在Linux中,如何管理用户、管理权限?请看下文,谢谢配合。
用户、组概述
用户分类
-
超级用户:root,人为交互最高权限用户,
system为最高权限用户。 -
普通用户:通过管理管理员创建,权限受到一定限制。
-
程序用户:不允许登陆,维持系统或某个程序的正常运行。
用户配置文件
- /etc/passwd:包含用户账号的基本信息
[root@localhost ~]# head -2 /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologin
账号名称:密码占位符:UID:GID:用户说明:家目录:登陆shell
- /etc/shadow:包含用户账号的密码信息(影子文件)
[root@localhost ~]# head -1 /etc/shadowroot:$6$4/ne8o5V38hiA2jr$6SclA1hllj8FPXqyMtfof5T4NMH1gJeDQ31AfoR4wapYPBQWlbZQKKPkuUBWoqgwA1GsuHW.1lTg59tyfrwvC/::0:99999:7:::
账号名称:密码信息:上次修改密码的时间:密码最短有效天数:密码最长有效天数:提前7天警告密码将过期:密码过期后多少天内禁用此用户:账号失效时间:保留字段
- 个别详细解释
密码信息:MD5加密的密码字串信息;为*或!!时,被锁定,不能登陆;为空,无密码。
上次修改密码的时间:表示从1970年1月1日到最近一次修改密码那天所间隔的天数。
密码最短有效天数:修改密码后,最少经过多少天才能再次修改密码。默认为0,不限制。
密码最长有效天数:修改密码后,经过该天数,必须再次修改密码。默认为99999,不限制。
提前7天警告密码将过期:默认值为7。
账号失效时间:指定用户账号作废的天数,从1970年1月1日起计算。
组分类
-
基本组(私有组):伴随用户的创建而创建,与用户同名。用户只能属于一个基本组,在
/etc/passwd中查看。 -
附加组(公共组):用户可属于多个附加组,在
/etc/group中查看。
组配置文件
-
/etc/group:包含组的基本信息
-
/etc/gshadow:包含组的密码信息
1.查询root组包含哪些用户
[root@localhost ~]# grep "^root" /etc/grouproot:x:0:
2.查询那些组包含root用户
[root@localhost ~]# grep "root" /etc/grouproot:x:0:
UID 和 GID
- UID:用户识别号
| 用户 | UID 范围 |
|---|---|
| root | 0 |
| 程序用户 | 1 ~ 999 |
| 普通用户 | 1000 ~ 60000 |
- GID:组识别号
用户、组管理
useradd
- 添加用户账号
-u:指定UID
-d:指定家目录位置-e:指定账户失效时间,YYYY-MM-DD或天数。-g:指定基本组名称或GID-G:指定附加组-M:不创建宿主目录-s:指定用户的登陆shell,/bin/bash可登录,/sbin/nologin不可登录。 [root@localhost ~]# useradd -d /zhangsan zhangsan
[root@localhost ~]# useradd -e 2020-01-01 -s /sbin/nologin ftpuser
用户账号初始配置文件
- 来源:模板目录
/etc/skel - 用途:可以做一些自动运行的后台管理任务
[root@localhost ~]# ls -a /zhangsan/. .. .bash_logout .bash_profile .bashrc
.bash_logout:每次退出登陆时执行
.bash_profile:用户每次登陆时被执行.bashrc:每次加载/bin/bash时执行,包括登录系统。 - 每次登出时清空历史记录
[root@localhost ~]# vi .bash_logout# ~/.bash_logouthistory -c
passwd
- 设置、更改密码
-d:清空账户密码
-l:锁定账户-S:查看账户状态-u:解锁账户 [root@localhost ~]# passwd zhangsanChanging password for user zhangsan.New password:BAD PASSWORD: The password is a palindromeRetype new password:passwd: all authentication tokens updated successfully.
