Linux运维之道(8)——用户和组管理

@(Linux)[用户和组管理]

---

1. 用户和组管理

1.1 资源分派三元组

• Authentication：认证
• Authorization：授权
• Accouting：审计

1.2 Linux用户-UID

管理员：root, 0
普通用户：1-65535

• 系统用户：1-499, 1-999
  对守护进程获取资源进行权限分配
• 登录用户:500+, 1000+
  交互式登录

1.3 Linux组-GID

管理员组：root, 0
普通组

• 系统组：1-499, 1-999
• 普通组：500+, 1000+

Linux组的类别：

• 用户的基本组(主组)：
  组名同用户名，且仅包含一个用户：私有组
• 用户的附加组(额外组)：
  通过后需添加获得

1.4 Linux安全上下文

进程所能够访问的所有资源的权限取决于进程的发起者的身份

• 比如说，当我以escape这个用户使用ls命令时，首先系统会检测我这个用户是否是这个命令的所有者(rwx)，如果不是判断是否为这个命令的所属组(r-x)，如果都不是则会应用其他人(r-x)权限。但是，也有一些命令例外，具体什么呢？下一篇文章将会涉及，请多关注。
• 其实在我们执行命令的时候，系统会重新启动一个bash(假设你使用的是bash)来运行我们的命令，在运行完毕之后返回命令执行的结果。

[escape@localhost ~]$ ll /usr/bin/ls
-rwxr-xr-x. 1 root root 117616 2月  16 23:49 /usr/bin/ls

1.5 Linux用户和组相关的配置文件

配置文件包含：
/etc/passwd：用户及其属性信息(名称、UID、基本组ID等等)；
/etc/group：组及其属性信息；
/etc/shadow：用户密码及其相关属性；
/etc/gshadow：组密码及其相关属性；

/etc/passwd

• name:password:UID:GID:GECOS:directory:shell
• 用户名:密码:UID:GID:GECOS:主目录:默认shell

/etc/group

• group_name:password:GID:user_list
• 组名:组密码:GID:以当前组为附加组的用户列表(分隔符为逗号)

/etc/shadow

• 用户名:加密了的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期限:密码警告时间段:密码禁用期:账户过期日期:保留字段

/etc/gshadow

• 组名:口令:组管理者:组内用户列表

**密码的复杂性策略: **
1、使用数字、大写字母、小写字母及特殊字符中至少3种；
2、足够长；
3、使用随机密码；
4、定期更换；不要使用最近曾经使用过的密码；

2. 用户和组相关的管理类命令

---

2.1 用户创建：useradd

格式：useradd [options] LOGIN

参数选项：

• -u UID
  [UID_MIN, UID_MAX], 定义在/etc/login.defs
• -g GID
  指明用户所属基本组，可为组名，也可以GID
• -c "COMMENT"
  用户的注释信息；
• -d /PATH/TO/HOME_DIR
  以指定的路径为家目录
• -s SHELL
  指明用户的默认shell程序，可用列表在/etc/shells文件中
• -G GROUP1[,GROUP2,...[,GROUPN]]]
  为用户指明附加组；组必须事先存在
• -r
  创建系统用户
  CentOS 6: ID<500
  CentOS 7: ID<1000

默认值设定：/etc/default/useradd文件中

---

2.2 组创建：groupadd

格式：groupadd [OPTION]... group_name

参数选项：

• -g GID
  指明GID号；[GID_MIN, GID_MAX]
• -r
  创建系统组
  CentOS 6: ID<500
  CentOS 7: ID<1000

---

2.3 查看用户相关的ID信息：id

格式：id [OPTION]... [USER]

参数选项：

• -u
  UID
• -g
  GID
• -G
  Groups
• -n
  Name

---

2.4 切换用户或以其他用户身份执行命令：su

格式：su [options...] [-] [user [args...]]

切换用户的方式：
su UserName

• 非登录式切换，即不会读取目标用户的配置文件；

su - UserName

• 登录式切换，会读取目标用户的配置文件；完全切换；

换个身份执行命令：
su [-] UserName -c 'COMMAND'

参数选项：

• -l
su -l UserName相当于su - UserName

Note：root用户su至其他用户无须密码；非root用户切换时需要密码；

---

2.5 用户属性修改：usermod

格式：usermod [OPTION] login

参数选项：

• -u UID
  新UID
• -g GID
  新基本组
• -G GROUP1[,GROUP2,...[,GROUPN]]]
  新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项，表示append
• -s SHELL
  新的默认SHELL
• -c 'COMMENT'
  新的注释信息
• -d HOME
  新的家目录；原有家目录中的文件不会同时移动至新的家目录；若要移动，则同时使用-m选项
• -l login_name
  新的名字
• -L
  lock指定用户
• -U
  unlock指定用户
• -e YYYY-MM-DD
  指明用户账号过期日期
• -f INACTIVE
  设定非活动期限

