码迷,mamicode.com
首页 > 系统相关 > 详细

linux用户及权限管理

时间:2015-12-13 00:53:38      阅读:353      评论:0      收藏:0      [点我收藏+]

标签:linux   管理员   计算机   二进制   用户登录   

用户管理相关命令
  工作中经常用到对系统上用户及文件权限的管理,本文详细介绍下用户及权限管理相关的命令
  相关知识:
      对计算机而言,每个使用者都是一个用户,每个用户都有一个用户ID和密码;用户登录系统分为认证(Authentication)、授权(Authorization)、审计(Audition)三步,任何一步出错用户都会登录不上系统;
  在linux系统中用户分为管理用户和普通用户,普通又分为系统用户和登录用户;其中,每个用户都有一个ID号用来惟一标识此用户,此ID号也叫做UID;在linux系统中UID是由16bits的二进制数字组成的,范围为(0-65535),其中:
     管理员的UID号为0
     普通用户为1-65535
      系统用户为1-499(CentOS5/6),1-999(CentOS7)
      登录用户为500-60000(CentOS5/6),1000-60000(CentOS7)
  当用户登录系统时需要输入用户名,用户输入用户名之后需要进行名称解析,将用户的用户名转换为系统的UID来惟一标识此用户,在此,系统根据名称解析库/etc/passwd进来行解析,其中,/etc/passwd中的内容由冒号分隔为七段:
   account:password:UID:GID:GECOS:directory:shell
      account:表示用户名
      password:表示加密的密码,也可以是占位符;用户的真实密码存放于/etc/shadow中
      UID:表示用户ID
      GID:表示用户所属的主组的ID号
      GECOS:表示注释信息
      directory:表示用户的家目录路径
      shell:表示用户的默认shell,登录时默认的shell程序
  刚刚提到用户的真实密码存放于/etc/shadow文件中,其中,/etc/shadow文件的内容由冒号分隔为九段:
      sp_namp:sp_pwdp:sp_lstchg:sp_min:sp_max:sp_warn:sp_inact:sp_expire:sp_flag
      sp_name:账号名称,由于密码也需要与账号对应。因此,这个文件的第一列就是账号,必须要与/etc/passwd相同才行;
      sp_pwdp:表示用户加密后的密码
      sp_lstchg:最近一次修改密码的时间
      sp_min:表示密码的最短使用期限(密码不可被改动的天数)
      sp_max:表示密码的最长使用期限(密码需要重新更动的天数)
      sp_warn:表示密码最长使用期限到期后的警告时间段,在此时间段内用户还可以正常使用密码
      sp_inact:非活动时间(密码过期后的账号宽限时间),不过,如果密码过期了,那当你登录系统时,系统会强制要求你必须要重新设置密码才能登录继续使用。                    
      sp_expire:账号失效日期,这个日期跟第三个字段一样,都是使用1970年以来的总日数设置。这个字段表示:这个账号在此字段规定的日期之后,将无法再使用。
      sp_inact:保留字段
  在linux系统中组分为管理员组和普通用户组,普通用户组又分为系统组和登录组,同用户ID一样,组也有ID叫做GID,GID和UID一样也是由16bits位的二进制数组成,范围为(0-65535),其中:
    管理员组的ID号为0
    普通用户组的ID号为1-65535
      系统登录组的ID号为1-499(CentOS5/6),1-999(CentOS7)
      登录用户组的ID号为500-60000(CentOS5/6),1000-60000(CentOS7)
  存储组信息的名称库为/etc/group,此文件被冒号分隔为四段:
    roup_name:passwd:GID:user_list
       group_name:表示组名
      passwd:组密码占位符,真实的密码存放于/etc/gshadow中,稍后介绍。
      GID:组ID号
      user_list:用户列表,表示的是以此组为附加组的用户列表。
    组密码存放于/etc/gshadow中,此文件由冒号分隔为四段
        group name:encrypted password:administrators:members
      group name:用户组名,和/etc/group里面的组名一样
      encrypted password:密码列
      administrators:用户组管理员的账号
      members:该用户组的所属账号
    用户管理的命令详解:
      useradd命令:
        功能:创建用户
      用法:useradd[options] LOGIN
      参数:
        -u:指定用户UID
        -g:指定基本组ID,此组得事先存在
        -G:指定用户所属的附加组,多个组之间用逗号分隔;
        -c:指明注释信息
        -d:指定用户家目录,通过复制/etc/skel目录并重命名实现,指定的家目录路径如果事先存在,则不会为用户复制环境配置文件
        -s:指定用户的默认shell,可用的所有shell列表存储在/etc/shells文件中;
        -r:表示创建的是系统用户
        -m:创建用户时为用户创建家目录,默认创建用户时已经创建家目录
        -M:表示创建用户时不为用户创建家目录
        -D:显示创建用户时的默认配置,用户的默认配置文件为/etc/login.defs;
        -e:后面接一个日期,格式为"YYYY-MM-DD",此选项可写入shadow第八个字段,即账号失效日;
        -f:后面接shadow的第七个字段选项,指定密码是否会失效;
    usermod命令:
      功能:修改用户属性
      用法:usermod[options] LOGIN
      参数:
        -u:修改用户的UID
        -g:修改用户所属的基本组
        -G:修改用户所属的附加组;原来的附加组会被覆盖,如果不想覆盖需要添加-a选项
        -c:修改注释信息
        -d:修改用户的家目录;用户原有的文件不会被转移至新位置,如果想转移原有的文件,需要添加-m选项;
        -l:修改用户名
        -s:修改用户的默认shell
        -L:锁定用户账号,即在用户原来的密码字符串之前添加一个“!”,解锁即去掉叹号;
        -U:解锁用户锁定
     userdel命令:
       功能:删除用户
       用法:userdel[options] LOGIN
       参数:
        -r:删除用户时一并删除用户家目录,默认不删除
      passwd命令:
        功能:(1)修改用户自己的密码(2)修改制定用户的密码,仅root有此权限
        用法:passwd/passwdUSERNAME
        参数:
         -l,-u:锁定和解锁用户
         -d:清除用户密码
         -e:date过期期限,日期
         -i:days非活动期限
         -n:密码的最短使用期限
         -x:密码的最长使用期限
         -w:警告期限
         --stdin:
         echo"PASSWORD" |passwd --stdin 用户名  修改用户名密码
      groupadd命令
        功能:添加用户组
        用法:groupadd[options] groupname
        参数:
          -g GID:指定GID,默认是上一个组的GID+1;
          -r:创建系统组,id号为1-499(CentOS6)或1-999(CentOS7)
      groupmod命令:
        功能:修改组信息
        用法:groupmod[options] groupname
        参数:
          -g GID:修改GID
          -n new_name:修改组名
      groupdel命令:
        功能:删除组
        用法:groupdel组名
      gpasswd命令:
        功能:给组设定密码
        用法:gpasswd[option] group
        参数:
          -a USERNAME:向组中添加用户
          -d USERNAME:从组中移除用户
      newgrp命令:
        功能:临时切换用户的基本组为其它组,这时如果切换的组不是用户的附加组需要输入密码;
        用法:newgrp[-] [group]
        参数:
         -:会模拟用户重新登录以实现重新初始化其工作环境;
      chage命令:
        功能:修改用户的密码过期信息
        用法:chage[options] [LOGIN]
        参数:
         -d:修改最近一次更改密码的日期
         -E:修改账号失效日
         -W:修改密码过期警告时间
         -m:修改密码最短保留天数
           -M:修改密码多久需要进行更改的时间
         -l:列出该账号的详细密码参数
         -I:修改密码失效日期
      id命令:
        功能:显示用户的真实和有效ID
        用法:id[OPTION]... [USERNAME]
        参数:
         -u:仅显示有效的UID;
         -g:仅显示用户的基本组ID;
         -G:仅显示用户所属的所有组的ID
         -n:显示名字而非ID
         -r:显示真实ID
      su命令:switchuser
        功能:
         登录式切换:会通过重新读取目标用户的配置文件来重新初始化
         非登录式切换:不会读取目标用户的配置文件来进行初始化
          注意:管理员可无密码切换至其它任何用户;非管理员切换时必须给出目标用户的密码,否则,无法切换;
        参数:
         -c ‘COMMAND’仅以指定用户的身份运行此处指定的命令;
  su - woniu -c ‘whoami‘  表示以woniu用户执行whoami命令,执行完成后还是当前用户
     chown命令:
       功能:更改文件的属主或属组
       用法:chown[OPTION]... [OWNER][:[GROUP]] FILE...
       chown [OPTION]... --reference=RFILE FILE...
       参数:
        -R:递归修改
 
