linux用戶和組的管理
① linux系統-文件系統&用戶組管理-問題解答
1)ls
ls -l /home/ #顯示home目錄下文件或文件夾的包括訪問許可權、所屬用戶、所屬主組、文件大小等信息, ls -l 也是別名ll的命令與選項部分。
ls -a /root #顯示root目錄下包括隱藏文件在內的所有文件
ls -d /etc/* #顯示etc目錄下所有子目錄(不包括文件)
ls -S /root #按文件從大到小排列顯示root目錄下各文件
ls -Sr /root #按文件從小到大排列顯示root目錄下各文件
ls -U /root #按文件創建時間從新到舊排列顯示root目錄下各文件
ls -X /root #按文件後綴排序顯示root目錄下各文件
ls -R /root #遞歸顯示root目錄下所有文件
ls -t /root #按修改數據內容的時間(mtime)從新到舊排列顯示root目錄下各文件
2)touch
touch /data/file1 #在data目錄下創建file1文件,如果目錄下已經有同名文件,則不會覆蓋同名文件
touch -t 201910200830.50 /etc/hosts #修改/etc/hosts文件的atime以及mtime的時間戳為2019年10月20日8點30分50秒
touch -c /data/f2 #刷新data目錄下f2文件的atime、mtime、ctime,如果f2文件不存在,則不會創建f2
3)cp
cp etc/hosts /home/ #復制/etc/hosts文件到 /home目錄下,如果home目錄下沒有hosts文件,則自動創建同名文件;如果有,則會直接覆蓋。
cp -i etc/hosts /home/ #復制/etc/hosts文件到 /home目錄下,如果home目錄下沒有hosts文件,則自動創建同名文件;如果有,則會詢問用戶是否覆蓋。
cp -r /etc/ntp /root #復制/etc/ntp目錄下所有子目錄以及文件到root目錄下
cp -a /home/* /data/ #復制/home/目錄下所有子目錄以及文件到data目錄下,所有文件的類型、軟鏈接、文件所屬關系、時間戳等信息都一並復制(但是home目錄下的隱藏文件不會被復制到data目錄下)
cp -av /home/* /data/ #在實現cp -a /home/* /data/ 復制的基礎上,在終端上顯示復制過程
cp -u /etc/* /data/ #將etc目錄下的文件復制到data目錄下,如果etc目錄的文件比data目錄下的同名文件新,則覆蓋data目錄下的同名文件,如果etc目錄下的文件比data目錄里的與之同名文件舊,則不覆蓋。
cp --backup=numbered etc/hosts /home/hosts #將etc目錄下hosts文件復制到home目錄下的hosts,在復制之前,會先對home目錄的hosts文件進行備份,避免被覆蓋後,原文件內容丟失。
4)mv
mv /etc/hosts /data/ #將etc目錄下hosts文件轉移到data目錄下,如果data目錄有同名文件,則直接覆蓋
mv -i /etc/hosts /data/ #將etc目錄下hosts文件轉移到data目錄下,如果data目錄有同名文件,則詢問是否覆蓋
mv f1 f2 #將當前目錄下的f1文件修改名字為f2
mv -t /data/ /etc/hosts #將etc目錄下hosts文件轉移到data目錄下,如果data目錄有同名文件,則直接覆蓋 。功能實現上與mv /etc/hosts /data/ 相同,但是移出路徑參數與移入路徑參數的位置發生了互換
mv downloads/ D #將當前目錄下的downloads目錄的名字改成D
5)rm
rm /data/f1 #刪除data目錄下的f1文件
rm -r /data/* #遞歸刪除data目錄下的所有文件
rm -rf /data/* #強制遞歸刪除data目錄下的所有文件
6)file
file /etc/hosts #查看etc目錄下hosts文件的文件類型,如文本文件、壓縮文件、可執行程序等
7)stat
stat /data/f1 #查看/data/f1文件的三個時間,內容數據修改時間mtime,讀取時間atime,元數據修改時間ctime
8)pwd
#在當前目錄下輸入pwd回車,查看當前所在目錄路徑
pwd -P #顯示當前目錄或文件夾的真實路徑
9)cd
cd /data #進入data目錄
cd ~root #進入root的家目錄
cd - #回到剛才離開的目錄
10)mkdir
mkdir /data/dir #在data目錄下創建dir目錄
mkdir -p /data/dir1/dir2/dir3/dir4 #在data目錄下創建子目錄dir1/dir2/dir3/dir4,若dir1、dir2、dir3都不存在,則遞歸創建
11)rmdir
rmdir /data/dir #刪除data目錄下的dir目錄,如果dir裡面有文件,則dir不能被刪除
rmdir -p /data/dir1/dir2/dir3/dir4 #若dir1、dir2、dir3、dir4都是空目錄,則遞歸刪除data目錄下的dir1、dir2、dir3、dir4目錄
12)ln
ln /data/f1 /data/f2 #在data目錄下創建文件f1的硬鏈接f2
ln -s f1 f1.link #在當前目錄下創建文件f1的軟鏈接f1.link
#當軟鏈接路徑與原文件路徑不同時,如軟鏈接位置是:/root/f1.link ,而原文件路徑是:/data/f1 。 則在創建軟鏈接時需要相對於軟鏈接的路徑,對原文件路徑補完相對路徑,具體如下:
ln -s ../data/f1 /root/f1.link
答:
1)創建/tmp/a1, /tmp/a2, /tmp/a1/a, /tmp/a1/b
mkdir /tmp/a{1,2}
touch /tmp/a1/{a,b}
2)在/tmp目錄下創建目錄:x_y, x_z, q_y, q_z
mkdir /tmp/{x,q}_{y,z}