---

2.6 给用户添加密码：passwd

格式：passwd [OPTIONS] UserName

• 修改指定用户的密码，仅root用户权限
• passwd: 修改自己的密码；

参数选项：

• -l
  锁定指定用户
• -u
  解锁指定用户
• -n mindays
  指定最短使用期限
• -x maxdays
  最大使用期限
• -w warndays
  提前多少天开始警告
• -i inactivedays
  非活动期限
• --stdin
  从标准输入接收用户密码
  echo "PASSWORD" | passwd --stdin USERNAME

Note: /dev/null and /dev/zero
/dev/null,它是空设备.看作黑洞，它非常等价于一个只写文件，所有写入它的内容都会永远丢失，而尝试从它那儿读取内容则什么也读不到，然而/dev/null对命令行和脚本都非常的有用。
/dev/zero也是一个伪文件，但它实际上产生连续不断的null的流(二进制的零流，而不是 ASCII型的)。写入它的输出会丢失不见，而从/dev/zero读出一连串的null也比较困难，虽然这也能通过od或一个十六进制编辑器来做到。 /dev/zero主要的用处是用来创建一个指定长度用于初始化的空文件，就像临时交换文件。

---

2.7 删除用户：userdel

格式：userdel [OPTION]... login

参数选项：

• -r
  删除用户家目录

---

2.8 组属性修改：groupmod

格式：groupmod [OPTION]... group

• -n group_name
  新名字
• -g GID
  新的GID

Note：userdel不允许你移除正在线上的使用者帐 号

---

2.9 组删除：groupdel

格式：groupdel GROUP

Note： 如果有任何一个群组的使用者在线上的话就不能移除该群组，最好先移除使用者后再移除群组。

---

2.10 组密码：gpasswd

格式：gpasswd [OPTION] GROUP

参数选项：

• -a user
  将user添加至指定组中
• -d user
  删除用户user的以当前组为组名的附加组
• -A user1,user2,...
  设置有管理权限的用户列表
• -r
  删除密码

实战演示：

[root@localhost ~]# gpasswd -A peter test2  #将peter设为test2组管理员
[root@localhost ~]# gpasswd -a peter test2  #将用户peter加入到test2组
[root@localhost ~]# gpasswd -d peter test2  #将用户peter从test2组中移出

---

2.11 临时切换基本组：newgrp

格式：newgrp [-] [group]
如果用户本不属于此组，则需要组密码

实战演示：

[root@localhost ~]# newgrp www  #登录到www群组

---

2.12 修改用户属性：chage

格式：chage [OPTION]... LOGIN

参数选项：

• -d LAST_DAY
• -E, --expiredate EXPIRE_DATE
• -I, --inactive INACTIVE
• -m, --mindays MIN_DAYS
• -M, --maxdays MAX_DAYS
• -W, --warndays WARN_DAYS

其它命令：chfn, chsh, finger

3. 权限管理

文件的权限主要针对三类对象进行定义：

• owner: 属主, u
• group: 属组, g
• other: 其他, o

每个文件针对每类访问者都定义了三种权限：

• r: Readable
• w: Writable
• x: eXcutable

文件：

• r: 可使用文件查看类工具获取其内容；
• w: 可修改其内容；
• x: 可以把此文件提请内核启动为一个进程；

目录：

• r: 可以使用ls查看此目录中文件列表；
• w: 可在此目录中创建文件，也可删除此目录中的文件；
• x: 可以使用ls -l查看此目录中文件列表，可以cd进入此目录；

举例：

• r-->4
• w-->2
• x-->1
  640: rw-r-----
  rwxr-xr-x: 755

3.1 修改文件权限：chmod

格式：

• chmod [OPTION]... MODE[,MODE]... FILE...
• chmod [OPTION]... OCTAL-MODE FILE...
• chmod [OPTION]... --reference=RFILE FILE...

