Linux中的用户组和权限管理
原创
linux系统安全模型
系统资源分派:
Authenticaiton认证,验证用户身份
Authorization授权,不同的用户设置不同权限
Accounting:审计
简单概括安全模型为linux系统需要知道登录验证用户的身份,登录用户基于身份会有不同的权限访问系统文件,同时也会有审计功能来知道登录用户在系统什么时间做了什么。
用户
linux中每个用户是通过UID来唯一标识的
root管理员UID为0
普通用户1-60000自动分配,系统用户1-499(Centos6以前),1-999(CentOS7以后);登录普通用户:500+(Centos6以前),1000+(CentOS7以后)。
用户组
linux中可以将一个或者多个用户加入用户组中,用户组是通过GID来唯一标识的。
管理员组 root 0
普通组:
- 系统组1-499(CentOS6以前),1-999(CentOS7以后),对守护进程获取资源进行权限分配
- 普通组500+(CentOS6以前),1000+(CentOS7以后),给用户使用
用户和组的关系
用户的主组:用户必须属于一个切治愈后一个驻足,默认创建用户时会自动创建和用户名的组,做为用户的主要组,由于此组中只有一个用户,称为私有组。
用户附加组:一个用户可以属于0个或多个辅助组。
安全上下文
linux安全上下文context:运行中的程序,即进程,以进程发起者的身份运行,进程所能访问资源的权限取决于进程的运行者的身份。
用户和组的配置文件
用户和组的主要配置文件
/etc/passwd 用户及其属性信息(名称、UID、GID等)
/etc/shadow 用户密码及其相关属性
/etc/group 组及其属性信息
/etc/gshadow 组密码及其相关属性
passd文件
login name 登录用户名
passwd 密码x
UID 用户身份编号
GID 登录默认所在组编号
GECOS 用户全名或注释
home directory 用户主目录
shell 用户默认使用的shell
[root@centos7 ~]# cat -A /etc/passwd
root:x:0:0:root:/root:/bin/bash$
bin:x:1:1:bin:/bin:/sbin/nologin$
daemon:x:2:2:daemon:/sbin:/sbin/nologin$shadow文件
登录用户名
用户密码:sha512加密
从1970年1月1日起到密码最近1此被更改的时间
密码再过几天可以被变更(0表示随时可以被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后账号会被锁定
从1970年1月1日起,多少天后账号失效
密码的安全策略
密码的安全策略
[root@centos7 ~]# cat /etc/shadow
root:$6$D...6anlR6OpSs7B$xSHVxTOna4K8Np83.oxb4z07m1onhl3ueSO5061o3wtRUY7/y1A9AOEDwOGXtG1O/7XC7JCeVKx7OMbsE8Ker.::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
sync:*:17834:0:99999:7:::group文件
群组名称
群组密码
GID
以当前组为附加组的用户列表(分隔符为逗号)
[root@centos7 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
canyon:x:1000:canyongshadow
群组名称
群组密码
组管理员里列表
以当前组为付家组的用户列表:多个用户间用逗号分隔
[root@centos7 ~]# cat /etc/gshadow
root:::
bin:::
daemon:::
sys:::
canyon:!!::canyon用户和组管理命令
用户创建
useradd命令可以创建新的linux用户
格式:
[root@centos7 ~]# useradd -help
Usage: useradd [options] LOGIN
useradd -D
useradd -D [options]常见选项:
-u UID
-o 配合-u选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c 用户的注释信息
-d HOME_DIR以指定的路径为家目录
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G 为用户指明附加组,组需事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS6之前:ID<500,CentOS7以后:ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
示例:
useradd -r -u 48 -g apache -s /sbin/nologin -d /var/www -c "Apache" apache
useradd命令默认值设定由/etc/default/useradd定义
[root@centos7 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 用户默认组ID
HOME=/home 用户家目录
INACTIVE=-1 口令过期后宽限时间 -1表示不过期 对应/etc/shadow文件的第7列
EXPIRE= 用户有效期默认永久有效 对应/etc/shadow文件的第8列
SHELL=/bin/bash 默认shell类型
SKEL=/etc/skel 新建用户的模板文件夹
CREATE_MAIL_SPOOL=yes 默认是否创建邮箱查看用户家目录
[root@centos7 ~]# ll /home/
total 55112
drwx------. 2 canyon canyon 83 Dec 14 22:47 canyon
drwx------. 2 test1 test1 62 Dec 19 10:11 test1新建用户的相关文件
- /etc/default/useradd
[root@centos7 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes- /etc/skel/*
[root@centos7 ~]# ls -a /etc/skel/
. .. .bash_logout .bash_profile .bashrc
- /etc/login.defs
[root@centos7 ~]# cat /etc/login.defs
MAIL_DIR /var/spool/mail
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
....批量创建用户
newusers passwd格式文件
[root@centos7 ~]# echo canyon:12346|chpasswd
用户属性修改
usermod命令可以修改用户属性
格式:
usermod [OPTION] login
常见选项:
-u 更改新的UID
-g 更改新的主组
-G 更改新的附加组,原来的附加组将会被覆盖;若保留原有需要同时使用-a选项
-s 更改默认的SHELL
-c 更改新的注释
-d 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l 新的名字
-L lock指定用户,在/etc/shadow密码栏增加!
