酷酷是懒虫

这个屌丝很懒，什么也没留下！

热门标签

Linux账号与权限管理_linxu实训用户账号和权限管理

作者：酷酷是懒虫 | 2024-07-10 19:32:00

踩

linxu实训用户账号和权限管理

一.管理用户账号

1.1用户账号概述

1.1.1用户账号的分类

1.超级用户：root用户是Linux操作系统中默认的超级用户账号，对本机主机拥有最高的权限，系统超级用户是唯一的。
2.普通用户：由root用户或其他管理员用户创建，拥有的权限会收到限制，一般只会在用户自己的宿主目录中拥有完整的权限。
3.程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，仅用于维护系统或某个程序的正常运行，如bin，大额模拟，ftp，mail等。

1.1.2用户标识UID（User IDentity）

root用户账号的UID固定值0
程序用户账号的UID默认为Centos5，6：1~499，Centos7：1-999
普通用户的UID默认为Centos5,6:500-65535,Centos7：1000-65535

1.1.3用户账号文件

作用：保护用户名称，宿主目录，登录sell等基本信息，每一行对应一个用户的账号记录
文件位置：
/etc/passwd：保存用户名称，宿主目录，登录sell等基本信息
/etc/shadow；保存用户的账号，密码等有效信息
每一行对应一个用户的账号记录

在这里插入图片描述

基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的unix操作系统中，用户账号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患。后来经改进后，将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符‘x’

记录格式：root：x：0：0：root：/root：/bin/bash
1

1.字段1：用户账号名称
2.字段2：用户密码占位符“x”
3.字段3：用户账号的UID号
4.字段4：所属基本组账号的GID号
5.字段5：用户全名
6.字段6：宿主目录
7.字段7：登录shell信息（/bin/bash为可登录系统，/sbin/nologin和/bin/false为禁用户登录系统）

/etc/shadow
每一行对应一个用户的密码记录。默认只有root用户能够读取文件中的内容，而不允许直接编辑该文件中的内容。

某条格式：

root:$6$LOm1iAJRGPY5SRjO$GbpwoyzdV6Gqf6FX14R6vRosIqm.xHScEcGp80r5w3T19U3k.p6nH7B1YEy2LPYch.8XOF1ga3KcXOrHgKHX30::0:99999:7:::
1

1.字段1：用户账号名称
2.字段2：加密的密码字串信息，当为“*”或“！！”时表示此用户不能登录到系统。若该字段为空，则该用户无需密码即可登录系统
3.字段3：上次密码修改时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数
4.字段4：密码最短有效天数，自本次修改密码后，必须至少进过该天数才能再次修改密码。默认值为0，表示不进行限制
5.字段5：密码最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制
6.字段6：提前多少天警告用户密码将过期，默认值为7
7.字段7：在密码过期之后多少天禁用此用户
8.字段8：账号失效时间，此字段指定了用户作废的天数，默认值为空，表示账号永久可以使用
9.字段9：**保留字段（未使用），没有特定用途

普通用户忘记密码怎么办？ passwd 用户名
1

1.2用户账号管理

1.2.1添加用户账号-useradd

 格式；useradd  【选项】...用户名
1

常用选项：

选项	作用
- u	指定用户的UID号，要求该UID号码未被使用
-d	指定用户的宿主目录位置，只能用绝对路径指定目录，且不需要事先创建目录
-e	指定用户账号失效时间
-g	指定用户的基本组名，对应的组名必须已存在
-G	指定用户的附加组名，对应的组名必须已存在
-M	不建立宿主目录
-s	指定用户的登录shell

[root@yxp ~]# useradd red  
//添加名为red的用户
[root@yxp ~]# tail -1 /etc/passwd    
red:x:1004:1004::/home/red:/bin/bash    
//显示/etc/passwd 末尾一行，看有没有添加成功
[root@yxp ~]# tail -1 /etc/shadow 
red:!!:18873:0:99999:7:::   
//显示/etc/shadow 末尾一行
[root@yxp home]# ls        
red  susan  test  test1  test2  yxp    
//可以看到red家目录在/home
[root@yxp home]# cd red  
[root@yxp red]# ls -a
.  ..  .bash_logout  .bash_profile  .bashrc  .mozilla  
//都是隐藏文件
[root@yxp red]# ls -A
.bash_logout  .bash_profile  .bashrc  .mozilla


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

[root@localhost ~]# useradd -u 2000 test1 
//添加名为test1，UID号为2000的普通用户
[root@localhost ~]# id test1 
uid=2000(test1) gid=2000(test1) 组=2000(test1)
//可以看到UID变成了2000，GID默认和UID一致



