账号和权限管理

概述：

Linux基于用户身份对资源访问进行控制

用户帐号

  1、超级用户（管理员用户）：root 用户是Linux 操作系统中默认的超级用户账号，对本主机拥有最高的权限。系统中超级用户是唯一的。

2、普通用户：由root用户或其他管理员用户创建，拥有的权限会受到限制，一般只在用户自己的宿主目录中拥有完整权限。

 3、程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维持系统或某个程序的正常运行，如bin、daemon、 ftp、 mail等。

组帐号

 1、基本组(私有组)：一个用户只有一个基本组，创建用户时就产生的组。必须要有。

                 在/etc/passwd文件中第4字段记录的即为该用户的基本组GID号。

2、附加组(公共组)：额外添加上的组，除基本组以外其他都是附加组。

UID和GID

 ◆UID (User IDentity,用户标识号)

 ◆GID (Group IDentify,组标识号)

root用户账号的UID和GID号为固定值0

程序用户账号的UID和GID号默认为Centos5,6: 1~499， Centos7: 1~999

普通用户的UID和GID号默认为Centos5,6: 500~60000， Centos7: 1000~60000

账号管理命令

用户账号文件/etc/passwd

 作用：保存用户名称、宿主目录、登录Shell等基本信息

 文件位置: /etc/passwd

 每一行对应一个用户的帐号记录

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。

在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符“x"。

root:x:0:0:root:/root:/bin/bash

字段1:用户帐号的名称

字段2:用户密码占位符“x”

字段3:用户帐号的UID号

字段4:所属基本组帐号的GID号

字段5:用户全名

字段6:宿主目录（家目录）

字段7:登录Shel1信息(/bin/bash为可登陆系统，/sbin/nologin和/bin/false为禁止用户登陆系统)

用户密码文件/etc/shadow

默认只有root 用户能够读取shadow文件中的内容，且不允许直接编辑该文件中的内容。

作用：保存用户的密码、账号有效期等信息

文件位置: /etc/shadow

每一行对应一个用户的密码记录

root : $6$VyOUGqOC$v5H1LM1wagZC/FwGfnrtJFnlT:18445:0:99999:7:::

字段1: 用户帐号的名称

字段2: 使用MD5加密的密码字串信息，当为“*"或“!!”时 表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统

字段3: 上次修改密码的时间，表示从1970年01月01日算起到最近--次修改密码时间隔的天数

字段4: 密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为0，表示不进行限制

字段5: 密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999， 表示不进行限制

字段6: 提前多少天警告用户密码将过期，默认值为7

字段7: 在密码过期之后多少天禁用此用户

字段8: 帐号失效时间，此字段指定了用户作废的天数(从1970年01月01日起计算)，默认值为空，表示账号永久可用。

字段9: 保留字段(未使用)

添加用户账号命令：useradd、adduser

在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。

若未明确指定用户的宿主目录，则在/home目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。

若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group和/etc/gshadow 文件中。

常用选项:

-u: 指定用户的UID号，要求该UID号码未被其他用户使用中。若不使用-u,则自动根据上一个用户UID增加1.

-d: 指定用户的宿主目录位置(当与-M一起使用时，不生效)。只能用绝对路径指定目录，且不需要事先创建目录

-e: 指定用户的账户失效时间，可使用YYYY-MM-DD 的日期格式。

-g: 指定用户的基本组名(或使用GID号)，对应的组名必须已存在。

-G: 指定用户的附加组名(或使用GID号)，对应的组名必须已存在。

-M: 不建立宿主目录。(与-d同时使用,-d不生效)

-s: 指定用户的登录Shell, (比如/bin/bash为可登陆系统，/sbin/nologin（会有提示）和/bin/false（无提示，直接禁止）为禁止用户登陆系统)。

示例：

useradd -d /admin -g wheel -G root admin1

useradd -e 2021-12-31 -s /sbin/nologin admin2

为用户账号设置密码 passwd

passwd命令格式：

 passwd [选项]... 用户名

root用户可以指定用户名作为参数，对指定账号的密码进行管理;不指定用户名时，修改当前账号的密码。

普通用户却只能执行单独的"passwd"命令修改自己的密码。

常用选项:

