile1把file1文件的所有者改为用户lee,所属组改为test
eg:chown–Rlee:testdir更改dir及其子目录的所有者和所属组