用户和组
Linux 是多用户多任务操作系统;简单的说:Linux 系统支持多个用户在同一时间内登陆,不同用户可以执行不同的任务,并且互不影响。
1、用户和组的概念
用户的作用:
- Authentication:认证
- Authorization:授权
- Accouting:审计
用户存在的最终目的:
组的作用:
- 将具有相同特征的用户放在一起组成一个整体
- 当用户数量过多时方便管理
1.1 Linux安全上下文
Linux通过安全上下文的概念完成用户权限的指派。
- 先判断用户是否是某文件的属主
- 再判断用户是否是该文件属组中的一员
- 最后定其为其他用户
运行中的程序:进程(process)
- 以进程发起者的身份运行
- 进程所能够访问的所有资源的权限取决于进程的发起者的身份
2、用户分类
Linux用户分为管理员和普通用户:
用户分类 |
用户ID(uid) |
管理员 |
0 |
普通用户 |
1-65535 |
其中普通用户又分为系统用户和登录用户:
普通用户类别 |
用户ID(uid) |
系统用户 |
1-499(为守护类进程获取系统资源而完成权限指派的用户) |
登录用户 |
500-65535(为了完成交互式登录使用的用户) |
3、组的分类
用户组分类 |
特性 |
基本组 |
用户的默认组 |
附加组(额外组) |
基本组以外的其它组 |
4、用户和组相关的配置文件
4.1 配置文件
配置文件 |
作用 |
/etc/passwd |
用户及其属性信息(名称、uid、基本组id等等) |
/etc/shadow |
用户密码及其相关属性 |
/etc/group |
组及其属性信息 |
/etc/gshadow |
组密码及其相关属性。在用户执行基本组切换时使用 |
4.2 配置文件解析
字段 |
含义 |
第一字段 |
用户名 |
第二字段 |
密码占位符 |
第三字段 |
UID |
第四字段 |
GID |
第五字段 |
用户的描述信息 |
第六字段 |
用户家目录 |
第七字段 |
用户的登录shell |
字段 |
含义 |
第一字段 |
用户名 |
第二字段 |
加密后的密码 |
第三字段 |
最近一次更改密码的日期 |
第四字段 |
密码的最小使用期限 |
第五字段 |
密码的最大使用期限 |
第六字段 |
密码警告时间段 |
第七字段 |
密码禁用期 |
第八字段 |
帐号的过期日期 |
第九字段 |
保留字段 |
字段 |
含义 |
第一字段 |
组名 |
第二字段 |
组密码 |
第三字段 |
GID |
第四字段 |
以当前组为附加组的用户列表(分隔符为逗号) |
字段 |
含义 |
第一字段 |
用户组 |
第二字段 |
用户组密码 |
第三字段 |
用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割 |
第四字段 |
组成员,如果有多个成员,用,号分割 |
5、用户管理命令
5.1 查看用户信息命令id
id #查看用户的帐号属性信息
-u #查看UID
-g #查看GID
-G #查看Groups
5.2 创建用户命令useradd
语法:useradd [option] USERNAME
-u UID #指定用户uid
-g GID #指定用户所属基本组,可为组名或GID,组必须事先存在
-G groupname,... #附加组,可以有多个,用逗号隔开。组必须事先存在
-c "COMMENT" #注释信息
-d directory #指定用户的家目录。此目录必须不能事先存在
-s shell #最好使用/etc/shells里面有的shell
-M #创建用户时不给其创建家目录
-r #添加一个系统用户
5.3 删除用户命令userdel
语法:userdel [option] USERNAME
-r #删除用户的同时删除其家目录(userdel默认不会删除其家目录)
5.4 修改用户属性命令usermod
语法:usermod [options] username
-u UID
-g GID
-a -G groupname #不使用-a选项,会覆盖此前的附加组
-m -d #改变用户家目录的同时把原来家目录的文件移动到新的家目录中
-e YYYY-MM-DD #指明用户帐号过期日期
-f INACTIVE #设定非活动期限,密码过期后多少天禁用该帐号
-L #锁定帐号;被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
-U #解锁帐号
-s SHELL #修改用户登录shell
5.5 切换用户命令su
管理员用户 su 切换至其他用户不需要密码,非管理员用户 su 切换至其他用户时需要输入目标用户的密码
语法:su [options] [-] [USER NAME]
-c 'COMMAND' #切换身份执行命令,命令执行结束后又回到原来的身份
su的用法 |
特点 |
su USERNAME |
非登录式切换,即不会读取目标用户的配置文件 |
su - USERNAME |
登录式切换,即会读取目标用户的配置文件,完全切换 |
配置文件类型 |
配置文件路径 |
全局配置 |
/etc/profile,/etc/profile.d/*.sh,/etc/bashrc |
用户配置 |
~/.bash_profile,~/.bashrc |
配置文件类型 |
功能 |
profile类 |
为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本 |
bashrc类 |
为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名 |
~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh
/etc/profile --> /etc/profile.d/*.sh --> ~/.bash_profile --> ~/.bashrc --> /etc/bashrc
6、密码管理命令
6.1 密码管理命令passwd
语法:passwd [options] [USERNAME]
--stdin #从标准输入获取用户密码;例:echo "redhat"|passwd --stdin user1
-l #锁定用户
-u #解锁用户
-d #删除用户密码
-n mindays #指定最短使用期限
-x maxdays #指定最长使用期限
-w warndays #提前多少天开始警告
-i inactivedays #非活动期限,密码过期后到禁用前的这段时间
6.2 密码生成工具openssl
语法:openssl command [command_opts] [command_args]
command #包含标准命令、消息摘要命令、加密命令
version #查看程序版本号
dgst #提取特征码
passwd #生成密码
rand #生成伪随机数
#提取特征码
[root@localhost ~]# openssl dgst -md5 /etc/fstab
MD5(/etc/fstab)= 1e5e9207c47ba4e9393b153dc3b0375a
#生成密码 openssl passwd -1 -salt 'string'
[root@localhost ~]# echo "hzz" | openssl passwd -1 -salt hellonihao -stdin
$1$hellonih$hSAyL4yP5lbKiUh76Z6W30
#生成随机数 openssl rand -base64 NUM ; NUM表示随机数的长度
[root@localhost ~]# openssl rand -base64 20
aVQYKyrx8pX3y4Vjb8QBtxMbY9k=
7、组管理命令
7.1 创建组命令groupadd
语法:groupadd [options] GROUP
-g GID #指定GID
-r #添加一个系统组
7.2 删除组命令groupdel
语法:groupdel [options] GROUP 删除组时只需要指定组名即可