RHEL项目用户与文件权限的管理

1、了解了解: :Linux中的用户和组的分类,用户登录Linux系统的过程 熟悉熟悉: :Linux中用户和用户组的配置文件, Linux中文件和目录的权限类型， 掌握掌握: :用户和用户组的管理方法，文件和目录的权限设置方法 Linux操作系统是一个多用户的操作系统,它允许多个用户同时登陆到系统上使用系统资源。系统根据帐户来区分每个用户的文件、进程、任务,给每个用户提供特定的工作环境（如用户的工作目录、Shell版本以及X-Window环境的配置等）,使每个用户的工作都能独立不受干扰地进行。任何一个要使用系统资源的使用者,都必须首先向系统管理员申请一个用户账号,每个用户账号都拥有一个惟一的用户

2、名和相应的口令。用户在登录时只有键入正确的用户名和口令后,才能进入系统。 对用户(组)的管理工作主要涉及到用户(组)账号的添加、修改和删除、用户(组)口令的管理以及为用户(组)配置访问系统资源的权限。这些工作是网络管理员日常最基本的工作任务,也是构建系统安全的最基本的保障。4.1 项目背景项目背景4.2 项目知识准备 超级用户用户名为root，它具有一切权限，只有进行系统维护(例如：建立用户等)或其他必要情形下才用超级用户登录，以避免系统出现安全问题。 系统用户（伪用户）是Linux系统正常工作所必需的内建的用户。 主要是为了满足相应的系统进程对文件属主的要求而建立的，例如：bin、daemo

3、n、adm、lp等用户。 系统用户不能用来登录. 普通用户是为了让使用者能够使用Linux系统资源而建立的，我们的大多数用户属于此类。4.2 项目知识准备4.2.2 Linux中用户和用户组的配置文件 超级用户的UID0 系统用户的UID1499 普通用户的UID50060000文件名称文件名称/etc/passwd/etc/passwd 每行定义一个用户账号 每一行由7个字段的数据组成，字段之间用“：”分隔，其格式如下： 账号名称：密码：UID：GID：用户全名：主目录：Shell4.2.2 Linux中用户和用户组的配置文件 passwd文件4.2.2 Linux中用户和用户组的配置文件：

4、 账号名称：用户登录Linux系统时使用的名称。 密码：这里的密码是经过加密后的密码(一般是采用MD5加密方式)，而不是真正的密码，若为“x”，说明密码经过了shadow的保护 UID：用户的标识，是一个数值，用它来区分不同的用户 GID：用户所在基本组的标识，是一个数值，用它来区分不同的组，相同的组具有相同的GID。 个人资料：可以记录用户的完整姓名、地址、办公室电话、家庭电话等信息。 主 目 录 ： 类 似 W i n d o w s 的 个 人 目 录 ， 通 常 是/home/username，这里username是用户名，用户执行“cd”命令时当前目录会切换到个人主目录。 Shell

5、：定义用户登录后激活的Shell，默认是Bash Shell passwd文件中，第一行是root用户，紧接的是系统用户，普通用户通常在文件的尾部。4.2.2 Linux中用户和用户组的配置文件Mail 用户信息：mail:*:12259:0:99999:7:username: passwd: lastchg: min: max: warn: inactive: expire: flag4.2.2 Linux中用户和用户组的配置文件/etc/shadow文件中的每个记录用“：”隔开为9个域，每个域的含义分别为：username登录名登录名passwd加密口令加密口令lastchg上次口令更改时

6、距上次口令更改时距1970年年1月月1日的天数日的天数min两次修改口令间隔最少的天数两次修改口令间隔最少的天数max口令更改后必须再更改的天数口令更改后必须再更改的天数(有效期有效期)warn提前多少天警告用户口令将过期提前多少天警告用户口令将过期inactive在口令过期后多少天禁用此用户在口令过期后多少天禁用此用户expire用户的使用期限，若为空表示无限期用户的使用期限，若为空表示无限期flag保留未用，以便以后发展之用保留未用，以便以后发展之用4.2.2 Linux中用户和用户组的配置文件中用户和用户组的配置文件 字段字段说明说明Groupname组的名字组的名字Passwd组的加密

