未加星标

Linux之用户管理与权限控制

字体大小 | |
[系统(linux) 所属分类 系统(linux) | 发布者 店小二05 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏

早期linux系统设计为了能够实现多用户、多进程高效的利用服务器资源,在此种情况下,为了能够保证用户与用户之间的文件不被随意的访问及修改、删除等操作,用户、组的管理能在某种程序上实现管理用户或批量管理用户。由于Linux的设计哲学思想『一切皆文件』,用户对设备的访问就是对文件的访问。

一、用户与组

Linux下有三类用户

1.超级用户: root 具有操作系统的一切权限 UID 值为0

2.普通用户:

普通用户具有操作系统有限的权限, UID值 500+

3.伪用户:

是为了方便系统管理, 满足相应的系统进程文件属主的要求, 伪用户不能登录系统,CentOS6 UID值 1 -- 499,CentOS7 UID值为1 -- 999.

二、安全上下文

当一个用户发起一个进程时,此进程将继承用户的属主、属组的权限,再以进程继承的权限来控制文件的访问权限。

例如:

[[email protected]~]# /bin/cat FILE ##取决于root用户对FILE文件拥有的权限
[[email protected]~]$ /bin/cat FILE ##取决于young用户对于FILE文件的拥有权限 三、组的类别

用户的主要组(主组): 用户必须属于一个且只有一个主组 组名同用户名,且仅包含一个用户:私有组

用户的附加组(辅助组): 一个用户可以属于零个或多个辅助组

四、用户和组的配置文件 1.Linux用户和组的主要配置文件

/etc/passwd:用户及其属性信息(名称、 UID、主组ID等),可使用vipw命令编辑,使用pwck命令校验格式,无效用户等

/etc/group:组及其属性信息,可使用vigr命令编辑,可使用grpck校验格式,无效组等

/etc/shadow:用户密码及其相关属性,可使用pwck命令校验格式无效用户等

/etc/gshadow:组密码及其相关属性,可使用grpck校验合适,无效组等

2.配置文件格式说明 /etc/passwd

root:x:0:0:root:/root:/bin/bash 用户名:密码:UID:GID:用户注释信息:用户家目录:Shell定义

用户名: 用户的名称
密码: X表示占位符,也可以是密码
UID: 用户识别代码
GID: 用户所属组的GID(基本组)
用户注释信息:Comment,可以完善用户的基本信息
用户家目录: 系统登录用户后的工作目录
shell: 定义用户登录系统所使用的shell,指定的shell需要在/etc/shells中出现 /etc/shadow

root:$6$YqkEsOcfKPptyhnS$YD0ym4BZ52pzcCnU....:16781:0:99999:7::: 用户名:密码:上一次修改密码的时间:密码最小使用期限:最长使用期限:警告时间:帐户过期时间:保留字段

用户名: 用户的名称,对应/etc/passwd文件中
密码: Centos6中使用MD5加密算法,Centos7中使用sha1的算法,第一个$后面加密算法类型,第二个$后面表示salt,第三个$后面表示密码的提取码(参照加密类型)
上一次修改密码的时间: 指用户上次修改密码的时间,计算方法:从Linux元年1970年01月01日0点0分到目录所经过的秒数
密码最小使用期限: 指用户修改密码后,需要到多少天后方可更改密码,0表示禁用
密码最长使用期限: 指用户的密码到多少天后需要修改密码
警告时间: 指用户密码到期前多少天提示用户修改密码,0和空字段表示禁用此功能
帐户过期时间: 批帐户在密码过期后多少天还未修改密码,将被停用 /etc/group

root:x:0: 组名:密码:GID:User_list

组名:组的名称,默认同名用户名
密码: 组的密码占位符,用于用户临时切换至需要的组以获取相应权限,可以使用newgrp GROUP_NAME切换
GID:组的全局识别号
User_list:隶属此组的用户,多个用户使用","隔开 /etc/gshadow

