linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux基础建设 >

关于 Linux系统用户、组和权限管理

时间:2019-05-11  来源:未知  作者:admin666

一、用户与组

1.用户与组的概念

在Linux系统中,根据系统管理需要将用户分为三种类型:

1.超级用户:root是linux系统的超级用户,对系统拥有绝对权限。由于root用户权限太大,只有在进行系统管理、维护任务时使用root用户,建议日常事物处理用普通用户账号。

2.普通用户:普通用户由root用户创建,其权限受到一定限制,一般只对自己家目录拥有绝对权限。

3.虚拟用户:大多数由是在安装系统及部分应用程序时自动添加,维护系统或相应程序正常运行,其最大特点是不能登录系统。

用户组分为基本组、附加组

用户组是指具有共同特征用户的集合,主要是方便对文件或目录进行访问权限控制。

当用户被创建时至少属于一个用户组,该组就是用户的基本组。

当用户加入其他组时,其加入的组就是该用户的附加组。

UID和GID

ID范围
ID类型 root 系统用户 普通用户
UID 0 1-499 500+
GID 0 1-499 500+

与用户和组相关的配置文件

1./etc/passwd

2./etc/shadow

3./etc/gruop

4./etc/gshadow

4./home/xx 用户家目录

6./var/log/mail/xx 用户邮箱

7/etc/skel 在用户被创建时家目录下的隐藏文件是从/etc/skel/复制过去的。

 

2.用户账号和组的管理

useradd 命令 创建用户

-u 选项 指定uid

-g 选项 指定基本组

-G 选项 指定附加组

-d 选项 指定家目录

-e 选项 指定账户失效时间

-M 选项 不创建家目录

-s 选项 指定登录shell

实例:创建一个FTP访问账号ftpuser,禁止其登录,不为其创建家目录

useradd -M -s /sbin/nologin ftpuser

***

passwd 命令 为用户创建密码

-d 选项 清空用户密码

-l 选项 锁定用户不能登录

-u 选项 解除锁定

***

userdel 命令 删除用户

-r 选项 用于删除家目录

***

usermod 命令 修改账号属性

-d 选项 修改用户家目录

-l 选项 修改用户名

-g 选项 修改用户基本组

-G 选项 修改用户附加组

su - 命令 用于切换用户身份

***

groupadd 命令 用于添加用户组

-g 选项 用于指定GID

***

gpasswd 命令 添加、删除组成员

-a 选项 添加用户

-d 选项 删除用户

***

groupdel 命令 删除用户组

groups 命令 查看用户组信息

二、文件和目录权限及归属

在多用户操作系统中,处于安全考虑,需要为每个文件和目录设置访问权限,严格规定每个用户的权限。

Linux系统中每一个文件或目录都被赋予两种属相:访问权限、文件所有者。

权限含义
权限 文件 目录
r 查看文件内容 查看目录内容ls
w 修改文件内容 修改目录下的内容(创建、移动、删除文件或目录)
x 执行该文件(程序或脚本) 执行cd命令进入目录

1.查看文件、目录权限

通过ls -l 查看文件详细信息

输出信息共7个字段代表含义如下

1.第一组:代表文件类型和文件权限其中第一字符代表如下含义:

