1.用户组和权限管理
用户分为三类:
1.1 超级用户:root uid=0,简单来说uid为0的用户就是超级用户。
1.2 虚拟用户:存在linux中,满足文件或者程序运行的需要,而创建的。不能登录,不能使用。
uid=1-499,1-999(centos7)
1.3 普通用户:管理员root创建的用户。uid=500+,1000+(centos7)
用户组就是具有相同特征的用户的集合。一个组可以包含多个用户,每个用户也可以属于不同的组。用户组的目的方便管理员对用户进行集中管理。用户组也分为两类:系统组和普通组。
用户及用户组配置文件介绍
/etc/passwd 用户及其属性信息
第一列(以冒号为分隔符):用户名
第二列:密码位
第三列:UID号 CentOS6 1-499为系统用户,预留
CentOS7 1-999为系统用户,预留
第四列:GID号 主组和辅助组
第五列:用户全名或注释
第六列:用户的家目录
第七列:用户默认的shell类型
/etc/group 组及其属性信息
第一列:用户名
第二列:密码位 ‘’ 加密方式salt$password
‘!!’代表账户被锁定
第三列:更改密码时间(天数计算)---距离1970年1月1号时间
第四列:密码最短口令有效期
第五列:口令过期时间,更改口令往后的时间
第六列:口令到期前提前多少天提醒
第七列:口令过期后多少天账户过期
第八列:帐号的有效期
/etc/gshadow 组密码及其相关属性
第一列:组名
第二列:组密码
第三列:管理员列表,可以更改组密码和成员
第四列:将该组作为辅助组的成员列表
2.用户和组管理命令
用户管理命令
2.1 useradd
-u uid 创建用户时指定uid
-g gid 指明用户所属基本组
-c 用户的注释信息
-M 不建家目录
-s 指定用户的默认shell
-e 用户过期时间
-G 为用户指明附加组,组须事先存在
案例1:创建用户gentpp,附加组为bin和root,默认shell为/bin/csh,注释信息为"Gentoo Distribution"。
[root@centos7 ~]#useradd gentpp -G bin,root -s /bin/csh -c "hello"
[root@centos7 ~]#cat /etc/passwd|tail -n1 #查看/etc/passwd最后一行
[root@centos7 ~]#id gentpp
uid=1007(gentpp) gid=1008(gentpp) groups=1008(gentpp),0(root),1(bin)
2.2 usermod
-u UID: 新UID
-g GID: 新主组
-G 新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s 新的默认SHELL
-c 新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加!
-U: unlock指定用户,将/etc/shadow 密码栏取消!centos7不可以解锁
案例:修改gentpp的默认shell和描述信息
[root@centos7 ~]#cat /etc/passwd | tail -n1
gentpp:x:1007:1008:Gentoo Distribution:/home/gentpp:/bin/csh
[root@centos7 ~]#usermod -s /bin/sh gentpp
[root@centos7 ~]#cat /etc/passwd | tail -n1
gentpp:x:1007:1008:new world:/home/gentpp:/bin/sh
2.3 userdel
-r 删除用户时,连同其家目录一同删除
2.4 passwd命令
passwd命令用于修改用户密码、过期时间、认证信息等,格式为“passwd [选项] [用户名]”。
普通用户只能使用passwd命令修改自身的系统密码,而root管理员则有权限修改其他所有人的密码。更酷的是,root管理员在Linux系统中修改自己或他人的密码时不需要验证旧密码,这一点特别方便。既然root管理员可以修改其他用户的密码,就表示完全拥有该用户的管理权限。
passwd命令中的参数以及作用
参数 作用
-l 锁定用户,禁止其登录
-u 解除锁定,允许用户登录
--stdin 允许通过标准输入修改用户密码,如echo "NewPassWord" | passwd --stdin Username
-d 使该用户可用空密码登录系统
-e 强制用户在下次登录时修改密码
-S 显示用户的密码是否被锁定,以及密码所采用的加密算法名称
假设您有位同事正在度假,而且假期很长,那么可以使用passwd命令禁止该用户登录系统,等假期结束回归工作岗位时,再使用该命令允许用户登录系统,而不是将其删除。这样既保证了这段时间内系统的安全,也避免了频繁添加、删除用户带来的麻烦:
[root@linuxprobe ~]# passwd -l linuxprobe
Locking password for user linuxprobe.
passwd: Success
[root@linuxprobe ~]# passwd -S linuxprobe
linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked.)
[root@linuxprobe ~]# passwd -u linuxprobe
Unlocking password for user linuxprobe.
passwd: Success
[root@linuxprobe ~]# passwd -S linuxprobe
linuxprobe PS 2017-12-26 0 99999 7 -1 (Password set, SHA512 crypt.)
