Linux用戶權(quán)限管理命令

Linux系統(tǒng)中的用戶是分角色的，用戶的角色是由UID和GID來(lái)識(shí)別的（也就是說(shuō)系統(tǒng)是識(shí)別的是用戶的UID、GID，而非用戶用戶名），一個(gè)UID是唯一（系統(tǒng)中唯一如同身份證一樣）用來(lái)標(biāo)識(shí)系統(tǒng)的用戶賬號(hào)（用戶名）。

目前創(chuàng)新互聯(lián)公司已為1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、鶴慶網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

文件的用戶與用戶組分為超級(jí)管理員，普通用戶和系統(tǒng)用戶。

1）超級(jí)管理員的UID=0,GID=0，也可以這么說(shuō)系統(tǒng)只要是識(shí)別出某個(gè)用戶的UID\GID都為0時(shí)，那么這個(gè)用戶系統(tǒng)就認(rèn)為是超級(jí)管理員。

2）普通用戶（管理員添加的），默認(rèn)它的UID\GID是從500-65535,權(quán)限很小，只能操作自己的家目錄中文件及子目錄（注：nobody它的UID\GID是65534）。

3）系統(tǒng)用戶，也稱虛擬用戶，也就是安裝系統(tǒng)時(shí)就默認(rèn)存在的且不可登陸系統(tǒng)，它們的UID\GID是1-499。

我們可以通過(guò)cat /etc/passwd命令來(lái)查看所有的用戶信息，例如下圖，第三列是UID，第四列是GID：

創(chuàng)建用戶

useradd user1 創(chuàng)建用戶user1

useradd -e 12/30/2021 user2 創(chuàng)建用戶user2，有效期到2021-12-30

設(shè)置用戶密碼

passwd user1 設(shè)置密碼，有設(shè)置密碼的用戶不能用

這里設(shè)置密碼時(shí)可能會(huì)碰到密碼保護(hù)機(jī)制問(wèn)題，這里需要注釋掉保護(hù)機(jī)制的問(wèn)題

這個(gè)時(shí)候需要在編輯/etc/pam.d/system-auth文件，將其中的password requisite

和password sufficient兩行注釋掉，如下圖：

創(chuàng)建用戶組

groupadd –g 888 users 創(chuàng)建一個(gè)組users，其GID為888

groupadd users 不用g參數(shù)，使用默認(rèn)的組ID

命令 gpasswd為組添加用戶

只有root和組管理員能夠改變組的成員：

gpasswd –a user1 users 把 user1加入users組

gpasswd –d user1 users 把 user1退出users組

命令groupmod修改組

groupmod –n user2 user1 修改組名user1為user2

groupdel刪除組

groupdel users 刪除組users

真正從安全性角度上來(lái)考慮的話，是要控制用戶一定執(zhí)行命令的權(quán)限，也就是哪些用戶可以執(zhí)行哪些命令，不可以執(zhí)行哪些命令，因此也就有了sudo這個(gè)應(yīng)用，對(duì)于sudo提權(quán)，也就是修改/etc/sudoers的配置文件。

Linux系統(tǒng)下用戶以及權(quán)限管理

一、操作系統(tǒng)中的用戶管理 相關(guān)配置文件解讀

Linux用戶在操作系統(tǒng)可以進(jìn)行日常管理和維護(hù)，涉及到的相關(guān)配置文件如下：

/etc/passwd 保存操作系統(tǒng)中的所有用戶信息

root : x : 0 : 0 : root : /root : /bin/bash

name:password:UID:GID:GECOS:directory:shell

用戶名 ：密碼占位符 ：uid ：基本組的gid ：用戶信息記錄字段：用戶的家目錄：用戶登錄系統(tǒng)后使用的命令解析器

————————————————

字段1：用戶名

字段2：密碼占位符

字段3：用戶的UID 0 表示超級(jí)用戶 ， 500-60000 普通用戶 ， 1-499 程序用戶

字段4：基本組的GID 先有組才有用戶

字段5：用戶信息記錄字段

字段6：用戶的家目錄

字段7：用戶登錄系統(tǒng)后使用的命令解釋器

————————————————

UID：0表示超級(jí)用戶， 程序用戶 （1-499），普通用戶 （500以上60000以下），根據(jù)uid將用戶分為以上三類(lèi)用戶。

/etc/shdaow 保存用戶密碼（以加密形式保存）

[root@xing /]# cat /etc/shadow

root : $6$Jw5XsDvvNBH5Xoq. : 19180 : 0 : 99999 : 7 : : :

