用户管理

标签：shadow   数据通信   软链接   用户家目录   ref   环境   发送   kiosk   删除   

对用户的管理相当于对文件的管理
**3.用户信息查看**
 1>查看当前用户
     whoami   

2>系统中用户的查看
id 用户名 查看指定用户的id信息
id
-u 查看用户的uid
-g 查看用户的gid
-G 查看用户所在的组id
-n 显示名字而不显示id数字
eg id -G -n 用户名字
3>用户切换
gnome-session-quit --force 注销当前用户

利用watch -n -1 "tail -n 3 /etc/passwd /etc/group; ls -l /home"实时监控用户信息的变化

**su切换用户**
su - 用户名称
   su    中“-”表示在用户身份切换时同时切换当前用户的环境
   su -  执行时高级用户切换到低级用户不需要密码，低级用户切换到高级用户需要，平级用户切换也需要

注意：每次su切换其他用户操作之后必须退出，然后再次切换到其他用户
用户级别
root 0
systemuser 1-500(q6) 1-700(q7)
loginuser 1000- 65530 60000
在文件 /etc/login.defs
不加r 用户有写配置文件会没有删除，当再次创建用户时，会说用户已经存在
useradd 名称 建立用户
useradd "hhhh" 创建用户hhh
useradd -g 21 "hhhh" 指定用户组为21的用户必须 存在
useradd -G 21 hhh 指定用户附加组id "21用户组必须存在“

useradd -c "hello" hhh 指定用户说明
useradd -d /home/lee hhh 指定用户的家目录
useradd -s /bin/sh hhh 指定用户默认shell
userdel -r 用户 -r表示吧用户所涉及的配置都删除
不加r 用户有写配置文件会没有删除，当再次创建用户时，会说用户已经存在
groupadd 建立用户组
groupadd -g 888 hhh 建立用户组并指定用户组的id
groupdel 删除用户组

更改用户信息
usermod
usermod -l 新名称 hhh 更改用户的名称
usermod -u 6666 hhh 更改用户的uid
usermod -g 21 hhh 更改用户的初始组
usermod -G 21 hhh 更改用户的附加组
usermod -aG 72 hhh 添加用户的附加组
usermod -G "" hhh 删除用户所有附加组的身份
usermod -c "haha" hhh 指定用户说明文字
usermod -d /home/lee hhh 更改用户家目录的指向
usermod -md /home/lee hhh 更改用户家目录
usermod -s /bin/sh hhh 更改用户的shell
usermod -L hhh 冻结用户
usermod -U hhh 解锁用户

/etc/shadow

[1] 账户名称
[2] 为密码（账号未设置时为!!，需用passwd hhh 将密码解开，设密码后加密显示）
[3] 用户密码最后一次被更改的时间 时间是距（1970-1-1）开始的累积天数
[4] 用户密码最短有效期 如果此位设定数字，那么此数字范围内的天数内是不能修改用户密码的
[5] 用户密码最长有效期 用户密码必须在有效期内更改密码，如果超时会被冻结
[6] 密码警告期限 在过期前制定天数内会发送警告信息给用户
[7] 此位默认为空，如果设定数值，那么在密码最长有效期过后仍然可以使用的天数
[8] 账号失效日期
[9] 暂时未使用

echo 密码 | passwd --stdin 用于将密码给设置

密码设置

用户密码
passwd hhh 更改hhh密码
passwd -l hhh 在用户密码前加入“!!”
passwd -u hhh
usermod -L hhh 在用户密码前加入“!”
usermod -U hhh 在密码不为空时使用 用于解除密码锁定
passwd -d hhh 清空hhh 密码
注意：
普通用户改密码时
1.必须知道当前用户原始密码
2.密码不能和账号名称相似
3.密码不能是有效的数字或有序纯字母
4.密码如果是纯数字或字母要大于8

1> 用户密码最后一次被修改的时间
passwd -e hhh 会改变用户最后一次更改密码时间为0
注： 用户在登录时会被强制更改密码
chage -d 0 hhh 两个命令相似
2>用户密码最短有效期
passwd -n 1 hhh 用户在一天之内不能修改密码
chage -m 1 hhh
3>用户密码最长有效期
passwd -x 30 hhh
chage -M 30 hhh 设定hhh用户在30天内必须改密码
4>密码警告期
passwd -w 2 hhh
chage -W 2 hhh 密码过期前两天会有警告
5> 用户非活跃天数
passwd -i 1 hhh
chage -I 1 hhh 密码过期后仍可登录的天数
6>用户到期日
chage -E 2018-11-11 hhh 用户在几号会被冻结

