3类用户身份:
(1)管理员UID为0,root
(2)系统用户UID为1-999;nologin不能登录系统,老版本5、6中是1-499
(3)普通用户UID为1000开始,老版本5、6中是1000-65535
UID是不能冲突的,管理员创建的普通用户UID默认是从1000开始,即使前面有闲置的号码
常用命令:
(1)useradd 参数 用户名,创建用户
-d 指定用户的家目录(默认为/home/username)
-e 账户的到期时间,格式为YYYY-MM-DD.
-u 指定该用户的默认UID
-g 指定一个初始的用户基本组(必须已存在)
-G 指定一个或多个扩展用户组
-N 不创建与用户同名的基本用户组
-s 指定该用户的默认Shell解释器
(2)id 用户名,查看用户信息
(3)groupadd 选项 群组名;创建用户组
(4)usermod 选项 用户名;修改用户是的属性
-g 变更所属用户组
-G 变更扩展用户组
-u 修改用户的UID
如:将用户linuxprobe加入到root用户组中,这样扩展组列表中则会出现root用户组的字样,而基本组不会受到影响
usermod -G root linuxprobe
usermod -G root linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
如:用-u参数修改linuxprobe用户的UID号码值。除此之外,我们还可以用-g参数修改用户的基本组ID,用-G参数修改用户扩展组ID
usermod -u 8888 linuxprobe
id linuxprobe
uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
/etc/group 用户、用户组信息从这里面可以删除
(5)passwd 用户名,修改密码
--stdin 允许通过标准输入修改用户密码,如echo "NewPassWord" | passwd --stdin Username
ls -l /etc/shadow 权限,密码保存文件
(6)userdel 选项 用户名,删除用户
-f 强制删除用户
-r 同时删除用户及用户家目录
文件权限与归属
在Linux系统中一切都是文件,但是每个文件的类型不尽相同,因此Linux系统使用了不同的字符来加以区分,常见的字符如下所示。
-:普通文件。
d:目录文件。
l:链接文件。
b:块设备文件。
c:字符设备文件。
p:管道文件。
一般文件:
对于一般文件来说,权限比较容易理解:“可读”表示能够读取文件的实际内容;“可写”表示能够编辑、新增、修改、删除文件的实际内容;“可执行”则表示能够运行一个脚本程序。
目录文件:
对目录文件来说,“可读”表示能够读取目录内的文件列表;“可写”表示能够在目录内新增、删除、重命名文件;而“可执行”则表示能够进入该目录。
文件的读、写、执行权限可以简写为rwx,亦可分别用数字4、2、1来表示,文件所有者,所属组及其他用户权限之间无关联,如表
占用磁盘大小 修改时间
chmod 权限 文件名称
chown 用户名:用户组 文件名
chmod和chown命令是用于修改文件属性和权限的最常用命令,它们还有一个特别的共性,就是针对目录进行操作时需要加上大写参数-R来表示递归操作,即对目录内所有的文件进行整体操作。
文件特殊权限:
SUID:chmod u+s 文件名;让命令的执行者临时后去到了所有者的身份
SGID:chmod g+s 文件名;让执行者临时拥有属组的权限
SBIT: chomd o+t 文件名;让目录内的文件只能被文件所有者删除;将Sticky Bit直译成了“粘滞位”或“保护位”
数字法对应:
SUID:4
SGID:2
SBIT: 1
文件的隐藏属性
lsattr 文件名;查看隐藏权限
chattr +权限 文件
-权限 文件
文件访问控制列表:facl
setfacl 设置;file access control list =facl
使用-R递归参数;-m修改参数;如果想要删除某个文件的ACL,则可以使用-b参数,用户是u: 组是g:
setfacl -Rm u:linuxprobe:rwx /root
getfacl 查看;
su
su命令与用户名之间有一个减号(-),这意味着完全切换到新的用户下,即把环境变量信息也变更为新用户的相应信息,而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号(-)
当从root管理员切换到普通用户时是不需要密码验证的,而从普通用户切换成root管理员就需要进行密码验证了;这也是一个必要的安全检查
sudo
命令具有如下功能:
限制用户执行指定的命令:
记录用户执行的每一条命令;
配置文件(/etc/sudoers)提供集中的用户管理、权限与主机等参数;
验证密码的后5分钟内(默认值)无须再让用户再次验证密码
如果担心直接修改配置文件会出现问题,则可以使用sudo命令提供的visudo命令来配置用户权限。这条命令在配置用户权限时将禁止多个用户同时修改sudoers配置文件,还可以对配置文件内的参数进行语法检查,并在发现参数错误时进行报错。
只有root管理员才可以使用visudo命令编辑sudo服务的配置文件
使用visudo命令配置sudo命令的配置文件时,其操作方法与Vim编辑器中用到的方法一致,因此在编写完成后记得在末行模式下保存并退出。在sudo命令的配置文件中,按照下面的格式将第99行(大约)填写上指定的信息:
谁可以使用 允许使用的主机=(以谁的身份) 可执行命令的列表
[root@linuxprobe ~]# visudo 96 ## 97 ## Allow root to run any commands anywhere 98 root ALL=(ALL) ALL 99 linuxprobe ALL=(ALL) ALL
99 linuxprobe ALL=(ALL) /usr/bin/cat,/usr/binreboot ,号作间隔
每次执行sudo命令都要输入一次密码其实也挺麻烦的,这时可以添加NOPASSWD参数,使得用户执行sudo命令时不再需要密码验证
99 linuxprobe ALL=NOPASSWD: /usr/sbin/poweroff