3. 组帐号管理命令
3.1 创建用户组
用户和用户组属于多对多关系,一个用户可以同时属于多个用户组,一个用户组可以包含多个不同的用户
创建用户组使用groupadd命令,其命令用法为:
groupadd [-r] 用户组名称
若命令带有-r参数,则创建系统用户组,该类用户组的GID值小于500;若没有-r参数,则创建普通用户组,其GID值大于或等于500.
3.2 修改用户组属性
用户组创建后,根据需要可对用户组的相关属性进行修改。对用户组属性的修改,主要是修改用户组的名称和用户组的GID值。
(1)改变用户组的名称
若要对用户组进行重命名,可使用带-n参数的groupmod命令来实现,其用法为:
groupmod -n 新用户组名 原用户组名
对于用户组改名,不会改变其GID的值
比如,若要将student用户组更名为teacher用户组,则操作命令为:
[root@localhost ~]# tail -3 /etc/group
student:x:501:
lijie:x:502:
vodup:x:503:
[root@localhost ~]# groupmod -n teacher student
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:501:
(2)重设用户组的GID
用户组的GID值可以重新进行设置修改,但不能与已有用户组的GID值重复。对GID进行修改,不会改变用户名的名称。
要修改用户组的GID,可使用带-g参数的groupmod命令,其用法为:
groupmod -g new_GID 用户组名称
例如,若要将teacher组的GID更改为504,则操作命令为:
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:501:
[root@localhost ~]# groupmod -g 504 teacher
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:504:
3.3 删除用户组
删除用户组使用groupdel命令来实现,其用法为:
groupdel 用户组名
在删除用户组时,被删除的用户组不能是某个账户的私有用户组,否则将无法删除,若要删除,则应先删除引用该私有用户组的账户,然后再删除用户组。
[root@localhost ~]# groupdel teacher
groupdel: cannot remove the primary group of user 'zhangjie'
[root@localhost ~]# userdel -r zhangjie
[root@localhost ~]# groupdel teacher
[root@localhost ~]# grep teacher /etc/group #没有输出,说明teacher用户组已不存在,删除成功
3.4添加用户到指定的组/从指定的组中移除用户gpasswd:
-a user 将user添加至指定组中
-d user 从指定组中移除用户user
Adding user ma to group zhu #将用户qb2添加到组qian2中
Removing user ma from group zhu #将用户qb2从组qian2中删除
3.5. groupmems[options] [action]
options:
-g 更改为指定组
actions:
-a 指定用户加入组
-d 从组中删除用户
-p 从组中清除所有成员
-l 显示组成员列表
案例:
[root@centos7 ~]#groupmems -g admins -a ma
[root@centos7 ~]#groupmems -g admins -a zhu #将ma和zhu用户添加到admins中
[root@centos7 ~]#groupmems -g admins -l #查看admins中的用户列表
ma zhu
[root@centos7 ~]#groupmems -g admins -d ma #将ma从admins中删除
[root@centos7 ~]#groupmems -g admins -l
zhu
[root@centos7 ~]#groupmems -g admins -p #清空admins中的所有组成员
[root@centos7 ~]#groupmems -g admins -l
3.5 groups 查看用户所属组列表
[root@centos7 ~]#groups ma
ma : ma
root@centos7 ~]#groups zhu
zhu : zhu
4. 修改文件属主和属组
chown 修改文件的属主(也可以改组)
用户 文件或者目录 <==仅仅授权用户
:组 文件活目录 <==仅仅授权组
用户:组 文件或目录 <==表示授权用户和组
-R 递归
--reference=源文件 目标文件
强调:
1)其中的冒号“:”可以用点好“.”代替
2)要授权的用户和组名,必须是linux系统里实际存在的
案例:
[root@centos7 app]#ll
-rw-r--r--. 1 root root 0 Jul 29 16:27 f1
-rw-r--r--. 1 root root 0 Jul 29 16:27 f2
[root@centos7 app]#chown ma:ma f1
[root@centos7 app]#chown :zhu f2
[root@centos7 app]#ll
-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1
-rw-r--r--. 1 root zhu 0 Jul 29 16:27 f2
[root@centos7 app]#chown --reference=/app/f1 f2 #将f1的用户和属组信息复制给f2
[root@centos7 app]#ll
-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1
-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f2
chgrp 修改文件的属组(只能改组)
----reference=源文件 目标文件
-R 递归
案例:
[root@centos7 app]#chgrp ma f1 <==将f1的属组直接修改成ma
[root@centos7 app]#ll
-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1
-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f2
-rw-r--r--. 1 root root 0 Jul 29 16:37 f3
[root@centos7 app]#chgrp --reference=/app/f3 f1
[root@centos7 app]#chgrp --reference=/app/f3 f2
[root@centos7 app]#ll
-rw-r--r--. 1 ma root 0 Jul 29 16:27 f1
-rw-r--r--. 1 ma root 0 Jul 29 16:27 f2
-rw-r--r--. 1 root root 0 Jul 29 16:37 f3