-U unlock指定用户,把/etc/shadow密码栏的!去掉
-e YYYY-MM-DD:指明用户账号过期日期
-f INACTIVE设定非活动期限
[root@centos7 ~]# usermod -L test1 锁定用户
[root@centos7 ~]# getent shadow test1
test1:!123456:18616:0:99999:7:::
[root@centos7 ~]# usermod -U test1 解锁用户
[root@centos7 ~]# getent shadow test1
test1:123456:18616:0:99999:7:::删除用户
userdel可删除用户
格式:
[root@centos7 ~]# userdel --help
Usage: userdel [options] LOGIN常见选项:
-f --force强制
-r --remove删除用户家目录和邮箱
3.4查看用户相关的ID信息
id命令可以查看用户的UID,GID等信息
id [OPTION]...[USER]
常见选项:
-u:显示UID
-g:显示GID
-G:显示用户所属的组ID
-n:显示名称,需要配合ugG使用
查看用户相关的ID信息
通过id命令可以查看用户的UID,GID等信息
[root@centos7 ~]# id --help
Usage: id [OPTION]... [USER]常见选项:
-u 显示UID
-g 显示GID
-G 显示用户所属的组的ID
-n 显示名称,需配合ugG使用
[root@centos7 ~]# id canyon
uid=1000(canyon) gid=1000(canyon) groups=1000(canyon)切换用户或以其他用户身份执行命令
su switch user命令可以切换用户身份,并且可以指定用户的身份执行命令
格式:
su [options] [-] [user[args...]]
常见选项:
-l --login su -l 用户名 相当于su - 用户名
切换用户方式:
su username 非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录
su - username 登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换
示例:
[root@centos7 ~]# su canyon 不完全切换 家目录不更改
[canyon@centos7 root]$ pwd
/root[root@centos7 ~]# su - canyon 完全切换 家目录会切换
Last login: Mon Dec 14 21:57:42 CST 2020 on pts/1
[canyon@centos7 ~]$ pwd
/home/canyon设置密码
passwd 可以修改用户密码
格式:
[root@centos7 ~]# passwd --help
Usage: passwd [OPTION...] <accountName>常用选项:
-d, --delete 删除指定用户密码delete the password for the named account (root only)
-l, --lock 锁定指定用户lock the password for the named account (root only)
-u, --unlock 解锁所指定用户unlock the password for the named account (root only)
-e, --expire 强制用户下次登录修改密码 expire the password for the named account (root only)
-f, --force 强制操作 force operation
-x, --maximum=DAYS 指定最短使用期限maximum password lifetime (root only)
-n, --minimum=DAYS 指定最大使用期限minimum password lifetime (root only)
-w, --warning=DAYS 提前多少天开始警告number of days warning users receives before password expiration (root only)
-i, --inactive=DAYS 非活动期限number of days after password expiration when an account becomes disabled (root only)
--stdin 从标准输入接受用户密码 read new tokens from stdin (root only)
示例:
[root@centos7 ~]# echo "123456" | passwd --stdin test2
Changing password for user test2.
