用户管理和权限

1、账户和权限管理本章目标账户管理1.权限的管理2.用户主目录用户登录后每时每刻都处在目录中, 用 户登录后首先进入自己的个人主目录。系统管理员（root）的主目录：/root普通用户li的主目录：/home/li账号账号包括用户账号和组账号UID和GID： UID（User Identity，用户标识号） GID（Group Identify，组标识号）账号用户账号分为：普通用户账号和超级用户账号超级用户：UID=0，GID=0普通用户：UID=500系统用户：0UID500组按照建立方式分为私有组和系统组，按照实际功能分为主组和附加组一个用户可以属于多个组，其登录后所属于的组为主组，其他组为附

2、加组。系统账户文件用户口令文件/etc/passwd用户影子口令文件/etc/shadow组账号文件/etc/group组口令文件/etc/gshadow用户帐号文件 passwd用于保存用户的帐号基本信息文件位置：/etc/passwd每一行对应一个用户的帐号记录rootlocalhost # tail -2 /etc/passwdsabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologinstudent:x:500:500:Student User:/home/student:/bin/bash 字段1：用户帐号的名称 字段2：用户密码字

3、串或者密码占位符“x” 字段3：用户帐号的UID号 字段4：所属基本组帐号的GID号 字段5： 注释信息 字段6：用户主目录 字段7：登录Shell信息账户管理增加用户adduser(or useradd)命令 #adduser options id可以修改配置文件而不用去编辑配置文件Options:-u uid 指定新用户 UID (缺省紧跟上一个新用户)-g group 指定主组-G group1,group2 指定附加组(缺省时一般是和自己同名的组)-c comment 用户的说明(default: blank)-d dir 主目录（缺省为/home/username）-s shell

4、指定shell类型 （默认为 ）bash设置/更改用户口令passwd命令格式：passwd 选项. 用户名常用命令选项-d：清空用户的密码，使之无需密码即可登录-l：锁定用户帐号-S：查看用户帐号的状态（是否被锁定） -u：解锁用户帐号只有root用户可以修改任何用户密码而无需知道其原先的密码chage命令设置密码属性 chage option username -m 设定使用者必須要更改密码的最短间隔天数。如果数值为 0，表示密码永不过期 -M 设定口令有效的最长天数。 -W 指定密码过期前要警告使用者的天数 -l 列出用户当前密码属性 -E 到达指定时间锁住用户账号，日期格式为： yyy

5、y-mm-ddEg:#chage -m 5 -M 10 username修改用户帐号的属性usermod命令格式：usermod 选项. 用户名常用命令选项-l：更改用户帐号的登录名称-L：锁定用户账户-U：解锁用户账户以下选项与adduser命令中的含义相同 -u、-d、-g、-G、-s删除用户帐号userdel命令格式：userdel -r 用户名添加 -r 选项时，表示连用户的用户主目录一并删除rootlocalhost # useradd stu01rootlocalhost # ls -ld /home/stu01/drwx- 2 stu01 stu01 4096 09-09 12:

6、38 /home/stu01/rootlocalhost # userdel -r stu01rootlocalhost # ls -ld /home/stu01/ls: /home/stu01/: 没有那个文件或目录删除用户帐号stu01组帐号文件 group、gshadow与用户帐号文件相类似/etc/group：保存组帐号基本信息/etc/gshadow：保存组帐号的密码信息rootlocalhost # grep adm /etc/groupsys:x:3:root,bin,admadm:x:4:root,adm,daemon组帐号名 组成员列表改变组成员用户可以被指定为其他组的成员

7、groupadd 、groupdel、groupmod #groupadd group#groupdel group注意事项：被删除的组账号必须存在与用户名同名的私有组账号在使用userdel命令删除用户时被同时删除组属性的修改groupmod -g用于修改组的id值，即GID eg: groupmod -g 151 group groupmod -n用于修改组名 eg: groupmod -n newgroup oldgroup用户和组帐号查询id命令用途：查询用户身份标识格式：id 用户名groups命令用途:查询用户所属的组格式：groups 用户名finger命令用途：查询用户帐号的详

8、细信息格式：finger -l 用户名 who命令用途：查询已登录到主机的用户信息图形化的用户和组管理工具打开方式“系统”“管理”“用户和组群” 按Alt+F2键后，运行“system-config-users” 本章目标权 限 管 理1.权限管理Users, Groups, and Files 修改文件的访问权限改变用户的属主:chown user files. 改变属组:chgrp group files.改变文件的访问权限chmod mode files.只有文件的属主或root才能改变其访问权限文件/目录的权限和归属访问权限读取(r)：允许查看文件内容、显示目录列表写入(w)：允许修改

9、文件内容，允许在目录中新建、移动、删除文件或子目录可执行(x)：允许运行程序、切换目录归属（所有权）属主：拥有该文件或目录的用户帐号属组：拥有该文件或目录的组帐号用户、组和文件文件保护例子设置文件/目录的权限chmod命令格式1：chmod ugoa +-= rwx 文件或目录. u、g、o、a 分别表示属主、属组、其他用户、所有用户 +、-、= 分别表示增加、去除、设置权限对应的权限字符u,g ,o,a 来指定用户类型 u用户；g组；o其他；a所有的用户类型(ugo)通过“=+-”来设置. =设置操作+ 添加保护- 移去保护r,w,x指定访问标志rread; wwrite; x execut

