linux之用户、用户组、权限
作者:互联网
一、用户管理
1、介绍
1、Linux下系统允许同一个时刻多个用户同时登陆,创建用户,对用户进行管理,可以避免因root权限过大,造成故障。
2、用户密码存放的位置
用户信息都是存在/etc/passwd,但是没有存密码,密码是存在/etc/shadow中
密码存放文件/etc/shadow
3、用户UID一般约定
用户uid | 约定含义 |
0 | 超级管理员,最高权限 |
1~200 | 系统用户,用来运行系统自带的进程,默认已创建 |
201~999 | 系统用户,用来运行用户安装的程序,这类用户无需登录系统 |
1000以上 | 普通用户,正常可以登陆系统的用户,权限比较小,执行的任务有限 |
二、用户相关的命令
1、查看用户
[root@192 ~]# id uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 # uid:用户id,系统只能识别uid,不能识别名字,人看名字 # gid:组id # id+用户名,查看指定用户 [root@192 ~]# id mysql uid=5002(mysql) gid=5002(mysql) groups=5002(mysql)
2、新增用户
注意:adduser也可以创建用户,但是adduser命令软链接是指向useradd命令,实质还是执行adduser
#选项 # -u 指定要创建用户的UID,不允许冲突 # -g 指定要创建用户默认组 # -G 指定要创建用户附加组,逗号隔开可添加多个附加组 # -d 指定要创建用户家目录 ''' /bin/bash # 可以登陆系统 /sbin/nologin # 不可以登陆系统,一般用在只需启动服务的那些用户 ''' # -s 指定要创建用户的bash shell /bin/bash /sbin/nologin # -c 指定要创建用户注释信息 # -M 给创建的用户不创建家目录 # -r 创建系统账户,默认无家目录 #1.创建nq31用户,UID5001,基本组students,附加组sa 注释信息,登陆shell:/bin/bash [root@192 ~]# groupadd sa #新增一个组 [root@192 ~]# groupadd students #新增一个组 [root@192 ~]# useradd -u 5001 -g students -G sa -c "这是用户注释信息" -s /bin/bash nq31 #2.创建mysql系统用户,-M不建立用户家目录 -s指定nologin使其用户无法登陆系统 [root@192 ~]# useradd mysql -M -s /sbin/nologin [root@192 ~]# useradd -r admin -s /sbin/nologin
3、修改用户信息
#选项 # -u 指定要修改用户的UID # -g 指定要修改用户基本组 # -G 指定要修改用户附加组,使用逗号隔开多个附加组, 覆盖原有的附加组,-aG追加 # -d 指定要修改用户家目录 -md 旧家搬新家 # -s 指定要修改用户的bash shell # -c 指定要修改用户注释信息 # -l 指定要修改用户的登陆名 # -L 指定要锁定的用户 # -U 指定要解锁的用户 #1.检查此前创建的用户信息 [root@bgx ~]# grep "bgx" /etc/passwd bgx:x:5001:503:2019 new student:/home/bgx:/bin/bash #2.修改bgx用户uid、gid,附加组 -a表示追加 [root@bgx ~]# groupadd -g 5008 network_sa [root@bgx ~]# groupadd -g 5009 devops [root@bgx ~]# usermod -u 6001 -g5008 -a -G 5009 bgx #3.修改bgx用户的注释信息, 用户家目录, 登录shell, 登录名 -l:改名字,-md,把环境也带过去 [root@bgx ~]# usermod -c "2019 new student" -md /bgx -s /bin/sh -l change_bgx bgx #检查是否修改成功 [root@bgx ~]# grep "bgx" /etc/passwd bgx_lqz:x:6001:5008:2019 new student:/bgx:/bin/sh [root@bgx ~]# id change_bgx uid=6001(change_bgx) gid=5008(network_sa) groups=5008(network_sa),503(sa),5009(devops) [root@bgx ~]# ll -d /bgx drwx------. 2 bgx_lqz network_sa 4096 2014-09-23 00:13 /bgx #4.锁定用户[扩展] [root@bgx ~]# echo "123" |passwd --stdin change_bgx [root@bgx ~]# usermod -L change_bgx #锁定后会无法登陆系统 #5.解锁用户[扩展] [root@bgx ~]# usermod -U change_bgx
4、删除用户
