用户与权限管理
作者:互联网
用户账号管理
-
用户账号的作用:用户账号可用来登录系统,可以实现访问控制
-
用户模板目录:/etc/skel/
[root@rhce skel]# ls [root@rhce skel]# ls -a . .. .bash_logout .bash_profile .bashrc .mozilla #此目录文件是用户创建时生成文件的源文件
useradd创建用户
- useradd命令用于创建新的用户
- 命令格式:useradd [选项] 用户名
- 常用选项:
- -u 指定用户UID
- -d 指定用户家目录
- -c 用户描述信息
- -g 指定用户基本组
- -G 指定用户附加组
- -s 指定用户的shell
#创建用户user1
[root@rhce ~]# useradd user1
[root@rhce ~]# id user1
uid=1001(user1) gid=1001(user1) 组=1001(user1)
[root@rhce ~]#
#设置新增用户的UID,家目录,描述,解释器
[root@rhce ~]# useradd -u 916 -d /opt -c "rhce" -s /bin/sh user2
useradd:用户“user2”已存在
[root@rhce ~]# tail -2 /etc/passwd
user1:x:1001:1001::/home/user1:/bin/bash
user2:x:916:1002:rhce:/opt:/bin/sh
[root@rhce ~]# userdel user2
[root@rhce ~]# ls /opt/
anaconda-ks.cfg flag
[root@rhce ~]#
#/sbin/nologin:禁止用户登录系统
id命令
[root@rhce ~]# id user1
uid=1001(user1) gid=1001(user1) 组=1001(user1)
[root@rhce ~]#
/etc/passwd文件
- UID:0 超级管理员 1-499系统伪用户(无法登陆且没有家目录)500-6555 普通用户
- 组:
- 基本组(初始组):一个用户只允许有一个基本组
- 附加值:一个用户允许有多个附加组
- 用户》shell程序》内核》硬件
[root@rhce ~]# head -1 /etc/passwd
root:x:0:0:root:/root:/bin/bash
#用户名:密码占位符:UID:基本组:用户描述信息:家目录:解释器程序
/etc/default/useradd文件
[root@rhce ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 #用户默认组
HOME=/home #用户家目录
INACTIVE=-1 #密码过期宽限天数(/etc/shadow文件第7个字段)
EXPIRE= #密码失效时间(/etc/shadow文件的第8个字段)
SHELL=/bin/bash #默认使用的shell
SKEL=/etc/skel #模板目录
CREATE_MAIL_SPOOL=yes #是否建立邮箱
/var/spool/mail/用户邮件目录
[root@rhce ~]# ls /var/spool/mail/
rpc user1 user2 visitor
[root@rhce ~]#
passwd用户密码设置
- passwd命令用于设置用户密码
- 命令格式:passwd [选项] 用户名
- 密码规范:长度不少于8位,复杂度(数字,大小写字母,特殊字符),root用户设置密码随心
- 常用选项
- -s #查看密码信息
- -l 锁定用户密码
- -u 解锁用户密码
- -d 删除密码
- --stdin 通过管道设置密码 (echo “密码” |passwd --stdin 用户名)
/etc/shadow用户密码文件
用户的密码信息存放在/etc/shadow文件中,该文件默认任何人都没有权限(root除外)
[root@rhce ~]# cat /etc/shadow
root:$6$gCYiN5pc1eO5iMIw$DNmRUqF59ZSjdjSOAtfVhmXdvkXZzoMxT0KQJui5lhv6m.QyQ28KaO9xV2YFh5MNwK1r7u0EtMiY4L/Yj00xC0::0:99999:7:::
#用户名
#密码加密字符串,加密算法为sha512散列加密算法,如果密码位是“*”或者“!”表示密码已经过期
#密码最后一次修改时间,日期从从1970年1月1日开始,每一天时间戳加1
#密码修改的期限,如果该字段表示为0表示可以随时修改密码,
#密码有效期
#密码到期前警告
#密码过期后的宽限天数
#账号失效时间
#保留
#chage命令用于修改/etc/shadow文件信息,-d选项修改文件第三个字段
[root@rhce ~]#chage -d 0 user1
#此操作后user1用户登录之后必须更改密码
su命令
- su命令用于切换用户身份
- 命令格式:su - 用户名
[root@rhce ~]# su - visitor
[visitor@rhce ~]$ echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/visitor/.local/bin:/home/visitor/bin
[visitor@rhce ~]$
usermod修改用户属性
- usermod命令用于修改用户的属性