答:文件的元數據信息包括:
文件類型: 指文件所屬的類型,包括目錄、文本文件、壓縮文件、可執行程序等。系統實際上查看文件的頭部信息,magic number。
節點編號: 每個文件、文件夾在同一個磁碟分區內,都有一個唯一的節點編號inode,用於識別磁碟分區內的文件。節點編號的數量在一個磁碟分區內是有限的,如果節點編號耗盡,無論磁碟空間是否真的占滿,都會顯示磁碟空間已滿。
硬鏈接數: 是指指向該文件節點編號inode的文件名稱數量。
所屬用戶UID: 創建該文件的用戶的uid
所屬主組GID: 創建該文件的用戶的主組gid
文件大小: 表示該文件的磁碟空間佔用大小
mtime時間戳: 指文件的內容數據發生修改時的時間點
atime時間戳: 指文件被訪問時的時間點
ctime時間戳: 指文件的元數據發生變化時的時間點
訪問許可權: 指不同用戶對文件的訪問、修改、執行等操作的許可權
指向磁碟數據塊的直接指針: 直接指向磁碟數據塊的指針,一個文件最多有12個直接指針,每個直接指針指向一個4k大小的數據塊
指向磁碟數據塊的間接指針: 間接指向磁碟數據塊的指針,一個間接指針會先指向一個4k大小數據塊作為次階指針表,該數據塊又分成1024個4位元組大小的區間,一個區間存儲一個次階的指針,次階指針指向一個4k的磁碟數據塊存儲真正的文件數據,若依然不能滿足空間要求,則可繼續嵌套次階指針表,直到滿足文件存儲要求為止。
查看元數據信息方式:
1)ls -l /data #可查看data目錄下非隱藏文件的訪問許可權、所屬用戶UID、所屬用戶主組GID、mtime時間戳、文件大小、硬鏈接數。
2)stat /root/bin #可查看root目錄下bin目錄的atime時間戳、mtime時間戳、ctime時間戳
3)ls -lc /root/ #查看root目錄下非隱藏文件的ctime時間戳
4)ls -lu /root/ #查看root目錄下非隱藏文件的atime時間戳
5)ls -i /root #查看root目錄下所有非隱藏文件的節點編號
6)file /root/.bashrc #查看root目錄下.bashrc文件的文件類型
修改文件的時間戳信息:
touch -t 201910200830.50 /etc/hosts #將etc目錄下hosts文件的atime和mtime時間戳修改成2019年10月2日8時30分50秒
touch -a /etc/hosts #更新etc目錄下hosts文件的atime和ctime為當前時間
touch -m /etc/hosts #更新etc目錄下hosts文件的mtime和ctime為當前時間
答: touch /tmp/tfile-`date +"%F-%H-%M-%S"`
答:
mkdir /tmp/mytest1 #先創建mytest1目錄
cp -a /etc/p*[^0-9] /tmp/mytest1/
或:
cp -a /etc/p*[^[:digit:]] /tmp/mytest1/
答:
useradd -u 5001 -md /tmp/tom -s /bin/zsh -G jack tom
1)useradd
useradd jack #創建用戶jack,用戶策略採用系統默認配置
useradd -u 1008 jack #創建用戶jack,指定用戶的UID為1008
useradd -d /data/jack jack #創建用戶jack,指定用戶家目錄路徑為/data/jack
useradd -g 1111 jack #創建用戶jack,指定用戶主組是GID=1111的組,但GID=1111的組需要事先存在,否則無法創建
useradd -G tom jack #創建用戶jack,指定用戶jack加入附加組tom,但tom組需要事先存在,否則無法創建
useradd -s /bin/zsh jack #創建用戶jack,制定用戶jack的shell類型是zsh
useradd -r jack #創建系統用戶jack,系統用戶默認不創建家目錄
useradd -r -md /data/jack jack #配合-d選項,創建系統用戶jack,指定該系統用戶創建家目錄/data/jack,並在家目錄中載入默認配置文件
useradd -N jack #創建用戶jack,不創建jack同名主組,將jack主組默認為users
useradd -M jack #創建用戶jack,強制用戶jack不創建家目錄
2)usermod
usermod -G wang jack #將jack用戶的附加組更改為wang,原有附加組刪除
usermod -aG wang jack #在不退出原有附加組情況下,jack用戶增加附加組wang
usermod -l jacky jack #修改用戶名稱為jacky
usermod -e 20181212 jack #將用戶jack的賬號過期日期修改為2018年12月12日
usermod -s /bin/csh jack #修改用戶jack的shell類型為csh,與命令: chsh -s /bin/csh jack 相等
usermod -c 'abcdefg' jack #編輯用戶jack的注釋為abcdefg
3)userdel
userdel jack #刪除用戶jack
userdel -r jack #刪除用戶jack,包括用戶的家目錄、郵箱
4)groupadd
groupadd -g 1010 leo #創建組leo,指定GID為1010
groupadd -r leo #創建系統組leo
5)groupmod
groupmod -n lee leo #修改組leo名字為lee
groupmod -g 1111 leo #修改組leo的GID為1111
6)groupdel
groupdel wang #刪除wang組,但是wang組必須不是任何用戶的主組,否則不可以刪除
7)su
su jack #當前用戶非登錄切換到jack賬號,不讀取jack賬號配置文件
su - jack #當前用戶登錄切換到jack賬號,讀取jack賬號配置文件
8)groupmems
groupmems -l -g root #查看所有屬於root組的用戶