-d: 清空指定用户的密码，仅使用用户名即可登录系统。

-l: 锁定用户账户，锁定的用户账号将无法再登录系统。

-S: 查看用户账户的状态(是否被锁定)。

-u: 解锁用户账户。若用户为空密码，后面加-f,强制执行解锁

#设置用户密码方法二: echo "密码”| passwd --stdin 用户名

“--stdin”是一种标准输入方法

修改用户账号属性 命令：usermod

格式：usermod[选项]...用户名

常用选项：

-u: 修改用户的UID号。

-d: 修改用户的宿主目录位置。

-e: 修改用户的账户失效时间，可使用YYYY-MM-DD的日期格式。

-g: 修改用户的基本组名(或使用GID号)。

-G: 修改用户的附加组名(或使用GID号)。组名必须存在。

-s: 修改指定用户的能否登录Shell。

-l: 更改用户账号的登录名称。usermod -l 新用户名 旧用户名

-L: 锁定用户账户。

-U: 解锁用户账户。  

删除用户账号命令：userdel

格式

userdel [-r] 用户名

添加-r选项时,表示连用户的宿主目录一并删除

用户账号的初始配置文件

文件来源

 ●useradd命令添加一个新的用户账号后会在该用户的宿主目录中建立一些初始配置文件。

 ●这些文件来自于账号模板目录/etc/skel/,基本上都是隐藏文件。

主要的用户初始配置文件

用户宿主目录下的初始配置文件只对当前用户有效

~/.bash_ profile

#此文件中的命令将在该用户每次登录时被执行，它会设置一些环境变量，并且会调用该用户的~/.bashrc文件

~/.bashrc

#此文件中的命令会在每次打开新的bash shel1时(也包括登录系统)被执行，并且会调用/etc/bashrc文件

~/.bash_logout

#此文件中的命令将在用户每次退出登录或退出bash shel1时执行

全局配置文件对所有用户有效

/etc/profile

#这个文件是为系统全局变量配置文件，可通过重启系统或者执行source /etc/profile 命令使profile文件被读取

/etc/profile.d/

#这个文件实际上是/etc/profile的子目录，存放的是一些应用程序所需的启动脚本

/etc/bashrc

#每一个运行bash shell的用户都会执行此文件，可通过执行bash命令打开一个新的bash shel1时， 使bashrc文件被读取

示例：

vi /etc/bashrc

alias myls=' /bin/ls -1hr'

bash

type myls

PATH变量用于设置可执行程序的默认搜索路径

PATH生效的原理:

每次启动系统的时候会初始化命令，会执行/etc/profile和~/.bash_ profile。 /etc/profile会将路径/usr/local/bin

、/usr/bin、/usr/local/sbin 、/usr/sbin追加到PATH中去。然后调用/etc/profile.d 目录下的脚本。

组账号文件

与用户帐号文件相类似

 ●/etc/group:保存组帐号基本信息

 ●/etc/gshadow:保存组帐号的密码信息

grep "postfix" /etc/group

mail:x: 12 :postfix

postfix:x:89:

字段1:组帐号的名称

字段2:占位符“x”

字段3:组账号的GID号

字段4:组账号包含的用户成员(一般不包括基本组对应的用户帐号)，多个成员之间以逗号“, "分隔

添加组账号命令：groupadd

格式；groupadd [-g ] 组账号名   不指定GID号，则沿用上一个GID加一。

添加删除组成员命令：gpasswd

●设置组帐号密码(极少用)、添加/删除组成员

格式：gpasswd [选项].. 组帐号名

■常用选项.

●-a:向组内添加一个用户

●-d:从组内删除一个用户成员

●-M:定义组成员列表，以逗号分隔

删除组账号命令：groupdel

格式：groupdel  组帐号名

查询账号信息

1、groups命令

●查询用户所属的组

groups [用户名]

2、id命令

●查询用户身份标识

id [用户名]

3、finger命令

●查询用户账号的登录属性

注:需要先进行安装finger软件包

finger [用户名]

4、w、who、users命令

●查询已登录到主机的用户信息

小知识：w 可以查看cpu负载情况

文件/目录的权限和归属

访问权限

 ●读取r:允许查看文件内容、显示目录列表，下载也需要“r”选项

 ●写入w:允许修改文件内容，允许在目录中新建、移动、删除文件或子目录

 ●可执行x:允许运行程序、切换目录

 ●管理员权限s:允许用户拥有管理员权限

归属(所有权)

 ●属主:拥有该文件或目录的用户帐号

 ●属组:拥有该文件或目录的组帐号

设置文件和目录的权限命令：chomd

命令格式：chomd [ugoa]  [+-=]  [rwx] 文件和目录

    chomd [ugoa] ： 表示属主、属组、其他用户、所有用户    

   [+-=]   ：表示增加、去除、定义权限    

    [rwx] ：表示读写执行权限

或 chomd   nnn  文件和目录

      nnn ：表示三位8进制数

n代表的组合种类

---      0

--x      1

-w-     2

-wx     3

r--      4

r-x      5

rw-     6

rwx     7

常用选项;

-R: 递归修改指定目录下所有子项的权限

设置文件和目录的归属命令：chown

格式：chown属主  文件或目录

     chown :属组  文件或目录  或  chgrp 属组 文件或目录

     chown 属主:属组  文件或目录   或  chown 属主.属组 文件或目录  

常用选项

-R: 递归修改指定目录下所有文件、子目录的归属

设置目录和文件的默认权限命令：umask

umask作用

 ●控制新建的文件或者目录的权限

 ●默认权限去除umask的权限为新建的文件或者目录的权限

umask设置: umask 022（默认值）

umask查看: umask

示例

将umask设为000，新建目录或者文件，查看权限

将umask设为022，新建目录或者文件，再查看权限

文件的最大默认权限值为6；

目录的最大默认权限值为7；

使用umask修改文件目录的默认权限时，文件用666减去umask值，目录用777减去umask值。