- 命令格式:usermod [选项] 用户名
- 常用选项:
- -u 指定用户的uID
- -c 修改用户的描述信息
- -d 修改用户家目录
- -g 修改用户基本组
- -G 修改用户的附加组
- -s 修改用户的shell
[root@rhce ~]# id visitor
uid=1000(visitor) gid=1000(visitor) 组=1000(visitor)
[root@rhce ~]# id user1
uid=1001(user1) gid=1001(user1) 组=1001(user1)
[root@rhce ~]# usermod -u 1003 user1
[root@rhce ~]# id user1
uid=1003(user1) gid=1001(user1) 组=1001(user1)
[root@rhce ~]# usermod -G visitor user1
[root@rhce ~]# id user1
uid=1003(user1) gid=1001(user1) 组=1001(user1),1000(visitor)
[root@rhce ~]#
userdel删除用户
- userdel用于删除给定的用户及相关的文件,若不加选项则则只删除用户,不删除相关文件
- 命令格式:userdel [选项] 用户名
- 常用选项:
- -r 删除用户同时删除用户相关的文件
[root@rhce ~]# userdel -r user1
[root@rhce ~]# ls /home/
visitor
[root@rhce ~]#
groupadd添加新组
- groupadd用于添加新组
- 命令格式:groupadd [选项] 组名
- 常用选项:
- -g GID #指定组的GID
- -n 新组名 旧组名 #修改组名
[root@rhce ~]# groupadd -g 1900 rhce
[root@rhce ~]# tail -1 /etc/group
rhce:x:1900:
/etc/group
[root@rhce ~]# tail -1 /etc/group
visitor:x:1000:visitor
#组名:组密码:GID:组中附加用户
/etc/gshadow
[root@rhce ~]# tail -1 /etc/gshadow
visitor:!!::visitor
#组名:组密码:组内管理员:组内附加用户
groupmod修改组属性
- groupmod用于修改组属性
- 命令格式:groupmod [选项] 组名
- 常用选项:
- -g GID #指定组的GID
- -n 新组名 旧组名 #修改组名
[root@rhce ~]# groupmod -g 2116 rhce
[root@rhce ~]# tail -1 /etc/group
rhce:x:2116:
[root@rhce ~]#
gpasswd组管理命令
-
gpasswd是liunx工作组文件/etc/group和/etc/gpasswd的管理工具,用于将用户添加到组或者从组删除
-
命令格式:gpasswd [选项] 用户名 组名
-
常用选项:
- -a #将用户添加到工作组
- -d #将用户从工作组删除
#添加 [root@rhce ~]# ls /home/ user1 user2 visitor [root@rhce ~]# gpasswd -a user1 rhce 正在将用户“user1”加入到“rhce”组中 [root@rhce ~]# gpasswd -a user2 rhce 正在将用户“user2”加入到“rhce”组中 [root@rhce ~]# gpasswd -a visitor rhce 正在将用户“visitor”加入到“rhce”组中 [root@rhce ~]# tail /etc/group postfix:x:89: ntp:x:38: tcpdump:x:72: stapusr:x:156: stapsys:x:157: stapdev:x:158: visitor:x:1000:visitor rhce:x:2116:user1,user2,visitor user1:x:1001: user2:x:1002: [root@rhce ~]# #删除 [root@rhce ~]# gpasswd -d user1 rhce 正在将用户“user1”从“rhce”组中删除 [root@rhce ~]# gpasswd -d user2 rhce 正在将用户“user2”从“rhce”组中删除 [root@rhce ~]# gpasswd -d visitor rhce 正在将用户“visitor”从“rhce”组中删除 [root@rhce ~]#
groupdel删除组
-
groupdel用于删除组
-
命令格式:groupdel 组名
[root@rhce ~]# groupdel rhce [root@rhce ~]# tail /etc/group postdrop:x:90: postfix:x:89: ntp:x:38: tcpdump:x:72: stapusr:x:156: stapsys:x:157: stapdev:x:158: visitor:x:1000:visitor user1:x:1001: user2:x:1002: [root@rhce ~]#
chmod权限管理
-
chmod用于设置用户对文件的权限
-
命令格式:chmod [选项] 归属关系+-=权限类别 文件...
