随堂练习 用户和组的权限管理

用户信息文件

[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin

从左往右，分七个字段，均用冒号分隔开

列　　　　说明

root　　　　用户名，即用户登录的名称

x　　　　　基于安全考虑，密码转移到了/etc/shadow中，此处 x 的表示此用户的密码从 /etc/shadow 获得

0　　　　　此处的0 表示这个用户的编号，即UID；每个用户都有一个唯一的UID，默认root 的UID 为0 ，新创建的第一个用户默认UID 为1000，后面的新建的用户UID 按1001,1002，...依次分配

0　　　　　此处的 0 表示这个用户所属的主组id 号码，即GID

root　　　　表示该用户的说明信息

/root　　　　此处表示用户的家目录，或者初始化工作目录，ROOT 用户的家目录默认在/root。普通用户的家目录，默认在/home/username

/bin/bash　　最后的字段代表用户默认使用shell 类型，root 和普通用户默认使用的是 /bin/bash

其中 UID 和 GID 的编号由系统自动分配的范围是 0 - 65535

注意：

1）root 用户是作为超级用户或超级管理，对整个Linux系统具有最高权限；当然在Linux判断是否是超级用户，不是看用户名是否为root，而是看其UID 是否为 0，换句话说用户的UID是 0， 则其就是超级用户

2）CentOS6中默认是将 1 - 499作为系统用户的 UID ；而 CentOS7 以上的版本是将 1 - 999 作为系统用的 UID，剩下的 UID 则分配给普通用户使用

/etc/shadow 格式（分为9 段，以冒号隔开）

[root@localhost ~]# cat /etc/shadow
root:$6$beCVCBuPw1E/DM4U$WhNxLB4GIFOPntAsVrf2Hyuyksq6N5lamkhR7Vvn4NBgJLWZTSFee70Joeyzq8R.KEP6oq1SQrTKxE87pPZlK0::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::

列　　　　　　　　　　　　　　说明

root　　　　　　　　　　　　此处的用户名代表这行密码是属于 /etc/passwd 文件中对应的同名用户的密码信息

$6$beCVCBuPw1E/DM...　　  这行内容同时使用三个 $ 符号分隔成三字段。第一段代表加密使用的单向加密算法，使用数字表示，1 表示 MD5算法，6 表示 SHA512 算法。第二个代表加密算法使用的随机因子，我们一般称为盐（salt），对加密加密时，使用 salt，可以避免相同的密码，加密后值一样。salt 和加密算法一起构成了密码最终的加密方式。第三个内容代表加密后最终结果，称为密文，由于是单向加密，根据加密算法和盐后是很难反向推导出密码的明文的，所以比较安全的，如果以感叹号“！” 开头的密码字段表示密码已被锁定

17834　　　　　　　　　　　此处的数字，表示修改密码的日期时间，具体的数值代表1970 年 1 月 1日 到修改密码的那天的天数  （我这里是 空，表示没有）

0　　　　　　　　　　　　　 再次修改密码需要经过的天数，如果为 0 代表随时可以修改密码

99999　　　　　　　　　　　 本次修改密码后，再经过对手天后密码将过期

7　　　　　　　　　　　　　  密码过期前发出提示消息的时间， 7 代表，在密码过期前 7 天开始，给用户发生提示信息，要求用户更改密码

空　　　　　　　　　　　　　 密码过期后还可以继续使用的天数，超过此时间，用户将不可登录，此项为空，表示密码过期后仍可登录

空　　　　　　　　　　　　　 从 1970 年 1 月 1 日到用户帐号被禁用的天数。在这个时间以后用户将不能登录，此项为空，表示此用户帐号永久有效

空　　　　　　　　　　　　　  保留内容，为以后新增功能预留的位置

用户组信息文件

/etc/group 格式

[root@localhost ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:

列　　　　　　   说明

root　　　　　　代表组名称

x　　　　　　　 代表组管理密码，x 为占位符，具体密码的密文在 /etc/gshadow 文件中保存

0　　　　　　　 代表组编号，即 GID

空　　　　　　　代表用户，属于此附加组的用户列表，多个用户之间使用逗号进行分隔

/etc/gshadow 格式

[root@localhost ~]# cat /etc/gshadow
root:::
bin:::
daemon:::