  “-”表示普通文件、“d”表示目录、“l”表示符号链接、“c”代表字符设备、“b”代表块设备。

2.第二组:代表硬链接数,文件默认为1,目录默认为2。

3.第三组:文件所有者

4.第四组:文件所属组

5.第五组:代表文件大小(单位为字节B)目录只显示目录本身大小一般情况下为4096B

6.第六组:文件创建或修改时间

7.第七组:文件名

文件权限类型

2.设置文件、目录权限

chmod 命令 用于更改文件或目录权限

实例:useradd test 

   passwd test 

   密码xxxxxx

   su - test

   pwd

   /home/test

   mkdir file1

   ls -l  file1

   drwxrwxr-x. 2 test test 4096 Sep 2 16:36 file1

   chmod g-w,o-x file1 

   ls -l file1

   drwxr-xr--.2 test test 4096 Sep 2 16:36 file1

文件权限数字表现形式

权限项 执行 执行 执行
字符表示 r w x r w x r w x
数字表示 4 2 1 4 2 1 4 2 1
权限分配 所有者 所属组 其他人

   ls -l file1

   drwxr-xr--.2 test test 4096 Sep 2 16:36 file1

   chmod 755 file

   ls -l file1

   drwxr-xr-x--.2 test test 4096 Sep 2 16:36 file1

   chmod -R 可以递归修改目录下的所有文件权限

   root 用户 umask 值 0022

   普通用户 umask 值 0002

   root用户创建目录 时,生成目录权限为 777 - umask对应权限 ,最终为 755

   root用户创建文件时,生成文件权限为 666 - umask对应权限,最终为644

   普通用户创建目录时,生成目录权限为 777 - umask对应权限,最终为 775

   普通用户创建文件时,生成文件权限为 666 - umask对应权限,最终为664

3.设置文件、目录归属

chown 命令

格式:chown 所有者 文件或目录

   chown :所属组 文件或目录

   chown 所有者:所属组 文件或目录

例如:chown root:root  /home/test/file1

   ls -l /home/test/file1

   drwxr-xr-x,2 root root 4096 Sep 2 16:36 file1

三、系统高级权限设置

1.配置访问控制列表ACL(Access Control List)

Linux系统中权限设置,仅有3种身份,3种权限,通过配合chmod和chown命令来对文件或目录进项设置。如果进项复杂权限设定,如某个目录要开放为给某个特定用户使用时,传统方法不能满足需求。

例如:/home/project 目录,所有者是student用户,所属组是users组,预设权限为770。现有用户teacher,所属组为teacher,希望对/home/project/目录具有rwx权限;还有用户test,所属组??test,希望对/home/project/目录具有读rx权限。

显然利用chmod和chown命令无法完成上述要求,因而,在Linux系统提供了ACL来完成这种复杂权限设置。

设置ACL

setfacl 【选项】  设定值   文件目录

-m 选项 设定一个ACL规则

-x 选项 取消一个ACL 规则

-b 选项 取消所有的ACL规则

-d 选项 设置默认ACL规则 (对当前目录设置ACL权限后,未来在其目录下创建的文件或目录继承该目录的ACL权限)

-k 选项 取消默认权限

-R 选项 用于递归设置(对当前目录设置ACL权限,该目录下已有的子目录及文件也拥有相应的ACL权限)

例如:setfacl -m u:teacher:rwx  /home/project

   setfacl -m u:test:rx /home/project

getfacl 命令 查看文件目录ACL权限

   setfacl -x u:teacher /home/project

   setfacl -b /home/project

##ACL需要分区开启acl,通过dumpe2fs查看。Linux系统默认开启acl,如果分区没有开启acl,可以通过设置/etc/fstab文件开启##

例如:/dev/sdb1  /data  ext4  defaults,acl  0  0

2.设置特殊权限:SUID/SGID/Sticky Bit

SUID权限:主要设置于可执行文件,对目录设置无效,当其他人执行该文件时,自动获取该文件所有者身份,设置命令为chmod u+s file。

例如: ls -l /usr/bin/passwd

   -rwsr-x-r-x, 1 root root 30768 11月 24 2017 /usr/bin/passwd

SGID权限:

    设置与目录,当目录设置SGID后,在该目录下创建的文件或子目录自动继承该目录的所属组

    设置与文件,当文件设置SGID后,该文件无论使用者是谁,在其执行时将以该文件所有者身份执行。

例如: chmod g+s file、dirfile

设置粘滞位权限:

