Linux用户及权限管理

摘要：用户的类别及用户标识管理员普通用户系统用户为了能够让后台进程或者服务类型进程以非管理员的身份运行，通常要为此创建多个普通用户，这类用户从不用登陆系统。

在Linux中利用用户来实现多任务操作，不同的用户可以同时使用系统，并且对系统进行操作；Linux是一个等级森严的系统，不同的用户对系统上文件操作的权限不同，为了方便管理，对用户进行分组，属于不同组的用户对文件的操作的权限也不同。Linux系统利用不同的ID来标识唯一的用户，同样利用不同的ID来标识不同的组。

用户的类别及用户标识UID

    管理员：0
    普通用户
        系统用户：为了能够让后台进程或者服务类型进程以非管理员的身份运行，通常要为此创建多个普通用户，这类用户从不用登陆系统。1-499(CentOS6), 1-999(CentOS7)
        登陆用户：500-60000(CentOS6), 1000-60000(CentOS7)

组类别及组标识GID

    管理员组：0
    普通用户组
        系统组：1-499(CentOS6), 1-999(CentOS7)
        登陆组：500-60000(CentOS6), 1000-60000(CentOS7)
    组类别2
        用户的基本组
        用户的附加组
    组类别3
        私有组：组名同用户名，且只包含一个用户
        公共组：组内包含了多个用户

Linux系统通过名称解析将用户名组名解析成对应的唯一标识，以此来验证用户的身份以及该用户属于哪个组。

和用户相关的文件：

1、/etc/passwd: 用户的信息库

    name:passwd:UID:GID:GESOS:directory:shell
    name: 用户名
    passwd: 可以是加密的密码，也可以是占位符x
    UID:
    GID: 用户所属的主组的ID号
    GESOS: 注释信息
    directory: 用户的家目录
    shell: 用户的默认shell，登录时默认shell程序

2、/etc/passwd: 用户密码

用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期段:过期期限:保留字段

3、/etc/group: 组的信息库

    group_name:password:GID:user_list    
    user_list: 该组的用户成员，以此组为附加组的用户列表

4、/etc/gpasswd: 组密码

组密码的作用：当一个用户切换其基本组的时候，如果该组不属于用户的附加组，此时，如果该组设定了组密码，那么该用户知道该组的密码时就可以临时将该组切换成其基本组；如果这个组没有设定组密码，那么该用户不能切换至该组。

之前说过Linux是一个等级森严的系统，一个文件或者目录对于不同的用户有不同的权限，这个权限主要有r,w,x(可读、可写、可执行)，对于文件和目录这三个权限的作用是不同的：

文件：
    r: 可获取文件的数据；
    w: 可修改文件的数据；
    x: 可将文件运行为进程；
目录：
    r: 可使用ls命令获取其下的所有文件列表(不包括详细信息)
    w: 可修改此目录下的文件列表；即创建或删除文件；
    x: 可cd到此目录中，且可使用ls -l来获取所有文件的详细属性信息；
    一个文件或者目录的权限主要是对于该文件或目录的属主、属组以及其他用户来说，利用ls -l可以查看一个文件对于属主、属组和其他用户的权限

那么Liunx系统怎么让一个文件的权限起作用呢？

作为用户来操作一个文件，该用户必须发起一个进程，而这个进程是以该用户的身份运行的，所以系统会查看进程的属主(发起进程的用户)与文件的属主是否相同，如果相同，则应用属主权限；否则，则检查进程的属主是否属于文件的的属组，如果是，则应用属组权限；否则，就只能应用其他用户的权限。此过程为进程对文件访问权限应用模型。

1、用户管理命令
useradd, userdel, usermod, passwd

(1) useradd命令：创建用户

    useradd [option] 登陆名
        -u UID: 指定UID；
        -g GROUP: 指定基本组ID，此组事先要存在；
        -G GROUP1[,GROUP2…]: 指明用户所属的附加组，多个组之间用逗号分隔；
        -c COMMENT: 指定用户的注释信息；
        -d HOME_DIR: 以指定的路径为用户的家目录；通过复制/etc/skel此目录并重命名实现；指定的家目录路径如果实现存在，则不会为用户复制环境配置文件；
        -s SHELL: 指定用户的shell，所有可用的shell存储在/etc/shells文件中；
         -r: 创建系统用户；
        注意：创建用户时的诸多默认选项设定的配置文件为/etc/login.defs

(2) usermod命令：修改用户属性

    usermod [option] username
        -u UIG: 修改用户的UID；
        -g GROUP: 修改用户所属的基本组；
        -G GROUP1[,GROUP2…]: 修改用户所属的附加组；原来的附加组会被覆盖；
        -a: 与-G一同使用，用于为用户追加新的附加组；
        -c COMMENT: 修改注释信息；
        -d HOME_DIR: 修改用户的家目录；用户原有的文件不会被转移至新的位置；
        -m: 与-d一同使用，用于将原有的家目录移动为新的家目录；
        -l NEW_LOGIN: 修改用户名；
        -s SHELL: 修改用户默认shell；
        -L: 锁定指定用户密码；即在用户原来的密码字符串之前添加一个”!”；
        -U: 解锁指定用户密码； 

