3.2.1 用户与用户组
1)概念描述
linux系统有根用户、系统用户和普通用户三类,这些用户通过系统内部ID号实现区分和管理,其中UID是用户的ID号,GID是用户组的ID号。根用户也就是root用户,也称为超级管理员,UID为0,具有系统所有操作权限。系统用户是系统服务默认的固定用户,UID范围在1~499之间,该类用户不可以登录系统,仅限于操作启动、升级、执行对应系统服务。普通用户是由root执行创建的受限用户,UID在500-65534之间,通过授权可以用来管理指定应用和登录机器。用户在创建时,系统会默认创建同名的用户组,并将该用户加入组中,当用户组被授权某一权限后,组内所有用户同享该权限。
2)信息文件解读
1. 用户信息文件/etc/passwd(内容如下图所示),里面存储着所有账号的基本信息,内容以冒号为分割,共7项信息:第一项是用户名;第二项是密码占位(值为x时表示有密码,为空时表示无密码 );第三项是UID;第四项是GID;第五项是用户信息描述;第六项为用户家目录;第七项是用户shell类型,/bin/bash表示可登录,/sbin/nologin表示禁止登录。
2. 用户密码文件/etc/shadow(如下图所示),里面存储着账户的密码信息,内容以冒号为分割,共九项内容:第一项是用户名;第二项是加密后的密码;第三项是上次修改密码的时间;第四项是变更密码最小时间间隔,0代表无限制,如果是数字8,则代表变更后8天内不允许再次变更;第五项是密码有效期,99999代表永久有效,如果是数字90,则代表90天有效期;第六项是到期提前告警时间,比如数字7,代表到期前七天开始发出需要修改密码的警告;第七项是密码过期后的宽限期;第八项是密码失效日期;第九项保留使用。
3.2.2 账户管理命令
1)useradd
作用:创建新账号
参数:-d 设置用户家目录;-e 用YYYYY-MM-DD格式指定一个账户过期日期;-f 指定帐户失效日期 ;-g 指定用户登录组的GID或组名;-G 指定一个或多个附加组;-m 创建用户HOME目录;-M 不创建用户家目录;-p 为用户账户指定默认密码;-s 指定登录shell类型;-u 为账户指定一个唯一的UID。
示例:
[root@centos7 ~]# useradd user001 #创建用户user001
[root@centos7 ~]# useradd -g test user002 #创建用户user002,指定组为test
[root@centos7 ~]# useradd -u 1100 -g test user003 #创建指定uid和组的用户
[root@centos7 ~]# useradd -g test -G test1 user004 #创建指定组和附加组的用户
[root@centos7 ~]# useradd -s /sbin/nologin -M user005 #创建无家目录且不能登录的用户
提示:普通用户分组要明确,要不然就用默认同名组,以免管理混乱。
2)userdel
作用:删除用户
参数:-r 删除用户与家目录。
示例:
[root@centos7 ~]# userdel user001 #删除用户user001,家目录保留
[root@centos7 ~]# userdel -r user002 #删除用户user002及家目录
3)groupadd
作用:创建用户组
参数:-g 指定GID。
示例:
[root@centos7 ~]# groupadd test #创建test用户组
[root@centos7 ~]# groupadd -g 1200 test1 #创建GID为1200的用户组test1
4)groupdel
作用:删除用户组
示例:
[root@centos7 ~]# groupdel test #删除test用户组
5)passwd
作用:设置用户密码、变更账号状态
参数:-l 锁定用户;--stdin 从文件或管道读取密码;-u 解锁用户;-d 快速清空密码。
示例:
[root@centos7 ~]# passwd -l tomcat #锁定用户
[root@centos7 ~]# passwd -u tomcat #解锁用户
[root@centos7 ~]# passwd -d tomcat #清空用户密码
[root@centos7 ~]# echo "123456" |passwd --stdin tomcat #设置tomcat的密码为123456
[root@centos7 ~]# passwd tomcat #修改密码,需两次输入新密码
提示:在大部分环境中,不要使用--stdin的方式,该命令中有密码会留存在历史记录里。
6)usermod
作用:变更账户信息
参数:-u 变更账户UID;-d 修改家目录;-g 修改所属用户组;-e 设置失效日期;-s 变更用户登录shell类型。
[root@centos7 ~]# usermod -u 2001 user001 #修改user001的uid为2001
