用户组和权限管理
介绍安全3A
资源分派:认证,授权,审计
成都创新互联专注于企业成都全网营销、网站重做改版、札达网站定制设计、自适应品牌网站建设、H5网站设计、商城开发、集团公司官网建设、外贸网站制作、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为札达等各大城市提供网站开发制作服务。
用户和组
用户user
组group
组的类别
主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组
安全上下文
用户和组的配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID -
以当前组为附加组的用户列表(分隔符为逗号)
例:用户和组查看配置文件
finger
查看用户的相关信息
例:查看用户wang的下相关信息
getent
只看指定用户的相关信息
例:看root,wang的相关信息
文件操作
vipw和vigr
pwck和grpck
用户和组管理命令
用户管理命令
useradd
usermod
userdel
组帐号维护命令
groupadd
groupmod
groupdel
useradd
用户创建
常用选项
新建用户的相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令
批量修改用户密码
usermod
用户属性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
追加附加组
删除附加组
userdel
删除用户
id
查看用户相关的ID信息
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
su
切换用户或以其他用户身份执行命令
设置密码
passwd :修改指定用户的密码
常用选项
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码
示例:echo "PASSWORD" | passwd --stdin USERNAME
组
groupadd :创建组
groupdel :删除组
groupmod :组属性修改
gpasswd :组密码
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码
更改和查看组成员
groups :查看用户所属组列表成员
修改文件的属主和属组
chown
修改文件的属主
chgrp
修改文件的属组
文件权限
文件属性
三种权限
chown
修改所有者
chmod
修改文件权限(rwx|X)
文件:
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程
目录:
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件
x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
X 只给目录x权限,不给文件x权限
chmod
-R: 递归修改权限
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + -
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE
权限设置示例
chgrp sales testfile
chown root:admins testfile
chmod u+wx,g-r,o=rx file
chmod -R g+rwX /testdir
chmod 600 file
chown mage testfile
去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
给wang账号所有者加上读写执行权限
chmod -X
只针对文件夹加权限
新建文件和目录的默认权限
umask
可以用来保留在创建文件权限
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限
简捷方法
默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1
将umask写入文件保存:
练习
建一个临时权限为000的文件,临时改umask的权限
umask -S 以模式方式显示
例:
umask -p : 输出结果可被调用
例:直接写入 .bashrc文件
Linux文件系统上的特殊权限
可执行文件上SUID权限
可执行文件上SGID权限
Sticky 位
权限位映射
设定文件特定属性
例:
ACL访问控制列表
实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
ACL权限生效次序:
所有者,ACL中自定义用户,ACL自定义的组,所属组,other
注意:
setfacl
是用来在命令行里设置ACL(访问控制列表)
例:给wang账号设置ACL权限
getfacl
查看文件权限
mask
设置除所有者和other以外的用户或组的最高权限
加了ACL权限后组权限是mask权限 而不是group组权限
mask权限限高杆,其他用户的权限不能超过mask权限
例:
setfacl -x:
例:去掉wang账户的权限
setfacl -b
清除文件上所有ACL权限
例: 清除a.log文件上所有ACL权限
set
选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
备份和回复ACL权限
setfacl -b
还原文件权限
例: 还原/data 目录下所有文件及文件夹权限
cp -p
复制保留文件ACL权限
网页标题:用户组和权限管理
网页链接:http://ybzwz.com/article/jdojgg.html