(3) userdel命令：删除指定用户

    userdel [option] username
        -r: 删除用户时一并删除其家目录；默认不删除用户的家目录；

(4) passwd命令：用户密码管理命令

    passwd: 修改用户自己的密码
    passwd USERNAME: 修改指定用户的密码，但仅root有此权限；
        -l, -u: 锁定和解锁用户；
        -d: 清除指定用户的密码；
        -e DATE: 过期期限，日期；
        -i DAYS: 非活动期限；天数
        -n DAYS: 密码的最短使用期限；
        -x DAYS: 密码的最长使用期限；
        -w DAYS: 密码警告期限；
        --stdin:
            echo “PASSWORD” | passwd –stdin USERNAME

2、组管理命令

groupadd, groupdel, groupmod, gpasswd

(1) groupadd命令: 添加组

    groupadd [option] group_name
        -g GID: 指定GID；默认是上一个组的GID+1
        -r: 创建系统组

(2) groupmod命令：修改组的属性

    groupmod [option] GROUP
        -g GID: 修改GID
        -n new_groupname: 修改组名

(3) groupdel命令：删除组

    groupdel [option] GROUP

(4) gpasswd命令

    gpasswd [option] group  不带选项为组添加密码
        -u USERNAME: 向组中添加用户；
        -d USERNAME: 从组中移除用户；

3、其他命令
newgrp, chage, chsh, id, su, finger, chfn, pwck, grpck

(1) newgrp GROUP: 将GROUP临时切换为用户的基本组

    newgrp [-] [group]
        -: 会模拟用户重新登录以实现重新初始化其工作环境

(2) chage命令：修改用户密码的过期信息

    chage [option] username

(3) chsh命令：修改指定用户的默认shell；

(4) id命令：显示用户真是有效的ID信息

    id [option]… [username]
        -u: 仅显示有效的UID；
        -g: 仅显示用户所属基本组ID；
        -G: 显示用户所属的所有组ID；
        -n: 显示名称而非ID；

(5) su命令：switch user

    登录式切换：会通过读取用户的配置文件来重新初始化
        su – USERNAME
        su -l USERNAME
    非登录式切换：不会读取目标用户的配置文件进行初始化
        su USERNAME
    注意：管理员可无密码切换至其他任何用户；
        su -c ‘COMMAND’: 仅以指定用户的身份运行此处指定的命令；
        su – dabric -c ‘whoami’

(6) finger命令：显示指定用户的信息；

(7) chfn命令：修改用户的信息；

(8) pwck命令：检查指定用户用户密码文件是否异常；

(9) grpck命令：检查指定用户组密码文件是否异常；

1、文件权限管理命令
chmod

chmod命令（用户仅能修改属主为自己的文件）

    chmod [OPTION]… MODE[,MODE]… FILE…
    chmod [OPTION]… OCTAL-MODE FILE…
    chmod [OPTION]… --reference=RFILE FILE…

(1) chmod [OPTION]… MODE[,MODE]… FILE…

    MODE表示法：
        赋权表示法：直接操作一类用户的所有权限位
            u=
            g=
            o=
            a=
        授权表示法：直接操作一类用户的一个权限位r,w,x
            u+,u-
            g+,g-
            o+,o-
            a+,a-

(2) chmod [OPTION]… OCTAL-MODE FILE…

    八进制表示法：

(3) chmod [OPTION]… --reference=RFILE FILE…

    引用参考文件的权限来修改当前文件的权限
    选项：
        -R, --recursive: 递归修改（在授权表示法中常用）

2、文件从属关系管理命令
chown, chgrp（仅管理员可修改文件的属主和属组）

(1) chown命令：

    chown [OPTION]… [OWNER][:[.][GROUP]] FILE…
    chown [OPTION]… --reference=RFILE FILE…
    选项：
        -R, --recursive: 递归修改

(2) chgrp命令：

    chgrp [OPTION]… GROUP FILE…
    chgrp [OPTION]… --reference=RFILE FILE…

3、umask: 文件的权限反向掩码，遮罩码

    文件：666-umask
    目录：777-umask
    注意：之所以文件用666去减，表示文件默认不能拥有执行权限，如过减得的结果中有执行权限，则需要将其加1；
    umask命令：
        umask: 查看当前umask
        umask MASK: 设置umask
    注意：命令的设定仅对当前shell进程有效；

1、 install的使用

    install命令：
    install – copy files and set attributes
    单源复制：
        install [OPTION]… [-T] SOURCE DEST
    多源复制：
        install [OPTION]… SOURCE… DIRECTORY
        install [OPTION]… -t DIRECTORY SOURCE…
    创建目录：
        install [OPTION]… -d DIRECTORY…
    常用选项：
        -m, --mode=MODE: 设定目标文件的权限，默认为755
        -o, --ownwer=OWNER: 设定目标文件的属主
        -g, --group=GROUP: 设定目标文件的属组

2、 mktemp的使用

    mktemp命令：创建临时文件或者临时目录
    mktemp [OPTION]… [TEMPLATE]
        -d: 创建临时目录
        mktemp /tmp/mytmp.XXXX
    引用该文件名，将其执行的结果保存在变量中使用
    注意：mktemp会将创建的临时文件名直接返回，因此，可直接通过命令引用保存至变量中；

完成以下任务

新建系统组mariadb, 新建系统用户mariadb，要求其没有家目录，且shell为/sbin/nologin:
尝试root切换至用户，查看其命令提示符；

新建GID为5000的组dabric，新建用户gentoo，要求其家目录为/users/gentoo，密码同用户名；

新建用户fedora，其家目录为/users/fedora，密码同用户名；

新建用户www，其家目录为/users/www；删除www用户，但保留其家目录；

为用户gentoo和fedora新增附加组dabric；

复制目录/var/log至/tmp/目录，修改/tmp/log及其内部的所有文件