当一个用户对一个目录拥有写权限,该用户能删除该文件下的所有文件。

粘滞位权限主要针对其他人设置,使用命令chmod设置目录权限时,“o+t”、“o-t”可以添加或者删除粘滞位权限。

当一个目录设置粘滞位权限后,对该目录具有写权限的其他用户不能删除别的用户创建的文件或目录,只能删除自己创建的文件或目录。

例如 /tmp 和 /var/tmp

  ls -ld  /tmp

  drwxrwxrwt. 3 root root 4096 9月 2 18:27 /tmp

  ls -ld  /var/tmp

   drwxrwxrwt. 2 root root 4096 9月 2 18:27 /var/tmp

3.设置隐藏权限chattr

chattr设置隐藏权限,lsattr查看隐藏权限。

chattr +i

chattr +a

chattr -i

chattr -a

i:属性,如果对文件设置i属性,不允许对文件进行删除、改名、添加数据、

    对目录设置i属性,不能创建删除文件,

a:属性,如果对文件设置a属性,只能向文件中追加数据,不能删除或编辑文件。

    对目录设置a属性,只能在目录中建立或修改文件,不能删除文件。

Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx

友情链接
  • Mozilla发布Firefox 67.0.4,修复沙箱逃逸漏洞
  • 蚂蚁金服正式成为CNCF云原生计算基金会黄金会员
  • Firefox 68将采用Microsoft BITS安装更新
  • OpenSSH增加对存储在RAM中的私钥的保护
  • 谷歌想实现自己的curl,为什么?
  • Raspberry Pi 4发布:更快的CPU、更大的内存
  • Firefox的UA将移除CPU架构信息
  • Ubuntu放弃支持32位应用程序实属乌龙,Steam会否重回Ubuntu怀抱
  • Qt 5.13稳定版发布:引入glTF 2.0、改进Wayland以及支持Lottie动
  • 红帽企业Linux 7现已内置Redis 5最新版
  • Slack进入微软内部禁用服务清单,GitHub也在其列?
  • 安全的全新编程语言V发布首个可用版本
  • Windows Terminal已上架,快尝鲜
  • 阿里巴巴微服务开源生态报告No.1
  • 面世两年,Google地球将支持所有基于Chromium的浏览器
  • 推进企业容器化持续创新,Rancher ECIC千人盛典完美收官
  • CentOS 8.0最新构建状态公布,或于数周后发布
  • Debian移植RISC
  • 微软拆分操作系统的计划初现雏形
  • Oracle发布基于VS Code的开发者工具,轻松使用Oracle数据库
  • Ubuntu 19.10停止支持32位的x86架构
  • 微软为Windows Terminal推出全新logo
  • 联想ThinkPad P系列笔记本预装Ubuntu系统
  • 微软发布适用于Win7/8的Microsoft Edge预览版
  • 启智平台发布联邦学习开源数据协作项目OpenI纵横
  • 经过六个多月的延迟,微软终于推出Hyper
  • ZFS On Linux 0.8.1 发布,Python可移植性工作
  • DragonFly BSD 5.6.0 发布,HAMMER2状态良好
  • Linux Kernel 5.2
  • CentOS 8.0 看起来还需要几周的时间
  • 百度网盘Linux版正式发布
  • PCIe 6.0宣布:带宽翻倍 狂飙至256GB/s
  • PHP 7.4 Alpha 发布,FFI扩展,预加载Opcache以获得更好的性能
  • Canonical将在未来的Ubuntu版本中放弃对32位架构的支持
  • Scala 2.13 发布,改进的编译器性能
  • 微软的GitHub收购了Pull Panda,并且使所有订阅完全免费
  • Windows Subsystem for Linux 2 (WSL 2)现在适用于Windows 10用
  • Debian 10 “Buster”的RISC
  • MariaDB宣布发布MariaDB Enterprise Server 10.4
  • DXVK 1.2.2 发布,带来微小的CPU开销优化
  • DragonFlyBSD 5.6 RC1 发布,VM优化,默认为HAMMER2
  • PrimeNG 8.0.0 发布,支持Angular 8,FocusTrap等
  • GIMP 2.10.12 发布,一些有用的改进
  • 清华大学Anaconda 镜像服务即将恢复
  • Debian GNU/Linux 10 “Buster” 操作系统将于2019年7月6日发布
  • 时时彩论坛
  • 五星体育斯诺克
  • 北单比分直播
  • 河北11选5走势图
  • 福建体彩36选7开奖结果
  • 九龙图库下载