7、口令组的加密口令GID是系统区分不同组的是系统区分不同组的ID，在，在/etc/passwd域中的域中的GID域是用这域是用这个数来指定用户的缺省组个数来指定用户的缺省组Userlist是用是用“，”分开的用户名，列出的是这个组的成员。分开的用户名，列出的是这个组的成员。4.2.2 Linux中用户和用户组的配置文件4.2.3 用户登录Linux系统的过程 Linux系统采用纯文本文件来保存账号的各种信息,其中最重要的文件有这几个。Linux用户登入系统过程实质是系统读取、核对/etc/passwd、 /etc/shadow、/etc/group等文件的过程。过程如下： 首先,Linux会出现

8、一个登录系统的画面提示输入账号,输入账号与密码； Linux接着会先找寻/etc/passwd里面是否有这个账号名,如果没有则退出登录,如果有的话则将该账号对应的UID(User ID)与GID(Group ID)读出来,另外,该账号的对应的用户主目录与shell设定也一并读出； 核对密码表,这时Linux 会进入/etc/shadow 里面找出登录账号与UID相对应的、记录,然后核对一下刚刚输入的密码与此文件的密码是否符合； 以上核定没有问题,用户正式进入系统。 4.2.4 Linux中文件和目录的权限 1文件和目录的一般权限 4.2.4 Linux中文件和目录的权限 1文件和目录的一般权限

9、 4.2.4 Linux中文件和目录的权限 在Linux系统中,用户对文件或目录的访问权限,除了r(读取)、w(写入)、x(执行)三种一般权限外,还有SET UID(SUID)、SET GID(SGID)、Sticky Bit(粘滞位)三种特殊权限,用于对文件或目录进行更加灵活方便的访问控制。 (1)SET UID(SUID) (2)SET GID(SGID) (3)Sticky Bit(SBit,粘滞位)4.3 项目实施 # 常用选项： -d 目录指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录,默认值是/home/用户名。 -e YYYY-MM-DD设置账号的失效日期,

10、此日期后用户将不能使用该账号。要启用shadow才能使用此功能。 -f days指定密码到期后多少天永久停止账号,若指定为0,则立即被停权；为-1,则关闭此功能。 -g 用户组设定用户所属基本组(或使用GID号),该组在指定时必须已存在。 -G 用户组列表设定用户所属附属组(或使用GID号),各组在指定时已存在,附属组可以有多个,组之间用“,”分隔开。 -m若用户主目录不存在,则创建主目录(在redhat系列中此选项可省)。 -M不创建用户主目录。 -p 口令指定用户登录密码(加密的口令)。 -s Shell设置用户登录后启动的Shell,默认是bash。 -u 用户号设置账号的UID,默认是

11、已有用户的最大UID加1。如果同时有-o选项,则可以重复使用其他用户的标识号。 #useradd g student zhangsan #tail 1 /etc/passwd #显示最后1行的内容。 zhangsan:x:502:500:/home/zhangyan:/bin/bash 该命令做了下面几件事： 在 /etc/passwd 和/etc/group文件中增添了一行记录； 创建新用户的主目录 从 /etc/skel中拷贝文件和目录到用户主目录； 让新用户获得其主目录和文件的拥有的权限 但是使用了该命令后，新建的用户暂时还无法登录，因为还没有为该用户设置口令，需要再用 passwd 命

12、令为其设置口令后，才能登录。用户的 UID 和 GID 是 useradd 自动选取的，它是将 /etc/passwd 文件中的 UID 加 1，将 etc/group 文件中的 GID 加 1。 增加新用户时，系统将为用户创建一个与用户名相同的组，称为私有组。这一方法是为了能让新用户与其他用户隔离，确保安全性的措施 。任务4-1 用户的管理 # chsh -l 显示可使用的shell hnwy目录事先存在 useradd d /data -s /bin/nologin g nobody test3任务4-1 用户的管理 passwd 账户名 -x指定口令的最长存活期。 -w口令要到期前提前警

