首页 > 系统相关 >第十三章 Linux帐号管理与ACL权限设定

第十三章 Linux帐号管理与ACL权限设定

时间:2023-07-31 11:12:33浏览次数:48  
标签:设定 帐号 群组 ACL etc Linux 权限 root

第十三章 Linux帐号管理与ACL权限设定

13.1 Linux的帐号与群组

13.1.1 使用者标识符:UID与GID

  每个登入的使用者至少都会取得两个ID,一个是使用者ID(User ID,简称UID),一个是群组ID(Group ID,简称GID)。那么文件如何判断他的拥有者与群组呢?其实就是利用UID与GID啦!

13.1.2 使用者帐号

  • /etc/passwd文件结构
    这个文件的构造是这样的:每一行都代表一个帐号,有几行就代表有几个帐号在你的系统中!不过需要特别留意的是,里头很多帐号本来就是系统正常运作所必须要的,我们可以简称他为系统帐号,例如bin,daemon,adm,nobody等等,这些帐号请不要随意的杀掉他呢!
    每一行使用【:】分隔开,共有七个咚咚,分别是:

    1. 帐号名称
    2. 密码
    3. UID
    4. GID
    5. 用户信息说明栏
    6. 家目录
    7. Shell
  • /etc/shadow文件结构
    基本上,shadow同样以【:】作为分隔符,如果数一数,会发现共有九个字段啊,这九个字段的用途是这样的:

    1. 帐号名称
    2. 密码
    3. 最近更动密码的日期
    4. 密码不可被更动的天数
    5. 密码需要重新变更的天数
    6. 密码需要变更期限前的警告天数
    7. 密码过期后的帐号宽限时间(密码失效日)
    8. 帐号失效日期
    9. 保留

13.1.3 关于群组:有效与初始群组、groups,newgrp

  群组的配置文件有/etc/group与/etc/gshadow啰~

  • /etc/group文件结构

    1. 组名
    2. 群组密码
    3. GID
    4. 此群组支持的帐号名称
  • 有效群组(effective group)与初始群组(initial group)

  • groups: 有效与支持群组的观察
      该如何知道我所有支持的群组呢?很简单啊,直接输入groups就可以了!而且,第一个输出的群组即为有效群组了。

  • newgrp: 有效群组的切换
      如何变更有效群组呢?就使用newgrp啊!

  • /etc/gshadow

13.2 帐号管理

13.2.1 新增与移除使用者:useradd,相关配置文件,passwd,usermod,userdel

  • useradd

    useradd [-u UID] [-g 初始群组] [-G 次要群组] [-mM] [-c 说明栏] [-d 家目录绝对路径] [-s shell] 账号名
    选项与参数:
    -u: UID,是一组数字。
    -g: initial group初始群组。
    -G:这个帐号还可以加入的群组。
    -M: 强制!不要建立用户家目录!(系统帐号默认值)
    -m: 强制!建立用户家目录!(一般帐号默认值)
    -c: 说明内容
    -d: 自定义家目录位置
    -r: 建立一个系统的帐号,这个帐号的UID会有限制
    -s: 后面接一个shell,若没有则预设是/bin/bash
    -e: 日期,格式为【YYYY-MM-DD】,可写入shadow第八字段。
    -f: 后接shadow第七字段,指定密码是否会失效。0为立刻失效,-l为永远不失效。
    
  • passwd

    passwd [--stdin] [账号名称] # 所有人均可使用来改自己的密码
    passwd [-l] [-u] [--stdin] [-S] [-n 天数][-x 天数][-w 天数][-i 日期] 帐号  # root功能
    选项与参数:
    --stdin: 可以透过来自前一个管线的数据,作为密码输入,对shell script有帮助!
    -l:是lock的意思,会将/etc/shadow第二栏最前面加上!使密码失效。
    -u: 与-l相对,是unlock的意思!
    -S:列出密码相关参数,亦即shadow文件内容的大部分信息。
    -n: 天数,shadow的第4字段,多久不可修改密码天数。
    -x: 天数,shadow的第5字段,多久内必须要更动密码
    -w: 天数,shadow的第6字段,密码过期前的警告天数
    -i: 日期,shadow的第7字段,密码失效日期
    
