Linux系统用户、组和权限管理

一、用户与组

1.用户与组的概念

在linux系统中，根据系统管理需要将用户分为三种类型：

1.超级用户：root是linux系统的超级用户，对系统拥有绝对权限。由于root用户权限太大，只有在进行系统管理、维护任务时使用root用户，建议日常事物处理用普通用户账号。

2.普通用户：普通用户由root用户创建，其权限受到一定限制，一般只对自己家目录拥有绝对权限。

3.虚拟用户：大多数由是在安装系统及部分应用程序时自动添加，维护系统或相应程序正常运行，其最大特点是不能登录系统。

用户组分为基本组、附加组

用户组是指具有共同特征用户的集合，主要是方便对文件或目录进行访问权限控制。

当用户被创建时至少属于一个用户组，该组就是用户的基本组。

当用户加入其他组时，其加入的组就是该用户的附加组。

uid和gid

与用户和组相关的配置文件

1./etc/passwd

2./etc/shadow

3./etc/gruop

4./etc/gshadow

4./home/xx 用户家目录

6./var/log/mail/xx 用户邮箱

7/etc/skel 在用户被创建时家目录下的隐藏文件是从/etc/skel/复制过去的。

2.用户账号和组的管理

useradd 命令 创建用户

-u 选项 指定uid

-g 选项 指定基本组

-g 选项 指定附加组

-d 选项 指定家目录

-e 选项 指定账户失效时间

-m 选项 不创建家目录

-s 选项 指定登录shell

实例：创建一个ftp访问账号ftpuser，禁止其登录，不为其创建家目录

useradd -m -s /sbin/nologin ftpuser

***

passwd 命令 为用户创建密码

-d 选项 清空用户密码

-l 选项 锁定用户不能登录

-u 选项 解除锁定

***

userdel 命令 删除用户

-r 选项 用于删除家目录

***

usermod 命令 修改账号属性

-d 选项 修改用户家目录

-l 选项 修改用户名

-g 选项 修改用户基本组

-g 选项 修改用户附加组

su - 命令 用于切换用户身份

***

groupadd 命令 用于添加用户组

-g 选项 用于指定gid

***

gpasswd 命令 添加、删除组成员

-a 选项 添加用户

-d 选项 删除用户

***

groupdel 命令 删除用户组

groups 命令 查看用户组信息

二、文件和目录权限及归属

在多用户操作系统中，处于安全考虑，需要为每个文件和目录设置访问权限，严格规定每个用户的权限。

linux系统中每一个文件或目录都被赋予两种属相：访问权限、文件所有者。

1.查看文件、目录权限

通过ls -l 查看文件详细信息

输出信息共7个字段代表含义如下

1.第一组：代表文件类型和文件权限其中第一字符代表如下含义：

　　“-”表示普通文件、“d”表示目录、“l”表示符号链接、“c”代表字符设备、“b”代表块设备。

2.第二组：代表硬链接数，文件默认为1，目录默认为2。

3.第三组：文件所有者

4.第四组：文件所属组

5.第五组：代表文件大小（单位为字节b）目录只显示目录本身大小一般情况下为4096b

6.第六组：文件创建或修改时间

7.第七组：文件名

文件权限类型

2.设置文件、目录权限

chmod 命令 用于更改文件或目录权限

实例：useradd test  

　　　passwd test 

　　　密码xxxxxx

　　　su - test

　　　pwd

　　　/home/test

　　　mkdir file1

　　　ls -l  file1

　　　drwxrwxr-x. 2 test test 4096 sep 2 16:36 file1

　　　chmod g-w,o-x file1 

　　　ls -l file1

　　　drwxr-xr--.2 test test 4096 sep 2 16:36 file1

文件权限数字表现形式

　　　ls -l file1

　　　drwxr-xr--.2 test test 4096 sep 2 16:36 file1

　　　chmod 755 file

　　　ls -l file1

　　　drwxr-xr-x--.2 test test 4096 sep 2 16:36 file1

　　　chmod -r 可以递归修改目录下的所有文件权限

　　　root 用户 umask 值 0022

　　　普通用户 umask 值 0002

　　　root用户创建目录 时，生成目录权限为 777 - umask对应权限 ，最终为 755

　　　root用户创建文件时，生成文件权限为 666 - umask对应权限，最终为644

　　　普通用户创建目录时，生成目录权限为 777 - umask对应权限，最终为 775

　　　普通用户创建文件时，生成文件权限为 666 - umask对应权限，最终为664

3.设置文件、目录归属

chown 命令

格式：chown 所有者 文件或目录

　　　chown ：所属组 文件或目录

　　　chown 所有者：所属组 文件或目录

例如：chown root：root  /home/test/file1

　　　ls -l /home/test/file1

　　　drwxr-xr-x,2 root root 4096 sep 2 16:36 file1

三、系统高级权限设置

1.配置访问控制列表acl（access control list）

linux系统中权限设置，仅有3种身份，3种权限，通过配合chmod和chown命令来对文件或目录进项设置。如果进项复杂权限设定，如某个目录要开放为给某个特定用户使用时，传统方法不能满足需求。

例如：/home/project 目录，所有者是student用户，所属组是users组，预设权限为770。现有用户teacher，所属组为teacher，希望对/home/project/目录具有rwx权限；还有用户test，所属组为test，希望对/home/project/目录具有读rx权限。

显然利用chmod和chown命令无法完成上述要求，因而，在linux系统提供了acl来完成这种复杂权限设置。

设置acl

setfacl 【选项】　　设定值 　　文件目录

-m 选项 设定一个acl规则

-x 选项 取消一个acl 规则

-b 选项 取消所有的acl规则

-r 选项 用于递归设置

例如：setfacl -m u：teacher：rwx  /home/project

　　　setfacl -m u：test：rx /home/project

getfacl 命令 查看文件目录acl权限

　　　setfacl -x u：teacher /home/project

　　　setfacl -b /home/project

##acl需要分区开启acl，通过dumpe2fs查看。linux系统默认开启acl，如果分区没有开启acl，可以通过设置/etc/fstab文件开启##

例如：/dev/sdb1　　/data　　ext4　　defaults,acl　　0　　0

2.设置特殊权限：suid/sgid/sticky bit

3.设置隐藏权限chattr