9)id
id #查看當前用戶的UID名稱 、 主組名稱GID 、 附屬組名稱GID
id root #查看root用戶的UID名稱、 主組名稱GID 、附屬組名稱GID
id -u root #查看root用戶的UID名稱
id -g root #查看root用戶的主組名稱GID
id -G root #查看root用戶的主組名稱GID 、 附屬組名稱GID
id -nG root #只查看root用戶的主組名稱 、 附屬組名稱
10)chfn
chfn jack #編輯修改用戶jack的注釋 ,與命令:usermod -c 'abcdefg' jack 類似
11)chsh
chsh -s /bin/csh jack #修改用戶jack的shell類型為csh
12)chage
chage jack # 互動式修改用戶jack的密碼策略,包括修改:密碼創建時間、最小密碼修改期、密碼有效期、過期通知、過期寬限期、賬戶有效時間
chage -l jack #查看用戶jack的密碼策略
chage -d 0 jack #讓用戶jack密碼期限立即過期,重新登錄需要更換密碼
13)passwd
passwd #修改當前用戶的賬號密碼
passwd jack #修改jack賬號密碼 (僅限root賬號)
passwd -e jack #強制jack用戶下次登錄修改密碼 (僅限root賬號)
echo hello | passwd --stdin jack #利用管道標准輸入,快速將jack用戶密碼修改成hello,無需輸入兩次新密碼,不檢驗密碼的復雜度
14)newgrp
newgrp root #將當前用戶的主組切換成root,原主組切換成附屬組,如果當前用戶的附屬組沒有root組,切換時需要輸入root組密碼;如果當前用戶的附屬組包含root組,則無需輸入組密碼,直接切換
15)gpasswd
gpasswd jack #創建jack組密碼
gpasswd -a wang jack #將wang用戶添加至jack組里
16)groups
groups jack #查看用戶jack所屬的組列表
② Linux系統下用戶以及許可權管理
一、操作系統中的用戶管理 相關配置文件解讀
Linux用戶在操作系統可以進行日常管理和維護,涉及到的相關配置文件如下:
/etc/passwd 保存操作系統中的所有用戶信息
root : x : 0 : 0 : root : /root : /bin/bash
name:password:UID:GID:GECOS:directory:shell
用戶名 :密碼佔位符 :uid :基本組的gid :用戶信息記錄欄位:用戶的家目錄:用戶登錄系統後使用的命令解析器
————————————————
欄位1:用戶名
欄位2:密碼佔位符
欄位3:用戶的UID 0 表示超級用戶 , 500-60000 普通用戶 , 1-499 程序用戶
欄位4:基本組的GID 先有組才有用戶
欄位5:用戶信息記錄欄位
欄位6:用戶的家目錄
欄位7:用戶登錄系統後使用的命令解釋器
————————————————
UID:0表示超級用戶, 程序用戶 (1-499),普通用戶 (500以上60000以下),根據uid將用戶分為以上三類用戶。
/etc/shw 保存用戶密碼(以加密形式保存)
[root@xing /]# cat /etc/shadow
root : $6$Jw5XsDvvNBH5Xoq. : 19180 : 0 : 99999 : 7 : : :
用戶名:密碼(加密後的字元串):最近一次的修改時間【距離1970年1月1日的距離】:密碼的最短有效期:密碼的最長有效期:密碼過期前7天警告:密碼的不活躍期:用戶的失效時間: 保留欄位
————————————————
欄位1:用戶名
*欄位2:用戶的密碼加密後的字元串(sha)
欄位3:距離1970/1/1密碼最近一次修改的時間
欄位4:密碼的最短有效期
*欄位5:密碼的最長有效期(建議時間 90)
欄位6:密碼過期前7天警告
欄位7:密碼的不活躍期
欄位8:用戶的失效時間
欄位9:保留欄位
這個欄位目前沒有使用,等待新功能的加入。
————————————————
/etc/group 保存組信息
————————————————
root:x:0:
bin:x:1:bin,daemon
組名:組的密碼佔位符:gid:附加組成員
————————————————
/etc/login.defs 用戶屬性限制,密碼過期時間,密碼最大長度等限制
/etc/default/useradd 顯示或更改默認的useradd配置文件
二、文件及目錄許可權
文件與許可權: 即文件或者目錄屬於哪個用戶,屬於哪個組,不同的用戶能對該文件進行何種操作。
————————————————
註:
查看文件許可權: ls -l 文件
查看目錄許可權 : ls -ld 目錄
————————————————
[root@xing Desktop]# ls -l /root/Desktop/
total 70584
lrwxrwxrwx. 1 root root 18 Jul 14 14:32 123.txt -> /root/Desktop/ming
-rw-r--r--. (文件屬性) 1 (鏈接個數: 表示指向它的鏈接文件的個數 ) root (所屬者) root (所屬組) 0(文件大小:單位byte) Jul 14 14:14(最後一次修改時間) 2.txt(文件名)
drwx------.(文件屬性) 7 (目錄中的子目錄數: 此處看到的值要減2才等於該目錄下的子目錄的實際個數。 ) root (所屬者) root (所屬組) 4096 (文件大小:單位byte)Jul 13 16:56(最後一次修改時間) vmware-tools-distrib(目錄名)
[root@xing Desktop]# ls -ld /root/Desktop/
drwxr-xr-x. 3 root root 4096 Jul 14 14:44 /root/Desktop/
————————————————
文件屬性解釋:
- rw- r-- r-- .
d rwx r-x r-x .
