用户组和权限管理-创新互联

介绍安全3A

资源分派:认证,授权,审计

超过十年行业经验,技术领先,服务至上的经营模式,全靠网络和口碑获得客户,为自己降低成本,也就是为客户降低成本。到目前业务范围包括了:成都做网站、成都网站设计,成都网站推广,成都网站优化,整体网络托管,微信小程序,微信开发,手机APP定制开发,同时也可以让客户的网站和网络营销和我们一样获得订单和生意!

用户和组

用户user

用户组和权限管理

组group

用户组和权限管理
组的类别

主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组

安全上下文

用户组和权限管理

用户和组的配置文件

 /etc/passwd:用户及其属性信息(名称、UID、主组ID等) 
 /etc/group:组及其属性信息 
 /etc/shadow:用户密码及其相关属性 
 /etc/gshadow:组密码及其相关属性

passwd文件格式

login name:登录用名(wang) 
passwd:密码  (x) 
UID:用户身份编号 (1000) 
GID:登录默认所在组编号  (1000) 
GECOS:用户全名或注释 
home directory:用户主目录 (/home/wang) 
shell:用户默认使用shell (/bin/bash)

shadow文件格式

登录用名 
用户密码:一般用sha512加密 
从1970年1月1日起到密码最近一次被更改的时间 
密码再过几天可以被变更(0表示随时可被变更) 
密码再过几天必须被变更(99999表示永不过期) 
密码过期前几天系统提醒用户(默认为一周) 
密码过期几天后帐号会被锁定 
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称 
群组密码: 
组管理员列表:组管理员的列表,更改组密码和成员 
以当前组为附加组的用户列表:多个用户间用逗号分隔

group文件格式

群组名称:就是群组名称 
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow  
GID:就是群组的 ID  -
以当前组为附加组的用户列表(分隔符为逗号)

例:用户和组查看配置文件
用户组和权限管理
用户组和权限管理
用户组和权限管理
用户组和权限管理

finger

查看用户的相关信息
例:查看用户wang的下相关信息
用户组和权限管理

getent

只看指定用户的相关信息
例:看root,wang的相关信息
用户组和权限管理

文件操作

vipw和vigr 
pwck和grpck

用户和组管理命令

用户管理命令 
        useradd 
        usermod 
        userdel 
组帐号维护命令 
        groupadd 
        groupmod 
        groupdel

useradd

用户创建
常用选项

用户组和权限管理
用户组和权限管理

新建用户的相关文件和命令

/etc/default/useradd  
/etc/skel/*  
/etc/login.defs newusers  passwd格式文件  批量创建用户  
chpasswd  批量修改用户口令

批量修改用户密码
用户组和权限管理

usermod

用户属性修改

usermod [OPTION] login 
        -u UID: 新UID  
        -g GID: 新主组  
        -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项  
        -s SHELL:新的默认SHELL  
        -c 'COMMENT':新的注释信息  
        -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项  
        -l login_name: 新的名字  
        -L: lock指定用户,在/etc/shadow 密码栏的增加 !   
        -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉  
        -e YYYY-MM-DD: 指明用户账号过期日期  
        -f INACTIVE: 设定非活动期限

追加附加组
用户组和权限管理
删除附加组
用户组和权限管理

userdel

删除用户
用户组和权限管理

id

查看用户相关的ID信息

     -u: 显示UID  
     -g: 显示GID  
     -G: 显示用户所属的组的ID  
     -n: 显示名称,需配合ugG使用

su

切换用户或以其他用户身份执行命令
用户组和权限管理

设置密码

passwd :修改指定用户的密码

常用选项

-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码
示例:echo "PASSWORD" | passwd --stdin USERNAME

groupadd :创建组
用户组和权限管理
groupdel :删除组
groupmod :组属性修改
用户组和权限管理
gpasswd :组密码
用户组和权限管理
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码

更改和查看组成员

用户组和权限管理

groups :查看用户所属组列表成员

修改文件的属主和属组

chown

修改文件的属主
用户组和权限管理
用户组和权限管理

chgrp

修改文件的属组
用户组和权限管理

文件权限

文件属性

用户组和权限管理
用户组和权限管理

三种权限

用户组和权限管理
用户组和权限管理
用户组和权限管理
用户组和权限管理

chown

修改所有者
用户组和权限管理

chmod

修改文件权限(rwx|X)
用户组和权限管理

文件:
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程 
目录:
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件
x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
X 只给目录x权限,不给文件x权限

chmod

-R: 递归修改权限 
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + - 
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE

权限设置示例

chgrp sales testfile 
chown root:admins testfile 
chmod u+wx,g-r,o=rx file 
chmod -R g+rwX /testdir 
chmod 600 file 
chown mage testfile

去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
用户组和权限管理
给wang账号所有者加上读写执行权限
用户组和权限管理

chmod -X

只针对文件夹加权限
用户组和权限管理

新建文件和目录的默认权限

umask

可以用来保留在创建文件权限
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限

简捷方法

默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1

用户组和权限管理
将umask写入文件保存:
用户组和权限管理
用户组和权限管理

练习

建一个临时权限为000的文件,临时改umask的权限
用户组和权限管理

umask -S 以模式方式显示

例:
用户组和权限管理

umask -p : 输出结果可被调用

例:直接写入 .bashrc文件
用户组和权限管理

Linux文件系统上的特殊权限

用户组和权限管理

可执行文件上SUID权限

用户组和权限管理

可执行文件上SGID权限

用户组和权限管理
用户组和权限管理
用户组和权限管理

Sticky 位

用户组和权限管理

权限位映射

用户组和权限管理

设定文件特定属性

用户组和权限管理
例:
用户组和权限管理

ACL访问控制列表

实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

ACL权限生效次序:

所有者,ACL中自定义用户,ACL自定义的组,所属组,other
注意:
用户组和权限管理
用户组和权限管理

setfacl

是用来在命令行里设置ACL(访问控制列表)
例:给wang账号设置ACL权限
用户组和权限管理

getfacl

查看文件权限

mask

设置除所有者和other以外的用户或组的高权限
加了ACL权限后组权限是mask权限 而不是group组权限
用户组和权限管理
mask权限限高杆,其他用户的权限不能超过mask权限
例:
用户组和权限管理

setfacl -x:

例:去掉wang账户的权限
用户组和权限管理

setfacl -b

清除文件上所有ACL权限
例: 清除a.log文件上所有ACL权限
用户组和权限管理

set

选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
用户组和权限管理

备份和回复ACL权限

用户组和权限管理

setfacl -b

还原文件权限
例: 还原/data 目录下所有文件及文件夹权限
用户组和权限管理

cp -p

复制保留文件ACL权限
用户组和权限管理

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站栏目:用户组和权限管理-创新互联
标题链接:http://csdahua.cn/article/djjcii.html
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流