  • usermod

    usermod [-cdegGlsuLU] username
    选项与参数:
    -c: 帐号的说明,即/etc/passwd每五栏的说明栏,可以加入一些帐号的说明。
    -d: 家目录,即修改/etc/passwd的第六栏
    -e: 日期,格式是YYYY-MM-DD也就是在/etc/shadow内的第八个字段数据!
    -f:天数,为shadow的第7字段。
    -g: 初始群组,/etc/shadow的第4字段
    -G:次要群组
    -a: 与-G合用,可【增加次要群组的支持】而非【设定】喔!
    -l: 后接帐号名称,亦即是修改帐号名称
    -s:后接Shell的实际文件,例如/bin/bash或/bin/csh等等
    -u: 后面接UID数字啦!即/etc/passwd第三栏的资料;
    -L: 暂时将用户的密码冻结,让他无法登录。其实仅修改/etc/shadow的密码栏
    -U:将/etc/shadow密码栏的!拿掉,解冻啦!
    
  • userdel

    userdel [-r] username
    选项与参数:
    -r: 连同用户的家目录也一起删除
    

13.2.2 用户功能

  • id
    id这个指令则可以查询某人或自己的相关UID/GID等等的信息。

  • finger
    finger的中文字面意思是:【手指】或者是【指纹】的意思。这个finger可以查阅很多用户相关的信息喔!大部分都是在/etc/passwd这个文件里面的信息啦!不过,这个指令有点危险,所以新的版本中已经默认不安装这个软件!

    finger [-s] username
    选项与参数:
    -s: 仅列出用户的帐号、全名、终端机代号与登入时间等等;
    -m: 列出与后面接的帐号相同者,而不是利用部分比对(包括全名部分)
    

13.2.3 新增与删除群组

  • groupadd

    groupadd [-g gid] [-r] 组名
    选项与参数:
    -g: 后面接某个特定的GID,用来直接给予某个GID~
    -r: 建立系统群组啦!与/etc/login.defs内的GID_MIN有关。
    
  • groupmod

    groupmod [-g gid] [-n group_name] 群组名
    选项与参数:
    -g: 修改既有的GID数字
    -n: 修改既有的组名
    
  • groupdel
    删除群组

  • gppasswd: 群组管理员功能

13.2.5 使用外部身份认证系统

  为了简化用户的操作流程,CentOS提供一只名为authconfig-tui的指令给我们参考。

13.3 主机的细部权限规划:ACL的使用

13.3.1 什么是ACL与如何支持启动 ACL

  ACL是Access Control List的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的细部权限设定。ACL可以针对单一使用者,单一文件或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助。
  那ACL主要可以针对哪些方面来控制权限呢?他主要可以针对几个项目:

  • 使用者(user):可以针对使用者来设定权限;
  • 群组(group):可以针对群组为对象来设定其权限;
  • 默认属性(mask):还可以针对在该目录下在建立新文件/目录时,规范新数据的默认权限;
  • 如何启动ACL
    事实上,原本ACL是unix-like操作系统的额外支持项目,但因为近年以来Linux系统对权限细部设定的热切需求,因此目前ACL几乎已经预设加入在所有常见的Linux文件系统的挂载参数中!所以你无须进行任何运作,ACL就可以被你使用啰!不过,如果你不放心系统是否真的支持ACL的话,那么就来检查一下核心挂载时显示的信息吧!

    dmesg | grep -i acl
    

13.3.2 ACL的设定技巧:getfacl,setfacl

  1. getfacl: 取得某个文件/目录的ACL设定项目;

  2. setfacl: 设定某个目录/文件的ACL规范。

  • setfacl 指令用法介绍及最简单的【u:帐号:权限】设定

    setfacl [-bkRd] [{-m|-x} acl参数] 目标文件名
    选项与参数:
    -m: 设定后续的acl参数给文件使用,不可与-x合用
    -x: 删除后续的acl参数,不可与-m合用
    -b: 移除【所有的】ACL设定参数
    -k: 移除【预设的】ACL参数,关于所谓的【预设】参数于后续范例中介绍
    -R: 递归设定acl参数,亦即包括次目录都会被设定起来
    -d: 设定【预设acl参数】意思!只对目录有效,在该目录新建的数据会引用此默认值。
    

