时间:2017.11.16
作者:李强
参考:man,info,magedu讲义
声明:以下英文纯属个人翻译,英文B级,欢迎纠正,盗版不纠,才能有限,希望不误人子弟为好。
1、使用目的与场景
2、官方说明
3、写在前面
因为上述配置影响着所有的用户,所以一般不建议直接改动配置文件
而是通过一些特定的命令去修改,然后用命令你去检查各个配置文件的依赖性是否正确。
vipw vigr vigr -s pwck grpck
对文件进行编辑时使用这些命令可以有语法及依赖性检查。还是相当于直接手动该文件,只是保证了你没有改变这个文件里面内容的格式,但是相关的文件并没有一次改完,所以还是会用命令靠谱些
4、修改文件及涉及的环境变量
/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
/etc/default/useradd
/etc/defult/useradd-
/etc/skel/*
/etc/login.defs
$USER,
5、用法
1、用户
云盘管理,这个目录下有100个用户,对每个用户有每个用户的家目录
不同之间没有好像访问的权利,
1、可以共享,就是这个目录的权限放开,
2、给特定用户访问权限就是云盘的密码连接,你输入密码就可以访问,
3、当然你可以指定特殊账号可以进行访问。给其目录新加一个用户的访问权。
1.1、useradd
sarah:x:505:506::/home/sarah:/sbin/nologin /etc/passwd保存用户信息的文件格式 -p:添加passwd -e:用户有效期 -f:密码有效期 -u:添加uid -g:为用户添加gid -G:添加用户的附属组 -c:添加用户的解释comment -d:添加的用户的家目录 -s:添加用户的shell类型 -D:用户的默认设置查看 /etc/default/useradd|useradd- -l:不将用户加入到lastlog和faillog数据库 -k:重新为用户执行skel目录,不用默认的/etc/skel(包含系统创建用户的基本设置) -K: Overrides /etc/login.defs defaults (UID_MIN, UID_MAX, UMASK, PASS_MAX_DAYS and others). -m:创建家目录 -M:不创建家目录 -N:不创建和用户名称一样的用户组 -r:创建系统用户 -U:允许创建重复uid的用户,不检查uid的唯一性 -D -b -D -e -D -f -D -g -D -s 以上修改/etc/default/useradd.此文件内容
1.2、usermod
-u: 修改用户的uid -g:强制设置一个组为用户的新主组 -G: 修改用户的附属组 -d:新的家目录对用户,新的家目录不会自动创建,而且源家目录也不会删除,相当于cp不加 -a,最好配合-m使用,保留原家目录信息并移动。 -c:修改用户的comment -s:修改用户的shell -a: -m: 移动用户的家目录到新的目录和-d一起使用 -l: 给用户改名字 -L:锁定用户。在/etc/shadow的用户密码前加! -U:解锁用户,去掉在/etc/shadow的用户密码前的!
1.3、userdel
默认就删除用于,家目录什么没有删除 -f:强制删除 -r:删除家目录和邮件 -R -Z
1.4、passwd
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username] DESCRIPTION The passwd utility is used to update user’s authentication token(s). This task is achieved through calls to the Linux-PAM and Libuser API. Essentially, it initializes itself as a "passwd" service with Linux-PAM and utilizes configured password modules to authenticate and then update a user’s password. A simple entry in the global Linux-PAM configuration file for this service would be: # # passwd service entry that does strength checking of # a proposed password before updating it. # passwd password requisite pam_cracklib.so retry=3 passwd password required pam_unix.so use_authtok # Note, other module types are not required for this application to function correctly. OPTIONS -k The option -k, is used to indicate that the update should only be for expired authentication tokens (passwords); the user wishes to keep their non-expired tokens as before. -l This option is used to lock the specified account and it is available to root only. The locking is per- formed by rendering the encrypted password into an invalid string (by prefixing the encrypted string with an !). --stdin This option is used to indicate that passwd should read the new password from standard input, which can be a pipe. -u This is the reverse of the -l option - it will unlock the account password by removing the ! prefix. This option is available to root only. By default passwd will refuse to create a passwordless account (it will not unlock an account that has only "!" as a password). The force option -f will override this protection. -d This is a quick way to delete a password for an account. It will set the named account passwordless. Available to root only. -e This is a quick way to expire a password for an account. The user will be forced to change the password during the next login attempt. Available to root only. -n This will set the minimum password lifetime, in days, if the user’s account supports password lifetimes. Available to root only. -x This will set the maximum password lifetime, in days, if the user’s account supports password lifetimes. Available to root only. -w This will set the number of days in advance the user will begin receiving warnings that her password will expire, if the user’s account supports password lifetimes. Available to root only. -i This will set the number of days which will pass before an expired password for this account will be taken to mean that the account is inactive and should be disabled, if the user’s account supports pass- word lifetimes. Available to root only. -S This will output a short information about the status of the password for a given account. Available to root user only.