13、告的天数。 如果缺省用户名,则表示修改当前用户的口令。 如，若要设置zhang3账户的登录密码，则操作命令为： # passwd zhang3Changing password for user lijunjie.New password: #键入密码Retype new password: #重输密码passwd: all authentication tokens updated successfully. #usermod l zhangsan zhang3 #tail 1 /etc/passwd zhang3:x:503:503:/home/lijie:/bin/bash 从输出结果可

14、见，用户名已更改为了zhang3。主目录仍为/home/zhangsan，若要将其更改为/home/zhang3，则命令为： #usermod d /home/zhang3 zhang3usermod L 要锁定的账户 比如：usermod L zhang3 Linux锁定账户，是通过在密码文件shadow的密码字段前加“！”来标识该用户被锁定。 比如：usermod U zhang3 -r在删除该账户的同时，一并删除该账户对应的主目录。 比如：userdel r zhang3 # su 用户名 su命令的常见用法是变成跟用户或超级用户，如果发出不带用户名的su命令，则系统提示输入根口令，输入

15、之后则可换为根用户。 如果登陆为根用户，则可以用su命令成为系统上任何用户而不需要口令。 -g GID指定新用户组的组标识号(GID),默认值是已有的最大的GID加1。 -r创建系统用户组，该类用户组的GID值小于500；无-r参数，则创建普通用户组，其GID值大于或等于500。在前面创建的student用户组，由于是创建的第1个普通用户组，故其GID值为500。 # groupadd -r sysgroup # tail -1 /etc/groupsysgroup:x:101: 对用户组更名，不会改变其GID的值。 比如：将sysgroup用户组更名为teacher用户组，则操作命令为： #

16、 groupmod -n teacher sysgroup # tail -1 /etc/group teacher:x:101: 例如，若要将teacher组的GID更改名501，则操作命令为： # groupmod -g 501 teacher # grep teacher /etc/group #在/etc/group文件中查找并显示含有teacher的行 teacher:x:501: 比如：groupdel teacher 在删除用户组时，被删除的用户组不能是某个账户的私有用户组，否则将无法删除，若要删除，则应先删除引用该私有用户组的账户，然后再删除用户组。 命令格式作用users|w

17、|who显示当前用户信息(三条命令)finger -l 用户名显示当前用户或指定用户的用户名、终端、登录时间及个人信息id 用户名显示当前用户或指定用户的ID,以及所属组的IDgroups 用户名显示当前用户或指定用户所属组账号的信息 -R可递归设置指定目录下的全部文件 权限值的两种表示方法 使用3位的八进制数表示： 使用字符串表示 例如：myfile.txt文件目前的权限为rw-r-r-，若要更改为rw-rw-r-，其命令为： # chmod 664 / home / liyang / myfile.txt110100100r-r-rw-比如： chmod -Rugoa+-=rwxst 用户

18、对象+|-|=权限符 用户对象 u拥有者 g拥有者所属的用户组 o其他用户 a所有的 +增加某项权限 - 去掉某项权限 =赋予某项权限。 权限符r、w、x、s 若通过r、w、x、s表示方式来更改权限，则只需在chmod命令中表达出权限需要改变的部分即可，该方法可视为是相对修改法。 修改文件或目录的拥有者 chown -选项 新属主:新属组 被改变归属的文件或目录 -R可递归设置指定目录下的全部文件（包括子目录和子目录中的文件）的所属关系。 用空格分隔列表中多个文件名或目录名 例如：若要设置/var/software目录的属主为angel用户和angel用户组，则设置方法为： # chown a

19、ngel.angel /var/software 例如：假设/setup.sh文件的权限当前为rw-rw-r-， 若要修改为rw-r-，则更改命令为： #chmod g-w /setup.sh #chmod o-r /setup.sh 若要给其他用户增加读的权限，则命令为： chmod o+r /setup.sh 若要同时去掉用户组和其他用户对该文件的读权限，则实现命令为： chmod go-r /setup.sh 若文件拥有者、用户组和其他用户都只赋予读的权限，则实现命令为： chmod ugo=r /setup.sh任务4-4 设置文件和目录的特殊权限 为文件或目录添加三种特殊权限同样可以