passwd: all authentication tokens updated successfully.修改用户密码策略
chage可以修改用户密码策略
[root@centos7 ~]# chage --help
Usage: chage [options] 用户名常见选项:
-d, --lastday LAST_DAY 更改密码的时间set date of last password change to LAST_DAY
-E, --expiredate EXPIRE_DATE set account expiration date to EXPIRE_DATE
-h, --help display this help message and exit
-I, --inactive INACTIVE 密码过期后的宽限期 set password inactive after expiration
to INACTIVE
-l, --list 查看用户密码策略 show account aging information
-m, --mindays MIN_DAYS set minimum number of days before password
change to MIN_DAYS
-M, --maxdays MAX_DAYS set maximim number of days before password
change to MAX_DAYS
-R, --root CHROOT_DIR directory to chroot into
-W, --warndays WARN_DAYS set expiration warning days to WARN_DAYS
[root@centos7 ~]# chage -l canyon 查看用户密码策略
Last password change : never
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7示例
[root@centos7 ~]# getent shadow canyon
canyon:$6$w/ulTXBOCODloGOL$aRUoaL/ZgcojCXqYjuJywxujW1oMUicUPIvDn54Uud54/z0BZzrPFtqblpKP3.qINdgaQ6LDrC44nR7qqrzNx/::0:99999:7:::
[root@centos7 ~]# chage -W 14 canyon
[root@centos7 ~]# getent shadow canyon
canyon:$6$w/ulTXBOCODloGOL$aRUoaL/ZgcojCXqYjuJywxujW1oMUicUPIvDn54Uud54/z0BZzrPFtqblpKP3.qINdgaQ6LDrC44nR7qqrzNx/::0:99999:14:::用户相关的其他命令
创建组
groupadd命令用来创建组
[root@centos7 ~]# groupadd -help
Usage: groupadd [options] GROUP常见选项:
-g 指明GID
-r 创建系统组
[root@centos7 ~]# groupadd -g 80 http
[root@centos7 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
http:x:80:修改组
通过groupmod命令可以对用户组进行修改
[root@centos7 ~]# groupmod
Usage: groupmod [options] GROUP
Options:
-g, --gid GID 更改GID change the group ID to GID
-n, --new-name NEW_GROUP 更改组名 change the name to NEW_GROUP
-p, --password PASSWORD change the password to this (encrypted)
PASSWORD示例:
[root@centos7 ~]# groupmod -n https http 更改http组名为https
[root@centos7 ~]# getent group
root:x:0:
bin:x:1:
https:x:80:组删除
通过groupdel命令进行组删除
[root@centos7 ~]# groupdel
Usage: groupdel [options] GROUP示例:
[root@centos7 ~]# getent group
root:x:0:
bin:x:1:
daemon:x:2:更改组密码
通过gpasswd来修改组密码
格式:
[root@centos7 ~]# gpasswd --help
Usage: gpasswd [option] GROUP常见选项:
-a, --add USER 将user添加至指定用户组 add USER to GROUP
-d, --delete USER 将指定组中移除用户user remove USER from GROUP
-A, --administrators ADMIN,... 设置有管理权限的用户列表
示例:
[root@centos7 ~]# gpasswd -a canyon admins
Adding user canyon to group admins
[root@centos7 ~]# id canyon
uid=1000(canyon) gid=1000(canyon) groups=1000(canyon),1003(admins)
[root@centos7 ~]# gpasswd -d canyon admins 只能删除附加组
Removing user canyon from group admins
[root@centos7 ~]# id canyon
uid=1000(canyon) gid=1000(canyon) groups=1000(canyon)更改和查看组成员
groupmems可以管理组附件成员关系
[root@centos7 ~]# groupmems --help
Usage: groupmems [options] [action]常见选项:
-g, --group groupname 更改指定组 change groupname instead of the user's group
-a, --add username 指定用户加入组 add username to the members of the group
-d, --delete username 从组中删除用户 remove username from the members of the group
-p, --purge 从组中清除所有成员 purge all members from the group
-l, --list 显示组成员列表 list the members of the group
[root@centos7 ~]# groupmems -l -g admins 查看admins组成员
[root@centos7 ~]# groupmems -a test2 -g admins 将test2加入admins组
[root@centos7 ~]# id test2
uid=1002(test2) gid=1002(test2) groups=1002(test2),1003(admins)[root@centos7 ~]# groupmems -l -g admins 查看admins组成员已经有test2用户
test2 文件权限管理
文件所有者和属组属性操作
设置文件所以后者chown
chown命令够可以修改文件的属主,也可以修改文件属组
格式:
[root@centos7 ~]# chown --help
Usage: chown [OPTION]... [OWNER][:[GROUP]] FILE...
or: chown [OPTION]... --reference=RFILE FILE...使用说明:
owner 只修改所有者
owner:group 通格式修改所有者和属组
:group 只修改该组,冒号也可用.替换
-R 递归 此选项慎用!
