账号和权限管理

管理用户账户和组账号

用户账号和组账号的概述

LINUX基于用户身份对资源访问进行控制

用户账号

1、超级用户：root用户是linux操作系统中默认的超级用户，对本主机拥有最高的权限，在一个系统中是唯一的，在生产环境中不会获得root权限。 2、普通用户：由管理员用户或者ROOT用户创建的用户，权限往往被限制。只有在自己的家目录中才有全部的权限 3、程序用户：在安装LINUX操作系统及部分应用程序时，会添加一些特定的低权限用户账号，是不允许登录的，仅用于维持系统或某个程序的正常运行，如bin、daemon、ftp、mail等。

组账号

基本组（私有组）：一个用户只有一个基本组，创建用户时就会产生的组，原生的。在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号。 附加组（公共组）：用户除了基本组意外，额外添加的组 。

UID和GID

UID（User IDentity,用户标识号）：是唯一的，不可重复的 GID（Group IDentify,组标识号）：在系统中是唯一的，不能重复的 root用户账号的UID和GID号为固定值0 程序用户账号的UID和GID号默认为Centos5,6:1-499，Centos7:1-999 普通用户的UID和GID号默认为Centos5,6:500-60000,Centos7:1000-60000

用户账号文件/etc/passwd

保存用户名称、宿主目录、登录Shell等基本信息。文件位置：/etc/passwd 每一行对应一个用户的账号记录（wc -l /etc/passwd 查看行数）

root:x :0 : 0:root: root :bin/bash

字段1：用户账号的名称 字段2：用户密码占位符"x" 字段3：用户账号的UID号 字段4：所属基本组账号的GID号 字段5：用户全名 字段6：宿主目录 字段7： （/bin/bash为可登录系统，/sbin/nologin和/bin/false为禁止用户登录系统）sbin 会告知不被登录，bin不会告知

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。 在早起的UNIX操作系统中，用户账号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字符串并进行暴力解开，因此存在一定的安全隐患。后来经过改进后，将密码转存入专门的shadow文件中，而passwd文件中保留密码占位符"x"。

用户密码文件/etc/shadow

默认只有root用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容。 保存用户的密码、账号有效期等信息 文件位置：/etc/shadow

root：密文：：：：：：：

字段1：用户账号的名称 字段2：使用MD5加密的密码字符串，当为"*"或"！！"时表示此用户不能登录到系统。如该字段内容为空，则该用户无需密码即可登录系统 字段3：上次修改密码的时间，表示从1970年1月1日算起到最近一次修改密码时间间隔的天数 字段4：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制 字段5：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码，默认值为99999，表示不进行限制 字段6：提前多少天警告用户密码将过期，默认值为7 字段7：在密码过期之后多少天禁用此用户 字段8：账号失效时间，此字段指定了用户作废的天数（从1970年1月1日起计算），默认值为空，表示账号永久可用。 字段9：保留字段（未使用）

添加用户账户

useradd命令 或者 adduser 命令格式： useradd [选项]... 用户名 adduser 用户名 在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow文件中。

常用选项： -u ：指定用户的UID号，要求该UID号码未被其他用户使用 -d ：指定用户的宿主目录位置（当与-M一起使用时，不生效）。只能用绝对路径指定目录，且不需要事先创建目录，不能指定已经存在的目录 -e ：指定用户的账号失效时间，可使用YYYY-MM-DD的日期格式。 -g ：指定用户的基本组名（或使用GID号），对应的组名必须已存在。 -G ：指定用户的附加组名（或使用GID号），对应的组名必须已存在。 -M ：不建立家目录。 -s ：指定用户的登录Shell，(比如/bin/bash为可登录系统，/sbin/nologin和**/bin/false**为禁止用户登录系统)。

设置/更改用户口令passwd

为用户账户设置密码passwd root用户可以指定用户名作为参数，对指定账号的密码进行管理；不指定用户名时，修改当前账号的密码。普通用户只能执行单独的"passwd"。

passwd 命令

passwd []... 常用选项 -d ：清空指定用户的密码，仅使用用户名即可登录系统。 -l ：锁定用户账户，锁定的用户账号将无法再登录系统。 -S ：查看用户账户的状态（是否被锁定） -u ：解锁用户账户 -f ：参数强制进行操作（密码为空时强制解锁）