用戶名：密碼（加密后的字符串）：最近一次的修改時(shí)間【距離1970年1月1日的距離】：密碼的最短有效期：密碼的最長(zhǎng)有效期：密碼過(guò)期前7天警告：密碼的不活躍期：用戶的失效時(shí)間： 保留字段

————————————————

字段1：用戶名

*字段2：用戶的密碼加密后的字符串（sha）

字段3：距離1970/1/1密碼最近一次修改的時(shí)間

字段4：密碼的最短有效期

*字段5：密碼的最長(zhǎng)有效期（建議時(shí)間 90）

字段6：密碼過(guò)期前7天警告

字段7：密碼的不活躍期

字段8：用戶的失效時(shí)間

字段9：保留字段

這個(gè)字段目前沒(méi)有使用，等待新功能的加入。

————————————————

/etc/group 保存組信息

————————————————

root:x:0:

bin:x:1:bin,daemon

組名：組的密碼占位符：gid：附加組成員

————————————————

/etc/login.defs 用戶屬性限制,密碼過(guò)期時(shí)間,密碼最大長(zhǎng)度等限制

/etc/default/useradd 顯示或更改默認(rèn)的useradd配置文件

二、文件及目錄權(quán)限

文件與權(quán)限： 即文件或者目錄屬于哪個(gè)用戶，屬于哪個(gè)組，不同的用戶能對(duì)該文件進(jìn)行何種操作。

————————————————

注：

查看文件權(quán)限： ls -l 文件

查看目錄權(quán)限 ： ls -ld 目錄

————————————————

[root@xing Desktop]# ls -l /root/Desktop/

total 70584

lrwxrwxrwx. 1 root root 18 Jul 14 14:32 123.txt - /root/Desktop/ming

-rw-r--r--. （文件屬性） 1 （鏈接個(gè)數(shù)： 表示指向它的鏈接文件的個(gè)數(shù) ） root （所屬者） root （所屬組） 0（文件大小：?jiǎn)挝籦yte） Jul 14 14:14（最后一次修改時(shí)間） 2.txt（文件名）

drwx------.（文件屬性） 7 （目錄中的子目錄數(shù)： 此處看到的值要減2才等于該目錄下的子目錄的實(shí)際個(gè)數(shù)。 ） root （所屬者） root （所屬組） 4096 （文件大小：?jiǎn)挝籦yte）Jul 13 16:56（最后一次修改時(shí)間） vmware-tools-distrib（目錄名）

[root@xing Desktop]# ls -ld /root/Desktop/

drwxr-xr-x. 3 root root 4096 Jul 14 14:44 /root/Desktop/

————————————————

文件屬性解釋?zhuān)?/p>

- rw- r-- r-- .

d rwx r-x r-x .

字段1：文件類(lèi)型 【- 普通文件 d目錄 l符號(hào)鏈接 b塊設(shè)備】

字段2：文件所有者對(duì)該文件的權(quán)限

字段3：文件所屬組的權(quán)限

字段4：其他用戶的權(quán)限（既不是文件所有者也不是文件所屬組的用戶）

字段5：表示文件受 selinux 的程序管理

8進(jìn)制賦權(quán)法： r 【100】4； w【010】2； x【001】1

————————————————

三、用戶以及權(quán)限管理命令匯總：

————————————————

用戶增刪改命令

useradd

userdel

usermod

————————————————

用戶組增刪改命令

groupadd

groupdel

groupmod

————————————————

passwd

change

————————————————

文件權(quán)限修改: chmod命令

chmod 對(duì)象 算數(shù)運(yùn)算符 權(quán)限 文件

[root@xing tmp]# ls -ld ming

drwxr-xr-x. 2 root root 4096 Jul 16 10:27 ming

[root@xing tmp]# chmod o-x ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 root root 4096 Jul 16 10:27 ming

————————————————

文件所屬者修改：

chown 用戶 文件

[root@xing tmp]# chown ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming root 4096 Jul 16 10:27 ming

————————————————

文件所屬組修改：

chgrp 組 文件

[root@xing tmp]# chgrp ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming ming 4096 Jul 16 10:27 ming

