Linux系统账户与文件权限管理

3.2.1 用户与用户组

　　1）概念描述

&＃160;　　linux系统有根用户、系统用户和普通用户三类，这些用户通过系统内部ID号实现区分和管理，其中UID是用户的ID号，GID是用户组的ID号。根用户也就是root用户，也称为超级管理员，UID为0，具有系统所有操作权限。系统用户是系统服务默认的固定用户，UID范围在1~499之间，该类用户不可以登录系统，仅限于操作启动、升级、执行对应系统服务。普通用户是由root执行创建的受限用户，UID在500-65534之间，通过授权可以用来管理指定应用和登录机器。用户在创建时，系统会默认创建同名的用户组，并将该用户加入组中，当用户组被授权某一权限后，组内所有用户同享该权限。

　　2）信息文件解读

&＃160;　　1.&＃160;用户信息文件/etc/passwd（内容如下图所示），里面存储着所有账号的基本信息，内容以冒号为分割，共7项信息：第一项是用户名；第二项是密码占位（值为x时表示有密码，为空时表示无密码 ）；第三项是UID；第四项是GID；第五项是用户信息描述；第六项为用户家目录；第七项是用户shell类型，/bin/bash表示可登录，/sbin/nologin表示禁止登录。

　　2.&＃160;用户密码文件/etc/shadow（如下图所示），里面存储着账户的密码信息，内容以冒号为分割，共九项内容：第一项是用户名；第二项是加密后的密码；第三项是上次修改密码的时间；第四项是变更密码最小时间间隔，0代表无限制，如果是数字8，则代表变更后8天内不允许再次变更；第五项是密码有效期，99999代表永久有效，如果是数字90，则代表90天有效期；第六项是到期提前告警时间，比如数字7，代表到期前七天开始发出需要修改密码的警告；第七项是密码过期后的宽限期；第八项是密码失效日期；第九项保留使用。

3.2.2&＃160;账户管理命令

　　1）useradd

　　作用：创建新账号

　　参数：-d&＃160;设置用户家目录；-e 用YYYYY-MM-DD格式指定一个账户过期日期；-f 指定帐户失效日期 ；-g 指定用户登录组的GID或组名；-G 指定一个或多个附加组；-m 创建用户HOME目录；-M 不创建用户家目录；-p 为用户账户指定默认密码；-s 指定登录shell类型；-u 为账户指定一个唯一的UID。

　　示例：

　　[root@centos7 ~]#&＃160;useradd user001　　　　　　　　　　#创建用户user001
　　[root@centos7 ~]#&＃160;useradd -g test user002　　　　　　#创建用户user002，指定组为test
　　[root@centos7 ~]#&＃160;useradd -u 1100 -g test user003　　　#创建指定uid和组的用户
　　[root@centos7 ~]#&＃160;useradd -g test -G test1 user004　　　　#创建指定组和附加组的用户
　　[root@centos7 ~]#&＃160;useradd -s /sbin/nologin -M user005　　#创建无家目录且不能登录的用户

　　提示：普通用户分组要明确，要不然就用默认同名组，以免管理混乱。

　　2）userdel

　　作用：删除用户

　　参数：-r&＃160;删除用户与家目录。

　　示例：

　　[root@centos7 ~]#&＃160;userdel user001　　　　#删除用户user001，家目录保留
　　[root@centos7 ~]#&＃160;userdel -r user002　　　　#删除用户user002及家目录

　　3）groupadd

　　作用：创建用户组

　　参数：-g&＃160;指定GID。

　　示例：

　　[root@centos7 ~]#&＃160;groupadd test　　　　　　#创建test用户组
　　[root@centos7 ~]#&＃160;groupadd -g 1200 test1　　#创建GID为1200的用户组test1

　　4）groupdel

　　作用：删除用户组

　　示例：

　　[root@centos7 ~]#&＃160;groupdel test　　　　　　#删除test用户组

　　5）passwd

　　作用：设置用户密码、变更账号状态

　　参数：-l 锁定用户；--stdin 从文件或管道读取密码；-u 解锁用户；-d 快速清空密码。

　　示例：

　　[root@centos7 ~]#&＃160;passwd -l tomcat&＃160;　　　　　　#锁定用户
　　[root@centos7 ~]#&＃160;passwd -u tomcat&＃160;　　　　　　#解锁用户
　　[root@centos7 ~]#&＃160;passwd -d tomcat&＃160;　　　　　　#清空用户密码
　　[root@centos7 ~]#&＃160;echo "123456" |passwd --stdin tomcat&＃160;　　#设置tomcat的密码为123456
　　[root@centos7 ~]#&＃160;passwd tomcat 　　　　　　 #修改密码，需两次输入新密码

　　提示：在大部分环境中，不要使用--stdin的方式，该命令中有密码会留存在历史记录里。

　　6）usermod

&＃160;　　作用：变更账户信息

　　参数：-u&＃160;变更账户UID；-d&＃160;修改家目录；-g 修改所属用户组；-e&＃160;设置失效日期；-s&＃160;变更用户登录shell类型。

