系统相关
首页 > 系统相关> > linux之用户、用户组、权限

linux之用户、用户组、权限

作者:互联网

一、用户管理

1、介绍

1、Linux下系统允许同一个时刻多个用户同时登陆,创建用户,对用户进行管理,可以避免因root权限过大,造成故障。

2、用户密码存放的位置

用户信息都是存在/etc/passwd,但是没有存密码,密码是存在/etc/shadow中

 

密码存放文件/etc/shadow

 

 3、用户UID一般约定

用户uid 约定含义
0 超级管理员,最高权限
1~200 系统用户,用来运行系统自带的进程,默认已创建
201~999 系统用户,用来运行用户安装的程序,这类用户无需登录系统
1000以上 普通用户,正常可以登陆系统的用户,权限比较小,执行的任务有限

 

 

 

 

 

 

二、用户相关的命令

1、查看用户

[root@192 ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
# uid:用户id,系统只能识别uid,不能识别名字,人看名字
# gid:组id

# id+用户名,查看指定用户
[root@192 ~]# id mysql
uid=5002(mysql) gid=5002(mysql) groups=5002(mysql)

2、新增用户

注意:adduser也可以创建用户,但是adduser命令软链接是指向useradd命令,实质还是执行adduser

#选项
# -u 指定要创建用户的UID,不允许冲突
# -g 指定要创建用户默认组
# -G 指定要创建用户附加组,逗号隔开可添加多个附加组
# -d 指定要创建用户家目录
'''
/bin/bash     # 可以登陆系统
/sbin/nologin # 不可以登陆系统,一般用在只需启动服务的那些用户
'''
# -s 指定要创建用户的bash shell  /bin/bash   /sbin/nologin
# -c 指定要创建用户注释信息
# -M 给创建的用户不创建家目录
# -r 创建系统账户,默认无家目录


#1.创建nq31用户,UID5001,基本组students,附加组sa 注释信息,登陆shell:/bin/bash
[root@192 ~]# groupadd sa       #新增一个组
[root@192 ~]# groupadd students #新增一个组
[root@192 ~]# useradd -u 5001 -g students -G sa -c "这是用户注释信息" -s /bin/bash nq31

#2.创建mysql系统用户,-M不建立用户家目录 -s指定nologin使其用户无法登陆系统
[root@192 ~]# useradd mysql -M -s /sbin/nologin
[root@192 ~]# useradd -r admin -s /sbin/nologin

3、修改用户信息

#选项
# -u 指定要修改用户的UID
# -g 指定要修改用户基本组
# -G 指定要修改用户附加组,使用逗号隔开多个附加组, 覆盖原有的附加组,-aG追加
# -d 指定要修改用户家目录 -md 旧家搬新家
# -s 指定要修改用户的bash shell
# -c 指定要修改用户注释信息
# -l 指定要修改用户的登陆名
# -L 指定要锁定的用户
# -U 指定要解锁的用户

#1.检查此前创建的用户信息
[root@bgx ~]# grep "bgx" /etc/passwd
bgx:x:5001:503:2019 new student:/home/bgx:/bin/bash

#2.修改bgx用户uid、gid,附加组  -a表示追加
[root@bgx ~]# groupadd -g 5008 network_sa
[root@bgx ~]# groupadd -g 5009 devops
[root@bgx ~]# usermod -u 6001 -g5008 -a -G 5009 bgx

#3.修改bgx用户的注释信息, 用户家目录, 登录shell, 登录名 -l:改名字,-md,把环境也带过去
[root@bgx ~]# usermod -c "2019 new student" -md /bgx -s /bin/sh -l change_bgx bgx

#检查是否修改成功
[root@bgx ~]# grep "bgx" /etc/passwd
bgx_lqz:x:6001:5008:2019 new student:/bgx:/bin/sh
[root@bgx ~]# id change_bgx
uid=6001(change_bgx) gid=5008(network_sa) groups=5008(network_sa),503(sa),5009(devops)
[root@bgx ~]# ll -d /bgx
drwx------. 2 bgx_lqz network_sa 4096 2014-09-23 00:13 /bgx

#4.锁定用户[扩展]
[root@bgx ~]# echo "123" |passwd --stdin change_bgx
[root@bgx ~]# usermod -L change_bgx  #锁定后会无法登陆系统

