一、用户、组
在Linux中利用用户来实现多任务操作,不同的用户可以同时使用系统,并且对系统进行操作;Linux是一个等级森严的系统,不同的用户对系统上文件操作的权限不同,为了方便管理,对用户进行分组,属于不同组的用户对文件的操作的权限也不同。Linux系统利用不同的ID来标识唯一的用户,同样利用不同的ID来标识不同的组。
- 用户的类别及用户标识UID
管理员:0
普通用户
系统用户:为了能够让后台进程或者服务类型进程以非管理员的身份运行,通常要为此创建多个普通用户,这类用户从不用登陆系统。1-499(CentOS6), 1-999(CentOS7)
登陆用户:500-60000(CentOS6), 1000-60000(CentOS7)
- 组类别及组标识GID
管理员组:0
普通用户组
系统组:1-499(CentOS6), 1-999(CentOS7)
登陆组:500-60000(CentOS6), 1000-60000(CentOS7)
组类别2
用户的基本组
用户的附加组
组类别3
私有组:组名同用户名,且只包含一个用户
公共组:组内包含了多个用户
Linux系统通过名称解析将用户名组名解析成对应的唯一标识,以此来验证用户的身份以及该用户属于哪个组。
和用户相关的文件:
- 1、/etc/passwd: 用户的信息库
name:passwd:UID:GID:GESOS:directory:shell
name: 用户名
passwd: 可以是加密的密码,也可以是占位符x
UID:
GID: 用户所属的主组的ID号
GESOS: 注释信息
directory: 用户的家目录
shell: 用户的默认shell,登录时默认shell程序
- 2、/etc/passwd: 用户密码
用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期段:过期期限:保留字段
- 3、/etc/group: 组的信息库
group_name:password:GID:user_list
user_list: 该组的用户成员,以此组为附加组的用户列表
- 4、/etc/gpasswd: 组密码
组密码的作用:当一个用户切换其基本组的时候,如果该组不属于用户的附加组,此时,如果该组设定了组密码,那么该用户知道该组的密码时就可以临时将该组切换成其基本组;如果这个组没有设定组密码,那么该用户不能切换至该组。
二、权限
之前说过Linux是一个等级森严的系统,一个文件或者目录对于不同的用户有不同的权限,这个权限主要有r,w,x(可读、可写、可执行),对于文件和目录这三个权限的作用是不同的:
文件:
r: 可获取文件的数据;
w: 可修改文件的数据;
x: 可将文件运行为进程;
目录:
r: 可使用ls命令获取其下的所有文件列表(不包括详细信息)
w: 可修改此目录下的文件列表;即创建或删除文件;
x: 可cd到此目录中,且可使用ls -l来获取所有文件的详细属性信息;
一个文件或者目录的权限主要是对于该文件或目录的属主、属组以及其他用户来说,利用ls -l可以查看一个文件对于属主、属组和其他用户的权限
那么Liunx系统怎么让一个文件的权限起作用呢?
作为用户来操作一个文件,该用户必须发起一个进程,而这个进程是以该用户的身份运行的,所以系统会查看进程的属主(发起进程的用户)与文件的属主是否相同,如果相同,则应用属主权限;否则,则检查进程的属主是否属于文件的的属组,如果是,则应用属组权限;否则,就只能应用其他用户的权限。此过程为进程对文件访问权限应用模型。
三、用户、组管理相关的命令
- 1、用户管理命令
useradd, userdel, usermod, passwd
(1) useradd命令:创建用户
useradd [option] 登陆名
-u UID: 指定UID;
-g GROUP: 指定基本组ID,此组事先要存在;
-G GROUP1[,GROUP2…]: 指明用户所属的附加组,多个组之间用逗号分隔;
-c COMMENT: 指定用户的注释信息;
-d HOME_DIR: 以指定的路径为用户的家目录;通过复制/etc/skel此目录并重命名实现;指定的家目录路径如果实现存在,则不会为用户复制环境配置文件;
-s SHELL: 指定用户的shell,所有可用的shell存储在/etc/shells文件中;
-r: 创建系统用户;
注意:创建用户时的诸多默认选项设定的配置文件为/etc/login.defs
(2) usermod命令:修改用户属性
usermod [option] username
-u UIG: 修改用户的UID;
-g GROUP: 修改用户所属的基本组;
-G GROUP1[,GROUP2…]: 修改用户所属的附加组;原来的附加组会被覆盖;
-a: 与-G一同使用,用于为用户追加新的附加组;
-c COMMENT: 修改注释信息;
-d HOME_DIR: 修改用户的家目录;用户原有的文件不会被转移至新的位置;
-m: 与-d一同使用,用于将原有的家目录移动为新的家目录;
-l NEW_LOGIN: 修改用户名;
-s SHELL: 修改用户默认shell;
-L: 锁定指定用户密码;即在用户原来的密码字符串之前添加一个”!”;
-U: 解锁指定用户密码;
(3) userdel命令:删除指定用户
userdel [option] username
-r: 删除用户时一并删除其家目录;默认不删除用户的家目录;
(4) passwd命令:用户密码管理命令
passwd: 修改用户自己的密码
passwd USERNAME: 修改指定用户的密码,但仅root有此权限;
-l, -u: 锁定和解锁用户;
-d: 清除指定用户的密码;
-e DATE: 过期期限,日期;
-i DAYS: 非活动期限;天数
-n DAYS: 密码的最短使用期限;
-x DAYS: 密码的最长使用期限;
-w DAYS: 密码警告期限;
--stdin:
echo “PASSWORD” | passwd –stdin USERNAME
- 2、组管理命令
groupadd, groupdel, groupmod, gpasswd