设置用户密码的方法二：echo "密码" |passwd --stdin 用户名

修改用户账号的属性usermod

usermod命令格式： usermod [选项]... 用户名 常用选项： -u ：修改用户的UID号。 -d ：修改用户的宿主目录位置。 -e ：修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式。 -g ：修改用户的基本组名（或使用GID号）。 -G ：修改用户的附加组名（或使用GID号）。 -s ：指定用户的登录Shell。 -l ：更改用户账号的登录名称。 -L ：锁定用户账户。 -U ：解锁用户账户。

删除用户账号userdel

userdel [-r] 用户名 添加-r选项时，表示连用户的宿主目录一并删除 用户账号的初始配置文件 文件来源 useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。 这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件。

主要的用户初始配置文件

用户宿主目录下的初始配置文件只对当前用户有效 ~/.bash_profile ==//此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashrc文件。== ~/.bashrc ==//此文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行，并且会调用/etc/bashrc文件。== ~/.bash_logout ==//此文件中的命令将在用户每次退出登录或退出bash shell时执行。 /etc/profile== //这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile 命令使profile文件被读取 /etc/profile.d ==//这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需要的启动脚本== /etc/bashrc ==//每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shell时，使bashrc文件被读取== vi /etc/bashrc alias myls='/bin/ls -lhr'

组账号文件

与用户账号文件相类似 /etc/group:保存组账号基本信息 /etc/gshadow:保存组账号的密码信息 grep "postfix" /etc/group mail: x :12：postfix postfix: x :89: 字段1：组账号的名称 字段2：占位符"x" 字段3：组账号的GID号 字段4：组账号包含的用户成员（一般不包括基本组对应的用户账号），多个成员之间以逗号","分隔

添加组账号 groupadd

groupadd [-g GID] 组账号名 -g：指定GID号 添加删除组成员gpasswd：设置组帐号密码（极少用）、添加/删除组成员 gpasswd [选项]... 组帐号名 常用选项： -a：向组内添加一个用户 -d：从组内删除一个用户成员 -M：定义组成员列表，以逗号分隔

删除组帐号groupdel

groupdel 组帐号名 查询帐号信息 查询用户所属的组：groups [用户名] ID命令 查询用户身份标识 id [用户名] finger命令：查询用户帐号的登录属性 注：需要先进行安装finger软件包 finger [用户名] w、who、users命令：查询已登录到主机的用户信息

管理目录和文件的属性

文件/目录的权限和归属 访问权限 读取r：允许查看文件内容、显示目录列表 写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录 可执行x：允许运行程序、切换目录 归属（所有权） 属主：拥有该文件或目录的用户账户 ls -l 3第三个字段 属组：拥有该文件或目录的组账号 第四个字段

设置文件和目录的权限chmod chmod命令 chmod [ugoa] [+-=] [rwx] 文件或 目录 或chmod nnn 文件或目录 u属主、g属组、o其他用户、a所有用户，+增加、-去除、=设置权限、r读、w写、x运行权限，nnn表示3位八进制数 常用选项 -R：递归修改指定目录下所有子项的权限 设置文件和目录的归属chown chown命令 chown 属主 文件或目录 chown :属组 文件或目录 chown 属主：属组 文件或目录 常用选项 -R：递归修改指定目录下所有子项的权限

设置目录和文件的默认权限umask umask作用 控制新建的文件或者目录的权限 默认权限去除umask的权限为新建的文件或者目录的权限

设置umask的命令： umask 022 umask查看：umask

文件的权限

普通文件的最大默认权限为6（rw） 目录的最大默认权限为7（rwx），最大默认权限777，减去 umask 后3位得出当前创建目录的默认权限 文件：由于文件的默认权限为偶数，777减去umask后得出的是奇数，则需要再减1变成偶数，由此得出当前创建的默认权限。 umask 默认权限掩码的值为022 权限的8种状态：--- 0、--x 1、-w- 2、-wx 3、r-- 4、r-x 5、rw- 6、rwx 7