用户授权
1.权力下方文件/etc/sudoers
2.下方方式
visudo
100行左右
用户 主机名称 =（得到的用户身份） 命令
tom localhost = (root) /usr/sbin/useradd
tom用户可以在localhost主机以root用户身份执行useradd命令
tom localhost = ( root) NOPASSWD:/usr/sbin/useradd
tom用户在localhost主机以root用户身份免密执行useradd
3.测试

su - tom
sudo useradd hello
多用户
Cmnd_Alias CTRLUSER = /usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod
User_Alias ADMIN = 用户名称
ADMIN localhost=(root) NOPASSWD:CTRLUSER

文件权限
1.文件权限存在的意义 touch可以改文件时间 查。。。。。。
系统最底层安全设定方法之一
保证文件可以被可用的用户做相应的操作
2文件权限的查看
ls -l file
ls -dl file
ll file
ll -d dir
ls -lR 目录 递归显示目录下所有子文件
3.文件权限的读取

• | rw-rw-r-- | 1 | kiosk | kiosk | 0 | Jul 21 09:18 | file
  1>文件类型
  • 空文件
    d 目录
    l 软链接 类似windows下的快捷方式
    s socket 套接字 在网络数据连接。可以启动一个程序来监听客户端的要求，客户端就可以通过套接字来进行数据通信
    b block 块设备 存储数据以供系统存取的接口设备，简单讲就是硬盘
    c 字符设备 串行端口的接口设备（键盘 鼠标）
    补：p 管道文件 解决多个程序同时存取一个文件所造成的错误。FIFO先进先出
    2> 文件的权限
    rw- | rw- | r--
    u: 文件拥有者对文件能做什么操作
    g：文件所有组对文件能做什么操作
    o：其他人对文件能做什么操作

r: 对文件：是否可以查看文件内容 -->cat file
对目录 ：是否可以查看目录中用什么子文件或子目录 --> ls dir
w: 对文件： 是否可可以改变文件里面的字符
对目录：是否可以对目录中子目录或子文件的原数据进行更改
x:对文件：是否可以通过文件名称调用文件内记录的程序
对目录：是否可以进入目录

对于目录来说一般如果给了r权限一定要给x 5的来源
更改方式：
chmod <u|g|o><+|-|=>=><r|w|x> file|dir
chmod --reference=file/dir file/dir 复制指定文件权限到指定文件
数字 r 4 (100) w 2 (010) x 1 ( 001)
chmod 775 指定文件
文件644 目录755 为了安全

改变用户的所有人所有组
文件
chown username file|dir
chown user.group(:) file|dir
chown -R user.group dir

chgrp group file|dir
chgrp -R group dir 目录及目录里的文件都会发生改变

umask 系统默认权限 777-022（目录）-111（文件）
umask是系统建立默认的保留权力 (二进制表示)
umask 077 临时设定系统预留权限为077
永久修改uamsk 在 /etc/bashrc 以及/etc/profile文件下进行配置
批注：些如何分辨超级用户以及普通用户
vim /etc/bashrc 71 普通用户 73 超级用户
vim /etc/profile60 普通用户 62 超级用户
source /etc/bashrc
source /etc/profile

2.特殊权限 （查查查看视频后面两节的）
sticky 粘贴位 swap分区 文件也有用 sticky id 提前加载内存
作用：只针对目录生效，当一个目录只有sticky权限时在这个目录中的文件只能被文件的所有者删除
设定方式chmod o+t dir
chmod 1### dir

2.sgid 强制位
作用：对文件只对于二进制文件 可执行文件，当文件上有sgid时任何人执行此文件的进程都属于文件组
：对目录当目录上有sgid权限时任何在次目录中建立的文件都属于目录的所有组
设定方式： chmod g+s file|dir
chmod 2### file|dir

3suid冒险位
只针对于2进制可执行文件，当文件上有Suid时，任何人执行这个文件中的程序进程都属于文件所有人
4.acl权限列表
1.作用：让特定用户对特定的文件拥有特定的权限

2.acl列表管理
权限列表存在的意义：让特定的用户对特定的文件拥有特定的权限

setfacl -m u:username:rwx file 设定username对file拥有rwx权限
setfacl -m g :group:rwx file 设定group组成员对file有rwx权限
setfacl -x u:username file 从cal 列表删除username
setfacl -b file 关闭file列表
3.acl列表查看
-rw-|rwx|r--+（acl开启）
getacl file 查看acl开启文件的权限
#file:file 文件名称
#owner: root 文件拥有者
#group: root 文件拥有者
user::rw- 文件拥有人的权限
user:kiosk:rwx 指定用户权限
group::r--文件拥有组的权利
mask::rwx 能赋予用户的最大权利
other::r-- 其他人的权限

用户管理

标签：shadow   数据通信   软链接   用户家目录   ref   环境   发送   kiosk   删除   

原文地址：https://blog.51cto.com/14569275/2441342