Linux 用户和组
1、用户和组的概念
用户的作用:
- Authentication:认证
- Authorization:授权
- Accouting:审计
用户存在的最终目的:
- 为了实现资源的分派
组的作用:
- 将具有相同特征的用户放在一起组成一个整体
- 当用户过多时方便管理
1.1Linux安全上下文
Linux通过安全上下文的概念完成用户权限的指派。
- 先判断用户是否是某文件的属主
- 再判断用户是否是该文件属组中的一员
- 最后定其为其它用户
运行中的程序:进程(process)
- 以进程发起者的身份运行
- root:cat
- zsl:cat
- 进程所能够访问的所有资源的权限取决于进程的发起者身份
2 用户分类
Linux分为root用户、系统用户、普通用户:
| 用户分类 | 用户ID(uid) |
|---|---|
| root用户 | 0 |
| 系统用户 | 1~499(为守护类进程获取系统资源而完成权限指派的用户) |
| 普通用户 | 500~65535(为了完成交互式登录使用的用户) |
3 组的分类
| 用户组分类 | 特性 |
|---|---|
| 基本组 | 用户的默认组 |
| 附加组(额外组) | 基本组以外的其它组 |
4、用户和组相关的配置文件
4.1各种配置文件
| 配置文件 | 作用 |
|---|---|
| /etc/passwd | 用户及其属性信息(用户名称、uid、基本组id等等) |
| /etc/shadow | 用户密码及其相关属性 |
| /etc/group | 组及其属性信息 |
| /etc/gshadow | 组密码及其相关属性 |
4.2 配置文件解析
- /etc/passwd
root:x:0:0:root:/root:/bin/bash
| 字段 | 含义 |
|---|---|
| 第一字段 | 用户名 |
| 第二字段 | 密码占位符 |
| 第三字段 | UID |
| 第四字段 | GID |
| 第五字段 | 用户的描述信息 |
| 第六字段 | 用户家目录 |
| 第七字段 | 用户的登录shell |
- /etc/shadow
adm:*:18397:0:99999:7:::
| 字段 | 含义 |
|---|---|
| 第一字段 | 用户名 |
| 第二字段 | 加密后的密码 |
| 第三字段 | 最近一次更改密码的日期 |
| 第四字段 | 密码的最小使用期限 |
| 第五字段 | 密码的最大使用期限 |
| 第六字段 | 密码警告时间段 |
| 第七字段 | 密码禁用期 |
| 第八字段 | 账号的过期日期 |
| 第九字段 | 保留字段 |
- /etc/group
root:x:0:
| 字段 | 意义 |
|---|---|
| 第一字段 | 组名 |
| 第二字段 | 组密码 |
| 第三字段 | GID |
| 第四字段 | 以当前组为附加组的用户列表 |
- /etc/gshadow
root:::
| 字段 | 意义 |
|---|---|
| 第一字段 | 用户组 |
| 第二字段 | 用户组密码 |
| 第三字段 | 用户组管理者 |
| 第四字段 | 组成员 |
5、用户管理命令
5.1 查看用户信息命令—id
id //查看用户的账号属性信息
-u //查看UID
-g //查看GID
-G //查看Gruops
5.2 创建用户命令—useradd
//语法格式:useradd [option] USERNAME
-u UID //指定用户uid
-g GID //指定用户所属基本组,可为组名或GID,组必须事先存在
-G gruopname //附加组,可以有多个,用逗号隔开。组必须事先存在
-c "COMMENT" //注释信息
-d directory //指定用户的家目录。此目录不能事先存在
-s shell //指定用户的shell,最好使用/etc/shells里面有的shell
-M //创建用户时不给其创建家目录
-r //添加一个系统用户
5.3 删除用户命令—userdel
//语法格式:userdel [option] USERNAME
-r //删除用户的同时删除其家目录(userdel默认不会删除其家目录)
5.4 修改用户属性命令—usermod
//语法格式:usermod [option] USERNAME
-u UID
-g GID
-a -G groupname //不使用-a选项,会覆盖此前的附加组
-m -d //改变用户家目录的同时把原来家目录的文件移动到新的家目录中
-e YYYY-MM-DD //指明用户帐号过期日期
-f INACTIVE //设定非活动期限
-L //锁定帐号;被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
-U //解锁帐号
-s SHELL //修改用户登录shell
5.5 修改用户密码过期信息—change
//语法格式:chage [option] USERNAME
-d //最近一次更改密码的时间
-E //改变账号的过期日期
-I //设置账号非活动期限
-l //列出用户的密码信息
-m //设置账号密码的最小使用天数
-M //设置账号密码的最大使用天数
-W //设置账号密码过期警告时间
5.6切换用户命令su
- su 命令用法
管理员用户 su 切换至其他用户不需要密码,非管理员用户 su 切换至其他用户时需要输入目标用户的密码
//语法:su [options] [-] [USER NAME]
-c 'COMMAND' //切换身份执行命令,命令执行结束后又回到原来的身份
| su的用法 | 特点 |
|---|---|
| su USERNAME | 非登录式切换,即不会读取目标用户的配置文件 |
| su - USERNAME | 登录式切换,即会读取目标用户的配置文件。完全切换 |
- bash的配置文件:
| 配置文件类型 | 配置文件路径 |
|---|---|
| 全局配置 | /etc/profile,/etc/profile.d/*.sh,/etc/bashrc |
| 用户配置 | ~/.bash_profile,~/.bashrc |
| 配置文件类型 | 功能 |
|---|---|
| profile类 | 为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本 |
| bashrc类 | 为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名 |
- 非登录式shell如何读取配置文件?
~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh
- 登录式shell如何读取配置文件?
/etc/profile --> /etc/profile.d/*.sh --> ~/.bash_profile --> ~/.bashrc --> /etc/bashrc
6、密码管理命令
6.1 密码管理命令passwd
语法:passwd [options] [USERNAME]
--stdin //从标准输入获取用户密码;例:echo "redhat"|passwd --stdin user1
-l //锁定用户
-u //解锁用户
-d //删除用户密码
-n mindays //指定最短使用期限
-x maxdays //指定最长使用期限
-w warndays //提前多少天开始警告
-i inactivedays //非活动期限,密码