[root@localhost ~]# passwd -l zhangsanLocking password for user zhangsan.passwd: Success[root@localhost ~]# passwd -S zhangsanzhangsan LK 2019-08-20 0 99999 7 -1 (Password locked.)[root@localhost ~]# passwd -u zhangsanUnlocking password for user zhangsan.passwd: Success[root@localhost ~]# passwd -S zhangsanzhangsan PS 2019-08-20 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@localhost ~]# passwd -d zhangsanRemoving password for user zhangsan.passwd: Success
usermod
- 修改账户属性,参数类似
useradd
-u:修改用户UID
-d:修改家目录位置-e:修改账号失效时间-s:指定用户的登陆shell-l:更改用户登陆名称-L:锁定账户-U:解锁账户-g:修改用户的基本组(或GID)-G:修改用户的附加组(或GID) [root@localhost ~]# tail -1 /etc/passwdzhangsan:x:1001:1001::/zhangsan/:/bin/bash[root@localhost ~]# mv /zhangsan/ /home/[root@localhost ~]# usermod -d /home/zhangsan/ zhangsan[root@localhost ~]# tail -1 /etc/passwdzhangsan:x:1001:1001::/home/zhangsan/:/bin/bash
[root@localhost ~]# usermod -L zhangsan[root@localhost ~]# passwd -S zhangsanzhangsan LK 2019-08-20 0 99999 7 -1 (Password locked.)[root@localhost ~]# usermod -U zhangsan[root@localhost ~]# passwd -S zhangsanzhangsan PS 2019-08-20 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@localhost ~]# usermod -l lisi zhangsan[root@localhost ~]# tail -1 /etc/passwdlisi:x:1001:1001::/home/zhangsan/:/bin/bash
userdel
- 删除用户账号
-r:同时删除家目录
[root@localhost ~]# userdel -r zhangsan[root@localhost ~]# ls /home/zhangsanls: cannot access /home/zhangsan: No such file or directory
groupadd
- 添加组账号
-g:指定GID
[root@localhost ~]# groupadd ftpusers[root@localhost ~]# tail -1 /etc/groupftpusers:x:1001:
[root@localhost ~]# groupadd -g 1005 sftpusers[root@localhost ~]# tail -2 /etc/groupftpusers:x:1001:sftpusers:x:1005:
gpasswd
- 添加、设置、删除组成员
-a:添加组成员
-d:删除组成员-M:指定组成员,多个以,分隔,会覆盖原有的。 [root@localhost ~]# useradd ftp1[root@localhost ~]# useradd ftp2[root@localhost ~]# useradd ftp3[root@localhost ~]# useradd ftp4[root@localhost ~]# useradd ftp5[root@localhost ~]# echo "000000" | passwd --stdin ftp1Changing password for user ftp1.passwd: all authentication tokens updated successfully.[root@localhost ~]# echo "000000" | passwd --stdin ftp2Changing password for user ftp2.passwd: all authentication tokens updated successfully.[root@localhost ~]# echo "000000" | passwd --stdin ftp3Changing password for user ftp3.passwd: all authentication tokens updated successfully.[root@localhost ~]# echo "000000" | passwd --stdin ftp4Changing password for user ftp4.passwd: all authentication tokens updated successfully.[root@localhost ~]# echo "000000" | passwd --stdin ftp5Changing password for user ftp5.passwd: all authentication tokens updated successfully.
[root@localhost ~]# gpasswd -a ftp1 ftpusersAdding user ftp1 to group ftpusers[root@localhost ~]# gpasswd -a ftp2 ftpusersAdding user ftp2 to group ftpusers[root@localhost ~]# groups ftp1ftp1 : ftp1 ftpusers[root@localhost ~]# groups ftp2ftp2 : ftp2 ftpusers[root@localhost ~]# grep "^ftpusers" /etc/groupftpusers:x:1001:ftp1,ftp2
[root@localhost ~]# gpasswd -M ftp3,ftp4,ftp5 ftpusers[root@localhost ~]# grep "^ftpusers" /etc/groupftpusers:x:1001:ftp3,ftp4,ftp5
groupdel
- 删除组账号
[root@localhost ~]# groupdel sftpusers
用户、组查询
id
- 查询用户账号的身份标识
id [username]
[root@localhost ~]# id rootuid=0(root) gid=0(root) groups=0(root)
groups
- 查询用户账号所属的组
groups [username]
[root@localhost ~]# groups rootroot : root
finger
- 查询用户账号的登陆属性
finger [username]
[root@localhost ~]# finger rootLogin: root Name: rootDirectory: /root Shell: /bin/bashOn since Tue Aug 20 16:58 (CST) on pts/0 from 192.168.128.1 6 seconds idleNo mail.No Plan.
