Linux账号和管理权限

标签：账号 passwd iu guo 用户 管理权限 密码 Linux root

 

 

 

Linux安全模型：

Authentication：认证，验证用户身份

Authorization：授权，不同的用户设置不同权限

Accouting|Audition：审计

用户账号类型：

Linux中每个用户是通过 User Id （UID）来唯一标识的 新建用户 1-60000 自动分配 0-65535 端口号

管理员：root, 0

程序用户：1-499 （CentOS 6以前）, 1-999 （CentOS 7以后） 不登录的用户 系统默认的情况

对守护进程获取资源进行权限分配

普通用户：500+ （CentOS6以前）, 1000+（CentOS7以后） 不指定 顺序

给用户进行交互式登录使用

---超级用户：root 用户是 Linux 操作系统中默认的超级用户账号

---程序用户：在安装 Linux 操作系统及部分应用程序时，会添加一些特定的低权限用 户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行

---普通用户：账号需要由 root 用户或其他管理员用户创建，拥有的权限受 到一定限制，处理问题受到限制，一般只在用户自己的宿主目录中拥有完整权限

组账号

基本组：在用户所属组中的第一个组称为基本组,基本组在 /etc/passwd 文件中指定

附加组：除了第一个组外的其他组为附加组或公共组,附加组在 /etc/group 文件中指定

基本组：有且唯一

附加组：可有可无，可以有多个

默认新建用户时自动添加同名的组

 uid

UID（User IDentity，用户标识号）：Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记，称为 UID（UserIDentity，用户标识号），对于操作系统核心来说，UID 是区分用户的基本依据，原则上每个用户的 UID 号应该是唯一的。root 用户账号的 UID 号为固定值 0，而程序用户账号的 UID号默认为1～499，500～60000 的 UID 号默认分配给普通用户使用。

用户的主要组(primary group)：用户必须属于一个且只有一个主组，默认创建用户时会自动创建和用户名同名的组，做为用户的主要组，由于此组中只有一个用户，又称为私有组

用户的附加组(supplementary group)： 一个用户可以属于零个或多个辅助组，附属组

 

用户账号管理

 

文件位置

/etc/passwd:

存放保存用户名称、宿主目录、登录 Shell 等基本信息

root:x:0:0:root:/root:/bin:bash

有7段用“  ：”隔开

root：用户名

    x：密码站字符

    0：uid

    0：组uid（gid）

root:备注

/root：家目录

/bin/bash:默认shell环境

 

/etc/shadow密码文件

第一段:用户名

$6$F9xdHRnn$Y7h6DXNH.MbjWN/ws1mK4UKAI4ylimRVwc6zOyE2Zvd7z83e9FF9z02YXlMzeD9Ui/M.rO04gDbdnpkIPEvDr0

密码

第三:19055:最后一次修改密码时间

第四0:修改密码最小天数 0 不限制

第五99999:密码有效期

第六7:提前7天提醒

第7:宽限天数

第8：失效时间   永久   

第9:保留

第一字段：用户名:root

第二字段：密码: $6$HzYRIWo05k6aVw2p$aLg7wfHGwoghmuUrIYced 当为*或！！时表示用户不能登录到此系统，若该字段为空，则表示无需密码即可登录

第三字段：上次修改密码时间，最后一次修改密码的时间

1970 年 01 月 01 日这是linux诞生的第一年已他作为元年开始计算

date -d '1970-01-01 19031 days'   计算实际修改日期

第四字段：最小修改密码间隔时间， 今天 下一次间隔天数，才能修改，频繁修改， 也就是说，该字段规定了从第 3 字段（最后一次修改密码的日期）起，多长时间之内不能修改密码。如果是 0，则密码可以随时修改；如果是 10，则代表密码修改后 10 天之内不能再次修改密码。此字段是为了针对某些人频繁更改账户密码而设计的安全性考虑

第五字段：密码有效期 经常变更密码是个好习惯，为了强制要求用户变更密码，这个字段可以指定距离第 3 字段（最后一次更改密码）多长时间内需要再次变更密码，否则该账户密码进行过期阶段。该字段的默认值为 99999，也就是 273 年，可认为是永久生效。如果改为 90，则表示密码被修改 90 天之后必须再次修改，否则该用户即将过期。管理服务器时，通过这个字段强制用户定期修改密码。