权限管理知识及命令
    在命令ls -l的结果中,前一列为文件的类型和权限说明,如下所示:
      [root@localhost/]# ls -l
    total 106
    dr-xr-xr-x.   2 root root 4096 Dec 11 09:43 bin
    其中的d表示文件为目录,接下来的字符中,以3个为一组,且均为“rwx”的3个参数的组合。其中r代表可读、w代表可写、x代表可执行。要注意的是,这3个权限的位置不会改变,如果没有权限就会减号-代替。
      第一组为文件所有者的权限,用u表示
      第二组为文件用户组的权限,用g表示
      第三组为其它非本用户组的权限,用o表示
      进程对文件的访问权限应用模型:
        首先检查进程的属主于文件的属主是否相同;如果相同,则应用属主权限;
        否则,则检查进程的属主是否属于文件的属组;如果是,则应用属组权限;
        否则,就只能应用other的权限;
      对文件而言:
        r:可获取文件的数据
        w:可修改文件的数据
        x:可将此文件发起运行为进程
      对目录而言:
        r:可使用ls命令获取其下的所有文件列表
        w:可修改此目录下的文件列表;即创建或删除文件
        x:可cd至此目录中,且可使用ls -l来获取所有文件的详细属性信息;
      权限管理命令:
        chmod命令:
           功能:修改文件或目录的权限
           用法:chmod[OPTION]... MODE[,MODE]... FILE...
           MODE表示法:
             赋权表示法: 直接操作一类用户的所有权限位
               u=
               g=
               o=
               a=
             授权表示法:直接操作一类用户的一个权限位
               u+,u-
               g+,g-
               o+,o-
               a+,a-                        
          chmod [OPTION]...OCTAL-MODE FILE...
            chmod 755/etc/fstab
          chmod[OPTION]... --reference=RFILE FILE...
          chmod--reference=/var/log/message /etc/fstab 将/etc/fatab的权限修改为和/var/log/message的权限一样。
            参数:
             -R:表示递归修改        
   umask:文件的权限反向掩码,遮罩码,文件默认权限
    对文件而言,默认权限是666,因为文件默认没有执行权限:而目录默认权限是777,而umask是从权限中“拿走”相应的位
    所以默认创建文件时的权限为:666-umask;创建目录时的权限为777-umask
    对文件而言,如果减得的结果中有执行权限,则需要将其加1;而目录不变。
       例如,如果umask值为023,则创建出来的文件的权限为
          666-023+1=644
  umask命令:
    umask:查看当前umask
    umask MASK:设置umask
  注意:此类设定仅对当前shell进程有效;

 


linux用户及权限管理

标签:linux   管理员   计算机   二进制   用户登录   

原文地址:http://zhangyoucai.blog.51cto.com/2377123/1722330

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!