#5.解锁用户[扩展]
[root@bgx ~]# usermod -U change_bgx

4、删除用户

使用userdel命令删除账户

#选项 -r 删除用户同时删除它的家目录

#1.删除user1用户,但不删除用户家目录和 mail spool
[root@bgx ~]# userdel user1
[root@bgx ~]# ls /var/spool/mail/

#2.-r参数可以连同用户家目录一起删除(慎用)
[root@bgx ~]# userdel -r user1

5、设置、修改密码

'''
root超级用户可以给其他用户修改密码
普通用户只能自己修改自己
'''
passwd + 用户名
echo "密码" | passwd --stdin 用户名 #非交互式修改密码

三、用户组管理

1、用户组概念

用户组本质:就是一种逻辑层面的定义,逻辑上将多个用户归纳至一个组,当对组操作,就相当于对组内所有用户操作

主要分为:基本组、附加组

 

 2、组的信息位置

一般存放在 /etc/group 和 /etc/gshadow两个文件

(1)/etc/group 配置(比较重要)

 

 (2)/etc/gshadow配置文件

 

 3、组的基本命令

'''
1、groupadd 新增组
'''
#创建基本组, 不指定gid
[root@bgx ~]# groupadd no_gid
[root@bgx ~]# tail -n1 /etc/group
no_gid:x:1000:
#创建基本组, 指定gid为5555
[root@bgx ~]# groupadd -g 5555 yes_gid
[root@bgx ~]# tail -n1 /etc/group
yes_gid:x:5555:
#创建系统组,gid从201-999
[root@bgx ~]# groupadd -r sys_group
[root@bgx ~]# tail -n1 /etc/group
sys_group:x:990:

'''
2、groupmod修改组           
#-g 修改组gid
'''
[root@bgx ~]# groupmod -g 1111 no_gid
[root@bgx ~]# tail -1 /etc/group
no_gid:x:1111:
#-n 修改组名称(把yes_gid名字改为active_group)
[root@bgx ~]# groupmod yes_gid -n active_group 
[root@bgx ~]# tail -1 /etc/group
active_group:x:5555:

'''
# 3、groupdel删除组
注意:删除时需要注意,如果用户存在基本组则无法直接删除该组,如果删除用户则会移除默认的私有组,而不会移除基本组
'''

# 私有组的情况,直接删除用户,组也就没了
[root@bgx ~]# userdel jack
#删除组
[root@bgx ~]# groupdel active_group
#删除用户附加组
[root@bgx ~]# id lqz
uid=1069(lqz) gid=5005(lqz) groups=5005(lqz),5004(devops)
[root@bgx ~]# groupdel devops
[root@bgx ~]# id lqz
uid=1069(lqz) gid=5005(lqz) groups=5005(lqz)
#无法删除用户基本组
[root@bgx ~]# groupdel network_sa
groupdel: cannot remove the primary group of user 'bgx_lqz'
#只有删除用户或者用户变更基本后,方可删除该组

'''
4、gpasswd设置组密码
'''
[root@bgx ~]# groupadd devops
[root@bgx ~]# gpasswd devops
Changing the password for group devops
New Password:
Re-enter new password:
    
'''
5、newgrp切换基本组身份
'''
#使用newgrp切换到devops组
[lqz@bgx ~]$ newgrp devops
Password:

#5.创建文件,检查属主和属组
[lqz@bgx ~]$ touch file_test
[lqz@bgx ~]$ ll
-rw-rw-r-- 1 lqz lqz 0 Jun 13 10:06 file_roots
-rw-r--r-- 1 lqz devops     0 Jun 13 10:08 file_test