(1) groupadd命令: 添加组
groupadd [option] group_name
-g GID: 指定GID;默认是上一个组的GID+1
-r: 创建系统组
(2) groupmod命令:修改组的属性
groupmod [option] GROUP
-g GID: 修改GID
-n new_groupname: 修改组名
(3) groupdel命令:删除组
groupdel [option] GROUP
(4) gpasswd命令
gpasswd [option] group 不带选项为组添加密码
-u USERNAME: 向组中添加用户;
-d USERNAME: 从组中移除用户;
- 3、其他命令
newgrp, chage, chsh, id, su, finger, chfn, pwck, grpck
(1) newgrp GROUP: 将GROUP临时切换为用户的基本组
newgrp [-] [group]
-: 会模拟用户重新登录以实现重新初始化其工作环境
(2) chage命令:修改用户密码的过期信息
chage [option] username
(3) chsh命令:修改指定用户的默认shell;
(4) id命令:显示用户真是有效的ID信息
id [option]… [username]
-u: 仅显示有效的UID;
-g: 仅显示用户所属基本组ID;
-G: 显示用户所属的所有组ID;
-n: 显示名称而非ID;
(5) su命令:switch user
登录式切换:会通过读取用户的配置文件来重新初始化
su – USERNAME
su -l USERNAME
非登录式切换:不会读取目标用户的配置文件进行初始化
su USERNAME
注意:管理员可无密码切换至其他任何用户;
su -c ‘COMMAND’: 仅以指定用户的身份运行此处指定的命令;
su – dabric -c ‘whoami’
(6) finger命令:显示指定用户的信息;
(7) chfn命令:修改用户的信息;
(8) pwck命令:检查指定用户用户密码文件是否异常;
(9) grpck命令:检查指定用户组密码文件是否异常;
四、权限管理相关的命令
- 1、文件权限管理命令
chmod
chmod命令(用户仅能修改属主为自己的文件)
chmod [OPTION]… MODE[,MODE]… FILE…
chmod [OPTION]… OCTAL-MODE FILE…
chmod [OPTION]… --reference=RFILE FILE…
(1) chmod [OPTION]… MODE[,MODE]… FILE…
MODE表示法:
赋权表示法:直接操作一类用户的所有权限位
u=
g=
o=
a=
授权表示法:直接操作一类用户的一个权限位r,w,x
u+,u-
g+,g-
o+,o-
a+,a-
(2) chmod [OPTION]… OCTAL-MODE FILE…
八进制表示法:
(3) chmod [OPTION]… –reference=RFILE FILE…
引用参考文件的权限来修改当前文件的权限
选项:
-R, --recursive: 递归修改(在授权表示法中常用)
- 2、文件从属关系管理命令
chown, chgrp(仅管理员可修改文件的属主和属组)
(1) chown命令:
chown [OPTION]… [OWNER][:[.][GROUP]] FILE…
chown [OPTION]… --reference=RFILE FILE…
选项:
-R, --recursive: 递归修改
(2) chgrp命令:
chgrp [OPTION]… GROUP FILE…
chgrp [OPTION]… --reference=RFILE FILE…
- 3、umask: 文件的权限反向掩码,遮罩码
文件:666-umask
目录:777-umask
注意:之所以文件用666去减,表示文件默认不能拥有执行权限,如过减得的结果中有执行权限,则需要将其加1;
umask命令:
umask: 查看当前umask
umask MASK: 设置umask
注意:命令的设定仅对当前shell进程有效;
五、扩张命令
- 1、 install的使用
install命令:
install – copy files and set attributes
单源复制:
install [OPTION]… [-T] SOURCE DEST
多源复制:
install [OPTION]… SOURCE… DIRECTORY
install [OPTION]… -t DIRECTORY SOURCE…
创建目录:
install [OPTION]… -d DIRECTORY…
常用选项:
-m, --mode=MODE: 设定目标文件的权限,默认为755
-o, --ownwer=OWNER: 设定目标文件的属主
-g, --group=GROUP: 设定目标文件的属组
- 2、 mktemp的使用
mktemp命令:创建临时文件或者临时目录
mktemp [OPTION]… [TEMPLATE]
-d: 创建临时目录
mktemp /tmp/mytmp.XXXX
引用该文件名,将其执行的结果保存在变量中使用
注意:mktemp会将创建的临时文件名直接返回,因此,可直接通过命令引用保存至变量中;
练习
完成以下任务
- 新建系统组mariadb, 新建系统用户mariadb,要求其没有家目录,且shell为/sbin/nologin:
尝试root切换至用户,查看其命令提示符; - 新建GID为5000的组dabric,新建用户gentoo,要求其家目录为/users/gentoo,密码同用户名;
- 新建用户fedora,其家目录为/users/fedora,密码同用户名;
- 新建用户www,其家目录为/users/www;删除www用户,但保留其家目录;
- 为用户gentoo和fedora新增附加组dabric;
- 复制目录/var/log至/tmp/目录,修改/tmp/log及其内部的所有文件