    范例:

    #1. 针对特定使用者的方式:
    #设定规范:"u:[使用者帐号列表]:[rwx]",例如针对vbird1的权限规范rx:
    touch acl_test1
    ll acl_test1
    setfacl -m u:vbird1:rx acl_test1
    ll acl_test1
    -rw-r-xr--+ 1 root root 0 Jul 21 17:33 acl_test1
    #权限部分多了个+,且与原本的权限(644)看起来差异很大!但要如何查阅呢?
    setfacl -m u::rwx acl_test1
    ll acl_test1
    -rwxr-xr--+ 1 root root 0 Jul 21 17:33 acl_test1
    \#设定值中的u后面无使用者列表,代表设定该文件拥有者,所以上面显示root的权限为rwx了!
    
  • getfacl filename

    getfacl filename
    选项与参数:
    getfacl的选项几乎与setfacl相同!所以这里就省略了。
    

    范例:

    getfacl acl_test1
    # file: acl_test1    #文件名
    # owner: root    # 此文件的拥有者
    # group: root    # 所属群组
    user::rwx    #文件拥有者的权限
    user:vbird1:r-x        #针对vbird1的权限设定为rx,与拥有者并不同!
    group::r--         # 文件群组的权限设定仅有r
    mask::r-x        #此文件预设的有效权限(mask)
    other::r--         # 其他人拥有的权限啰!
    
  • 特定的单一群组的权限设定:"g:群组名:权限"

    #2. 针对特定群组的方式:
    # 设定规范:"g:[群组列表]:[rwx]",例如针对mygroup1的权限规范rx:
    setfacl -m g:mygroup1:rx acl_test1
    getfacl acl_test1
    
  • 针对有效权限设定:"m:权限"

    # 3. 针对有效权限mask的设定方式:
    # 设定规范:"m:[rwx]",例如针对刚刚的文件规范为仅有r:
    setfacl -m m:r acl_test1
    getfacl acl_test1
    

    mask(有效权限)的意义是:使用者或群组所设定的权限必须要存在于mask的权限设定范围内都会生效,此即【有效权限】。

  • 使用默认权限设定目录未来文件的ACL权限继承"d:[u|g]:[user|group]:权限"

    # 4. 针对预设权限的设定方式:
    # 设定规范: "d:[ug]:使用者列表:[rwx]"
    setfacl -m d:u:myuser1:rx /srv/projecta
    getfacl /srv/projecta
    

13.4 使用者身份切换

13.4.1 su

  su是最简单的身份切换指令了,他可以进行任何身份的切换唷!方法如下:

su [-lm] [-c 指令] [username]
选项与参数:
-: 单纯使用-代表使用login-shell的变量文件读取方式来登入系统;若使用者名称没有加上去,则代表切换为root的身份。
-l: 与-类似,但后面需要加欲切换的使用者帐号!也是login-shell的方式。
-m: -m与-p是一样的,表示“使用目前的环境设定,而不读取新使用者的配置文件”
-c: 仅进行一次指令。

su就这样简单的介绍完毕,总结一下他的用法是这样的:

  • 若要完整的切换到新使用者的环境,必须要使用"su - username"或"su -l username",才会连同PATH/USER/MAIL等变量都转成新用户的环境;
  • 如果仅想要执行一次root的指令,可以利用【su - -c "指令串" 】的方式来处理
  • 使用root切换成为任何使用者时,并不需要输入新用户的密码

13.4.2 sudo

  sudo的执行仅需要自己的密码即可!甚至可以设定不需要密码即可执行sudo呢!由于sudo可以让你以其他用户的身份执行指令(通常是使用root的身份来执行指令),因此并非所有人都能够执行sudo,而是仅有规范到/etc/sudoers内的用户才能够执行sudo这个指令喔!