欄位1:文件類型 【- 普通文件 d目錄 l符號鏈接 b塊設備】
欄位2:文件所有者對該文件的許可權
欄位3:文件所屬組的許可權
欄位4:其他用戶的許可權(既不是文件所有者也不是文件所屬組的用戶)
欄位5:表示文件受 selinux 的程序管理
8進制賦權法: r 【100】4; w【010】2; x【001】1
————————————————
三、用戶以及許可權管理命令匯總:
————————————————
用戶增刪改命令
useradd
userdel
usermod
————————————————
用戶組增刪改命令
groupadd
groupdel
groupmod
————————————————
passwd
change
————————————————
文件許可權修改: chmod命令
chmod 對象 算數運算符 許可權 文件
[root@xing tmp]# ls -ld ming
drwxr-xr-x. 2 root root 4096 Jul 16 10:27 ming
[root@xing tmp]# chmod o-x ming
[root@xing tmp]# ls -ld ming
drwxr-xr--. 2 root root 4096 Jul 16 10:27 ming
————————————————
文件所屬者修改:
chown 用戶 文件
[root@xing tmp]# chown ming ming
[root@xing tmp]# ls -ld ming
drwxr-xr--. 2 ming root 4096 Jul 16 10:27 ming
————————————————
文件所屬組修改:
chgrp 組 文件
[root@xing tmp]# chgrp ming ming
[root@xing tmp]# ls -ld ming
drwxr-xr--. 2 ming ming 4096 Jul 16 10:27 ming
————————————————
8進制賦權法
[root@xing ~]# chmod 644 /tmp/ming
[root@xing ~]# ls -ld /tmp/ming
drw-r--r--. 2 ming ming 4096 Jul 16 10:27 /tmp/ming
————————————————
linux下命令「ll」是「ls -l"的別名。
————————————————
粘滯位:賦權後的文件 只有建立者可以刪除
chmod o+t 文件
[root@xing ~]# chmod o+t /tmp/ming
[root@xing ~]# ll -d /tmp/ming
drw-r--r-T . 2 ming ming 4096 Jul 16 10:27 /tmp/ming
————————————————
sgid : 賦權後的目錄,新建立的文件或者子目錄的所屬組繼承父目錄的所屬組
chmod g+s 目錄
[root@xing ming]# chmod g+s /tmp/ming
[root@xing tmp]# ll
drw-r-Sr-T. 2 ming ming 4096 Jul 16 11:29 ming
[root@xing ming]# touch 20.txt
[root@xing ming]# ll
-rw-r--r--. 1 root ming 0 Jul 16 11:33 20.txt
[root@xing ming]# mkdir 60
[root@xing ming]# ll
drwxr-sr-x. 2 root ming 4096 Jul 16 11:34 60
————————————————
suid :允許誰運行該文件具有該文件所屬者的許可權
chmod u+s 文件
[root@xing Desktop]# ll /usr/bin/vim
-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim
[root@xing Desktop]# chmod u+s /usr/bin/vim
[root@xing Desktop]# ll /usr/bin/vim
-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim
備註:linux 紅底白字代表警告!
————————————————
[root@xing Desktop]# echo $PATH
/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin
suid:4 sgid:2 粘滯位:1
[root@xing Desktop]# find /usr/bin -perm 4 755
/usr/bin/at
/usr/bin/chage
/usr/bin/pkexec
/usr/bin/Xorg
/usr/bin/crontab
/usr/bin/newgrp
/usr/bin/vim
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/ksu
————————————————
1、不再允許添加新用戶的請求
chattr命令 :用於改變文件屬性
chattr +i 文件
lsttr命令 :查看文件屬性
lsattr 文件
[root@xing Desktop]# lsattr /etc/passwd /etc/shadow
-------------e- /etc/passwd
-------------e- /etc/shadow
[root@xing Desktop]# chattr +i /etc/passwd /etc/shadow
[root@xing Desktop]# lsattr /etc/passwd /etc/shadow
----i--------e- /etc/passwd
----i--------e- /etc/shadow
[root@xing Desktop]# useradd kk
useradd: cannot open /etc/passwd
2、umask
root用戶的umask默認值是0022,一般用戶默認是0002
目錄的最高許可權 0777-0022=0755
文件的最高許可權 0666-0022=644
一般伺服器配置umask的值配置為027最好;需要去修改兩處文件中的umask值。
/etc/profile
/etc/bashrc
3、修改默認的密碼最長有效期:修改以下配置文件
/etc/login.defs
③ Linux添加/刪除用戶和用戶組
Linux添加/刪除用戶和用戶組
本文總結了Linux添加或者刪除用戶和用戶組時常用的一些命令和參數。
1、建用戶:adser phpq //新建phpq用戶passwd phpq //給phpq用戶設置密碼
2、建工作組groupadd test //新建test工作組