-
root用户可以修改任何文件和目录的权限
-
文件所有者
-
常用选项:
- -R 递归修改,包含目录下的所有子文件及目录
-
归属关系:u所有者 g所属组 o其他人
-
权限类别:r读取 w写入 x执行 -没有权限
-
操作:+添加权限 -去除权限 =重新定义权限
-
权限数字表示:r---4 w---2 x---1 0没有权限
[root@rhce ~]# ll flag
-rw-r--r--. 2 root root 5 9月 16 2021 flag
[root@rhce ~]# chmod u+x flag
[root@rhce ~]# ll flag
-rwxr--r--. 2 root root 5 9月 16 2021 flag
[root@rhce ~]# chmod g+x,o+w flag
[root@rhce ~]# ll flag
-rwxr-xrw-. 2 root root 5 9月 16 2021 flag
[root@rhce ~]# chmod 644 flag
[root@rhce ~]# ll flag
-rw-r--r--. 2 root root 5 9月 16 2021 flag
[root@rhce ~]#
umask预设权限
- umask用于显示或者设置新创建文件的默认权限
- 命令格式:umask [-p] [-S] [mode]
chown归属关系管理
-
chown用于设置文件所有者和所属组关系
-
命令格式:
- chown [选项] 所有者:所属组 文档 #同时修改所有者和所属组身份
- chown [选项] 所有者 文档 #只修改所有者身份
- chown [选项] 所属组 文档 #只修改所属组身份
-
常用选项
- -R 递归修改
[root@rhce ~]# ll
总用量 16
-rw-------. 1 root root 1744 8月 3 10:06 anaconda-ks.cfg
-rw-r--r--. 2 root root 5 9月 16 2021 flag
[root@rhce ~]# chown visitor:visitor flag
[root@rhce ~]# ll
总用量 16
-rw-------. 1 root root 1744 8月 3 10:06 anaconda-ks.cfg
-rw-r--r--. 2 visitor visitor 5 9月 16 2021 flag
SetUID特殊权限设置
-
SetUID(SUID):对于一个可执行的文件用了SUID权限后,普通用户在执行该文件后,临时拥有文件所有者的身份,该权限只在程序执行过程中有效,程序执行完毕后用户会恢复原有身份
-
SetUID权限会附加在所有者的x权限上,所有者的x权限表示会变成s
-
SetUID命令格式 :chmod u+s 文件名
[root@rhce ~]# which chown /bin/chown [root@rhce ~]# ll /bin/chown -rwxr-xr-x. 1 root root 62840 4月 11 2018 /bin/chown [root@rhce ~]# chmod u+s /bin/chown [root@rhce ~]# ll /bin/chown -rwsr-xr-x. 1 root root 62840 4月 11 2018 /bin/chown [root@rhce ~]#
SetGID特殊权限
-
SetGID:当对于一个可执行的文件设置SGID后,普通用户在执行该文件后,临时拥有文件所有组的身份,该权限只在程序执行过程中有效,程序执行完毕后用户会恢复原有组身份
-
SetUID权限会附加在所属组的x权限上,所属组的x权限表示会变成s
-
SetUID命令格式:chmod g+s 文件名
SetBID特殊权限
- StickyBIT(SBIT):该权限只针对于目录有效,当一个普通用户对一个目录拥有w和x权限时,普通用户可以在此目录下拥有增删改的权限,应对普通用户对目录拥有w权限时,是可以删除此目录下的所有文件
- 如果对一个目录设置SBIT权限,除了root可以删除所有文件,普通用户就算对此目录拥有w权限也只能删除自己建立的文件,不能是删除其他用户建立的文件
- SBIT权限会附加在其他人的x权限位上,其他人的x权限的表示会变成t
- 命令格式:chmod o+t 目录名
FACL控制列表
-
FACL(filessystemctl Access control list)文件系统访问控制列表:利用文件扩展属性保存额外的访问控制权限,单独为某一位用户量身的定制一位权限
-
命令格式:setfacl 选项 归属关系:权限 文档
-
常用选项:
- -m 设置权限
- -x 删除指定用户权限
- -b 删除所有用户权限
#设置权限 [root@rhce rhce]# cat flag hello [root@rhce rhce]# ll flag -rw-r--r--. 1 root root 6 8月 12 02:59 flag [root@rhce rhce]# setfacl -m u:visitor:rw flag [root@rhce rhce]# [visitor@rhce rhce]$ cat flag hello [visitor@rhce rhce]$ cat flag hello [visitor@rhce rhce]$ vim flag [visitor@rhce rhce]$ cat flag hello rhce #删除指定用户权限 [root@rhce rhce]# setfacl -x u:visitor flag [root@rhce rhce]# getfacl flag # file: flag # owner: root # group: root user::rw- group::r-- mask::r-- other::r-- #删除所有用户权限 [root@rhce rhce]# setfacl -b flag [root@rhce rhce]#
getfacl用来查看文件facl权限
命令格式:getfacl 文件名
[root@rhce rhce]# getfacl flag
# file: flag
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--
标签:user1,visitor,rhce,管理,用户,权限,root 来源: https://www.cnblogs.com/zhuxiaxiaoyu/p/16578471.html