  • sudo的指令用法
    系统默认仅有root可以执行sudo。

    sudo [-b] [-u 新使用者帐号]
    选项与参数:
    -b: 将后续的指令放到背景中让系统自行执行,而不与目前的shell产生影响
    -u: 后面可以接欲切换的使用者,若无此项则代表切换身份为root。
    

    能否使用sudo必须要看/etc/sudoers的设定值,而可使用sudo者是透过输入用户自己的密码来执行后续的指令串。

  • visudo与/etc/sudoers
    除了root之外的其他帐号,若想要使用sudo执行属于root的权限指令,则root需要先使用visudo去修改/etc/sudoers,让该帐号能够使用全部或部分的root指令功能。为什么要使用visudo呢?这是因为/etc/sudoers是有设定语法的,如果设定错误那会造成无法使用sudo指令的不良后果。使用visudo去修改,并在结束离开修改画面时,系统会去检验/etc/sudoers的语法就是了。
    一般来说,visudo的设定方式有几种简单的方法喔,底下我们以几个简单的例子来分别说明:

    1. 单一用户可进行root所有指令,与sudoers文件语法:
    visudo
    ...(前面省略)...
    root    ALL=(ALL)    #这是原有的
    vbird1    ALL=(ALL)    #这一行是你要新增的
    ...(底下省略)...
    
    1. 利用wheel群组以及免密码的功能处理visudo
    visudo
    ...(前面省略)...
    %wheel    ALL=(ALL)    ALL     #大约在106行左右,请将这行的#拿掉,并在最左边加上%,代表一个群组之意,改完保存。
    # 然后将pro1加入wheel的支持
    usermod -a -G whell pro1 
    
    1. 有限制的指令操作
    visudo
    myuser1        ALL=(ALL)    !/usr/bin/passwd,/usr/bin[A-Za-z]*,!/usr/bin/passwd root
    ## 不能执行'passwd'和'passwd root'这两个指令,意思是不能修改root密码,但可以帮助修改其他用户的密码
    
    1. 透过别名建置visudo:
      如果我有15个用户需要加入刚刚的管理员行列,那么我是否要将上述那长长的设定写入15行啊?而且如果想要修改命令或者是新增命令时,那我每行都需要重新设定,很麻烦!有没有更简单的方式?是有的!透过别名即可!我们visudo的别名可以是【指令别名、帐户别名、主机别名】等。不过这里我们仅介绍帐户别名。
      假设我的pro1,pro2,pro3与myuser1,myuser2要加入上述的密码管理员的sudo列表中,那我可以创立一个帐户名称为ADMPW的名称,然后将这个名称处理一下即可。处理的方式如下:
    visudo
    User_Alias ADMPW = pro1,pro2,pro3,myuser1,myuser2
    Cmnd_Alias ADMPWCOM = !/usr/bin/passwd,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
    ADMPW    ALL=(root)    ADMPWCOM
    

    我透过User_Alias建立出一个新帐号,这个帐号名称一定要使用大写字符来处理,包括Cmnd_Alias(命令别名)、Host_Alias(来源主机名别名)都需要使用大写字符的!这个ADMPW代表后面接的那些实际帐号。而该帐号能够进行的指令就如同ADMPWCOM后面所指定的那样!上表最后一行则写入这两个别名(帐号与指令别名),未来要修改时,我只要修改User_Alias以及Cmnd_Alias这两行即可!

    1. sudo搭配su的使用方式
      很多时候我们需要大量执行很多root的工作,所以一直使用sudo觉得很烦人!那有没有办法使用sudo搭配su,一口气将身份转为root,而且还是用用户自己的密码来变成root呢?是有的!而且方法简单的会让你想笑!我们建立一个ADMINS帐户别名,然后这样做:
    visudo
    User_Alias    ADMINS = pro1,pro2,pro3,myuser1
    ADMINS    ALL=(root)    /bin/su -
    

    接下来,上述的【pro1,pro2,pro3,myuser1】这4个人,只要输入sudo su - 并且输入自己的密码后,立刻变成root的身份!