列　　　　　　   说明

root　　　　　　组名称

空　　　　　　   组管理密码，以感叹号 ！ 开头的密码字段表示密码已被锁定

空　　　　　　   该管理组的管理员用户帐号，多个用户之间用“，”分隔

空　　　　　　　属于此附加组的用户帐号列表，多个用户之间用“，”分隔

创建用户和用户组

useradd 语法格式

useradd [OPTIONS] LOGIN

选项　　　　　　　　　　说明

-u UID　　　　　　　　　指定创建用户的 UID

-o　　　　　　　　　　　配合 -u 选项， 不会检查 UID 的唯一性

-g GID　　　　　　　　　指明用户所属主要组，可为组的名称，也可以是 GID

-c COMMENT　　　   　　用户的注释信息

-d HOME_DIR　　　   　　以指定的路径为家目录

-s SHELL　　　　　　　　指明用户的默认 shell 程序，可用列表在 /etc/shells 文件中

-G GROUP1[,GROUP2]　   为用户指明附加组，组须事先存在

-N　　　　　　　　　　　 不创建和用户同名的私用组做主组

-r　　　　　　　　　　　  创建系统用户 CentOS6：ID< 500，CentOS7：ID< 1000

-m　　　　　　　　　　　创建家目录，一般用于系统用户

-M　　　　　　　　　　　 不创建家目录，一般用于非系统用户

/etc/default/useradd  文件内容说明

[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100        　　# 在useradd 使用 -N 或 /etc/login.defs 中USERGROUPS——ENAB=no 时，表示创建用户时不创建同用户名的主组，而使用此处指定的组作为主组

HOME=/home　　　   # 把用户的家目录建在 /home 中

INACTIVE=-1　　　　# 是否启用帐号过期设置， -1 表示不启用
EXPIRE=　　　　　　# 帐号过期时间，不设置表示不启用
SHELL=/bin/bash　　# 新建用户默认的 shell 类型

SKEL=/etc/skel　　　 # 指定模板目录，新建用户时会自动复制此目录作为新建用户的家目录内容
CREATE_MAIL_SPOOL=yes 　　#是否创建用户 Mail 文件

创建组

groupadd 语法格式

groupadd [options] GROUP

选项　　　　　　　　　　　　　　说明

-f ，--force　　　　　　　　　　当组已经存在时，返回成功，使用此选项将忽略 -g 选项

-g，--gid GID　　　　　　　　　指定创建组的 GID

-h，--help　　　　　　　　  　　显示帮助

-K，--key KEY=VALUE　　  　　 使用指定值，覆盖 /etc/login.defs 的默认值

-o，--non-unique　　　　　 　　 允许使用已存在的 GID 创建新的组

-p，--password PASSWORD 　　使用加密的密码

-r，--system　　　　　　　　　　创建系统组

修改用户信息

usermod 语法格式

usermod [options] LOGIN

选项　　　　　　　　　　　　　　说明

-c，--comment COMMENT　　　　修改用户的描述信息，即修改 /etc/passwd 文件中的第 5 个字段

-d， --home HOME_DIR　　　　　 修改用户家目录

-e，--expiredate EXPIRE_DATE　　设置帐号的有效期，即修改 /etc/shadow 文件第 8 个字段，EXPIRE_DATE 要格式为 YYYY-MM-DD