第六字段：密码到期提醒（提示密码即将过期时间） 7 密码将要过期的前7天会提醒你 与第 5 字段相比较，当账户密码有效期快到时，系统会发出警告信息给此账户，提醒用户 "再过 n 天你的密码就要过期了，请尽快重新设置你的密码 该字段的默认值是 7，也就是说，距离密码有效期的第 7 天开始，每次登录系统都会向该账户发出 "修改密码" 的警告信息。

第七字段：密码过期后的宽限天数 （密码过期后多少天禁用此用户） 90 这个 也称为“口令失效日”，简单理解就是，在密码过期后，用户如果还是没有修改密码，则在此字段规定的宽限天数内，用户还是可以登录系统的；如果过了宽限天数，系统将不再让此账户登陆，也不会提示账户过期，是完全禁用。比如说，此字段规定的宽限天数是 10，则代表密码过期 10 天后失效；如果是 0，则代表密码过期后立即失效；如果是 -1，则代表密码永远不会失效。

第八字段：账号失效时间 同第 3 个字段一样，使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间。该字段表示，账号在此字段规定的时间之外，不论你的密码是否过期，都将无法使用！该字段通常被使用在具有收费服务的系统中。账号无法登录生命值

第九字段：保留字段收费内容

 

添加用户

useradd

在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录

若未明确指定用户的宿主目录，则在/home 目录下自动创建与该用户账号同名的宿 主目录，并在该目录中建立用户的各种初始配置文件

若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账 号的记录信息将保存到/etc/group 和/etc/shadow 文件中

选项

-u：指定用户的 UID 号，要求该 UID 号码未被其他用户使用。

-d：指定用户的宿主目录位置（当与-M 一起使用时，不生效）。

-e：指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。

-g：指定用户的基本组名（或使用 GID 号）。

-G：指定用户的附加组名（或使用 GID 号）。

-M：不建立宿主目录，即使/etc/login.defs 系统配置中已设定要建立宿主目录。

-s：指定用户的登录 Shell /sbin/nologin

[root@guo ~]# useradd -u 1100 -d /IUU -g root -G wheel zhou
[root@guo ~]# id zhou
uid=1100(zhou) gid=1100(zhou) 组=1100(zhou)

 

密码管理

passwd  为用户账号设置密码

选项

-d：清空指定用户的密码，仅使用用户名即可登录系统

-l：锁定用户账户

-S：查看用户账户的状态（是否被锁定）

-u：解锁用户账户

[root@guo /]# passwd -l lisi

[root@guo /]# tail -1 /etc/shadow

lisi:!!:18809:0:99999:7:::

[root@guo /]# passwd -d lisi      清除用户的密码 lisi。

passwd: 操作成功

[root@guo /]# passwd -S lisi

lisi NP 2021-07-01 0 99999 7 -1 (密码为空。)

[root@guo /]# passwd -u lisi      解锁用户 lisi 的密码。

passwd: 警告：未锁定的密码将是空的。

passwd: 不安全的操作(使用 -f 参数强制进行该操作)

[root@guo /]# passwd -fu lisi      解锁用户 lisi 的密码。

passwd: 操作成功

[root@guo dnf]# echo "123123"|passwd --stdin lisi  

#免于交互

更改用户 lisi 的密码 。

passwd：所有的身份验证令牌已经成功更新

 

修改用户账号属性

usermod

常用选项：

-l 更改用户账号的登录名称（Login Name）

-L 锁定用户账户

-u 修改用户的 UID 号

-U 解锁锁用户账户

-d：修改用户的宿主目录位置。

-e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。

-g：修改用户的基本组名（或使用 GID 号）

-G：修改用户的附加组名（或使用 GID 号）

-s：指定用户的登录 Shell

[root@guo home]# echo "123123" | passwd --stdin iu   //无交互修改

更改用户 iu 的密码 。

passwd：所有的身份验证令牌已经成功更新。

 

[root@guo home]# echo "123123" | passwd --stdin zhou   //无交互修改

 

更改用户 zhou 的密码 。

 

passwd：所有的身份验证令牌已经成功更新。

 

[root@guo home]# usermod -L zhou       //锁定用户

 

[root@guo home]# passwd -S zhou        //查看状态

 

zhou LK 2021-07-02 0 99999 7 -1 (密码已被锁定。)

 