13.6 Linux主机上的用户讯息传递

13.6.1 查询使用者:w,who,last,lastlog

  如果你想要知道目前已登入在系统上面的用户呢?可以透过w或who来查询喔!
如果你想要知道每个帐号的最近登入的时间,则可以使用lastlog这个指令喔!lastlog会去读取/etc/lastlog文件。

13.6.2 使用者对谈:write,mesg,wall

write 使用者帐号 [用户所在终端接口]
范例:
write vbird1 pts/2

13.6.3 使用者邮件信箱:mail

  这个指令用法很简单的,直接这样下达mail -s "邮件标题" username@localhsot即可。

mail -s "nice to meet you" vbrid1
Hello. D.M. Tsai
Nice to meet you in the network.
You are so nice.byebye!
.    #这里很重要哦,结束时,最后一行输入小数点即可!

  那么要如何收信呢?同样用mail即可。

13.7 CentOS 7环境下大量建置帐号的方法

13.7.1 一些帐号相关的检查工具

  先来检查看看用户的家目录、密码等数据有没有问题?这时会使用到的主要有pwck以及pwconv/pwunconv等,让我们来了解一下先!

  • pwck
    pwck这个指令在检查/etc/passwd这个帐号配置文件内的信息,与实际的家目录是否存在等信息,还可以比对/etc/passwd、/etc/shadow的信息是否一致,另外,如果/etc/passwd内的数据字段错误时,会提示使用者修订。一般来说,我只是利用这个玩意儿来检查我的输入是否正确就是了。
  • pwconv
    这个指令主要的目的是在将/etc/passwd内的帐号与密码,移到到/etc/shadow当中。
  • pwunconv
    将/etc/shadow内的密码栏数据写回/etc/passwd当中,并且删除/etc/shadow文件。一般不使用这个指令。
  • chpasswd
    chpasswd是个挺有趣的指令,他可以【读入未加密前的密码,并且经过加密后,将加密的密码写入/etc/shadow当中。这个指令很常用在大量建置帐号的情况中喔!

13.7.2 大量建置帐号模板(适用passwd --stdin选项)

vim accountadd.sh
#!/bin/bash
#This shell script will create amount of linux login accounts for you.
# 1. check the "accountadd.txt" file exist? you must create that file manually.
# 2. use openssl to create users password.
# 3. User must change his password in his first login.
#4. more options check the following url:
#http://linux.vbird.org/linux_basic/0410accountmanager.php#manual_amount
#2015/07/22  VBird
export PATH=/bin/:/sbin:/usr/bin:/usr/sbin

#0. userinput
usergroup=""    #if your account need secondary group,add here.
pwmech="openssl"    #"openssl" or "account" is needed
homeperm="no"     #if "yes" then I will modify home dir permission to 711

#1. check the accountadd.txt file
action="${1}"    #"create" is useradd and "delete" is userdel.
if [ ! -f accountadd.txt ]; then
    echo "There is no accountadd.txt file.stop here."
    exit 1
fi

[ "${usergroup}" != "" ] && groupadd -r ${usergroup}
rm -f outputpw.txt
usernames=$(cat accountadd.txt)

for username in ${usernames}
do
    case ${action} in
        "create")
            [ "${usergroup}" != "" ] && usegrp=" -G ${usergroup} " || usegrp=""
            useradd ${usegrp} ${username}  #新增帐号
            [ "${pwmech}" == "openssl" ] && usepw=$(openssl rand -base64 6) || usepw=${username}
            echo ${usepw} | passwd --stdin ${username} #建立密码
            chage -d 0 ${username} #强制登入修改密码
            [ "${homeperm}" == "yes" ] && chomd 711 /home/${username}
            echo "username=${username}, password=${usepw}" >> outputpw.txt
            ;;
        "delete)
            echo "deleting ${username}"
            userdel -r ${username}
            ;;
        *)
        echo "Usage:$0 [create|delete]"
        ;;
    esac
done

标签:设定,帐号,群组,ACL,etc,Linux,权限,root
From: https://www.cnblogs.com/evan-whc/p/17592915.html