示例:
[root@centos7 data]# ll x1.txt
-rw-r--r--. 1 root root 595 Dec 20 19:13 x1.txt
[root@centos7 data]# chown canyon x1.txt
[root@centos7 data]# ll x1.txt
-rw-r--r--. 1 canyon root 595 Dec 20 19:13 x1.txt
[root@centos7 data]# chown canyon:canyon x1.txt
[root@centos7 data]# ll x1.txt
-rw-r--r--. 1 canyon canyon 595 Dec 20 19:13 x1.txt设置文件属组信息
chgrp命令可以只修改文件的属组
格式:
[root@centos7 data]# chgrp --help
Usage: chgrp [OPTION]... GROUP FILE...
or: chgrp [OPTION]... --reference=RFILE FILE...文件权限
文件权限说明
文件的权限主要针对三类对象进行定义
每个文件针对每类访问者都定义了三种权限
owner 属主,u
group 属组,g
other 其他,o
用户的最终权限,是从左向右进行顺序匹配,即 O所有者G所属组O其他,一旦匹配权限立即生效,不再向右查看其权限。
每个文件针对没类访问者定义了三种常见权限
r readable
w writeble
x excutable
对文件的权限:
r可使用文件查看类工具获取其他内容
w可修改其内容
x可以把此文件提请内核启动为一个进程
对目录的权限:
r可以使用ls查看此目录中文件列表
w可在此目录中创建文件,也可删除此目录中的文件,和文件的权限无关与文件夹权限有关。
x可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
X只改目录x权限,不给无执行权限的文件x权限
修改文件权限chmod
格式:
[root@centos7 data]# chmod --help
Usage: chmod [OPTION]... MODE[,MODE]... FILE...
or: chmod [OPTION]... OCTAL-MODE FILE...
or: chmod [OPTION]... --reference=RFILE FILE...[root@centos7 data]# ll file10.txt 默认file10文件属组没有写权限
-rw-r--r--. 1 root root 21 Dec 15 22:29 file10.txt
[root@centos7 data]# chmod g+w file10.txt 增加file10文件写权限
[root@centos7 data]# ll file10.txt
-rw-rw-r--. 1 root root 21 Dec 15 22:29 file10.txt新建文件和目录的默认权限
umask的值可以用来保留在创建文件权限
实现方式:
新建文件的默认权限:666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变。
新建目录的默认权限:777-umask
查看umask
非特权用户umask默认是002
root的umask是022
[root@centos7 data]# umask
0022 最前面的0表示八进制
[root@centos7 data]# umask -S
u=rwx,g=rx,o=rx
[root@centos7 data]# umask -p
umask 0022linux文件系统上的特殊权限
suid:user,占据属主的执行权限位
s:属主拥有x权限
S:属主没有x权限
sgid:group,占据属组的执行权限位
s:group拥有x权限
S:group没有x权限
sticky
t:other拥有x权限
T:other没有x权限
设定文件特殊属性
设置文件的特殊属性,可以访问root用户误操作删除或者修改文件
不能删除,改名,更改
chattr +i
[root@centos7 data]# chattr +i files.txt
[root@centos7 data]# lsattr files.txt
----i----------- files.txt
[root@centos7 data]# rm.bak -f files.txt
rm.bak: cannot remove ‘files.txt’: Operation not permitted只能追加内容
chattr +a
[root@centos7 data]# chattr +a files.txt
[root@centos7 data]# echo aaa >> files.txt 可以追加内容
[root@centos7 data]# cat files.txt
aaa
[root@centos7 data]# rm.bak -f files.txt root用户依然无法删除文件
rm.bak: cannot remove ‘files.txt’: Operation not permitted
[root@centos7 /]# rm.bak -rf /data/ 如果目录下存在有特殊属性文件,所在目录也无法删除
rm.bak: cannot remove ‘/data/files.txt’: Operation not permitted
[root@centos7 /]# lsattr /data/
-----a---------- /data/files.txt访问控制列表
ACL权限功能
ACL:access control list实现灵活的权限管理
除了文件的所有者,所属组和其他人,可以对更多的用户设置权限
Centos7默认创建的xfs和ext4文件系统具有ACL功能
ACL生效顺序:
所有者,自定义用户,所属组|自定义组,其他人
ACL相关命令
setfacl可以设置acl权限
使用格式
[root@centos7 data]# setfacl --help
setfacl 2.2.51 -- set file access control lists
Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...选项:
-m, --modify=acl modify the current ACL(s) of file(s)
-M, --modify-file=file read ACL entries to modify from file
