一、管理用户账号
1、用户账号
在 Linux系统中,根据系统管理的需要将用户账号分为不同的类型,其拥有的权限、担任的角色也各不相同,主要包括超级用户、普通用户和程序用户。
(1)超级用户:root用户是 Linux系统中默认的超级用户账号,对本主机拥有最高的权限,类似于 Windows系统中的 Administrator用户。只有当进行系统管理、维护任务时,才建议使用root用户登录系统,日常事务处理建议只使用普通用户账号。
(2)普通用户:普通用户账号需要由root用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限。
(3)程序用户:在安装 Linux系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行,如bin、 daemon、ftp、mail等。
2、UID号
Linux系统中的每一个用户账号都有一个数字形式的身份标记,称为UID(ser IDentity用户标识号),对于系统核心来说,UID作为区分用户的基本依据,原则上每个用户的UID号应该是唯一的。root用户账号的UID号为固定值0,而程序用户账号的UID号默认为1~999,1000~60000的UID号默认分配给普通用户使用。
3、用户账号文件
(1)/etc/passwd用于保存用户名称、宿主目录、登录Shell等基本信息。passwd文件中的配置行格式如下。
(2)/etc/shadow用于保存用户的密码、账号有效期等信息。shadow文件中的配置各字段含义如下。
第 1 字段:用户账号名称。
第 2 字段:使用 SHA-512(哈希算法中的一种)加密的密码字串信息,当为“”或“!!”时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即 可登录系统。
第 3 字段:上次修改密码的时间,表示从 1970 年 01 月 01 日算起到最近一次修改 密码时间隔的天数。
第 4 字段:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再 次修改密码。默认值为 0,表示不进行限制。
第 5 字段:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修 改密码。默认值为 99999,表示不进行限制。
第 6 字段:提前多少天警告用户密码将过期,默认值为 7。
第 7 字段:在密码过期之后多少天内禁用此用户。
第 8 字段:账号失效时间,此字段指定了用户作废的天数(从 1970 年 01 月 01 日 起计算),默认值为空,表示账号永久可用。
第 9 字段:保留字段,目前没有特定用途。
4、添加用户账号—usradd命令*
常见的选项如下。
(1)-u:指定用户的UID号,要求该UID号码未被其他用户使用。
(2)-d:指定用户的宿主目录位置(当与-M一起使用时,不生效)。
(3)-e:指定用户的账户失效时间,可使用YYYY-MM-DD的日期格式。
(4)-M:不建立宿主目录,即使/etcc/login defs系统配置中已设定要建立宿主目录。
(5)-s:指定用户的登录 Shell。
(6)-g:修改用户的基本组名。
(7)-G:修改用户的感觉组名。
如图我们执行“useradd -d +指定目录+用户名”命令添加用户zhangsan到opt目录下,并执行“-s +/sbin/nologin”命令指定该用户不能用Shell登录。
5、设置/更改用户口令—passwd
常见的选项如下。
(1)-d:清空指定用户的密码,仅使用用户名即可登录系统。
(2)-l:锁定用户账户。
(3)-S:查看用户账户的状态(是否被锁定)。
(4)-u:解锁用户账户。
如图我们执行“passwd -l +用户名”命令锁定用户,并执行“passwd -S +用户名”命令查看用户账户状态。
6、修改用户账号的属性—usermod命令
常用的选项如下。
(1)-u:修改用户的UID号。
(2)-d:修改用户的宿主目录位置。
(3)-e:修改用户的账户失效时间,可使用YYYY-M-DD的日期格式。
(4)-s:指定用户的登录 Shell。
(5)-l:更改用户账号的登录名称(Login Name)。
(6)-L:锁定用户账户。
(7)-U:解锁用户账户。
(8)-g:修改用户的基本组名。
(9)-G:修改用户的感觉组名。
如图我们执行“usermod -L +用户名”命令同样也可以锁定用户。
7、删除用户账号—userdel命令
userdel命令结合“-r”选项可以同时删除宿主目录。
如图我们执行“userdel -r +用户名”命令删除用户账号。
8、用户账号的初始配置文件
文件来源:“/etc/skel”
(1)“~/.bashrc_profile”文件中的命令将在该用户每次登录时被执行。
(2)“~/.bashrc”文件中的命令会在每次加载“/bin/Bash”程序时(当然也包括登录系统)执行。
(3)“~/.bash_logout”文件中的命令将在用户每次退出登录时执行。理解这些文件的作用,可以方便我们安排一些自动运行的后台管理任务。
如图我们执行“cd /opt/用户名 |ls -a”命令去查看一下个用户账号的配置文件。
二、管理组账号
1、组账号
(1)基本组(私有组):这个组称为该用户的基本组(或私有组)
(2)附加组(公共组):每一个用户账号至少属于一个组,若该用户同时还包含在其他的组中,则这些组称为该用户的附加组(或公共组)。
2、组账号文件
(1)/etc/group:保存组账号基本信息。
(2)/etc/gshadow:保存组账号的密码信息。
(3)GID号:组标识号(Group IDentify)。
3、添加组账号—命令
使用groupadd命令可以添加一个组账号,需要指定GID号时,可以使用“-g”选项。
如图我们执行“groupadd +组账号名”命令添加一个组,再执行“more /etc/group |tail -5”命令去查看我们新建的组。
4、添加删除组成员—gpasswd命令
常用选项如下。
(1)-a:向组内添加一个用户。
(2)-d:从组内删除一个用户成员。
(3)-M:定义组成员列表,以逗号分隔。
如图我们执行“gpaaawd -a +用户账号 +组账号名”命令将用户添加到组中,然后执行“tail -l /etc/group”命令查看组列表里是否有刚添加的用户。
5、查询账号信息
(1)查询用户所属的组
(2)查询用户身份标识
(3)查询用户账号的详细信息
(4)查询已登录到主机的用户信息
使用w、who、users命令查询。
如图我们执行“id +用户名”查询用户身份标识或“groups +用户名”命令查看用户所属的组。
6、查看文件/目录的权限和归属
(1)访问权限
① 读取r:允许查看文件内容、显示目录列表
② 写入w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
③ 可执行x:允许运行程序、切换目录
(2)归属(所有权)
① 属主:拥有该文件或目录的用户帐号
② 属组:拥有该文件或目录的组帐号
各字段含义如下图。
r、w、x权限字符也可以分别用为八进制数字4、2、1表示。
7、设置文件权限和命令的权限—chmod命令
注意:文件最大权限为666,目录最大权限为777。
如图我们执行“chmod 666 +文件名”命令将文件的权限放到最大。
8、设置文件和目录的归属—chown命令
也可以结合“-R”选项递归修改指定目录下所有文件、子目录的归属。
如图我们执行“chown 用户名:用户名 文件名”命令修改文件的属主和属组。
9、权限掩码—umask
umask就是默认指定目前用户在新建文件或目录时的权限默认值。
(1)umask作用
控制新建的文件或者目录的权限
默认权限去除umask的权限就为新建的文件或者目录的权限
(2)umask设置: umask022
(3)umask查看: umask
举例:将umask设为000,新建目录或者文件,查看权限。将 umask设为022,新建目录或者文件,再查看权限。
注意:文件的最大权限是666,那么文件的权限掩码就是022(666-644,即rw-r–r–)。目录清单权限为777,那么命令权限掩码就是022(777-755,即rwxr-xr-x)。
CentOS 7账户和权限管理详解
转载请注明出处:服务器评测 » CentOS 7账户和权限管理详解