可能需要安装:yum install finger -y
w、who、users
- 查询当前主机的用户登陆情况
[root@localhost ~]# w 17:35:34 up 2:48, 1 user, load average: 0.00, 0.01, 0.05USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATroot pts/0 192.168.128.1 16:58 6.00s 0.21s 0.01s w[root@localhost ~]# whoroot pts/0 2019-08-20 16:58 (192.168.128.1)[root@localhost ~]# usersroot
last
- 查询最近登陆的用户信息
[root@localhost ~]# lastroot pts/0 192.168.128.1 Tue Aug 20 17:36 still logged inreboot system boot 3.10.0-693.el7.x Tue Aug 20 17:36 - 17:37 (00:01)reboot system boot 3.10.0-693.el7.x Fri Aug 16 17:18 - 17:21 (00:03)wtmp begins Fri Aug 16 17:18:08 2019
文件、目录权限及归属
概述
[root@promote ~]# ls -l /etc/passwd-rw-r--r--. 1 root root 846 Aug 16 17:15 /etc/passwd
-:文件类型,-普通文件、d目录、b块设备文件、c字符设备文件、l链接文件。
rw-:User,属主用户对文件的访问权限。r--:Group,属组内成员对文件的访问权限。r--:Other,其他用户对文件的访问权限。.:与SELinux有关root:文件属主root:文件属组 chmod
- 设置文件、目录权限
chmod [ugoa] [+-=] [rwx] 文件或目录
ugoa:u宿主,g属组,o其他用户,a所有用户。
+-=:+增加权限,-减少权限,=设置对应的权限。rwx:r读,w写,x执行。 [root@localhost ~]# ls -l test.txt-rw-r--r--. 1 root root 0 Aug 20 18:19 test.txt[root@localhost ~]# chmod g+w,o+w test.txt[root@localhost ~]# ls -l test.txt-rw-rw-rw-. 1 root root 0 Aug 20 18:19 test.txt
chmod nnn 文件或目录
nnn:代表ugo分别设置的权限值
| u | g | o |
|---|---|---|
| 4 | 2 | 1 |
[root@localhost ~]# chmod 644 test.txt[root@localhost ~]# ls -l test.txt-rw-r--r--. 1 root root 0 Aug 20 18:19 test.txt
chown
- 设置文件、目录的归属
chown [选项] [属主][:[属组]] 文件或目录
-R:递归修改
[root@localhost ~]# mkdir /opt/test[root@localhost ~]# touch /opt/test/test{1,2}.txt[root@localhost ~]# ls -lR /opt//opt/:total 0drwxr-xr-x. 2 root root 40 Aug 20 18:26 test/opt/test:total 0-rw-r--r--. 1 root root 0 Aug 20 18:26 test1.txt-rw-r--r--. 1 root root 0 Aug 20 18:26 test2.txt[root@localhost ~]# useradd zhangsan[root@localhost ~]# echo "000000" | passwd --stdin zhangsanChanging password for user zhangsan.passwd: all authentication tokens updated successfully. [root@localhost ~]# chown -R zhangsan /opt/test/[root@localhost ~]# ls -lR /opt//opt/:total 0drwxr-xr-x. 2 zhangsan root 40 Aug 20 18:26 test/opt/test:total 0-rw-r--r--. 1 zhangsan root 0 Aug 20 18:26 test1.txt-rw-r--r--. 1 zhangsan root 0 Aug 20 18:26 test2.txt[root@localhost ~]# chown -R :zhangsan /opt/test/[root@localhost ~]# ls -lR /opt//opt/:total 0drwxr-xr-x. 2 zhangsan zhangsan 40 Aug 20 18:26 test/opt/test:total 0-rw-r--r--. 1 zhangsan zhangsan 0 Aug 20 18:26 test1.txt-rw-r--r--. 1 zhangsan zhangsan 0 Aug 20 18:26 test2.txt[root@localhost ~]# chown -R root:root /opt/test/[root@localhost ~]# ls -lR /opt//opt/:total 0drwxr-xr-x. 2 root root 40 Aug 20 18:26 test/opt/test:total 0-rw-r--r--. 1 root root 0 Aug 20 18:26 test1.txt-rw-r--r--. 1 root root 0 Aug 20 18:26 test2.txt
umask
- 指定用户在新建文件或目录时的权限默认值,指默认值需要减掉的权限。777-022=755,666-022=644。
默认:umask 022