1
2
3
4
5
6
7
8

[root@localhost opt]# useradd -d /opt/rr test2
//添加名为test2，并指定宿主目录位置在/opt/rr下
[root@localhost opt]# tail -2 /etc/passwd
//显示/etc/passwd 末尾2行
test1:x:2000:2000::/home/test1:/bin/bash
test2:x:2001:2001::/opt/rr:/bin/bash  
//可以看到test2用户的宿主目录在/opt/rr下

1
2
3
4
5
6
7
8

[root@localhost opt]# useradd -e 2021-9-5 test3
//添加普通用户名称为test3
[root@localhost opt]# tail -1 /etc/shadow
test3:!!:18874:0:99999:7::18875:
//显示/etc/passwd 末尾2行，可以看到字段8:帐号失效时间是18875，从1970年后的18875天


1
2
3
4
5
6
7


[root@localhost opt]# useradd -g test1 kyky
//添加普通用户名称为kyky，指定用户的基本组名test1，指定的属组必须存在
[root@localhost opt]# id kyky
uid=2002(kyky) gid=2000(test1) 组=2000(test1)
//可以看到属组添加成功
[root@localhost opt]# tail -1 /etc/passwd
kyky:x:2003:2000::/home/kyky:/bin/bash
//GID组号变成2000，如果不指定，默认是和UID一样为2003
[root@localhost opt]# useradd -G test2 kyky1
//添加普通用户名称为kyky，指定用户的附加组名test2，指定的属组必须存在
[root@localhost opt]# id kyky1
uid=2003(kyky1) gid=2003(kyky1) 组=2003(kyky1),2001(test2)


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[root@localhost opt]# cd /home/
[root@localhost home]# useradd -M test3
//添加名为test3的用户，但是不创建宿主目录
[root@localhost home]# ls
kyky  kyky1  test1  user1


1
2
3
4
5
6
7

1.2.2设置/更改用户口令-passwd

root用户可以指定用户名作为参数，对指定账号的密码进行管理，不指定用户名时，修改当前账号的密码
普通用户却只能执行单独的passwd命令就行修改自己的密码
格式

passwd 用户名
例如：
[root@yxp red]# passwd red
更改用户 red 的密码 。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。


1
2
3
4
5
6
7
8
9

注意；密码不得小于8个字符，不设置密码，有两个！！，不可以正常登录，设了密码才可以
常用选项（只有超级用户可以使用选项）

选项	功能
-d	清空指定用户的密码
-l	锁定用户账户，锁定的用户账号将无法再登录系统
-S	查看用户账户的状态
-u	解锁用户账户

[root@localhost home]# passwd -d kyky5
清除用户的密码 kyky5。
passwd: 操作成功
//清除用户密码
[root@localhost home]# passwd -l kyky5
锁定用户 kyky5 的密码 。
passwd: 操作成功
//锁定用户账户，锁定的用户账号将无法再登录系统。（一定要事先设好密码）
[root@localhost home]# passwd -S kyky5
kyky5 LK 2021-09-04 0 99999 7 -1 (密码已被锁定。)
//查看用户kyky5用户的状态
[root@localhost home]# passwd -uf kyky5
解锁用户 kyky5 的密码。
passwd: 操作成功


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

1.2.3修改用户账号属性-usermod

格式：usermod【选项】....用户名
1

常用选项：

选项	作用
-u	修改用户的UID号
-d	修改用户的宿主目录位置
-e	修改用户的账号失效时间
-g	修改用户的基本组名
-G	修改用户的附加组名
-M	不建立宿主目录
-s	指定用户的登录shell
-l	更改用户之的登录名称
-L	锁定用户账户
-u	解锁用户账户

[root@localhost home]# usermod -L yxp1
//锁定账户yxp1
[root@localhost home]# passwd -S yxp1
yxp1 LK 2021-09-04 0 99999 7 -1 (密码已被锁定。)
//查看用户状态
[root@localhost home]# passwd -S yxp1
yxp1 LK 2021-09-04 0 99999 7 -1 (密码已被锁定。)
[root@localhost home]# passwd -uf yxp1
解锁用户 yxp1 的密码。
passwd: 操作成功
[root@localhost home]# 


1
2
3
4
5
6
7
8
9
10
11
12
13

[root@localhost home]# usermod -g test2 -G wheel yxp1
//修改用户yxp1基本组为test2和附加组为wheel
[root@localhost home]# id yxp1
uid=11000(yxp1) gid=2001(test2) 组=2001(test2),10(wheel) 
//wheel比root权限小，比用户权限大
[root@localhost home]# 