1.5、chage
改变用户密码的时间信息 可以直接chage + 用户,会一步一步提示修改那个 也可以加上option 单个选项进行修改 -d 最后一次修改密码的时间如果设置为0就是强制下次登录必须修改密码,可以用具unix元年的s数,也可以用YYYY-MM-DD的格式 -E用户到期时间可以用YYYY-MM-DD的格式.也可以是到1970年1月1日的格式 -I 密码过期的时间 -m最少要多少天改密码,0表示随时 -M最多到多少天必须密码 -W在密码到期提前多少天给用户提醒。 chage -l login 显示用户的密码时间信息 修改的文件是/etc/shadow
1.8、chfn
就是来修改/etc/passwd 中的comment字段 chfn直接执行会一步一步的让你填写内容 finger可以来查看用户的comment信息
1.9、chsh
就是来修改/etc/passwd 中的shell字段 chsh直接执行也会提示你修改当前用户的shell -s 指定shell -l 显示/etc/shells有哪些shell
2、组
2.1、groupadd
-f, --force This option causes the command to simply exit with success status if the specified group already exists. When used with -g, and the specified GID already exists, another (unique) GID is chosen (i.e. -g is turned off). -g, --gid GID 指定一个组id。 -K, --key KEY=VALUE Overrides /etc/login.defs defaults (GID_MIN, GID_MAX and others). Multiple -K options can -o, --non-unique 不检查guid唯一性 -p, --password PASSWORD 给组设置密码 -r, --system 创建一个系统组 -R, --root CHROOT_DIR Apply changes in the CHROOT_DIR directory and use the configuration files from the CHROOT_DIR directory.
2.2、groupmod
-n 修改组的名称。 -g 修改组id
2.3、gpasswd
-a --add user 添加用户到组中 -d --delete user 从组里删除用户 -r --remove-passwd 删除密码 -R--restrict 限制用户访问这个组,在/etc/gshadow在上!,只允许组成员通过newgrp和密码加入到这个组中 -A -M --members user,.... 设置组成员列表
2.4、groupdel
-R, --root CHROOT_DIR 不能删除有用户的主组
2.5、groupmems
-a添加 -d删除 -l查看 -g更改 -ppurge清空所有用户 -R --root CHROOT_DIR
2.6、newgrp
可以删除辅助组,主组不能删
3、信息查看
3.1、finger
3.2、id
id 默认查看当前登录信息 id user 查看配置文档 id [OPTION]... [USERNAME] -a ignore, for compatibility with other versions -Z, --context 仅打印当前用户的安全上下文,后面不加用户名 -g, --group print only the effective group ID -G, --groups print all group IDs -n, --name print a name instead of a number, for -ugG -r, --real print the real ID instead of the effective ID, with -ugG -u, --user print only the effective user ID
3.3、groups user
3.4、getent passwd|shadow|group|gshadow user
文件权限:
文件属性;
ll
stat
chown 改变文件所有者
chgrp 改变文件的属组信息
-R 递归
文件权限的3个对象
owner u
group g
other o
文件操作的权限
readable
writable
excutable
rwx 可读可写可执行
421
chmod 777
修改文件权限,分别针对ugoa
a是针对有。
可以+-,可用777也可用rwx
-R递归
新建文件或目录的默认权限
/etc/bashrc
~/.bashrc
umask
特殊权限chattr
lsattr
suid
sgid
sticky
acl
access control list
更精细化的对文件的权限进行管理,
other部分更精细化
getfacl
setfacl
centos7之前版本需要手动添加文件系统对acl的支持
tune2fs -o acl /dev/sb1
mount -o acl /dev/sdb1 /mnt/test
chmod
chown
chgrp
x是执行权限
X是只对目录有进入权限,但是对文件没有execute权限。
如果目录下file1有x权限那么使用chmod -R a+X dir1
就会将dir1下的file1的所有都设置x,判断因为本身有x,所以会认为可以给其他使用者x权限
这里要注意使用风险。
对目录,x是基本权限。
对执行脚本, 只设置x,只能执行。无法查看和改写,写的太烂不好意思给人看,用就行
对root的权限有特殊性。
本文出自 “我是一只小小菜鸟” 博客,请务必保留此出处http://lajifeiwomoshu.blog.51cto.com/5110076/1982388
原文地址:http://lajifeiwomoshu.blog.51cto.com/5110076/1982388