账号与权限管理（Linux部分）

账号与权限管理（Linux部分）

账号与权限管理

一、用户账号和组账号概述

1.Linux基于用户身份对资源访问进行控制

用户帐号 ： 超级用户（root用户是Linux系统中默认的超级用户，拥有最高权限且是唯一） 普通用户（只在用户自己的宿主目录中拥有完整权限） 程序用户（仅用于维持系统或某个程序的正常运行如bin、daemon、ftp、mail等） 组帐号：基本组(私有组)；附加组（公共组) UID和GID：UID (User IDentity，用户标识号) GID (Group lDentify，组标识号)

root 用户账号的UID和GID 号为固定值0程序用户账号的UID和GID号默认为Centos5,6: 1~499，Centos7:1～999普通用户的UID和GID号默认为 centos5,6:500~60000，centos7: 1000~60000

2.用户账号文件/etc/passwd

保存用户名称、宿主目录、登录shell等基本信息

文件位置：/etc/passwd 每一行对应一个用户的账户记录

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的UNIX操作系统中，用户帐号的mi码信息是保存在passwd文件中的，不法用户可以很容易的获取mi码字串并进行暴力解开，因此存在一定的安全隐患。后来经改进后，将mi码转存入专门的shadow文件中，而passwd文件中仅保留mi码占位符".x”。

root：x：0：0：root：/root：/bin/bash

3.用户密码文件/etc/shadow

用于保存用户mi码、账号有效期等

文件位置：/etc/shadow 每一行对应一个用户的mi码记录

（默认只有root用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容。）

root：$6$VyOUGqOC$v5H1LM1wagZC/FwGfnrtJFn1T:18445:0:99999:7:::

字段1:用户帐号的名称

字段2:使用MD5加密的mi码字串信息，当为"*"或"!!"时表示此用户不能登录到系统。若该字段内容为空，则该用户无须mi码即可登录系统

字段3:上次修改mi码的时间，表示从1970年01月o1日算起到最近一次修改mi码时间隔的天数

字段4:mi码的最短有效天数，自本次修改mi码后，必须至少经过该天数才能再次修改mi码。默认值为0，表示不进行限制

字段5:mi码的最长有效天数，自本次修改mi码后，经过该天数以后必须再次修改mi码。默认值为99999，表示不进行限制

字段6:提前多少天警告用户mi码将过期，默认值为7

字段7:在mi码过期之后多少天禁用此用户

字段8:帐号失效时间，此字段指定了用户作废的天数（从1970年1月1日起计算)，默认值为空，表示账号永久可用。

字段9:保留字段(未使用)

二、 管理账号命令

1.添加账号useradd（adduser0）

格式

useradd [选项]... 用户名

在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etcl/gshadow文件中。常用选项:-u:指定用户的UID号，要求该UID号码未被其他用户使用。 -d:指定用户的宿主目录位置（当与-M一起使用时，不生效)。只能用绝对路径指定目录，且不需要事先创建目录 -e:指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式。 -g:指定用户的基本组名（或使用GID号)，对应的组名必须已存在。 -G:指定用户的附加组名（或使用GID号)，对应的组名必须已存在。 -M:不建立宿主目录。 -s:指定用户的登录shell，（比如/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)。

2.设置/更改用户口令passwd

passwd命令： passwd [选项]... 用户名

常用选项

-d:清空指定用户的mi码，仅使用用户名即可登录系统。 -l:锁定用户账户，锁定的用户账号将无法再登录系统。 -s:查看用户账户的状态(是否被锁定)。 -u:解锁用户账户。

3.修改用户账号的属性usermod

usermod命令：

usermod [选项]... 用户名

常用选项：

-l:更改用户账号的登录名称。（usermod -l 新名称 旧名称） -L:锁定用户账户。 -U:解锁用户账户。

4.删除用户账号userdel

userdel命令：

userdel [-r] 用户名

三、用户帐号的初始配置文件

文件来源 ouseradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件。 主要的用户初始配置文件 ~/.bash _profile ~/.bashrc ~/.bash_logout

1.组账号文件

与用户账户文件相类似

- /etc/group ##保存组帐号基本信息 - /etc/gshadow ##保存组帐号的mi码信息

[root@localhost~]# grep "postfix" /etc/group mail:x：12:postfix postfix:x：89:

字段1:组帐号的名称 字段2:占位符"x" 字段3:组账号的GID号 字段4:组账号包含的用户成员（一般不包括基本组对应的用户帐号)，多个成员之间以逗号","分隔

2.添加删除组账号gpasswd

gpasswd命令：

设置组帐号mi码(极少用)、添加/删除组成员

gpasswd [选项]... 组帐号名

常用选项：

-a:向组内添加一个用户 -d:从组内删除—个用户成员 -M:定义组成员列表，以逗号分隔

3.查询账号信息

groups命令：查询

finger命令：查询用户账号的登录属性（注：需先进行安装finger包）

四、文件/目录的权限和归属

访问权限

读取r：允许查看文件内容、显示目录列表 写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录 可执行x：允许运行程序、切换目录

归属（所有权）

属主：拥有该文件或目录的用户账号 属组：拥有该文件或目录的组账号

查看文件/目录的权限和归属

[root@localhost ~]# ls -l install.log -rw-r--r-- 1 root root 34298 04-02 00:23 install.log

文件类型、权限（-rw-r--r--）属主、属组（root root）

五、设置文件和目录的权限chmod

chmod命令

chmod [ugoa] [*-=] [rwx] 文件或目录... 或 chmod nnn 文件或目录...

常用选项

-R：递归修改指定目录下所有子项的权限

chown命令

chown：属主 文件或目录 chown：属组 文件或目录 chown 属主：属组 文件或目录

六、设置目录和文件的默认权限umask

umask作用

控制新建的文件或者目录的权限 默认权限umask的权限为新建的文件或目录权限

umask设置：umask 022（默认掩码的值）

umask查看：umask

示例：1，将umask设为000，新建目录或文件，查看权限

2，将umask设为022，新建目录或文件，再查看权限

{普通文件的最大默认权限为6（rw）

目录的最大默认权限为7（rwx）}

目录：最大默认权限 777 减去 umask 后三位得出当前创建目录的默认权限

文件：由于文件的默认权限为偶数，777减去umask后得出是奇数，则需再减1变为偶数，由此得出当前创建文件的默认权限

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。