3、新建用戶同時增加工作組useradd -g test phpq //新建phpq用戶並增加到test工作組
註::-g 所屬組 -d 家目錄 -s 所用的SHELL
4、給已有的用戶增加工作組usermod -G groupname username
或者:gpasswd -a user group
5、臨時關閉:在/etc/shadow文件中屬於該用戶的行的第二個欄位(密碼)前面加上*就可以了。想恢復該用戶,去掉*即可。
或者使用如下命令關閉用戶賬號:passwd peter –l
重新釋放:passwd peter –u
6、永久性刪除用戶賬號userdel peter
groupdel peter
usermod –G peter peter(強制刪除該用戶的主目錄和主目錄下的所有文件和子目錄)
7、從組中刪除用戶編輯/etc/group 找到GROUP1那一行,刪除 A或者用命令gpasswd -d A GROUP
8、顯示用戶信息id usercat /etc/passwd
更詳細的用戶和用戶組的解說請參考Linux用戶和用戶組詳細解說本文主要講述在Linux 系統中用戶(user)和用戶組(group)管理相應的概念;用戶(user)和用戶組(group)相關命令的列舉;其中也對單用戶多任務,多用戶多任務也做以解說。
本篇文章來源於PHP資訊 原文鏈接: http://www.phpq.net/linux/linux-add-delete-user-group.html
Linux用戶(user)和用戶組(group)管理概述
、理解Linux的單用戶多任務,多用戶多任務概念;Linux是一個多用戶、多任務的操作系統;我們應該了解單用戶多任務和多用戶多任務的概念;
1、Linux 的單用戶多任務; 單用戶多任務;比如我們以beinan 登錄系統,進入系統後,我要打開gedit 來寫文檔,但在寫文檔的過程中,我感覺少點音樂,所以又打開xmms 來點音樂;當然聽點音樂還不行,MSN 還得打開,想知道幾個弟兄現在正在做什麼,這樣一樣,我在用beinan 用戶登錄時,執行了gedit 、xmms以及msn等,當然還有輸入法fcitx ;這樣說來就有點簡單了,一個beinan用戶,為了完成工作,執行了幾個任務;當然beinan這個用戶,其它的人還能以遠程登錄過來,也能做其它的工作。
2、Linux 的多用戶、多任務;
有時可能是很多用戶同時用同一個系統,但並不所有的用戶都一定都要做同一件事,所以這就有多用戶多任務之說;
舉個例子,比如LinuxSir.Org 伺服器,上面有ftp 用戶、系統管理員、web 用戶、常規普通用戶等,在同一時刻,可能有的弟兄正在訪問論壇;有的可能在上傳軟體包管理子站,比如luma 或Yuking 兄在管理他們的主頁系統和FTP ;在與此同時,可能還會有系統管理員在維護系統;瀏覽主頁的用的是nobody 用戶,大家都用同一個,而上傳軟體包用的是FTP用戶;管理員的對系統的維護或查看,可能用的是普通帳號或超級許可權root帳號; 不同用戶所具有的許可權也不同,要完成不同的任務得需要不同的用戶 ,也可以說 不同的用戶,可能完成的工作也不一樣 ;
值得注意的是:多用戶多任務並不是大家同時擠到一接在一台機器的的鍵盤和顯示器前來操作機器,多用戶可能通過遠程登錄來進行,比如對伺服器的遠程式控制制,只要有用戶許可權任何人都是可以上去操作或訪問的;
3、用戶的角色區分;
用戶在系統中是分角色的,在Linux 系統中,由於角色不同,許可權和所完成的任務也不同;值得注意的是用戶的角色是通過UID和識別的,特別是UID;在系統管理中,系統管理員一定要堅守UID 唯一的特性;
root用戶:系統唯一,是真實的,可以登錄系統,可以操作系統任何文件和命令,擁有最高許可權;虛擬用戶:這類用戶也被稱之為偽用戶或假用戶,與真實用戶區分開來,這類用戶不具有登錄系統的能力,但卻是系統運行不可缺少的用戶,比如bin、daemon、adm、ftp、mail等;這類用戶都系統自身擁有的,而非後來添加的,當然我們也可以添加虛擬用戶;普通真實用戶:這類用戶能登錄系統,但只能操作自己家目錄的內容;許可權有限;這類用戶都是系統管理員自行添加的;
4、多用戶操作系統的安全;
多用戶系統從事實來說對系統管理更為方便。從安全形度來說,多用戶管理的系統更為安全,比如beinan用戶下的某個文件不想讓其它用戶看到,只是設置一下文件的許可權,只有beinan一個用戶可讀可寫可編輯就行了,這樣一來只有beinan一個用戶可以對其私有文件進行操作,Linux 在多用戶下表現最佳,Linux能很好的保護每個用戶的安全,但我們也得學會Linux 才是,再安全的系統,如果沒有安全意識的管理員或管理技術,這樣的系統也不是安全的。
從伺服器角度來說,多用戶的下的系統安全性也是最為重要的,我們常用的Windows 操作系統,它在系紡許可權管理的能力只能說是一般般,根本沒有沒有辦法和Linux或Unix 類系統相比;
二、用戶(user)和用戶組(group)概念; 1、用戶(user)的概念; 通過前面對Linux 多用戶的理解,我們明白Linux 是真正意義上的多用戶操作系統,所以我們能在Linux系統中建若干用戶(user)。比如我們的同事想用我的計算機,但我不想讓他用我的用戶名登錄,因為我的用戶名下有不想讓別人看到的資料和信息(也就是隱私內容)這時我就可以給他建一個新的用戶名,讓他用我所開的用戶名去折騰,這從計算機安全形度來說是符合操作規則的;
當然用戶(user)的概念理解還不僅僅於此,在Linux系統中還有一些用戶是用來完成特定任務的,比如nobody和ftp 等,我們訪問LinuxSir.Org 的網頁程序,就是nobody用戶;我們匿名訪問ftp 時,會用到用戶ftp或nobody ;如果您想了解Linux系統的一些帳號,請查看 /etc/passwd ;
2、用戶組(group)的概念; 用戶組(group)就是具有相同特徵的用戶(user)的集合體;比如有時我們要讓多個用戶具有相同的許可權,比如查看、修改某一文件或執行某個命令,這時我們需要用戶組,我們把用戶都定義到同一用戶組,我們通過修改文件或目錄的許可權,讓用戶組具有一定的操作許可權,這樣用戶組下的用戶對該文件或目錄都具有相同的許可權,這是我們通過定義組和修改文件的許可權來實現的;
舉例:我們為了讓一些用戶有許可權查看某一文檔,比如是一個時間表,而編寫時間表的人要具有讀寫執行的許可權,我們想讓一些用戶知道這個時間表的內容,而不讓他們修改,所以我們可以把這些用戶都劃到一個組,然後來修改這個文件的許可權,讓用戶組可讀,這樣用戶組下面的每個用戶都是可讀的; 用戶和用戶組的對應關系是:一對一、多對一、一對多或多對多; 一對一:某個用戶可以是某個組的唯一成員;多對一:多個用戶可以是某個唯一的組的成員,不歸屬其它用戶組;比如beinan和linuxsir兩個用戶只歸屬於beinan用戶組;一對多:某個用戶可以是多個用戶組的成員;比如beinan可以是root組成員,也可以是linuxsir用戶組成員,還可以是adm用戶組成員;多對多:多個用戶對應多個用戶組,並且幾個用戶可以是歸屬相同的組;其實多對多的關系是前面三條的擴展;理解了上面的三條,這條也能理解;