————————————————

8進(jìn)制賦權(quán)法

[root@xing ~]# chmod 644 /tmp/ming

[root@xing ~]# ls -ld /tmp/ming

drw-r--r--. 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

linux下命令“l(fā)l”是“l(fā)s -l"的別名。

————————————————

粘滯位：賦權(quán)后的文件 只有建立者可以刪除

chmod o+t 文件

[root@xing ~]# chmod o+t /tmp/ming

[root@xing ~]# ll -d /tmp/ming

drw-r--r-T . 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

sgid ： 賦權(quán)后的目錄，新建立的文件或者子目錄的所屬組繼承父目錄的所屬組

chmod g+s 目錄

[root@xing ming]# chmod g+s /tmp/ming

[root@xing tmp]# ll

drw-r-Sr-T. 2 ming ming 4096 Jul 16 11:29 ming

[root@xing ming]# touch 20.txt

[root@xing ming]# ll

-rw-r--r--. 1 root ming 0 Jul 16 11:33 20.txt

[root@xing ming]# mkdir 60

[root@xing ming]# ll

drwxr-sr-x. 2 root ming 4096 Jul 16 11:34 60

————————————————

suid ：允許誰(shuí)運(yùn)行該文件具有該文件所屬者的權(quán)限

chmod u+s 文件

[root@xing Desktop]# ll /usr/bin/vim

-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

[root@xing Desktop]# chmod u+s /usr/bin/vim

[root@xing Desktop]# ll /usr/bin/vim

-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

備注：linux 紅底白字代表警告！

————————————————

[root@xing Desktop]# echo $PATH

/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin

suid：4 sgid：2 粘滯位：1

[root@xing Desktop]# find /usr/bin -perm 4 755

/usr/bin/at

/usr/bin/chage

/usr/bin/pkexec

/usr/bin/Xorg

/usr/bin/crontab

/usr/bin/newgrp

/usr/bin/vim

/usr/bin/gpasswd

/usr/bin/passwd

/usr/bin/ksu

————————————————

1、不再允許添加新用戶的請(qǐng)求

chattr命令 ：用于改變文件屬性

chattr +i 文件

lsttr命令 ：查看文件屬性

lsattr 文件

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

-------------e- /etc/passwd

-------------e- /etc/shadow

[root@xing Desktop]# chattr +i /etc/passwd /etc/shadow

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

----i--------e- /etc/passwd

----i--------e- /etc/shadow

[root@xing Desktop]# useradd kk

useradd: cannot open /etc/passwd

2、umask

root用戶的umask默認(rèn)值是0022，一般用戶默認(rèn)是0002

目錄的最高權(quán)限 0777-0022=0755

文件的最高權(quán)限 0666-0022=644

一般服務(wù)器配置umask的值配置為027最好；需要去修改兩處文件中的umask值。

/etc/profile

/etc/bashrc

3、修改默認(rèn)的密碼最長(zhǎng)有效期：修改以下配置文件

/etc/login.defs

Linux命令之用戶組管理

Linux中每個(gè)用戶都要屬于一個(gè)或多個(gè)組，有了用戶組，就可以將用戶添加到組中，這樣就方便管理員對(duì)用戶的集中管理。 Linux系統(tǒng)中用戶組分為root組、系統(tǒng)組、普通用戶組三類(lèi)。當(dāng)一個(gè)用戶屬于多個(gè)組時(shí)，這些組中只能有一個(gè)作為該用戶的主屬組，其他組就被稱為此用戶的次屬組。 組基本信息在文件/etc/group中；組密碼信息在文件/etc/gshadow中。通過(guò)命令：cat /etc/group、cat /etc/gshadow可查看文件內(nèi)容。

各用戶組中，以 ":" 作為字段之間的分隔符，分為 4 個(gè)字段，每個(gè)字段對(duì)應(yīng)的含義為：

組名：密碼：GID：該用戶組中的用戶列表

而在gshadow文件中，每行代表一個(gè)組用戶的密碼信息，各行信息用 ":" 作為分隔符，分為 4 個(gè)字段，每個(gè)字段的含義如下：

組名：加密密碼：組管理員：組附加用戶列表

root用戶可以直接修改/etc/group文件達(dá)到管理組的目的，也可以使用以下命令：groupadd、groupdel、groupmod -n、gpasswd -a、gpasswd -d、newgrp。