root:$6$PLRAi/Z/svr$PRelPtvLuGJqvFG3D8fbjYHDho2RQUe93glO.:: 组名:密码:组管理者:User_list

组名:组的名称,同步/etc/group文件中
密码:第一个$后面表示加密算法,第二个$后面表示加密的密码
组管理者:可以对此组成员有操作权限,如果有多个,可以用逗号隔开
User_list: 用户的列表,如果有多个,可以使用逗号隔开 五、用户和组管理命令 1.用户管理命令 a、useradd useradd - create a new user or update default new user information
synopsis: useradd [options] LOGIN
useradd -D [options]
options:
-u : 指定用户的UID
-g : 指明用户所属基本组,可为组名,也可以GID,组或者GID必须存在
-c : 指定注释信息,如果有空格,需要使用" "包含
-d : 指定用户家目录,创建用户时,会自动将/etc/skel中的文件复制到用户家目录下,如果指定的文件存在将不会复制文件,如果父目录不存在,创建也将会失败
-s : 指定用户shell
-r : 指定创建一个系统用户
-M :不创建用户家目录
-G : 指定附加组,多个使用逗号隔开
-D :修改创建用户的配置信息,文件位于/etc/default/useradd
注:创建用户时的诸多默认设定配置文件为/etc/login.defs 实例一: [[email protected] ~]# useradd -u 1003 -c "TestUser" -d /home/geek -s /bin/sh geek
[[email protected] ~]# getent passwd geek
geek:x:1003:1003:TestUser:/home/geek:/bin/sh 实例二: [[email protected] ~]# useradd sys -r -M -g 1001 -G root
[[email protected] ~]# getent passwd sys
sys:x:498:1001::/home/sys:/bin/bash
[[email protected] ~]# id sys
uid=498(sys) gid=1001(young) groups=1001(young),0(root)

注:useradd命令加参数-D参看系统的默认值:

# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

解释: 1)新用户添加到GID为100的公共组 2)新用户的HOME目录将会位于/homoe/username 3)新用户账户密码在过期后不会被禁用 4)新用户账户未被设置为某个日期后就过期 5)新用户账户将bash shell作为默认shell 6)系统会将/etc/skel目录下的内容复制到用户的HOME目录下 7)系统为该用户账户在mail目录下创建一个用于接收邮件的文件 修改: useradd D -s SHELL useradd D b BASE_DIR useradd D g GROUP

如 # useradd -D -s /bin/tsch ,修改默认的shell为/bin/tsch。

倒数第2个值很有意思。useradd命令允许管理员创建一个默认的HOME目录配置,然后把它作为创建新用户HOME目录的模板。这样,就能自动在每个新用户的HOME目录里放置默认的系统文件。在Ubuntu Linux系统上,/etc/skel目录下有下列文件:

[[email protected] ~]# ls -A /etc/skel
.bash_logout .bash_profile .bashrc

此上文件不复制进去用户命令提示符等会缺失。

/etc/login.defs文件也是新建用户属性的配置文件。

b、newusers与chpasswd

newusers命令用来批量创建用户

chpasswd用来批量修改密码

批量创建用户并修改密码 A、创建用户列表user.txt(文件格式与/etc/passwd相同) [[email protected] ~]# vim users.txt
user1:x:600:600::/home/user1:/bin/bash
user2:x:601:601::/home/user2:/bin/bash
user3:x:602:602::/home/user3:/bin/bash B、批量创建用户 [[email protected] ~]# newusers users.txt
[[email protected] ~]# tail -3 /etc/passwd
user1:x:600:600::/home/user1:/bin/bash
user2:x:601:601::/home/user2:/bin/bash
user3:x:602:602::/home/user3:/bin/bash C、复制/etc/skel下文件到用户家目录 [[email protected] ~]# cp /etc/skel/.[^.]* /home/user1
[[email protected] ~]# cp /etc/skel/.[^.]* /home/user2
[[email protected] ~]# cp /etc/skel/.[^.]* /home/user3 D、创建密码文件passwd.txt(格式===> 用户名:密码) [[email protected] ~]# vim passwd.txt
user1:young
user2:young
user3:young E、批量修改密码 [[email protected] ~]# cat passwd.txt | chpasswd