三、用戶(user)和用戶組(group)相關的配置文件、命令或目錄; 1、與用戶(user)和用戶組(group)相關的配置文件;
1)與用戶(user)相關的配置文件;
/etc/passwd註:用戶(user)的配置文件;/etc/shadow註:用戶(user)影子口令文件;
2)與用戶組(group)相關的配置文件; /etc/group註:用戶組(group)配置文件;/etc/gshadow註:用戶組(group)的影子文件;
2、管理用戶(user)和用戶組(group)的相關工具或命令; 1)管理用戶(user)的工具或命令;
useradd 註:添加用戶
adser 註:添加用戶
passwd 註:為用戶設置密碼
usermod 註:修改用戶命令,可以通過usermod 來修改登錄名、用戶的家目錄等等;
pwcov 註:同步用戶從/etc/passwd 到/etc/shadow
pwck 註:pwck是校驗用戶配置文件/etc/passwd 和/etc/shadow 文件內容是否合法或完整;
pwunconv 註:是pwcov 的立逆向操作,是從/etc/shadow和 /etc/passwd 創建/etc/passwd ,然後會刪除 /etc/shadow 文件;
finger 註:查看用戶信息工具
id 註:查看用戶的UID、GID及所歸屬的用戶組
chfn 註:更改用戶信息工具
su 註:用戶切換工具
sudo 註:sudo 是通過另一個用戶來執行命令(execute a command as another user),su 是用來切換用戶,然後通過切換到的用戶來完成相應的任務,但sudo 能後面直接執行命令,比如sudo 不需要root 密碼就可以執行root 賦與的執行只有root才能執行相應的命令;但得通過visudo 來編輯/etc/sudoers來實現;
visudo 註:visodo 是編輯 /etc/sudoers 的命令;也可以不用這個命令,直接用vi 來編輯 /etc/sudoers 的效果是一樣的;
sudoedit 註:和sudo 功能差不多;
2)管理用戶組(group)的工具或命令;
groupadd 註:添加用戶組;
groupdel 註:刪除用戶組;
groupmod 註:修改用戶組信息
groups 註:顯示用戶所屬的用戶組
grpckgrpconv 註:通過/etc/group和/etc/gshadow 的文件內容來同步或創建/etc/gshadow ,如果/etc/gshadow 不存在則創建;
grpunconv 註:通過/etc/group 和/etc/gshadow 文件內容來同步或創建/etc/group ,然後刪除gshadow文件;
3、/etc/skel 目錄; /etc/skel目錄一般是存放用戶啟動文件的目錄,這個目錄是由root許可權控制,當我們添加用戶時,這個目錄下的文件自動復制到新添加的用戶的家目錄下;/etc/skel 目錄下的文件都是隱藏文件,也就是類似.file格式的;我們可通過修改、添加、刪除/etc/skel目錄下的文件,來為用戶提供一個統一、標準的、默認的用戶環境;
[root@localhost beinan]# ls -la /etc/skel/
總用量92
drwxr-xr-x 3 root root 4096 8月 11 23:32 .
drwxr-xr-x 115 root root 12288 10月 14 13:44 ..
-rw-r--r-- 1 root root 24 5月 11 00:15 .bash_logout
-rw-r--r-- 1 root root 191 5月 11 00:15 .bash_profile-rw-r--r-- 1 root root 124 5月 11 00:15 .bashrc
-rw-r--r-- 1 root root 5619 2005-03-08 .canna
-rw-r--r-- 1 root root 438 5月 18 15:23 .emacs
-rw-r--r-- 1 root root 120 5月 23 05:18 .gtkrcd
rwxr-xr-x 3 root root 4096 8月 11 23:16 .kde
-rw-r--r-- 1 root root 658 2005-01-17 .zshrc
/etc/skel目錄下的文件,一般是我們用useradd 和adser 命令添加用戶(user)時,系統自動復制到新添加用戶(user)的家目錄下;如果我們通過修改 /etc/passwd 來添加用戶時,我們可以自己創建用戶的家目錄,然後把/etc/skel 下的文件復制到用戶的家目錄下,然後要用chown 來改變新用戶家目錄的屬主; 4、/etc/login.defs 配置文件; /etc/login.defs文件是當創建用戶時的一些規劃,比如創建用戶時,是否需要家目錄,UID和GID的范圍;用戶的期限等等,這個文件是可以通過root來定義的;
比如Fedora 的 /etc/logins.defs 文件內容;
# *REQUIRED*# Directory where mailboxes reside, _or_ name of file, relative to the# home directory. If you _do_ define both, MAIL_DIR takes precedence.# QMAIL_DIR is for Qmail##QMAIL_DIR MaildirMAIL_DIR /var/spool/mail 註:創建用戶時,要在目錄/var/spool/mail中創建一個用戶mail文件;#MAIL_FILE .mail# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 99999 註:用戶的密碼不過期最多的天數;PASS_MIN_DAYS 0 註:密碼修改之間最小的天數;PASS_MIN_LEN 5 註:密碼最小長度;PASS_WARN_AGE 7 註:## Min/max values for automatic uid selection in useradd#UID_MIN 500 註:最小UID為500 ,也就是說添加用戶時,UID 是從500開始的;UID_MAX 60000 註:最大UID為60000;## Min/max values for automatic gid selection in groupadd#GID_MIN 500 註:GID 是從500開始;GID_MAX 60000## If defined, this command is run when removing a user.# It should remove any at/cron/print jobs etc. owned by# the user to be removed (passed as the first argument).##USERDEL_CMD /usr/sbin/userdel_local## If useradd should create home directories for users by default# On RH systems, we do. This option is ORed with the -m flag on# useradd command line.#CREATE_HOME yes 註:是否創用戶家目錄,要求創建;
5、/etc/default/useradd 文件;
通過useradd 添加用戶時的規則文件;
# useradd defaults fileGROUP=100HOME=/home 註:把用戶的家目錄建在/home中;INACTIVE=-1 註:是否啟用帳號過期停權,-1表示不啟用;EXPIRE= 註:帳號終止日期,不設置表示不啟用;SHELL=/bin/bash 註:所用SHELL的類型;SKEL=/etc/skel 註: 默認添加用戶的目錄默認文件存放位置;也就是說,當我們用adser添加用戶時,用戶家目錄下的文件,都是從這個目錄中復制過去的;
後記:
關於用戶(user)和用戶組(group)管理內容大約就是這么多;只要把上面所說的內容了解和掌握,用戶(user)和用戶組(group)管理就差不多了;由於用戶(user)和用戶組(group)是和文件及目錄許可權聯系在一起的,所以文件及目錄許可權的操作也會獨立成文來給大家介紹;
摘自 http://fedora.linuxsir.org/main/?q=node/91
④ Linux用戶和群組管理
Linux系統使用一個專門的文件將用戶的登錄名匹配到對應的UID值,這個文件就是/etc/passwd文件,它包含了一些與用戶有關的關鍵信息
root用戶賬戶是Linux系統的管理員,固定分配給他的UID是0。Linux系統會為各種功能創建不同的賬戶,而這些賬戶並不是真的用戶,叫做系統賬戶
/etc/passwd文件文件中的密碼欄位都被設置成了x,這並不是說所有用戶賬戶都用相同的密碼,而密碼都被保存在另一個叫/etc/shadow的文件中,這需要特殊的程序才能訪問
/etc/passwd是一個標準的文本文件,但是不建滾帶議用編輯器直接修改其內容
/etc/shadow文件對Linux系統密碼提供了更多的控制,只有root用戶才能訪問/etc/shadow文件,這讓它比/etc/passwd安全許多
他一共有九個欄位
1、與/etc/passwd文件中登錄名對應欄位的登錄名
2、加密後的密碼
3、上次修改密碼後過去多少天
4、多少天後才能修改密碼
5、多少天後必須修改密碼
6、密碼過期提前多少天通知用戶
7、密碼過羨李期後多少天禁用用戶賬戶
8、用戶賬戶被禁用的日期
9、預留欄位
/etc/group文件包含了系統兄備遲上用到的每個組的信息和UID一樣,GID也使用相同的格式,並從500開始分配
主目錄 :用戶的起始工作目錄,用戶登錄後有操作許可權的訪問目錄
注釋性描述 :這個欄位並沒有什麼實際的用途。在不同的Linux 系統中,這個欄位的格式並沒有統一。在許多Linux系統中,這個欄位存放的是一段任意的注釋性描述文字,用做finger命令的輸出。
登陸shell :用戶登錄後,要啟動一個進程,負責將用戶的操作傳給內核,這個進程是用戶登錄到系統後運行的命令解釋器或某個特定的程序,即Shell。
newgrp 指令類似 login 指令,當它是以相同的帳號,另一個群組名稱,再次登入系統。 newgrp 命令可以從用戶的附加組中選擇一個群組,作為用戶新的初始組。 欲使用 newgrp 指令切換群組,您必須是該群組的用戶,否則將無法登入指定的群組。單一用戶要同時隸屬多個群組,需利用交替用戶的設置。若不指定群組名稱,則 newgrp 指令會登入該用戶名稱的預設群組。
⑤ linux中多用戶以及許可權的理解
linux操作系統是多用戶管理系統,管理起來非常麻煩,所以用組的概念來管理用戶就變的簡單多了, 一個用戶可以屬於多個組,一個組可以有多個用戶,用戶和組是多對多的關系。
linux的多用戶多分組管理系統都是針對 文件 來說的, 每個文件都有所屬的用戶和所屬的分組。
linux系統是根據用戶UID來識別用戶的,並不是根據用戶名。linux用戶分為以下3種
每行數據為一個用戶,可以看到紅色部分為root超級用戶,藍色部分為系統用戶,綠色部分為普通用戶。
我們可以看到該文件屬於root用戶和root組。然後root用戶許可權是rw-,root組內成員的許可權是r--,而其他用戶的許可權是r--。由於其他用戶的許可權都是r--,所以任何用戶都是可以讀的。
在/etc/group文件中存儲著系統的所有組,查看文件內容,如下圖
大致分為4段
我們可以看到圖中mail分組的第4段有值為postfix,也就是postfix用戶應該有倆個分組,一個初始組和一個附屬組,我們執行以下命令驗證
用戶密碼文件shadow和組密碼文件gshadow的許可權都是000,所有其他用戶是不能查看的,只有root用戶才可以查看,root用戶也是不能修改該文件的。
使用 whoami 命令查看。
postfix用戶有倆個所屬組postfix和mail。由此可見, uid是指用戶id(用戶名稱),gid是指初始組id(初始組名稱),groups是指包括初始組在內的所有組id(所有組名稱)
我們知道了/etc/group文件的第四段為 組內成員 ,所有我們可以通過 grep 來匹配相關組。比如查詢mail組內的所有成員,命令如下, 可以看到mail組內有mail,postfix和tom3個用戶。
上面是一種方法,我們也可以直接使用命令來查看。
添加用戶只能root用戶來添加,普通用戶沒有許可權,添加用戶有倆種方式
在centos系統下,這倆種方式沒有區別, 都會在/home下自動創建與用戶名同名的用戶目錄,且都是需要使用 passwd userName 命令來設置用戶密碼的,只有設置完密碼後才可以正常登錄。
在unbantu系統下,這倆種方式是有區別的,使用 useradd userName命令 不會在/home下自動創建與用戶名同名的用戶目錄,且不會自動選擇shell版本,後續也是需要使用 passwd username來設置密碼的 。 而使用 adser userName 命令的話 是會在/home目錄下自動創建與用戶名同名的用戶目錄,也會自動選擇shell版本,且會自動提示輸入用戶密碼,對用戶比較友好,後續不需要在使用passwd來設置密碼。
刪除用戶,並不會刪除用戶相關的文件
刪除用戶且一起刪除家目錄
格式如下:
參數如下:
-g 指定組(只有root可以使用)
-a 指定用戶加入組
-d 從組中刪除該用戶
-p 從組中清楚所有成員
-l 顯示組成員列表
linux中每個文件都是有許可權的。 每個文件都有自己的所屬用戶和所屬組,且擁有所屬用戶許可權,所屬組許可權和其他許可權3種。
許可權一般分為讀,寫,執行3種,通過這樣的機制來限制哪些用戶或用戶組可以對特定文件進行相應的操作。
目錄有x許可權才可以cd進入該目錄。目錄有r許可權才能在該目錄中使用ll或者ls查看目錄。一個目錄中的文件能否被刪除或者創建取決於該目錄是否有w許可權。
執行ll命令後顯示如下,我們解讀一下
從左到右發現一共有7段
然後執行如下命令
test文件的許可權改為
常用的參數為 -R ,常用於修改目錄許可權,該參數表示為該目錄以及目錄下的所有子文件都修改為相同的許可權。
然後執行如下命令
再次查看test文件
常用的參數為 -R ,常用於修改目錄,該參數表示為該目錄以及目錄下的所有子文件都修改為相同的用戶及用戶組。
想切換到root用戶,直接使用su命令即可
⑥ Linux用戶許可權管理命令
Linux系統中的用戶是分角色的,用戶的角色是由UID和GID來識別的(也就是說系統是識別的是用戶的UID、GID,而非用戶用戶名),一個UID是唯一(系統中唯一如同身份證一樣)用來標識系統的用戶賬號(用戶名)。
文件的用戶與用戶組分為超級管理員,普通用戶和系統用戶。
1)超級管理員的UID=0,GID=0,也可以這么說系統只要是識別出某個用戶的UIDGID都為0時,那麼這個用戶系統就認為是超級管理員。
2)普通用戶(管理員添加的),默認它的UIDGID是從500-65535,許可權很小,只能操作自己的家目錄中文件及子目錄(註:nobody它的UIDGID是65534)。
3)系統用戶,也稱虛擬用戶,也就是安裝系統時就默認存在的且不可登陸系統,它們的UIDGID是1-499。
我們可以通過cat /etc/passwd命令來查看所有的用戶信息,例如下圖,第三列是UID,第四列是GID:
創建用戶
useradd user1 創建用戶user1
useradd -e 12/30/2021 user2 創建用戶user2,有效期到2021-12-30
設置用戶密碼
passwd user1 設置密碼,有設置密碼的用戶不能用
這里設置密碼時可能會碰到密碼保護機制問題,這里需要注釋掉保護機制的問題
這個時候需要在編輯/etc/pam.d/system-auth文件,將其中的password requisite
和password sufficient兩行注釋掉,如下圖:
創建用戶組
groupadd –g 888 users 創建一個組users,其GID為888
groupadd users 不用g參數,使用默認的組ID
命令 gpasswd為組添加用戶
只有root和組管理員能夠改變組的成員:
gpasswd –a user1 users 把 user1加入users組
gpasswd –d user1 users 把 user1退出users組
命令groupmod修改組
groupmod –n user2 user1 修改組名user1為user2
groupdel刪除組
groupdel users 刪除組users
真正從安全性角度上來考慮的話,是要控制用戶一定執行命令的許可權,也就是哪些用戶可以執行哪些命令,不可以執行哪些命令,因此也就有了sudo這個應用,對於sudo提權,也就是修改/etc/sudoers的配置文件。
⑦ Linux用戶組管理
在創建用戶時不會創建附屬組,附屬組只能通過命令創建
使用命令groupadd創建一個附屬組,也可以在命令中添加參數 -g 指定組id,組id設置的時候應該大於1000,不能重復,重復有可能導致系統無法啟動
groupadd這個命令並不能將用戶添加進用戶組中去,我們如何把用戶添加進用戶組中呢?
使用命令gpasswd加參數-a向一個用戶組中添加用戶,如果不加-a的話默認是修改或者設置組密碼,使用到組密碼的場景很少,至少我沒有碰見過。
使用命令gpasswd和參數-d把一個用戶從一個用戶組中移除
刪除組可以使用groupdel刪除組
用戶有自己的配置文件,組也有自己的配置文件,組的配置文件主要保存了組名稱,組密碼、組ID和組成員,這個配置文件統一保存在/etc/group文件中並以: 作為分隔符
⑧ 如何在linux上用命令實現用戶和組的管理
linux上用戶和組的管理一般使用user和group相關命令管理
用戶管理:
1、添加新的用戶賬號
使用useradd命令,其語法如下:
useradd
選項
用戶名
其中各選項含義如下:
-c
comment
指定一段注釋性描述。
-d
目錄
指定用戶主目錄,如果此目錄不存在,則同時使用-m選項,可以創建主目錄。
-g
用戶組
指定用戶所屬的用戶組。
-G
用戶組,用戶組
指定用戶所屬的附加組。
-s
Shell文件
指定用戶的登錄Shell。
-u
用戶號
指定用戶的用戶號,如果同時有-o選項,則可以重復使用其他用戶的標識號。
用戶名
指定新賬號的登錄名。
2、刪除用戶
使用userdel命令,
其格式如下:
如果一個用戶的賬號不再使用,可以從系統中刪除。刪除用戶賬號就是要將/etc/passwd等系統文件中的該用戶記錄刪除,必要時還刪除用戶的主目錄。刪除一個已有的用戶賬號使用userdel命令,其格式如下:
userdel
選項
用戶名
常用的選項是-r,它的作用是把用戶的主目錄一起刪除。
3、修改用戶
使用usermod命令,
其格式如下:
修改用戶賬號就是根據實際情況更改用戶的有關屬性,如用戶號、主目錄、用戶組、登錄Shell等。
修改已有用戶的信息使用usermod命令,其格式如下:
usermod
選項
用戶名
常用的選項包括-c,
-d,
-m,
-g,
-G,
-s,
-u以及-o等,這些選項的意義與useradd命令中的選項一樣,可以為用戶指定新的資源值。
用戶組的管理
1、增加一個新的用戶組
使用groupadd命令,
其格式如下:
groupadd
選項
用戶組
可以使用的選項有:
-g
GID
指定新用戶組的組標識號(GID)。
-o
一般與-g選項同時使用,表示新用戶組的GID可以與系統已有用戶組的GID相同。
2、刪除一個已有的用戶組
使用groupdel命令,
其格式如下:
groupdel
用戶組
3、修改用戶組的屬性
使用groupmod命令。
其語法如下:
groupmod
選項
用戶組
常用的選項有:
-g
GID
為用戶組指定新的組標識號。
-o
與-g選項同時使用,用戶組的新GID可以與系統已有用戶組的GID相同。
-n新用戶組
將用戶組的名字改為新名字
⑨ linux里 什麼叫用戶組
用戶組的作用就是
因為linux
是多人多任務系統
所有可能有很多人在主機人作業。
比如
有A
B
C
D
4個人
在linux主機上作業,
A
B
C
3個人
在做同一個項目
建了一個文件夾
這個文件只能A
B
C
3個人進入,不能讓其他用戶進入
,所有就出來用戶組了,
那麼那個D
就
是非用戶組了。