1
2
3
4
5
6
7
8

[root@localhost home]# cat /etc/passwd |grep yxp1
yxp1:x:11000:2001::/opt/yxp1:/bin/bash
[root@localhost home]# usermod -s /sbin/nologin yxp1
//修改用户yxp1登录shell
[root@localhost home]# cat /etc/passwd |grep yxp1
yxp1:x:11000:2001::/opt/yxp1:/sbin/nologin
//从/bin/bash变为/sbin/nologin


1
2
3
4
5
6
7
8
9

1.2.4删除用户账号–userdel

格式：userde   【-r】用户名
1

[root@yxp red]# userdel test1
//删除用户，此时家目录里的宿主目录不会被删除，结合-r可以一次性删除
[root@yxp red]# ls -a /home
.  ..  red  susan  test  test1  test2  yxp
[root@yxp red]# rm -rf test1
[root@yxp red]# ls -a /home
.  ..  red  susan  test  test1  test2  yxp
[root@yxp red]# 


1
2
3
4
5
6
7
8
9
10

[root@localhost home]# cd /home/
[root@localhost home]# ls
kyky  kyky1  kyky5  test1  user1
[root@localhost home]# userdel -r kyky5
//结合-r可以一次性删除家目录下的宿主目录
[root@localhost home]# ls
kyky  kyky1  test1  user1


1
2
3
4
5
6
7
8
9

二.管理组账号

2.1管理者概述

2.1.1组账号的分类

基本组：基本组账号只有一个，一般为创建用户时指定的组
附加组；用户除了基本组以外，额外添加指定的组

2.1.2组标识GID

1.root用户账号的GID固定值0

2.程序用户账号的GID默认为Centos5,6: 1~499，Centos7: 1~ 999
3.普通用户的GID默认为Centos5, 6: 500~ 65535，Centos7: 1000~ 65535

2.1.3组账号文件

文件位置
/etc/group:保存组帐号基本信息
/etc/gshadow:保存组帐号的密码信息

2.2组账号管理

2.2.1添加组账号–groupadd

格式
```
groudadd  【-g  GID】组账号名
1
```

2.2.2添加，设置，删除组成员-groupwd命令

设置组账号密码，但是该功能极少使用，实际上更多的管理用户成员、添加/删除组成员

格式；gpasswd【选项】...组账号名
1

常用选项：

选项	作用
-a	向组内添加一个用户
-d	层徐内删除一个用户成员
-M	定义组成员列表，以逗号分隔

三.文件/目录的权限及归属

3.1查看文件/目录的权限和归属

[yxp@yxp root]$ ll /etc/passwd
-rw-r--r--. 1 root root 2387 9月   3 22:57 /etc/passwd


1
2
3
4

在上述输出信息中，第3、4个字段的数据分别表示该文件的属主、属组，上面的"/etc/passwd"文件都属于root用户，root组：而第1个字段的数据表示该文件的访问权限，如：“-rw-r–r–”。权限字段由四部分组成，各自的含义如下：
1.第一个字符：表示该文件的类型，可以是
d（目录）、b（块设备文件）、c（字符设备文件）、“-”（普通文件）、字母“ l ”（链接文件）等；
2.第2～4个字符：表示该文件的属主用户（User）对该文件的访问权限；
3.第5～7个字符：表示该文件的属组内各成员用户（Group）对该文件的访问权限；
4.第8～10个字符：表示其他任何用户（Other）对该文件的访问权限；
5.第11个字符：这里的“ . ”与SELinux有关，目前不需要关注

3.2设置文件/目录

3.2.1设置文件/目录权限- chmod

字符形式： chmod [ugoa···][±=][rwx] 文件…
数字形式： chmod nnn 文件/目录…
在这里插入图片描述

3.2.2设置文件/目录归属 - chown/chgrp

格式：
chown/chgrp 属主文件或目录
chown/chgrp ：属组文件或目录
chown/chgrp 属主：属组文件或目录

常用选项：-R：递归修改指定目录下所有子项的权限

3.3unmask应用

我们新建一个新的文件或目录时，它的默认权限是什么呢，这个与unask有关
1.unmask作用

设置目录和文件的默认选项
指定目前用户在新建文件或目录时的权限默认值
新建的文件或者目录的权限为默认最大权限减去u-mask
```
 格式；
 umask查看：umask
 umask设置：umask 000
1
2
3
```

声明：本文内容由网友自发贡献，转载请注明出处：【wpsshop】