10、e文件权限设置实例使用chmod命令设置文件权限查看文件权限$ ls -l afile-rw-rw-r- 1 st01 class1 0 Apr 3 16:52 afile增加文件拥有者st01的执行权限（x）$ chmod u+x afile去除文件所属组class1的写权限（w）$ chmod g-w afile设置其他成员和所属组可以读和执行chmod og=rx afile对拥有者和属组添加执行权限，删除其他用户所有权限chmod ug+x,o-rwx afile权限管理Access ControlFile and Directory Access Permission文件的访问类型:

11、 r读文件w写文件x执行文件 (程序或shell脚本) 目录的访问类型 r可以阅读目录列表 (并不能说明就可以访问文件内容)w可以向目录进行写操作 (建立、重命名、删除文件)x可以搜索目录 (搜索及访问文件)访问控制文件目录访问权限为了读一个文件，需要下列权限-x给用户在路径上的所有目录赋于x权限r-文件上有读的权限为了建立文件，需要下列权限 -x给用户在路径上的所有目录赋于x权限-wx给用户在路径上最后一个目录赋予wx权限为了写一个文件，需要下列权限 -x文件所在的所有路径上x权限-w-文件本身w权限修改权限的方法Users, Groups, and Files 修改文件权限老格式老方式用八

12、进制数组成位模式来完成权限的描述，4表示读权限，2表示写权限，1表示执行权限rwx rwx rwx 421 421 421 7 7 7chmod命令的数值设定法格式chmod n1n2n3 n1n2n3其中n1代表属主的权限，n2代表组用户的权限，n3代表其他用户的权限例： 设置权限rwxr-xr-x 设置权限rw-chmod 755 file1 chmod 600 file1 umask 命令通过umask设置创建缺省文件或目录的权限，常见的为022 eg: umask 022通过8进制数反向设置（减去）掩码描述的权限，普通文件为666（ rw-rw-rw- ），文件夹为777（ rwxrw

13、xrwx ）缺省掩码一般定义在profile文件中掩码及权限对照表UmaskPlain text files (vi)Directories (mkdir)rw-rw-rw-rwxrwxrwx000rw-rw-rw-rwxrwxrwx022rw-r-r-rwxr-xr-x033rw-r-r-rwxr-r-027rw-r-rwxr-x-077rw-rwx-使用附加权限SET位权限主要用途： 为可执行（有 x 权限的）文件设置，权限字符为“s”SET位权限类型： SUID：表示对拥有者增加SET位权限 任何用户执行该文件时，将拥有拥有者的权限 SGID：表示对属组内的用户增加SET位权限 SGID

14、是设定在目录上面，则在该目录内所建立的文件或目录的所属组，将会自动成为此目录的所属组。rootlocalhost # ls -l /usr/bin/passwd-rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd普通用户以root用户的身份，间接更新了shadow文件中自己的密码应用示例：/usr/bin/passwd应用示例：/ home/cnrtsrootlocalhost # ls -l /home/cnrts-rw-rwsr-x 1 harry root 19876 2008-07-17 /home/cnrts用户以harry用

15、户的身份，在目录中创建的文件自动继承root组大写表示无x权限，小写相反使用附加权限粘滞位权限（Sticky）主要用途： 为公共目录（例如，权限为777的）设置，权限字符为“t” 用户不能删除该目录中其他用户的文件应用示例：/tmp、/var/tmprootlocalhost # ls -ld /tmp /var/tmpdrwxrwxrwt 8 root root 4096 09-09 15:07 /tmpdrwxrwxrwt 2 root root 4096 09-09 07:00 /var/tmp粘滞位标记字符使用附加权限设置SET位、粘滞位权限使用权限字符 chmod ugs 可执行文件

16、. chmod ot 目录名.使用权限数字： chmod n4n1n2n3 可执行文件. n4为3种附加权限之和，4对应SUID，2对应SGID，1对应粘滞位，可叠加文件ACL权限ACL是 Access Control List 的缩写，主要的目的是在提供传统的owner，group，others的read，write，execute权限之外的细部权限设定。ACL可以针对单一使用者，单一文件或目录来进行r,w,x的权限规范，对于需要特殊权限的使用状况非常有帮助。ACL 主要可以针对以下方面来控制权限：使用者 (user)：可以针对使用者来设定权限；组群 (group)：针对用户组为对象来设定其

17、权限； 管理文件系统访问控制列表查看文件的ACL权限： $ getfacl filename 修改文件的ACL权限:$ setfacl -m u:username:rw filename $ setfacl -m g:groupname:rw filename删除文件的ACL权限:$ setfacl -x u:username filename实验：ACL访问权限 The files should be group owned by the group grads.Professors (members of the group profs) should have read/write access to the