[root@guo home]# usermod -U zhou   //解锁   

 

[root@guo home]# passwd -S zhou   //查看状态

 

zhou1 PS 2021-07-02 0 99999 7 -1 (密码已设置，使用 SHA512 算法。)

 

[root@guo home]# usermod -l zhou1 zhou  //修改用户名

 

[root@guo home]# id zhou                //验证查看

 

id: zhou: no such user

 

[root@guo home]# id zhou1

 

uid=1002(zhou1) gid=10(wheel) 组=10(wheel),0(root)

 

[root@guo ~]# cd /home/

 

[root@guo home]# ls

 

lisi  iu  zhou

 

[root@guo home]# mv zhou/ /

 

[root@guo home]# ls

 

lisi  iu

 

[root@guo home]# usermod -d /zhou zhou

 

使用前要先手动更改目录，-d只是更新信息

 

删除用户

userdel

-r 将宿主目录一起删除

[root@guo etc]# userdel -r zhou1    //连宿主目录一起删除

[root@guo etc]# id zhou1            //验证

id: zhou1: no such user

[root@guo etc]# cd /home/

[root@guo home]# ls

lisi  iu

 

组管理

与用户帐号文件相类似

/etc/group保存组帐号基本信息

/etc/gshadow保存组帐号的密码信息基本不使用

 

groupadd命令

 

groupadd [-g GID] 组账号名

passwd 命令——添加、设置、删除组成员

-a：向组内添加一个用户

-d：从组内删除一个用户成员

-M：定义组成员列表，以逗号分隔

 

删除组账号

groupdel 组帐号名

[root@guo/]# groupdel zhou

 

查询

finger

[root@guo Packages]# finger iu

 

[root@localhost ~]# w [选项] [用户名]
-h 不显示输出信息的标题
-l 用长格式输出
-s 用短格式输出，不显示登陆时间，JCPU 和 PCPU 时间
-V 显示版本信息
[root@guo Packages]# w
11:20:58 up 2:05, 1 user, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.100.99 09:16 2.00s 0.74s 0.02s w

 

 

文件目录的权限或者归属

进程的发起者，同文件的属主：则应用文件属主权限

进程的发起者，属于文件属组；则应用文件属组权限

应用文件“其它”权

权限分为三种

1读(r,4)

2写(w,2)

3执行（x,1程序，脚本）

1---r 可以使用ls查看此目录中文件列表

2---w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关

3---x 可以cd进入此目录，可以使用ls -l查看此目录中文件元数据（须配合r权限），属于目录的可访问的最小权限

 

chmod

模式法

chmod 对谁（所有者，所属组，其他）操作（+ - =）权限 文件

chown 用户:组名 文件名
#修改所属主,和所属组
-R 递归修改

[root@localhost aa]#chown -R iu:iu /opt/aa/

#递归修改

[root@localhost aa]#ll

总用量 0

-rw-r--r--. 1 iu iu 0 9月  17 21:53 1

-rw-r--r--. 1 iu iu 0 9月  17 21:53 10

-rw-r--r--. 1 iu iu 0 9月  17 21:53 2

-rw-r--r--. 1 iu iu 0 9月  17 21:53 3

-rw-r--r--. 1 iu iu 0 9月  17 21:53 4

-rw-r--r--. 1 iu iu 0 9月  17 21:53 5

-rw-r--r--. 1 iu iu 0 9月  17 21:53 6

-rw-r--r--. 1 iu iu 0 9月  17 21:53 7

-rw-r--r--. 1 iu iu 0 9月  17 21:53 8

-rw-r--r--. 1 iu iu 0 9月  17 21:53 9

##注意

[root@localhost aa]#chown iu:iu /

#此命令效果不亚于删除根目录

 

umask

umask 的值可以用来保留在创建文件权限

实现方式：

新建文件的默认权限: 666-umask，如果所得结果某位存在执行（奇数）权限，则将其权限+1,偶数不变

新建目录的默认权限: 777-umask

非特权用户umask默认是 002

root的umask 默认是 022

 

三种特殊权限

suid

SGID

sticky

u 表示用户   g 表示用户组   o 表示其它   a 表示所有

 

 

 

 

标签：账号,passwd,iu,guo,用户,管理权限,密码,Linux,root
From： https://www.cnblogs.com/123456789SI/p/16732003.html