　　[root@centos7 ~]#&＃160;usermod -u 2001 user001　　　　　　&＃160; &＃160;#修改user001的uid为2001
　　[root@centos7 ~]#&＃160;usermod -e 2022-11-11 user002　　　　#修改用户user002的失效日期
　　[root@centos7 ~]#&＃160;usermod -d /home/user007 user002　　#变更用户user002的家目录
　　[root@centos7 ~]#&＃160;usermod -g test1 user003　　　　　　 #变更user003的用户组为test1
　　[root@centos7 ~]#&＃160;usermod -s /sbin/nologin user004　　 #设置禁止user004登录

　　提示：使用-d命令后，家目录的属主未变，是无写入权限的，需要自行用chown修改属主信息。

3.2.3&＃160;文件目录权限解析

&＃160;　　linux文件目录主要有读、写、执行是三种权限，通过 ls -l 可以查看文件目录信息（如下图所示），其中显示的r为读权限、w为写权限、x是执行权限，分别对应数字为4、2、1。图示中第一列中有十个字符，第一个字符指示文件类型：- 代表文件，d 代表目录，l 代表链接文件。从第二个字符到第十个字符代表权限，三位一组，从左到右分别是用户权限、用户组权限、其他用户权限。例如rwxr--r--表示所属用户具有读写执行三个权限，属组有只读权限，其他用户也是只读权限，用数字表示该文件权限是744。第二列是子目录数量；第三列为所属用户；第四列是所属组，第五列是文件大小，第六列是最近一次修改的月份，第七列是日期，第八列是时间，第九列是文件目录名称。

3.2.4&＃160;文件目录权限管理命令

　　1) chmod

　　作用：修改文件目录权限

　　参数：-R 将权限递归应用到子目录文件。该命令使用中会用到一些特定意义的字母和数字，u代表所属用户，g代表所属用户组，o代表其他用户，a代表所有人；r（=4）代表读权限，w（=2）代表写权限，x（=1）代表执行权限。权限的数字表达释义：

　　　　例如文件的权限是 -rwxrw-r-x ，数字表达为765
　　　　r=4，w=2，x=1　　r是读权限，w是写权限，x是执行权限&＃160;
　　　　rwx属性，则4+2+1=7； 代表所属用户可读可写可执行
　　　　rw- 属性，则4+2=6； 代表所属组可读可写不可执行
　　　　r-x 属性，则4+1=5； 代表其他用户可读可执行不可写

　　示例：

　　[root@centos7 ~]#&＃160;chmod u+x 1.txt&＃160;　　　　#给文件增加可执行权限，改后为rwxr--r--
　　[root@centos7 ~]#&＃160;chmod a=rx 1.txt&＃160;　　　　#变更文件权限后为r-xr-xr-x
　　[root@centos7 ~]#&＃160;chmod u=rwx,g=rx,o=rx 1.txt&＃160;　　#修改文件权限为rwxr-xr-x
　　[root@centos7 ~]#&＃160;chmod g-x,o-x 1.txt 　　　　#去掉组和其他用户的执行权限
　　[root@centos7 ~]#&＃160;chmod 755 oprn.sh 　　　　#修改文件权限为rwxr-xr-x
　　[root@centos7 ~]#&＃160;chmod 777 /home/ 　　　　#修改目录的权限为rwxrwxrwx
　　[root@centos7 ~]#&＃160;chmod 755 /home/backup -R　#修改backup及其子目录权限为rwxr-xr-x

　　提示：文件目录权限应严格控制，谨慎使用777权限。

　　2) chown

　　作用：修改文件目录的所有者或所属组

　　参数：-R 递归修改目录文件

　　示例：

　　[root@centos7 ~]#&＃160;chown nginx:nginx /www&＃160;　　#将www目录的用户和组改为nginx
　　[root@centos7 ~]#&＃160;chown mysql.mysql /data -R&＃160;　　#将data及子目录文件全改为mysql属主

　　3) chattr

　　作用：指定文件特殊属性权限，防止删除

　　参数：i 设定不可修改、删除文件；a 可以追加内容到文件尾，不可删除；+ 增加权限；- 去除权限；lsattr 查看权限。

　　示例：

　　[root@centos7 ~]#&＃160;chattr +i nginx.conf&＃160;　　　　#增加i权限
　　[root@centos7 ~]#&＃160;chattr -i nginx.conf&＃160;　　　　 #取消i权限
　　[root@centos7 ~]#&＃160;chattr +a 1.txt&＃160;　　　　　　#增加a权限
　　[root@centos7 ~]#&＃160;chattr -a 1.txt 　　　　　　#取消a权限
　　[root@centos7 ~]#&＃160;lsattr nginx.conf 　　　　#查看文件是否有特殊权限

　　提示：当发现文件不可修改或删除时，先用lsattr查看，然后再用chattr取消权限即可编辑删除。

&＃160;

　　本节内容是账户和权限的安全管理，涉及到系统的安全，增加用户时，必须严格控制普通用户使用的权限范围，控制好文件目录的权限大小，防止普通用户出现越权操作。在未来运维日常工作中，文件权限管理最常用的就是chmod和chown命令，设置文件目录权限大小，并设定可操作用户、用户组，务必掌握使用方法。运维必须坚持严格严谨的工作态度，授权管理越严谨系统越安全。