用户和组的管理

时间:2021-04-07
本文章向大家介绍用户和组的管理,主要包括用户和组的管理使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

用户信息文件

[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin

从左往右,分七个字段,均用冒号分隔开

列    说明

root    用户名,即用户登录的名称

x     基于安全考虑,密码转移到了/etc/shadow中,此处 x 的表示此用户的密码从 /etc/shadow 获得

0     此处的0 表示这个用户的编号,即UID;每个用户都有一个唯一的UID,默认root 的UID 为0 ,新创建的第一个用户默认UID 为1000,后面的新建的用户UID 按1001,1002,...依次分配

0     此处的 0 表示这个用户所属的主组id 号码,即GID

root    表示该用户的说明信息

/root    此处表示用户的家目录,或者初始化工作目录,ROOT 用户的家目录默认在/root。普通用户的家目录,默认在/home/username

/bin/bash  最后的字段代表用户默认使用shell 类型,root 和普通用户默认使用的是 /bin/bash

其中 UID 和 GID 的编号由系统自动分配的范围是 0 - 65535

注意:

1)root 用户是作为超级用户或超级管理,对整个Linux系统具有最高权限;当然在Linux判断是否是超级用户,不是看用户名是否为root,而是看其UID 是否为 0,换句话说用户的UID是 0, 则其就是超级用户

2)CentOS6中默认是将 1 - 499作为系统用户的 UID ;而 CentOS7 以上的版本是将 1 - 999 作为系统用的 UID,剩下的 UID 则分配给普通用户使用

/etc/shadow 格式(分为9 段,以冒号隔开)

[root@localhost ~]# cat /etc/shadow
root:$6$beCVCBuPw1E/DM4U$WhNxLB4GIFOPntAsVrf2Hyuyksq6N5lamkhR7Vvn4NBgJLWZTSFee70Joeyzq8R.KEP6oq1SQrTKxE87pPZlK0::0:99999:7:::
bin::17834:0:99999:7:::
daemon:
:17834:0:99999:7:::

列              说明

root            此处的用户名代表这行密码是属于 /etc/passwd 文件中对应的同名用户的密码信息

$6$beCVCBuPw1E/DM...   这行内容同时使用三个 $ 符号分隔成三字段。第一段代表加密使用的单向加密算法,使用数字表示,1 表示 MD5算法,6 表示 SHA512 算法。第二个代表加密算法使用的随机因子,我们一般称为盐(salt),对加密加密时,使用 salt,可以避免相同的密码,加密后值一样。salt 和加密算法一起构成了密码最终的加密方式。第三个内容代表加密后最终结果,称为密文,由于是单向加密,根据加密算法和盐后是很难反向推导出密码的明文的,所以比较安全的,如果以感叹号“!” 开头的密码字段表示密码已被锁定

17834           此处的数字,表示修改密码的日期时间,具体的数值代表1970 年 1 月 1日 到修改密码的那天的天数 (我这里是 空,表示没有)

0              再次修改密码需要经过的天数,如果为 0 代表随时可以修改密码

99999            本次修改密码后,再经过对手天后密码将过期

7              密码过期前发出提示消息的时间, 7 代表,在密码过期前 7 天开始,给用户发生提示信息,要求用户更改密码

空              密码过期后还可以继续使用的天数,超过此时间,用户将不可登录,此项为空,表示密码过期后仍可登录

空              从 1970 年 1 月 1 日到用户帐号被禁用的天数。在这个时间以后用户将不能登录,此项为空,表示此用户帐号永久有效

空              保留内容,为以后新增功能预留的位置

用户组信息文件

/etc/group 格式

[root@localhost ~]# cat /etc/group
root❌0:
bin❌1:
daemon❌2:

列       说明

root      代表组名称

x        代表组管理密码,x 为占位符,具体密码的密文在 /etc/gshadow 文件中保存

0        代表组编号,即 GID

空       代表用户,属于此附加组的用户列表,多个用户之间使用逗号进行分隔

/etc/gshadow 格式

[root@localhost ~]# cat /etc/gshadow
root:::
bin:::
daemon:::