20、通过chmod命令来实施,使用“us”、“gs”、“ot”的字符权限模式分别用于添加和移除SUID、GUID、sticky权限。若使用数字形式的权限模式,可采用“nnnn”格式的四位八进制数字表示,其中,后面三位是一般权限的数字表示,前面第一位则是特殊权限的标志数字,0表示不设置特殊权限、1表示只设置sticky、2表示只设置GUID权限、3表示只设置SGID和sticky权限、4表示只设置SUID权限、5表示只设置SUID和sticky权限、6表示只设置SUID和SGID、7表示同时设置SUID、GUID、sticky3种权限。 【例4-20】为mkdir命令对应的命令文件设置SUID权限,

21、使得普通用户在根目录下能够使用mkdir命令创建目录。 【例4-21】在目录上面运用sticky权限,使得仅root用户和文件的拥有者才能删除该目录中的文件,其他用户不能删除。任务4-5 设置新建文件或目录的默认权限 在Linux系统中,当用户创建一个新的文件或目录时,系统都会为新建的文件或目录分配默认的权限,该默认权限并不是继承了上级目录的权限,而是与umask值(称为权限掩码)有关,其具体关系是： 新建文件的默认权限=0666-umask值 新建目录的默认权限=0777-umask值 【例4-22】分别查看、修改root用户和普通用户当前默认的umask值。 【例4-23】显示root用户

22、新建文件和目录的默认权限。 【例4-24】修改root用户默认的权限掩码值拓展：设置修改文件的扩展属性 chattr -RV +-=acdijsuADS 文件或目录名 -R 递归设置指定目录及其目录下的所有文件和子目录的属性； -V 详细显示目录和文件的属性设置情况。 +增加某项属性； - 取消某项属性； = 设置文件或目录只具有哪些属性； a 只允许向文件追加数据，不允许任何进程覆盖重写文件的内容。 A 设置不允许系统更新文件的最后访问时间 i 不可修改属性。具有该属性的文件不能被删除、更名或修改其内容。 例如：若要给/etc/rc.local文件增加不可修改属性，则实现命令为： chatt

23、r +I /etc/rc.local 若要取消i属性，则实现命令为： chattr -i /etc/rc.local拓展：设置修改文件的扩展属性 lsattr -adR 文件名或目录名 -a列出目录中的所有文件（包括隐藏文件）。 -d以与文件相同的方式列出目录的扩展属性。 -R以递归的方式列出目录的属性及其内容。 例如，若将/etc/rc.local文件设置为具有i属性和A属性，并查看设置后的属性，其实现命令为： # chattr =ia /etc/rc.local # lsattr /etc/rc.local -i-A- /etc/rc.local拓展：设置修改文件的扩展属性项目小结 Lin

24、ux操作系统是一个多用户的操作系统,它允许多个用户同时登陆到系统上使用系统资源。系统根据帐户来区分每个用户的文件、进程、任务,给每个用户提供特定的工作环境（如用户的工作目录、Shell版本以及X-Window环境的配置等）,使每个用户的工作都能独立不受干扰地进行。任何一个要使用系统资源的使用者,都必须首先向系统管理员申请一个用户账号,每个用户账号都拥有一个惟一的用户名和相应的口令。用户在登录时只有键入正确的用户名和口令后,才能进入系统。 对用户(组)的管理工作主要涉及到用户(组)账号的添加、修改和删除、用户(组)口令的管理以及为用户(组)配置访问系统资源的权限。这些工作是网络管理员日常最基本的工作任务,也是构建系统安全的最基本的保障。4.1 项目背景项目背景： 账号名称：用户登录Linux系统时使用的名称。 密码：这里的密码是经过加密后的密码(一般是采用MD5加密方式)，而不是真正的密码，若为“x”，说明密码经过了shadow的保护 UID