-x, --remove=acl remove entries from the ACL(s) of file(s)
-b, --remove-all remove all extended ACL entries
[root@centos7 data]# setfacl -m u:canyon:0 filea.txt 设置acl不让canyon用户访问
[root@centos7 data]# ll filea.txt
-rw-r--r--+ 1 root root 0 Dec 20 22:06 filea.txt
[root@centos7 data]# su canyon
[canyon@centos7 data]$ cat filea.txt
cat: filea.txt: Permission denied[root@centos7 data]# setfacl -b filea.txt 取消acl
[root@centos7 data]# getfacl filea.txt getfacl可以查看设置的acl权限
# file: filea.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--练习:
1、显示/etc目录下,以非字母开头,后面跟了一个字母以及其他任意长度任意字符的文件或目录
[root@centos7 ~]# ls -d /etc/[^[:alpha:]]*
/etc/2test /etc/46er.txt2、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中
[root@centos7 ~]# cp -r /etc/p*[!0-9] /tmp/mytest1/
[root@centos7 ~]# ls /tmp/mytest1/
pam.d passwd- plymouth popt.d ppp printcap profile.d python
passwd pki pm postfix prelink.conf.d profile protocols3、将/etc/issue文件中的内容转换为大写后保存至/tmp/issue.out文件中
[root@centos7 ~]# cat /etc/issue| tr [:lower:] [:upper:] > /data/fileC.txt
[root@centos7 ~]# cat /data/fileC.txt
\S
KERNEL \R ON AN \M4、请总结描述用户和组管理类命令的使用方法并完成以下练习
- 创建组distro,其GID为2019
[root@centos7 ~]# groupadd -g 2019 distro
[root@centos7 ~]# cat /etc/group
root:x:0:
distro:x:2019:- 创建用户mandriva,其ID为1005;基本组为distro
[root@centos7 ~]# useradd -u 1005 mandriva -g 2019
[root@centos7 ~]# id mandriva
uid=1005(mandriva) gid=2019(distro) groups=2019(distro)- 创建用户mageia,其ID为1100,家目录为/home/linux
[root@centos7 ~]# useradd -u 1100 mageia -d /home/linux
[root@centos7 ~]# getent passwd
mageia:x:1100:1100::/home/linux:/bin/bash- 给用户mageia添加密码,密码为mageedu,并设置用户密码7天后过期
[root@centos7 ~]# usermod -p mageedu mageia -f 7
[root@centos7 ~]# getent shadow mageia
mageia:mageedu:18618:0:99999:7:7::- 删除mandriva,但保留其家目录
[root@centos7 ~]# userdel mandriva
[root@centos7 ~]# ls /home/
canyon linux mandriva test1 test2 vmware VMwareTools-10.3.10-13959562.tar.gz vmware-tools-distrib- 创建用户slackware,其ID为2002,基本组为distro,附加组为peguin
[root@centos7 ~]# useradd -u 2002 slackware -g distro -G peguin
[root@centos7 ~]# id slackware
uid=2002(slackware) gid=2019(distro) groups=2019(distro),2020(peguin)- 修改slackware的默认shell为/bin/tcsh
[root@centos7 ~]# usermod -s /usr/bin/tcsh slackware
[root@centos7 ~]# getent passwd slackware
slackware:x:2002:2019::/home/slackware:/usr/bin/tcsh- 为用户slackware新增附加组admins,并设置不可登陆
[root@centos7 ~]# usermod slackware -s /sbin/nologin -G admins
[root@centos7 ~]# id slackware
uid=2002(slackware) gid=2019(distro) groups=2019(distro),1003(admins)
[root@centos7 ~]# getent passwd slackware
slackware:x:2002:2019::/home/slackware:/sbin/nologin5、创建用户user1、user2、user3,在/data/下创建目录test
- 目录/data/test属主、属组为user1
- 在目录属主、属组不变的情况下,user2对文件有读写权限
- user1在/data/test目录下创建文件a1.sh、a2.sh、a3.sh、a4.sh,设置所有用户都不可删除1.sh,2.sh文件、除user1及root外,所有用户都不可删除a3.sh,a4.sh
- user3增加附加组user1,同时要求user1不能访问/data/test目录及其下所有文件
- 清理/data/test/目录及下所有文件的acl权限
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