列       说明

root      组名称

空       组管理密码,以感叹号 ! 开头的密码字段表示密码已被锁定

空       该管理组的管理员用户帐号,多个用户之间用“,”分隔

空       属于此附加组的用户帐号列表,多个用户之间用“,”分隔

创建用户和用户组

useradd 语法格式

useradd [OPTIONS] LOGIN

选项          说明

-u UID         指定创建用户的 UID

-o           配合 -u 选项, 不会检查 UID 的唯一性

-g GID         指明用户所属主要组,可为组的名称,也可以是 GID

-c COMMENT      用户的注释信息

-d HOME_DIR      以指定的路径为家目录

-s SHELL        指明用户的默认 shell 程序,可用列表在 /etc/shells 文件中

-G GROUP1[,GROUP2]  为用户指明附加组,组须事先存在

-N            不创建和用户同名的私用组做主组

-r            创建系统用户 CentOS6:ID< 500,CentOS7:ID< 1000

-m           创建家目录,一般用于系统用户

-M            不创建家目录,一般用于非系统用户

/etc/default/useradd 文件内容说明

[root@localhost ~]# cat /etc/default/useradd

useradd defaults file

GROUP=100   # 在useradd 使用 -N 或 /etc/login.defs 中USERGROUPS——ENAB=no 时,表示创建用户时不创建同用户名的主组,而使用此处指定的组作为主组

HOME=/home    # 把用户的家目录建在 /home 中

INACTIVE=-1    # 是否启用帐号过期设置, -1 表示不启用
EXPIRE=      # 帐号过期时间,不设置表示不启用
SHELL=/bin/bash  # 新建用户默认的 shell 类型

SKEL=/etc/skel    # 指定模板目录,新建用户时会自动复制此目录作为新建用户的家目录内容
CREATE_MAIL_SPOOL=yes   #是否创建用户 Mail 文件

创建组

groupadd 语法格式

groupadd [options] GROUP

选项              说明

-f ,--force          当组已经存在时,返回成功,使用此选项将忽略 -g 选项

-g,--gid GID         指定创建组的 GID

-h,--help           显示帮助

-K,--key KEY=VALUE      使用指定值,覆盖 /etc/login.defs 的默认值

-o,--non-unique         允许使用已存在的 GID 创建新的组

-p,--password PASSWORD   使用加密的密码

-r,--system          创建系统组

修改用户信息

usermod 语法格式

usermod [options] LOGIN

选项              说明

-c,--comment COMMENT    修改用户的描述信息,即修改 /etc/passwd 文件中的第 5 个字段

-d, --home HOME_DIR      修改用户家目录

-e,--expiredate EXPIRE_DATE  设置帐号的有效期,即修改 /etc/shadow 文件第 8 个字段,EXPIRE_DATE 要格式为 YYYY-MM-DD

-f,--inactive INACTIVE      指定天数,即修改 /etc/shadow 文件中的第 7 个字段

-g,--gid GROUP         修改为指定主组

-G,--groups GROUPS       修改附属组

-a,--append          配合 -G 选项, 增加附属组

-h, --help            查看帮助

-l, --login NEW_LOGIN      修改用户名

-L,--lock            锁定用户

-m, --move-home        配合 -d 选项,移动家目录数据到新的家目录

-o,--non-unique         允许使用重复的 UID

-p,--password PASSWORD    使用加密的密码

-s,--shell SHELL         修改使用新的 shell 类型

-u,--uid UID           修改 UID

-U,--unlock           解锁用户

passwd 格式

passwd [option...]