 四、用户提权

1、提权方式

(1)用户提权方式有两种:

su:切换到root用户,需要知道root的密码,安全性不高

sudo:无需切换到root,方便安全,但是,相对会复杂一点

2、su 

'''
su - username  属于登陆式shell
su username    属于非登陆式shell
区别:加载的环境变量不一样,su - 会加载用户的环境变量
普通用户切换超级用户需要密码
超级用户切换普通用户不需要密码
'''
#1.普通用户使用su切换root
[root@VM-4-16-centos ~]$ su 
密码:         #输入root的密码
[root@VM-4-16-centos ~]# pwd
/root
#2.普通用户使用su -切换到root,会加载root的环境变量
[test@VM-4-16-centos ~]$ su -
Password: 
Last login: Sat Jan  9 15:31:28 CST 2021 on pts/0
Last failed login: Sat Jan  9 15:34:20 CST 2021 from 222.186.133.50 on ssh:notty
There were 104 failed login attempts since the last successful login.
[root@VM-4-16-centos ~]#pwd
/root
#3.以某个用户的身份执行某个服务,使用命令su -c username
[root@VM-4-16-centos ~]#su - test -c 'ifconfig'
[root@VM-4-16-centos ~]# su - lqz -c 'ls ~'
# 4 关闭root远程登陆,普通用户登进来,su - 切换到root用户
vim /etc/ssh/sshd_config
PermitRootLogin yes  # 设成no

3、sudo

sudo方式:使用方式,在命令前添加sudo,进行提权

(1) 命令配置

'''
sudo配置
检测配置是否有误:visudo -c
查看对主机有哪些权限:sudo -l
'''
#1、快速配置方式:将用户加到wheel组中,因为wheel组是已经配置了sudo的 
[root@VM-4-16-centos test2]# usermod test2 -G wheel

#2、正常配置方式,在vi sudo 或者vim /etc/sudoers中配置
[root@VM-4-16-centos test2]# vim /etc/sudoers
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere 
# Defaults   env_keep += "HOME"

..........
'''
用户名        主机名=(角色名)  命令名
test             ALL=(ALL)        ALL
注意:用户名前加%表示组
'''
test ALL=(ALL) ALL #允许用户test执行sudo所有命令,需要输入密码
test ALL=(ALL) NOPASSWD:/usr/bin/yum,/usr/sbin/useradd  #  允许用户test执行sudo中的yum、useradd命令,不需要输入密
%wheel  ALL=(ALL)       ALL

(2)sudo四种别名

'''
sudo四种类型别名:
1、用户别名:User_Alias
2、主机别名:Host_Alias
3、runas别名:Runas_Alias
4、COMMAND别名:Cmnd_Alias

总结:四类别名都需要大写,都可以进行嵌套
'''
#1、用一个用户别名一次性将多个用户定义为一个用户组
User_Alias 自定义用户别名 = 用户1,用户2....
User_Alias UA = root,%wheel
User_Alias UB= UA
#注意:用户名还可以是%用户组名,已经定义好的用户别名

#2、使用主机别名来定义一组主机
Host_Alias HOSTSNAME(自定义别名) = localhost1,localhost2
#注意,主机名可以是一个ip地址、网络地址、也可以是已经定义了的主机别名

#3、使用其他用户的身份去执行相关的命令
Runas_Alias RA(自定义别名) = username,uid,%wheel

#4、命令别名
Cmnd_Alias NETWORKING(自定义别名) = /sbin/ifconfig, /bin/ping
#命令可以是目录,也可以是其他定义好的命令别名

(3)命令使用限制

1、sudo的用户别名,将多个用户定义成一个组,进行命令使用限制

 

 2、将用户添加到指定的组里,然后给组分配权限

 

 

 

 (4)sudo执行流程

五、扩展知识点shell

(1)shell主要分为四类:

交互式shell,等待用户输入命令进行交互(日常使用ssh操作服务器一样)

非交互式shell,执行shell脚本,结束后会自动退出

登陆shell,需要输入用户名和密码才能进入shell

非登陆shell,不需要输入用户和密码就能进入shell

(2)shell配置文件

个人配置文件: ~/.bash_profile    ~/.bashrc

全局配置文件:/etc/profile  /etc/profile.d/*.sh   /etc/bashrc

注意:个人优先级大于全局

           profile类文件,主要设定环境变量,登陆前运行的脚本和命令

           bashrc类文件,主要是设定本地变量,定义命令的别名

登陆式shell配置文件执行顺序:/etc/profile -> /etc/profile.d/.sh -> /.bash_profile -> /.bashrc -> /etc/bashrc

非登陆式shell配置文件执行顺序:~/.bashrc -> /etc/bashrc -> /etc/profile.d/.sh

标签:shell,用户组,用户,etc,gid,linux,bgx,权限,root
来源: https://www.cnblogs.com/nq31/p/14253715.html