使用userdel命令删除账户
#选项 -r 删除用户同时删除它的家目录 #1.删除user1用户,但不删除用户家目录和 mail spool [root@bgx ~]# userdel user1 [root@bgx ~]# ls /var/spool/mail/ #2.-r参数可以连同用户家目录一起删除(慎用) [root@bgx ~]# userdel -r user1
5、设置、修改密码
''' root超级用户可以给其他用户修改密码 普通用户只能自己修改自己 ''' passwd + 用户名 echo "密码" | passwd --stdin 用户名 #非交互式修改密码
三、用户组管理
1、用户组概念
用户组本质:就是一种逻辑层面的定义,逻辑上将多个用户归纳至一个组,当对组操作,就相当于对组内所有用户操作
主要分为:基本组、附加组
2、组的信息位置
一般存放在 /etc/group 和 /etc/gshadow两个文件
(1)/etc/group 配置(比较重要)
(2)/etc/gshadow配置文件
3、组的基本命令
''' 1、groupadd 新增组 ''' #创建基本组, 不指定gid [root@bgx ~]# groupadd no_gid [root@bgx ~]# tail -n1 /etc/group no_gid:x:1000: #创建基本组, 指定gid为5555 [root@bgx ~]# groupadd -g 5555 yes_gid [root@bgx ~]# tail -n1 /etc/group yes_gid:x:5555: #创建系统组,gid从201-999 [root@bgx ~]# groupadd -r sys_group [root@bgx ~]# tail -n1 /etc/group sys_group:x:990: ''' 2、groupmod修改组 #-g 修改组gid ''' [root@bgx ~]# groupmod -g 1111 no_gid [root@bgx ~]# tail -1 /etc/group no_gid:x:1111: #-n 修改组名称(把yes_gid名字改为active_group) [root@bgx ~]# groupmod yes_gid -n active_group [root@bgx ~]# tail -1 /etc/group active_group:x:5555: ''' # 3、groupdel删除组 注意:删除时需要注意,如果用户存在基本组则无法直接删除该组,如果删除用户则会移除默认的私有组,而不会移除基本组 ''' # 私有组的情况,直接删除用户,组也就没了 [root@bgx ~]# userdel jack #删除组 [root@bgx ~]# groupdel active_group #删除用户附加组 [root@bgx ~]# id lqz uid=1069(lqz) gid=5005(lqz) groups=5005(lqz),5004(devops) [root@bgx ~]# groupdel devops [root@bgx ~]# id lqz uid=1069(lqz) gid=5005(lqz) groups=5005(lqz) #无法删除用户基本组 [root@bgx ~]# groupdel network_sa groupdel: cannot remove the primary group of user 'bgx_lqz' #只有删除用户或者用户变更基本后,方可删除该组 ''' 4、gpasswd设置组密码 ''' [root@bgx ~]# groupadd devops [root@bgx ~]# gpasswd devops Changing the password for group devops New Password: Re-enter new password: ''' 5、newgrp切换基本组身份 ''' #使用newgrp切换到devops组 [lqz@bgx ~]$ newgrp devops Password: #5.创建文件,检查属主和属组 [lqz@bgx ~]$ touch file_test [lqz@bgx ~]$ ll -rw-rw-r-- 1 lqz lqz 0 Jun 13 10:06 file_roots -rw-r--r-- 1 lqz devops 0 Jun 13 10:08 file_test
四、用户提权
1、提权方式
(1)用户提权方式有两种:
su:切换到root用户,需要知道root的密码,安全性不高
sudo:无需切换到root,方便安全,但是,相对会复杂一点
2、su
