文章

Linux 用户和组

用户和组

Linux 是多用户多任务操作系统;简单的说:Linux 系统支持多个用户在同一时间内登陆,不同用户可以执行不同的任务,并且互不影响。

1、用户和组的概念

用户的作用:

  • Authentication:认证
  • Authorization:授权
  • Accouting:审计

用户存在的最终目的:

  • 为了实现资源的分派

组的作用:

  • 将具有相同特征的用户放在一起组成一个整体
  • 当用户数量过多时方便管理

1.1 Linux安全上下文

Linux通过安全上下文的概念完成用户权限的指派。

  • 先判断用户是否是某文件的属主
  • 再判断用户是否是该文件属组中的一员
  • 最后定其为其他用户

运行中的程序:进程(process)

  • 以进程发起者的身份运行
    • root:cat
    • tom:cat
  • 进程所能够访问的所有资源的权限取决于进程的发起者的身份

2、用户分类

Linux用户分为管理员和普通用户:

用户分类 用户ID(uid)
管理员 0
普通用户 1-65535

其中普通用户又分为系统用户和登录用户:

普通用户类别 用户ID(uid)
系统用户 1-499(为守护类进程获取系统资源而完成权限指派的用户)
登录用户 500-65535(为了完成交互式登录使用的用户)

3、组的分类

用户组分类 特性
基本组 用户的默认组
附加组(额外组) 基本组以外的其它组

4、用户和组相关的配置文件

4.1 配置文件

配置文件 作用
/etc/passwd 用户及其属性信息(名称、uid、基本组id等等)
/etc/shadow 用户密码及其相关属性
/etc/group 组及其属性信息
/etc/gshadow 组密码及其相关属性。在用户执行基本组切换时使用

4.2 配置文件解析

  • /etc/passwd 配置文件解析
字段 含义
第一字段 用户名
第二字段 密码占位符
第三字段 UID
第四字段 GID
第五字段 用户的描述信息
第六字段 用户家目录
第七字段 用户的登录shell
  • /etc/shadow 配置文件解析
字段 含义
第一字段 用户名
第二字段 加密后的密码
第三字段 最近一次更改密码的日期
第四字段 密码的最小使用期限
第五字段 密码的最大使用期限
第六字段 密码警告时间段
第七字段 密码禁用期
第八字段 帐号的过期日期
第九字段 保留字段
  • /etc/group 配置文件解析
字段 含义
第一字段 组名
第二字段 组密码
第三字段 GID
第四字段 以当前组为附加组的用户列表(分隔符为逗号)
  • /etc/gshadow 配置文件解析
字段 含义
第一字段 用户组
第二字段 用户组密码
第三字段 用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割
第四字段 组成员,如果有多个成员,用,号分割

5、用户管理命令

5.1 查看用户信息命令id

id        #查看用户的帐号属性信息
    -u        #查看UID
    -g        #查看GID
    -G        #查看Groups

5.2 创建用户命令useradd

语法:useradd [option] USERNAME
    -u UID        #指定用户uid
    -g GID        #指定用户所属基本组,可为组名或GID,组必须事先存在
    -G groupname,...    #附加组,可以有多个,用逗号隔开。组必须事先存在
    -c "COMMENT"        #注释信息
    -d directory        #指定用户的家目录。此目录必须不能事先存在
    -s shell            #最好使用/etc/shells里面有的shell
    -M            #创建用户时不给其创建家目录
    -r            #添加一个系统用户

5.3 删除用户命令userdel

语法:userdel [option] USERNAME
    -r            #删除用户的同时删除其家目录(userdel默认不会删除其家目录)

5.4 修改用户属性命令usermod

语法:usermod [options] username
    -u UID
    -g GID
    -a -G groupname     #不使用-a选项,会覆盖此前的附加组
    -m -d               #改变用户家目录的同时把原来家目录的文件移动到新的家目录中
    -e YYYY-MM-DD       #指明用户帐号过期日期
    -f INACTIVE         #设定非活动期限,密码过期后多少天禁用该帐号
    -L                  #锁定帐号;被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
    -U                  #解锁帐号
    -s SHELL            #修改用户登录shell

5.5 切换用户命令su

  • su 命令用法

管理员用户 su 切换至其他用户不需要密码,非管理员用户 su 切换至其他用户时需要输入目标用户的密码

语法:su [options] [-] [USER NAME]
    -c 'COMMAND'        #切换身份执行命令,命令执行结束后又回到原来的身份
su的用法 特点
su USERNAME 非登录式切换,即不会读取目标用户的配置文件
su - USERNAME 登录式切换,即会读取目标用户的配置文件,完全切换
  • bash的配置文件:
配置文件类型 配置文件路径
全局配置 /etc/profile,/etc/profile.d/*.sh,/etc/bashrc
用户配置 ~/.bash_profile,~/.bashrc
配置文件类型 功能
profile类 为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本
bashrc类 为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名
  • 非登录式shell如何读取配置文件?
 ~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh
  • 登录式shell如何读取配置文件?
/etc/profile --> /etc/profile.d/*.sh --> ~/.bash_profile --> ~/.bashrc --> /etc/bashrc

6、密码管理命令

6.1 密码管理命令passwd

语法:passwd [options] [USERNAME]
    --stdin             #从标准输入获取用户密码;例:echo "redhat"|passwd --stdin user1
    -l                  #锁定用户
    -u                  #解锁用户
    -d                  #删除用户密码
    -n mindays          #指定最短使用期限
    -x maxdays          #指定最长使用期限
    -w warndays         #提前多少天开始警告
    -i inactivedays     #非活动期限,密码过期后到禁用前的这段时间

6.2 密码生成工具openssl

语法:openssl command [command_opts] [command_args]
    command             #包含标准命令、消息摘要命令、加密命令
        version         #查看程序版本号
        dgst            #提取特征码
        passwd          #生成密码
        rand            #生成伪随机数

#提取特征码
[root@localhost ~]# openssl dgst -md5 /etc/fstab
MD5(/etc/fstab)= 1e5e9207c47ba4e9393b153dc3b0375a

#生成密码 openssl passwd -1 -salt 'string'
[root@localhost ~]# echo "hzz" | openssl passwd -1 -salt hellonihao -stdin
$1$hellonih$hSAyL4yP5lbKiUh76Z6W30

#生成随机数 openssl rand -base64 NUM ; NUM表示随机数的长度
[root@localhost ~]# openssl rand -base64 20
aVQYKyrx8pX3y4Vjb8QBtxMbY9k=

7、组管理命令

7.1 创建组命令groupadd

语法:groupadd [options] GROUP
    -g GID              #指定GID
    -r                  #添加一个系统组

7.2 删除组命令groupdel

语法:groupdel [options] GROUP  删除组时只需要指定组名即可
License: