关于 Linux系统用户、组和权限管理
一、用户与组
1.用户与组的概念
在Linux系统中,根据系统管理需要将用户分为三种类型:
1.超级用户:root是linux系统的超级用户,对系统拥有绝对权限。由于root用户权限太大,只有在进行系统管理、维护任务时使用root用户,建议日常事物处理用普通用户账号。
2.普通用户:普通用户由root用户创建,其权限受到一定限制,一般只对自己家目录拥有绝对权限。
3.虚拟用户:大多数由是在安装系统及部分应用程序时自动添加,维护系统或相应程序正常运行,其最大特点是不能登录系统。
用户组分为基本组、附加组
用户组是指具有共同特征用户的集合,主要是方便对文件或目录进行访问权限控制。
当用户被创建时至少属于一个用户组,该组就是用户的基本组。
当用户加入其他组时,其加入的组就是该用户的附加组。
UID和GID
ID类型 | root | 系统用户 | 普通用户 |
UID | 0 | 1-499 | 500+ |
GID | 0 | 1-499 | 500+ |
与用户和组相关的配置文件
1./etc/passwd
2./etc/shadow
3./etc/gruop
4./etc/gshadow
4./home/xx 用户家目录
6./var/log/mail/xx 用户邮箱
7/etc/skel 在用户被创建时家目录下的隐藏文件是从/etc/skel/复制过去的。
2.用户账号和组的管理
useradd 命令 创建用户
-u 选项 指定uid
-g 选项 指定基本组
-G 选项 指定附加组
-d 选项 指定家目录
-e 选项 指定账户失效时间
-M 选项 不创建家目录
-s 选项 指定登录shell
实例:创建一个FTP访问账号ftpuser,禁止其登录,不为其创建家目录
useradd -M -s /sbin/nologin ftpuser
***
passwd 命令 为用户创建密码
-d 选项 清空用户密码
-l 选项 锁定用户不能登录
-u 选项 解除锁定
***
userdel 命令 删除用户
-r 选项 用于删除家目录
***
usermod 命令 修改账号属性
-d 选项 修改用户家目录
-l 选项 修改用户名
-g 选项 修改用户基本组
-G 选项 修改用户附加组
su - 命令 用于切换用户身份
***
groupadd 命令 用于添加用户组
-g 选项 用于指定GID
***
gpasswd 命令 添加、删除组成员
-a 选项 添加用户
-d 选项 删除用户
***
groupdel 命令 删除用户组
groups 命令 查看用户组信息
二、文件和目录权限及归属
在多用户操作系统中,处于安全考虑,需要为每个文件和目录设置访问权限,严格规定每个用户的权限。
Linux系统中每一个文件或目录都被赋予两种属相:访问权限、文件所有者。
权限 | 文件 | 目录 |
r | 查看文件内容 | 查看目录内容ls |
w | 修改文件内容 | 修改目录下的内容(创建、移动、删除文件或目录) |
x | 执行该文件(程序或脚本) | 执行cd命令进入目录 |
1.查看文件、目录权限
通过ls -l 查看文件详细信息
输出信息共7个字段代表含义如下
1.第一组:代表文件类型和文件权限其中第一字符代表如下含义:
“-”表示普通文件、“d”表示目录、“l”表示符号链接、“c”代表字符设备、“b”代表块设备。
2.第二组:代表硬链接数,文件默认为1,目录默认为2。
3.第三组:文件所有者
4.第四组:文件所属组
5.第五组:代表文件大小(单位为字节B)目录只显示目录本身大小一般情况下为4096B
6.第六组:文件创建或修改时间
7.第七组:文件名
文件权限类型
2.设置文件、目录权限
chmod 命令 用于更改文件或目录权限
实例:useradd test
passwd test
密码xxxxxx
su - test
pwd
/home/test
mkdir file1
ls -l file1
drwxrwxr-x. 2 test test 4096 Sep 2 16:36 file1
chmod g-w,o-x file1
ls -l file1
drwxr-xr--.2 test test 4096 Sep 2 16:36 file1
文件权限数字表现形式
权限项 | 读 | 写 | 执行 | 读 | 写 | 执行 | 读 | 写 | 执行 |
字符表示 | r | w | x | r | w | x | r | w | x |
数字表示 | 4 | 2 | 1 | 4 | 2 | 1 | 4 | 2 | 1 |
权限分配 | 所有者 | 所属组 | 其他人 |
ls -l file1
drwxr-xr--.2 test test 4096 Sep 2 16:36 file1
chmod 755 file
ls -l file1
drwxr-xr-x--.2 test test 4096 Sep 2 16:36 file1
chmod -R 可以递归修改目录下的所有文件权限
root 用户 umask 值 0022
普通用户 umask 值 0002
root用户创建目录 时,生成目录权限为 777 - umask对应权限 ,最终为 755
root用户创建文件时,生成文件权限为 666 - umask对应权限,最终为644
普通用户创建目录时,生成目录权限为 777 - umask对应权限,最终为 775
普通用户创建文件时,生成文件权限为 666 - umask对应权限,最终为664
3.设置文件、目录归属
chown 命令
格式:chown 所有者 文件或目录
chown :所属组 文件或目录
chown 所有者:所属组 文件或目录
例如:chown root:root /home/test/file1
ls -l /home/test/file1
drwxr-xr-x,2 root root 4096 Sep 2 16:36 file1
三、系统高级权限设置
1.配置访问控制列表ACL(Access Control List)
Linux系统中权限设置,仅有3种身份,3种权限,通过配合chmod和chown命令来对文件或目录进项设置。如果进项复杂权限设定,如某个目录要开放为给某个特定用户使用时,传统方法不能满足需求。
例如:/home/project 目录,所有者是student用户,所属组是users组,预设权限为770。现有用户teacher,所属组为teacher,希望对/home/project/目录具有rwx权限;还有用户test,所属组��test,希望对/home/project/目录具有读rx权限。
显然利用chmod和chown命令无法完成上述要求,因而,在Linux系统提供了ACL来完成这种复杂权限设置。
设置ACL
setfacl 【选项】 设定值 文件目录
-m 选项 设定一个ACL规则
-x 选项 取消一个ACL 规则
-b 选项 取消所有的ACL规则
-d 选项 设置默认ACL规则 (对当前目录设置ACL权限后,未来在其目录下创建的文件或目录继承该目录的ACL权限)
-k 选项 取消默认权限
-R 选项 用于递归设置(对当前目录设置ACL权限,该目录下已有的子目录及文件也拥有相应的ACL权限)
例如:setfacl -m u:teacher:rwx /home/project
setfacl -m u:test:rx /home/project
getfacl 命令 查看文件目录ACL权限
setfacl -x u:teacher /home/project
setfacl -b /home/project
##ACL需要分区开启acl,通过dumpe2fs查看。Linux系统默认开启acl,如果分区没有开启acl,可以通过设置/etc/fstab文件开启##
例如:/dev/sdb1 /data ext4 defaults,acl 0 0
2.设置特殊权限:SUID/SGID/Sticky Bit
SUID权限:主要设置于可执行文件,对目录设置无效,当其他人执行该文件时,自动获取该文件所有者身份,设置命令为chmod u+s file。
例如: ls -l /usr/bin/passwd
-rwsr-x-r-x, 1 root root 30768 11月 24 2017 /usr/bin/passwd
SGID权限:
设置与目录,当目录设置SGID后,在该目录下创建的文件或子目录自动继承该目录的所属组
设置与文件,当文件设置SGID后,该文件无论使用者是谁,在其执行时将以该文件所有者身份执行。
例如: chmod g+s file、dirfile
设置粘滞位权限:
当一个用户对一个目录拥有写权限,该用户能删除该文件下的所有文件。
粘滞位权限主要针对其他人设置,使用命令chmod设置目录权限时,“o+t”、“o-t”可以添加或者删除粘滞位权限。
当一个目录设置粘滞位权限后,对该目录具有写权限的其他用户不能删除别的用户创建的文件或目录,只能删除自己创建的文件或目录。
例如 /tmp 和 /var/tmp
ls -ld /tmp
drwxrwxrwt. 3 root root 4096 9月 2 18:27 /tmp
ls -ld /var/tmp
drwxrwxrwt. 2 root root 4096 9月 2 18:27 /var/tmp
3.设置隐藏权限chattr
chattr设置隐藏权限,lsattr查看隐藏权限。
chattr +i
chattr +a
chattr -i
chattr -a
i:属性,如果对文件设置i属性,不允许对文件进行删除、改名、添加数据、
对目录设置i属性,不能创建删除文件,
a:属性,如果对文件设置a属性,只能向文件中追加数据,不能删除或编辑文件。
对目录设置a属性,只能在目录中建立或修改文件,不能删除文件。