相关文章

  • Linux Redis配置
    Redis是一个开源的高性能键值对存储系统,具有快速、灵活和可扩展的特性。它是一个基于内存的数据结构存储系统,可以用作数据库、缓存和消息代理。Redis的一些主要特点和用途:高性能:Redis数据存储在内存中,因此能够提供极快的读写操作。它采用单线程模型和异步I/O,避免了多线程的......
  • 数据库之Oracle简介
    ORCL单仓库,多用户sys是超级管理员,主要用来维护系统信息和管理实例。不知密码也可以本机登录(远程需要),只能使用SYSDBA或SYSOPER角色登录 system是系统管理员,拥有DBA权限,通常用来管理oracle数据库的用户、权限和存储等。只能用NORMAL方式登录。需要oracle安装时的密码才能登录,......
  • kernel: oracle (xxxx): Using mlock ulimits for SHM_HUGETLB is deprecated
    Oracle数据库运行在linux6/7中,启用大页之后,我们经常在/var/log/messages里面会看到类似这样的记录:Jul3109:46:27p1erpdb01kernel:oracle(6444):UsingmlockulimitsforSHM_HUGETLBisdeprecated.-------官方文档HowToAddanon-rootgrouptohugetlb_shm_grou......
  • Oracle DBMS_JOB包的使用
    DBMS_JOB包介绍DBMS_JOB程序包主要是调度和管理作业队列中的作业。换句话说,其实就是用来管理定时任务的程序包。Oracle推荐使用DBMS_SCHEDULER包来替代DBMS_JOB包。DBMS_JOB包中的存储过程使用DBMS_JOB程序包中主要有以下存储过程:BROKENCHANGEINSTANCEINTERVALNEXT_DATEREMOVERUNSU......
  • 查linux系统磁盘读写进程问题。
    1、iotop安装以及常见使用方法https://help.aliyun.com/noticelist/articleid/6501633.html?scm=20140722.184.2.173 Linux下的IO统计工具如iostat,nmon等大多数是只能统计到每个磁盘的读写情况,如果想知道每个进程是如何使用IO的就比较麻烦.iotop是一个用来监视磁盘I/O使......
  • Linux之RAID(独立硬盘冗余阵列)
    目录RAID(独立硬盘冗余阵列)1.RAID1.1RAID0磁盘阵列介绍11.2RAID1磁盘阵列介绍21.3RAID5磁盘阵列介绍31.4RAID1+0磁盘阵列介绍4RAID(独立硬盘冗余阵列)1.RAID一个磁盘达不到性能提升,将多块磁盘组成阵列(磁盘组),达到提升硬盘性能的效果raid级别:磁盘的组合方式,组合方......
  • Linux group & user All In One
    Linuxgroup&userAllInOnegroupaddgroupmodgroupdeluseraddusermoduserdel用户组groupadderic@rpi4b:~$groupadd-h用法:groupadd[选项]组选项:-f,--force如果组已经存在则成功退出......
  • Linux环境Arduino IDE中配置ATOM S3
    linux选择ubuntu发行版。硬件设备有多小呢:功能超级强大。之前的ROS1和ROS2案例已经全部移植完成并测试结束(三轮纯人力校验......
  • Linux为何是软件开发专业人员的心头爱-Robotics Ubuntu
    Linux与Windows都是十分常见的电脑操作系统,相信你对它们二者都有所了解!在你的使用过程中,是否有什么事让你觉得在Linux上顺理成章,换到Windows上就令你费解?亦或者关于这二者你有任何想要分享的,都可以在这里留下你的看法~你可以从以下几个方面进行创作(仅供参考)****不会Linux不能算计算......
  • linux最大文件名长度
    可以通过cat/usr/include/linux/limits.h查看NAME_MAX255 #ifndef_LINUX_LIMITS_H#define_LINUX_LIMITS_H#defineNR_OPEN 1024#defineNGROUPS_MAX65536 /*supplementalgroupIDsareavailable*/#defineARG_MAX131072 /*#bytesofargs......