参数选项：

• --reference=参考文件
  使用指定参考文件的模式，而非自行指定权限模式
• -R
  以递归方式更改所有的文件及子目录
• --help
  显示此帮助信息并退出
• --version
  显示版本信息并退出

Note：每种 MODE 都应属于这类形式[ugoa] [-+=] [rwxXst] [ugo]

操作对像

• u 文件属主权限
• g 同组用户权限
• o 其它用户权限
• a 所有用户（包括以上三种）

权限设定

• + 增加权限
• - 取消权限
• = 唯一设定权限

权限类别

• r 读权限
• w 写权限
• x 执行权限
• X 表示只有当该档案是个子目录或者该档案已经被设定过为可执行。
• s 文件属主和组id
• l 给文件加锁，使其它用户无法访问

Note：仅root可以修改文件的属主和属组

实战演示：

[root@localhost ~]# chmod ugo+r nginx_bak.conf        #所有人皆可读取
[root@localhost ~]# chmod a+r nginx_bak.conf          #所有人皆可读取
[root@localhost ~]# chmod ug+w,o-w nginx_bak.conf     #设为该档案拥有者，与其所属同一个群体者可写入，但其他以外的人则不可写入
[root@localhost ~]# chmod u+x nginx_bak.conf          #创建者拥有执行权限 
[root@localhost ~]# chmod -R a+r ./www/               #将www下的所有档案与子目录皆设为任何人可读取
[root@localhost ~]# chmod a-x nginx_bak.conf          #收回所有用户的对nginx_bak.conf的执行权限
[root@localhost ~]# chmod 777 nginx_bak.conf          #所有人可读，写，执行

[root@localhost ~# chmod a+s test.ppt                   #chmod g+s ，为某个文件设置替代组标识
[root@localhost ~# ls -al |grep test.ppt
-rwSr-Sr--.  1 tank tank    2320384 11月 18 19:29 test.ppt
# 第一个S指示用户替代标识(suid)已经被设置。
# 第二个S指示替代组标识(sgid)已经被设置。
# 这样，每一个运行该程序的用户将给予和程序拥有者同样有效的用户标识，和用户所属组同样有效的组标识。

---

3.2 修改文件的属主：chown

格式：chown [OPTION]... [OWNER][:[GROUP]] FILE...

参数选项：

• --reference=参考文件
  使用参考文件的所属组，而非指定值
• --help
  显示此帮助信息并退出
• --version
  显示版本信息并退出
• -R, --recursive 递归处理所有的文件及子目录
  以下选项是在指定了 -R 选项时被用于设置如何穿越目录结构体系。如果您指定了多于一个选项，那么只有最后一个会生效。
• -H 如果命令行参数是一个通到目录的符号链接，则遍历符号链接
• -L 遍历每一个遇到的通到目录的符号链接
• -P 不遍历任何符号链接(默认)

实战演示：

#将nginx.conf所属用户和组改为escape,escape
[root@localhost ~]# chown escape:escape nginx.conf      
#将www目录，所属用户和组改为escape,escape  
[root@localhost ~]# chown -R escape:escape www            
[root@localhost ~]# chown root nginx.conf       #只改变用户
[root@localhost ~]# chown :escape 1.html        #只改变组

---

3.3 修改文件的属组：chgrp

格式：

• chgrp [OPTION]... GROUP FILE...
• chgrp [OPTION]... --reference=RFILE FILE...

参数选项：

• -c, --changes
  详细描述对每一个文件的动作:实际上改变了哪个组
• -f, --silent, --quiet
  不列出错误信息.(那些组不能被改变)
• -h
  作用于符号链接本身代替它所指向的. 仅可用于 lchown 系统调用被提供时
• -v, --verbose
  详细描述作用或没作用的所有文件
• -R
  递归的改变目录和它的内容的组所有权

实战演示：

[root@localhost www]# chgrp escape  abc.txt       #改变用户组
[root@localhost www]# chgrp -R escape  myweb      #改变myweb目录，以及目录下的所有文件所属组

---

3.4 文件或目录创建时的遮罩码：umask

格式：umask [-p] [-S] [mode]

• FILE: 666-umask
  Note: 如果某类的用户的权限减得的结果中存在x权限，则将其权限+1
• DIR: 777-umask

参数选项：

• -S
  以字符的形势显示当前的掩码
• -p
  带umask开头以数字的形势显示当前掩码

常用命令：

• umask
  查看
• umask #
  设定

实战演示：

[root@localhost ~]# umask        #查看当前用户预设权限
0022
[root@localhost ~]# umask -S     #以字母的形势显示权限
u=rwx,g=rx,o=rx
[root@localhost ~]# umask -p     
umask 0022
[root@localhost ~]# umask 755    #设置预设权限
[root@localhost ~]# umask 
0755

---

4. 思维导图

用户和组管理