[root@centos7 ~]# usermod -e 2022-11-11 user002 #修改用户user002的失效日期
[root@centos7 ~]# usermod -d /home/user007 user002 #变更用户user002的家目录
[root@centos7 ~]# usermod -g test1 user003 #变更user003的用户组为test1
[root@centos7 ~]# usermod -s /sbin/nologin user004 #设置禁止user004登录
提示:使用-d命令后,家目录的属主未变,是无写入权限的,需要自行用chown修改属主信息。
3.2.3 文件目录权限解析
linux文件目录主要有读、写、执行是三种权限,通过 ls -l 可以查看文件目录信息(如下图所示),其中显示的r为读权限、w为写权限、x是执行权限,分别对应数字为4、2、1。图示中第一列中有十个字符,第一个字符指示文件类型:- 代表文件,d 代表目录,l 代表链接文件。从第二个字符到第十个字符代表权限,三位一组,从左到右分别是用户权限、用户组权限、其他用户权限。例如rwxr--r--表示所属用户具有读写执行三个权限,属组有只读权限,其他用户也是只读权限,用数字表示该文件权限是744。第二列是子目录数量;第三列为所属用户;第四列是所属组,第五列是文件大小,第六列是最近一次修改的月份,第七列是日期,第八列是时间,第九列是文件目录名称。
3.2.4 文件目录权限管理命令
1) chmod
作用:修改文件目录权限
参数:-R 将权限递归应用到子目录文件。该命令使用中会用到一些特定意义的字母和数字,u代表所属用户,g代表所属用户组,o代表其他用户,a代表所有人;r(=4)代表读权限,w(=2)代表写权限,x(=1)代表执行权限。权限的数字表达释义:
例如文件的权限是 -rwxrw-r-x ,数字表达为765
r=4,w=2,x=1 r是读权限,w是写权限,x是执行权限
rwx属性,则4+2+1=7; 代表所属用户可读可写可执行
rw- 属性,则4+2=6; 代表所属组可读可写不可执行
r-x 属性,则4+1=5; 代表其他用户可读可执行不可写
示例:
[root@centos7 ~]# chmod u+x 1.txt #给文件增加可执行权限,改后为rwxr--r--
[root@centos7 ~]# chmod a=rx 1.txt #变更文件权限后为r-xr-xr-x
[root@centos7 ~]# chmod u=rwx,g=rx,o=rx 1.txt #修改文件权限为rwxr-xr-x
[root@centos7 ~]# chmod g-x,o-x 1.txt #去掉组和其他用户的执行权限
[root@centos7 ~]# chmod 755 oprn.sh #修改文件权限为rwxr-xr-x
[root@centos7 ~]# chmod 777 /home/ #修改目录的权限为rwxrwxrwx
[root@centos7 ~]# chmod 755 /home/backup -R #修改backup及其子目录权限为rwxr-xr-x
提示:文件目录权限应严格控制,谨慎使用777权限。
2) chown
作用:修改文件目录的所有者或所属组
参数:-R 递归修改目录文件
示例:
[root@centos7 ~]# chown nginx:nginx /www #将www目录的用户和组改为nginx
[root@centos7 ~]# chown mysql.mysql /data -R #将data及子目录文件全改为mysql属主
3) chattr
作用:指定文件特殊属性权限,防止删除
参数:i 设定不可修改、删除文件;a 可以追加内容到文件尾,不可删除;+ 增加权限;- 去除权限;lsattr 查看权限。
示例:
[root@centos7 ~]# chattr +i nginx.conf #增加i权限
[root@centos7 ~]# chattr -i nginx.conf #取消i权限
[root@centos7 ~]# chattr +a 1.txt #增加a权限
[root@centos7 ~]# chattr -a 1.txt #取消a权限
[root@centos7 ~]# lsattr nginx.conf #查看文件是否有特殊权限
提示:当发现文件不可修改或删除时,先用lsattr查看,然后再用chattr取消权限即可编辑删除。
本节内容是账户和权限的安全管理,涉及到系统的安全,增加用户时,必须严格控制普通用户使用的权限范围,控制好文件目录的权限大小,防止普通用户出现越权操作。在未来运维日常工作中,文件权限管理最常用的就是chmod和chown命令,设置文件目录权限大小,并设定可操作用户、用户组,务必掌握使用方法。运维必须坚持严格严谨的工作态度,授权管理越严谨系统越安全。