查看:

[[email protected] ~]# tail -3 /etc/shadow
user1:$6$9w3Hm/gYw$fVQMOyaJxzR9yBSbmPlZY8DKHb2BLGPAVxmFqJsN4rTGYao5B4TRZW/i7z1UgWF/mNI6jJ45bbD4vZtJhIYu50:17166:0:99999:7:::
user2:$6$9pXcj/.LREq/OK$M8tY6gpxKliOgnKG/N7H0oiuD88RAbB7BM/94UlDWlefXsTqyYReYk96FK6mofd2quYHXA7mID3q5nBgqYHjL0:17166:0:99999:7:::
user3:$6$lxmzw4KcEA/hfm6$nrc9rLSwM4JXfLOm7p2a1CqWB8Y5fgioU3DctpvfIw1.A6iqDy0aADGkReT1FVJhOubRC3l2iUUq8PwnJx9HK0:17166:0:99999:7:::

测试:

[[email protected] ~]# su - user1
[[email protected] ~]$ su - user2
Password:
[[email protected] ~]$ c、usermod

usermod命令可实现用户属性修改。

usermod - modify a user account
synopsis: usermod [options] LOGIN
options:
-u : 修改用户UID
-g : 修改用户GID
-c : 修改用户的注释信息
-d : 修改用户家目录,需要配合使用-m选项才会自动复制用户家目录下的文件到新的家目录
-m : move-home to new directory
-s : 修改用户的shell
-l : 修改用户的登陆名,即login名称
-G : 修改用户的附加组信息,需要配合-a(append)一起使用,如果不使用-a将删除原来的附加组
-a : --append,连接多个附加组的参数
-L : 锁定用户,即lock,在/etcpasswd文件中,密码前面加!(一个)
-U : 解锁用户,即unlock,在/etc/passwd文件中,取消密码前面的!号 实例: [[email protected] ~]# getent passwd user1
user1:x:600:600::/home/user1:/bin/bash
[[email protected] ~]# id user1
uid=600(user1) gid=600(user1) groups=600(user1)
[[email protected] ~]# usermod -u 700 -g user2 -aG bin,root -c 'linux' -d /none/user1 -s /bin/tsh -l linux user1
[[email protected] ~]# getent passwd linux
linux:x:700:601:linux:/none/user1:/bin/tsh
[[email protected] ~]# id linux
uid=700(linux) gid=601(user2) groups=601(user2),0(root),1(bin) d、userdel

userdel命令用来删除已经存在的用户。

userdel - delete a user account and related files
synopsis: userdel [options] LOGIN
options:
-r : 删除用户的同时删除用户的家目录,即--remove参数

实例:

[[email protected] ~]# userdel -r user3 e、id

id命令查看用户相关信息。

id [OPTION]... [USER]
-u: UID
-g: GID
-G: Groups
-n: Name (与-u连用可现实名称)

实例:

[[email protected] ~]# id geek
uid=1003(geek) gid=1003(geek) groups=1003(geek)
[[email protected] ~]# id
uid=0(root) gid=0(root) groups=0(root)
[[email protected] ~]# id -G
0
[[email protected] ~]# id -un
root f、su

su命令用来切换当前用户身份。

su[options…] [-] [user [args…]] 切换用户的方式:

su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录

su UserName:登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换

su -l UserName相当于su UserName

root su至其他用户无须密码;非root用户切换时需要密码

su [-] UserName -c 'COMMAND' :撤换至指定用户身份执行命令,命令执行结束后即退出

-c : 不用登陆用户即可以以指定用户执行命令 su - geek -c 'id -u'

[[email protected] ~]# su -

本文系统(linux)相关术语:linux系统 鸟哥的linux私房菜 linux命令大全 linux操作系统

主题: Linux算法Ubuntu服务器删除TIQMLGCTIOPT
分页:12
转载请注明
本文标题:Linux之用户管理与权限控制
本站链接:http://www.codesec.net/view/530693.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(linux) | 评论(0) | 阅读(72)