-f，--inactive INACTIVE　　　　　　指定天数，即修改 /etc/shadow 文件中的第 7 个字段

-g，--gid GROUP　　　　　　　　  修改为指定主组

-G，--groups GROUPS　　　　　　 修改附属组

-a，--append　　　　　　　　　　配合 -G 选项， 增加附属组

-h， --help　　　　　　　　　　　 查看帮助

-l， --login NEW_LOGIN　　　　　 修改用户名

-L，--lock　　　　　　　　　　　　锁定用户

-m， --move-home　　　　　　　　配合 -d 选项，移动家目录数据到新的家目录

-o，--non-unique　　　　　　　　　允许使用重复的 UID

-p，--password PASSWORD　　　　使用加密的密码

-s，--shell SHELL　　　　　　　　 修改使用新的 shell 类型

-u，--uid UID　　　　　　　　　　 修改 UID

-U，--unlock　　　　　　　　　　  解锁用户

passwd 格式

passwd [option...] <accountName>

选项　　　　　　　　　　　　说明

--stdin　　使用管道时传入密码的方式，常用于 shell 脚本

-l　　　　 同 usermod 命令的 -L 命令效果一样，在shadow 的密码前加上叹号

-u　　　　同 usermod 命令的 -U 命令效果一样，取消 -l 命令添加的叹号

-e　　　　修改 shadow 第三个内容为 0 ，用户登录时要求重置密码

-n　　　　修改密码后多少天内不能修改，shadow 文件的第 4 个 内容

-x　　　　修改密码的最长游戏的天数，shadow 文件的第 5 个内容

-w　　　　修改密码过期前警告的天数，shadow 文件的第 6 个内容

-i　　　　  修改密码失效后还可以使用的宽限时间，shadow 文件第 7 个内容

-S　　　　显示出用户的密码的相关信息

修改用户信息

chage 命令格式

chage [options] LOGIN

选项　　　　　　说明

-d　　　　修改 shadow 文件的第三个内容，格式为 YYYY-MM-DD

-m　　　   修改 shadow 文件的第四个内容，最早修改密码的天数

-M　　　   修改 shadow 文件的第五个内容，最晚修改密码的天数

-W　　　  修改 shadow 文件的第六个内容，密码失效前的提示天数

-I（大写字母 i ）　　　　 修改 shadow 文件的第七个内容，密码失效后宽限的时间

-E　　　　修改 shadow 文件的第八个内容，格式为 YYYY-MM-DD

修改组信息

groupmod 命令格式

groupmod [options] GROUP

选项　　　　　　　　　　　　说明

-g，--gid GID　　　　　　修改组的 GID

-h，--help　　　　　　　  查看帮助

-n，--new-name NEW_GROUP　　修改组名

-o，--non-unique　　　　　允许组的 GID 不唯一

-p，--password PASSWORD　　　 设置组的加密密码

组管理命令

groupmems 语法格式

groupmems [options] [action]

选项　　　　　　　　　　　　说明

-g，--group groupname　　　　指定要操作修改那个组

-a， --add username　　　　　 指定添加一个组的成员

-l，list　　　　　　　　　　　　列出所有的组成员

-d， --delete username　　　　  指定删除一个组的成员

-p，--purge　　　　　　　　　　清空所有的用户

-h， --help　　　　　　　　　　帮助

gpasswd 命令格式

gpasswd [option] GROUP

选项　　　　　　　　　　　　　　说明

-a，--add USER　　　　　　　　添加一个用户到该组中

-d，--delete USER　　　　　　　将一个用户从该组中删除

-r，--delete-password　　　　　  取消组的密码

-A，--administrator ADMIN...　　  设置组的管理员

-M，--members USER...　　　　  设置组的成员

-h，--help　　　　　　　　　　　查看帮助

删除用户和用户组

userdel 用户名

groupdel 组

使用 su 命令进行身份切换

su 命令格式

su [options] [-] [USER [arg]...]

选项　　　　　　　　　　　　　　　　说明

-m，-p，--preserve-environment　　　　保留环境变量，不重设 HOME，SHELL，USER 和 LOGNAME 变量

-g，--group <group>　　　　　　　　　 指定主要组

-G，--supp-group <group>　　　　　　  指定附属组

-，-l，--login　　　　　　　　　　　　   开启 login shell ，如果后面没有指定用户，默认为root 执行命令

-c，--command <command>　　　　　   执行命令

-s，--shell <shell>　　　　　　　　　　  运行指定的 shell

-h，help　　　　　　　　　　　　　　　帮助

-v， --version　　　　　　　　　　　　   查看版本

文件权限管理

[root@localhost ~]# ls -l
total 8
-rw-------. 1  root root 1457 Jun 29 17:12 anaconda-ks.cfg
-rwxr-xr-x. 1 root root 813 Jun 29 17:22 netifname_eth0.sh
drwxr-xr-x 2 root root 6 Jul 1 16:12 test
-rw-r--r-- 1    root root 0 Jul 1 11:39 test-2020-06-30.log

每个文件的左边一共有 10 个字符，第一个代表文件类型，比如 - 代表普通文件，d 代表目录文件，从第二个到第十个字符开始就是文件权限的描述信息。

以 test 文件为例，文件属性信息中有root root 两项，从左往右分别代表文件的所有者为root，和文件所属组为 root，其他用户共三类用户

r　 （4）　对文件表示可否可读取内容，对目录表示可以使用 ls 命令查看目录中的文件列表

w　（2）   对文件表示可否修改文件内容，对目录表示可以在目录中创建文件，删除文件

x　（1）   对文件表示可否执行，对目录表示是否可以切换至目录中，访问目录内的文件

文件的属主和属组

chown 命令格式

chown [option]... [owner] [:[group]] file...

选项　　　　　　　　　　说明

-h　　　　　　　　　　后面的文件如果是链接文件，只针对链接文件设置，而非默认对链接文件指向的文件

-R　　　　　　　　　　对目录中的所有文件进行递归设置

--reference=RFILE　　  参考 RFILE 的文件权限设置权限

文件的默认权限

umask 语法格式

umask [option] [mode]

选项　　　　　说明

-S　　　　以模式形式，而非默认的数字

-p　　　　打印 umask 命令和值，可作为输入

mode　　  可以是模式形式，如：u=rwx，g=rx，o=rx，也可以是数字形式，如 ：0022

文件的特殊权限

SUID 特殊权限

[root@localhost ~]# ls -al /etc/shadow
----------. 1 root root 563 Jun 29 17:12 /etc/shadow