选项            说明

--stdin  使用管道时传入密码的方式,常用于 shell 脚本

-l     同 usermod 命令的 -L 命令效果一样,在shadow 的密码前加上叹号

-u    同 usermod 命令的 -U 命令效果一样,取消 -l 命令添加的叹号

-e    修改 shadow 第三个内容为 0 ,用户登录时要求重置密码

-n    修改密码后多少天内不能修改,shadow 文件的第 4 个 内容

-x    修改密码的最长游戏的天数,shadow 文件的第 5 个内容

-w    修改密码过期前警告的天数,shadow 文件的第 6 个内容

-i     修改密码失效后还可以使用的宽限时间,shadow 文件第 7 个内容

-S    显示出用户的密码的相关信息

修改用户信息

chage 命令格式

chage [options] LOGIN

选项      说明

-d    修改 shadow 文件的第三个内容,格式为 YYYY-MM-DD

-m    修改 shadow 文件的第四个内容,最早修改密码的天数

-M    修改 shadow 文件的第五个内容,最晚修改密码的天数

-W    修改 shadow 文件的第六个内容,密码失效前的提示天数

-I(大写字母 i )     修改 shadow 文件的第七个内容,密码失效后宽限的时间

-E    修改 shadow 文件的第八个内容,格式为 YYYY-MM-DD

修改组信息

groupmod 命令格式

groupmod [options] GROUP

选项            说明

-g,--gid GID      修改组的 GID

-h,--help        查看帮助

-n,--new-name NEW_GROUP  修改组名

-o,--non-unique     允许组的 GID 不唯一

-p,--password PASSWORD    设置组的加密密码

组管理命令

groupmems 语法格式

groupmems [options] [action]

选项            说明

-g,--group groupname    指定要操作修改那个组

-a, --add username      指定添加一个组的成员

-l,list            列出所有的组成员

-d, --delete username     指定删除一个组的成员

-p,--purge          清空所有的用户

-h, --help          帮助

gpasswd 命令格式

gpasswd [option] GROUP

选项              说明

-a,--add USER        添加一个用户到该组中

-d,--delete USER       将一个用户从该组中删除

-r,--delete-password      取消组的密码

-A,--administrator ADMIN...   设置组的管理员

-M,--members USER...     设置组的成员

-h,--help           查看帮助

删除用户和用户组

userdel 用户名

groupdel 组

使用 su 命令进行身份切换

su 命令格式

su [options] [-] [USER [arg]...]

选项                说明

-m,-p,--preserve-environment    保留环境变量,不重设 HOME,SHELL,USER 和 LOGNAME 变量

-g,--group           指定主要组

-G,--supp-group        指定附属组

-,-l,--login             开启 login shell ,如果后面没有指定用户,默认为root 执行命令

-c,--command       执行命令

-s,--shell            运行指定的 shell

-h,help               帮助

-v, --version             查看版本

文件权限管理

[root@localhost ~]# ls -l
total 8
-rw-------. 1  root root 1457 Jun 29 17:12 anaconda-ks.cfg
-rwxr-xr-x. 1 root root 813 Jun 29 17:22 netifname_eth0.sh
drwxr-xr-x 2 root root 6 Jul 1 16:12 test
-rw-r--r-- 1    root root 0 Jul 1 11:39 test-2020-06-30.log

每个文件的左边一共有 10 个字符,第一个代表文件类型,比如 - 代表普通文件,d 代表目录文件,从第二个到第十个字符开始就是文件权限的描述信息。

以 test 文件为例,文件属性信息中有root root 两项,从左往右分别代表文件的所有者为root,和文件所属组为 root,其他用户共三类用户

r  (4) 对文件表示可否可读取内容,对目录表示可以使用 ls 命令查看目录中的文件列表

w (2) 对文件表示可否修改文件内容,对目录表示可以在目录中创建文件,删除文件

x (1) 对文件表示可否执行,对目录表示是否可以切换至目录中,访问目录内的文件

文件的属主和属组

chown 命令格式

chown [option]... [owner] [:[group]] file...

选项          说明

-h          后面的文件如果是链接文件,只针对链接文件设置,而非默认对链接文件指向的文件

-R          对目录中的所有文件进行递归设置

--reference=RFILE   参考 RFILE 的文件权限设置权限

文件的默认权限

umask 语法格式

umask [option] [mode]

选项     说明

-S    以模式形式,而非默认的数字

-p    打印 umask 命令和值,可作为输入

mode   可以是模式形式,如:u=rwx,g=rx,o=rx,也可以是数字形式,如 :0022

文件的特殊权限

SUID 特殊权限

[root@localhost ~]# ls -al /etc/shadow
----------. 1 root root 563 Jun 29 17:12 /etc/shadow