''' su - username 属于登陆式shell su username 属于非登陆式shell 区别:加载的环境变量不一样,su - 会加载用户的环境变量 普通用户切换超级用户需要密码 超级用户切换普通用户不需要密码 ''' #1.普通用户使用su切换root [root@VM-4-16-centos ~]$ su 密码: #输入root的密码 [root@VM-4-16-centos ~]# pwd /root #2.普通用户使用su -切换到root,会加载root的环境变量 [test@VM-4-16-centos ~]$ su - Password: Last login: Sat Jan 9 15:31:28 CST 2021 on pts/0 Last failed login: Sat Jan 9 15:34:20 CST 2021 from 222.186.133.50 on ssh:notty There were 104 failed login attempts since the last successful login. [root@VM-4-16-centos ~]#pwd /root #3.以某个用户的身份执行某个服务,使用命令su -c username [root@VM-4-16-centos ~]#su - test -c 'ifconfig' [root@VM-4-16-centos ~]# su - lqz -c 'ls ~' # 4 关闭root远程登陆,普通用户登进来,su - 切换到root用户 vim /etc/ssh/sshd_config PermitRootLogin yes # 设成no
3、sudo
sudo方式:使用方式,在命令前添加sudo,进行提权
(1) 命令配置
''' sudo配置 检测配置是否有误:visudo -c 查看对主机有哪些权限:sudo -l ''' #1、快速配置方式:将用户加到wheel组中,因为wheel组是已经配置了sudo的 [root@VM-4-16-centos test2]# usermod test2 -G wheel #2、正常配置方式,在vi sudo 或者vim /etc/sudoers中配置 [root@VM-4-16-centos test2]# vim /etc/sudoers ## The COMMANDS section may have other options added to it. ## ## Allow root to run any commands anywhere # Defaults env_keep += "HOME" .......... ''' 用户名 主机名=(角色名) 命令名 test ALL=(ALL) ALL 注意:用户名前加%表示组 ''' test ALL=(ALL) ALL #允许用户test执行sudo所有命令,需要输入密码 test ALL=(ALL) NOPASSWD:/usr/bin/yum,/usr/sbin/useradd # 允许用户test执行sudo中的yum、useradd命令,不需要输入密 %wheel ALL=(ALL) ALL
(2)sudo四种别名
''' sudo四种类型别名: 1、用户别名:User_Alias 2、主机别名:Host_Alias 3、runas别名:Runas_Alias 4、COMMAND别名:Cmnd_Alias 总结:四类别名都需要大写,都可以进行嵌套 ''' #1、用一个用户别名一次性将多个用户定义为一个用户组 User_Alias 自定义用户别名 = 用户1,用户2.... User_Alias UA = root,%wheel User_Alias UB= UA #注意:用户名还可以是%用户组名,已经定义好的用户别名 #2、使用主机别名来定义一组主机 Host_Alias HOSTSNAME(自定义别名) = localhost1,localhost2 #注意,主机名可以是一个ip地址、网络地址、也可以是已经定义了的主机别名 #3、使用其他用户的身份去执行相关的命令 Runas_Alias RA(自定义别名) = username,uid,%wheel #4、命令别名 Cmnd_Alias NETWORKING(自定义别名) = /sbin/ifconfig, /bin/ping #命令可以是目录,也可以是其他定义好的命令别名
(3)命令使用限制
1、sudo的用户别名,将多个用户定义成一个组,进行命令使用限制
2、将用户添加到指定的组里,然后给组分配权限
(4)sudo执行流程
五、扩展知识点shell
(1)shell主要分为四类:
交互式shell,等待用户输入命令进行交互(日常使用ssh操作服务器一样)
非交互式shell,执行shell脚本,结束后会自动退出
登陆shell,需要输入用户名和密码才能进入shell
非登陆shell,不需要输入用户和密码就能进入shell
(2)shell配置文件
个人配置文件: ~/.bash_profile ~/.bashrc
全局配置文件:/etc/profile /etc/profile.d/*.sh /etc/bashrc
注意:个人优先级大于全局
profile类文件,主要设定环境变量,登陆前运行的脚本和命令
bashrc类文件,主要是设定本地变量,定义命令的别名
登陆式shell配置文件执行顺序:/etc/profile -> /etc/profile.d/.sh -> /.bash_profile -> /.bashrc -> /etc/bashrc
非登陆式shell配置文件执行顺序:~/.bashrc -> /etc/bashrc -> /etc/profile.d/.sh
标签:shell,用户组,用户,etc,gid,linux,bgx,权限,root 来源: https://www.cnblogs.com/nq31/p/14253715.html