[root@localhost ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /bin/passwd

其中passwd 文件的属主执行权限位是 s，代表 passwd 属主可以执行，同时具有 SUID 权限

当一个程序没有可执行权限，但是设置了 SUID 权限，属主的可执行权限位显示为大写字母 S

范例

设置 SUID 权限

1）去除 SUID 权限

[root@localhost ~]# chmod u-s /bin/passwd

2）添加 SUID 权限

[root@localhost ~]# chmod u+s /bin/passwd

SGID特殊权限

1）此权限是设置在文件所属组上的执行权限位上。SGID 可以设置在 二进制文件和目录上

2）当 SGID 设置在二进制文件中时，功能和 SUID 类似，运行这个二进制程序时，运行程序时，最终得到的权限将继承这个程序的所属组的权限，而非默认的执行程序的用户本身的权限

3）当 SGID 设置在目录时，用户在这个目录中创建的新文件的属组将自动继承此目录的属组

范例

设置 SGID 权限

添加 SGID 权限

[root@localhost ~]# chmod g+s  test

设置 Sticky 特殊权限

当一个目录其他用户位有可执行权限，并设置了 Sticky 权限时，使用 t 表示，当其他权限位没有可执行权限时还设置了 Sticky 权限，则是以 T 表示

范例

1）添加 Sticky 权限

[root@localhost ~]# chmod o+t  test

2）去除 Sticky 权限

[root@localhost ~]# chmod o-t  test

3）数字法设置特殊权限

[root@localhost ~]# chmod 1755  test    # 1 表示 Sticky 权限

drwxr-xr-t 2 root root 6 Jul 1 16:12 test

4）数字法添加特殊权限

[root@localhost ~]# chmod 6755  test　　# 由 SUID 的 4 和 SGID 的 2 两个特殊权限相加得到 6 的权限

文件的特殊属性

chattr 命令格式

chattr [-RVf] [-+=ia] files...

选项　　　说明　　　　

-R　　　递归处理，将指定目录下的所有文件及子目录一并处理

-V　　　显示版本信息和设置的权限

-f　　　 隐藏大部分的错误信息

-　　　　表示去掉属性

+　　　　表示添加属性

=　　　　表示重设属性

i　　　　表示不能删除，修改，重命名和创建硬链接

a　　　　表示不能删除，重命名，和创建硬连接，但可以追加内容

lsattr 命令格式

lsattr [-RVadv] [files...]

选项　　说明

-a　　　显示所有文件和目录，包括以“.”为名称开头字符的文件 

-d　　　显示目录名称，而非其内容

-R　　　递归处理，将指定目录下的所有文件及子目录一并处理

-v　　　显示文件或目录版本

-V　　　显示版本信息

文件的 FACL

setfacl 命令格式

setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

选项　　　　　　　　　　　　说明

-m，--modify-acl　　　　更改文件的访问控制列表

-M，--modify-file=file　　从文件读取访问控制列表来设置

-x，--remove-file=acl　　根据文件中访问控制列表移除条目

-X，--remove-file=file　　从文件读取访问控制列表条目并删除

-b，--remove-all　　　　清除 FACL

-k，--remove-default　　移除默认访问控制列表

--set=acl　　　　　　　　设定替换当前的文件访问控制列表

--set-file=file　　　　　　从文件中读取访问控制列表条目设定

--mask　　　　　　　　重新计算有效权限掩码

-n，--no-mask　　　　　不重新计算有效权限掩码

-d，--default　　　　　　应用到默认访问控制列表的操作

-R，--recursive　　　　　递归操作子目录

-L，--logical　　　　　　依照系统逻辑，跟随符号链接

-P，--physical　　　　　依照自然逻辑，不跟随符号链接

--restore=file　　　　　　恢复访问控制列表，和 “getfacl -R” 作用相反

--test　　　　　　　　　 测试模式，并不真正修改访问控制列表属性

-v，--version　　　　　　显示版本并退出

-h，help　　　　　　　　显示本帮助信息

ACL 生效和判断的顺序如下：

1）先判断访问者是否为文件所有者，如果是所有者权限生效，不再往下继续

2）判断是否是ACL 中自定义用户，如果是，对应的 ACL 生效，不再往下继续

3）判断是否是属于 ACL 自定义组，如果是，对应的 ACL 生效，不再往下继续

4）其他人

面试题

1）解释 drwx rwx rwx 中每个字符表示什么？

答：

第一段：drwx：目录文件，属主有读，写，执行权限

第二段：rwx：属组有读，写，执行权限

第三段：rwx：其他人有读，写，执行权限

2）目录权限为711，对其他人而言权限是（B）

A，可执行　　B，可进入　　C，可读，可执行　　D，可写入

3）/etc/fstab 复制到 /data/，至少需要什么权限？

答：

1）cp 命令

2）有执行权限

3）/etc/fstab    有读权限

4）/data/　　写权限和执行权限