[root@localhost ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /bin/passwd

其中passwd 文件的属主执行权限位是 s,代表 passwd 属主可以执行,同时具有 SUID 权限

当一个程序没有可执行权限,但是设置了 SUID 权限,属主的可执行权限位显示为大写字母 S

范例

设置 SUID 权限

1)去除 SUID 权限

[root@localhost ~]# chmod u-s /bin/passwd

2)添加 SUID 权限

[root@localhost ~]# chmod u+s /bin/passwd

SGID特殊权限

1)此权限是设置在文件所属组上的执行权限位上。SGID 可以设置在 二进制文件和目录上

2)当 SGID 设置在二进制文件中时,功能和 SUID 类似,运行这个二进制程序时,运行程序时,最终得到的权限将继承这个程序的所属组的权限,而非默认的执行程序的用户本身的权限

3)当 SGID 设置在目录时,用户在这个目录中创建的新文件的属组将自动继承此目录的属组

范例

设置 SGID 权限

添加 SGID 权限

[root@localhost ~]# chmod g+s  test

设置 Sticky 特殊权限

当一个目录其他用户位有可执行权限,并设置了 Sticky 权限时,使用 t 表示,当其他权限位没有可执行权限时还设置了 Sticky 权限,则是以 T 表示

范例

1)添加 Sticky 权限

[root@localhost ~]# chmod o+t test

2)去除 Sticky 权限

[root@localhost ~]# chmod o-t test

3)数字法设置特殊权限

[root@localhost ~]# chmod 1755 test # 1 表示 Sticky 权限

drwxr-xr-t 2 root root 6 Jul 1 16:12 test

4)数字法添加特殊权限

[root@localhost ~]# chmod 6755 test  # 由 SUID 的 4 和 SGID 的 2 两个特殊权限相加得到 6 的权限

文件的特殊属性

chattr 命令格式

chattr [-RVf] [-+=ia] files...

选项   说明    

-R   递归处理,将指定目录下的所有文件及子目录一并处理

-V   显示版本信息和设置的权限

-f    隐藏大部分的错误信息

-    表示去掉属性

+    表示添加属性

=    表示重设属性

i    表示不能删除,修改,重命名和创建硬链接

a    表示不能删除,重命名,和创建硬连接,但可以追加内容

lsattr 命令格式

lsattr [-RVadv] [files...]

选项  说明

-a   显示所有文件和目录,包括以“.”为名称开头字符的文件

-d   显示目录名称,而非其内容

-R   递归处理,将指定目录下的所有文件及子目录一并处理

-v   显示文件或目录版本

-V   显示版本信息

文件的 FACL

setfacl 命令格式

setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

选项            说明

-m,--modify-acl    更改文件的访问控制列表

-M,--modify-file=file  从文件读取访问控制列表来设置

-x,--remove-file=acl  根据文件中访问控制列表移除条目

-X,--remove-file=file  从文件读取访问控制列表条目并删除

-b,--remove-all    清除 FACL

-k,--remove-default  移除默认访问控制列表

--set=acl        设定替换当前的文件访问控制列表

--set-file=file      从文件中读取访问控制列表条目设定

--mask        重新计算有效权限掩码

-n,--no-mask     不重新计算有效权限掩码

-d,--default      应用到默认访问控制列表的操作

-R,--recursive     递归操作子目录

-L,--logical      依照系统逻辑,跟随符号链接

-P,--physical     依照自然逻辑,不跟随符号链接

--restore=file      恢复访问控制列表,和 “getfacl -R” 作用相反

--test          测试模式,并不真正修改访问控制列表属性

-v,--version      显示版本并退出

-h,help        显示本帮助信息

ACL 生效和判断的顺序如下:

1)先判断访问者是否为文件所有者,如果是所有者权限生效,不再往下继续

2)判断是否是ACL 中自定义用户,如果是,对应的 ACL 生效,不再往下继续

3)判断是否是属于 ACL 自定义组,如果是,对应的 ACL 生效,不再往下继续

4)其他人

面试题

1)解释 drwx rwx rwx 中每个字符表示什么?

答:

第一段:drwx:目录文件,属主有读,写,执行权限

第二段:rwx:属组有读,写,执行权限

第三段:rwx:其他人有读,写,执行权限

2)目录权限为711,对其他人而言权限是(B)

A,可执行  B,可进入  C,可读,可执行  D,可写入

3)/etc/fstab 复制到 /data/,至少需要什么权限?

答:

1)cp 命令

2)有执行权限

3)/etc/fstab 有读权限

4)/data/  写权限和执行权限

原文地址:https://www.cnblogs.com/xuanlv-0413/p/14629154.html