下面使用案例分別講解這些命令：

添加用戶組的命令是 groupadd，命令格式如下:

groupadd? [ -g gid? [ -o ] ]? [ -r ]? [ -f ]? group

參數(shù)說(shuō)明：

-g：指定新建工作組的 id；

-r：創(chuàng)建系統(tǒng)工作組，系統(tǒng)工作組的組ID小于 500；

-K：覆蓋配置文件 "/ect/login.defs"；

-o：允許添加組 ID 號(hào)不唯一的工作組。

-f,--force: 如果指定的組已經(jīng)存在，此選項(xiàng)將失明了僅以成功狀態(tài)退出。當(dāng)與 -g 一起使用，并且指定的GID_MIN已經(jīng)存在時(shí)，選擇另一個(gè)唯一的GID（即-g關(guān)閉）。

示例：創(chuàng)建一個(gè)新的組，并添加組 ID。

[root@VM-4-4-centos ~]# groupadd? -g? 888? newgroup

此時(shí)在/etc/group文件中產(chǎn)生了一個(gè)id為888的項(xiàng)目：

刪除用戶組時(shí)，可用groupdel(group delete)指令來(lái)完成。倘若該組中仍包括某些用戶，則必須先刪除這些用戶后，方能刪除組。 注意：刪除的組不能為主屬組！ 命令格式：

groupdel? [組名]? ? ? ? ?

示例：刪除用戶組 newgroup

[root@VM-4-4-centos ~]# groupdel? newgroup

此時(shí)再查看/etc/group文件時(shí)可以看到用戶組newgroup已經(jīng)不存在，刪除成功！

要更改用戶組識(shí)別碼或名稱可使用 groupmod 來(lái)完成。命令格式：

groupmod? [ -g? 群組識(shí)別碼? -o ] [ -n? 新群組名稱 ] [原群組名稱]

參數(shù)說(shuō)明 ：

-g 群組識(shí)別碼 　設(shè)置欲使用的群組識(shí)別碼。

-o 　重復(fù)使用群組識(shí)別碼。

-n 新群組名稱 　設(shè)置欲使用的群組名稱。

示例：創(chuàng)建用戶組newgroup并修改其名稱為modifiedgroup

[root@VM-4-4-centos ~]# groupadd? newgroup

[root@VM-4-4-centos ~]# groupmod? -n? modifiedgroup? newgroup

查看/etc/group文件，只存在名稱為modifiedgroup的用戶組，修改成功！

gpasswd 是 Linux 下工作組文件 /etc/group 和 /etc/gshadow 管理工具，用于將一個(gè)用戶添加到組或者從組中刪除。命令格式：

gpasswd? [可選項(xiàng)]? 組名

可選項(xiàng)參數(shù) ：

-a：添加用戶到組；

-d：從組刪除用戶；

-A：指定管理員；

-M：指定組成員和-A的用途差不多；

-r：刪除密碼；

-R：限制用戶登入組，只有組中的成員才可以用newgrp加入該組。

示例1：將用戶yangwei添加到組modifiedgroup中

[root@VM-4-4-centos ~]# gpasswd? -a? yangwei? modifiedgroup

此時(shí)查看/etc/group文件發(fā)現(xiàn)組?modifiedgroup中出現(xiàn)用戶yangwei

示例2：將用戶yangwei從組modifiedgroup中給刪除

[root@VM-4-4-centos ~]# gpasswd? -d? yangwei? modifiedgroup

再次查看/etc/group文件發(fā)現(xiàn)用戶yangwei已經(jīng)不存在。

當(dāng)需要在不同的群組下工作的時(shí)候我們需要進(jìn)行切換群組操作，這個(gè)操作由newgrp指令來(lái)完成。命令格式如下：

newgrp [群組名稱]

注意！當(dāng)前用戶必須都是兩個(gè)群組的成員，否則切換群組時(shí)需要輸入切換組的組密碼，這時(shí)候當(dāng)前用戶作為臨時(shí)成員在切換組下工作，所創(chuàng)建的文件全都屬于切換組。

示例1：用戶yangwei不屬于群組modifiedgroup，請(qǐng)將當(dāng)前工作組切換為modifiedgroup。

示例2：將用戶yangwei添加到組modifiedgroup中，并切換工作組為modifiedgroup。

總結(jié)：Linux用戶組管理需要掌握最基本的幾個(gè)命令及其選項(xiàng)參數(shù)： groupadd 、groupdel 、groupmod 、gpasswd 、newgrp ！

分享標(biāo)題：用戶管理命令linux 用戶管理命令win10
文章源于：http://chinadenli.net/article30/dojospo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、企業(yè)網(wǎng)站制作、軟件開(kāi)發(fā)、網(wǎng)站收錄、微信小程序、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)