红联Linux门户
Linux协助

关于 Linux体系用户、组和权限办理

发布时刻:2019-05-23 00:00:00来历:不知道作者:admin

一、用户与组

1.用户与组的概念

在Linux体系中,依据体系办理需求将用户分为三种类型:

1.超级用户:root是linux体系的超级用户,对体系具有肯定权限。因为root用户权限太大,只要在进行体系办理、保护使命时运用root用户,主张日常事物处理用一般用户账号。

2.一般用户:一般用户由root用户创立,其权限遭到必定约束,一般只对自己家目录具有肯定权限。

3.虚拟用户:大多数由是在装置体系及部分运用程序时主动增加,保护体系或相应程序正常运转,其最大特点是不能登录体系。

用户组分为基本组、附加组

用户组是指具有一起特征用户的调集,首要是便利对文件或目录进行拜访权限操控。

当用户被创立时至少归于一个用户组,该组便是用户的基本组。

当用户参加其他组时,其参加的组便是该用户的附加组。

UID和GID

ID规模 ID类型 root 体系用户 一般用户 UID 0 1-499 500+ GID 0 1-499 500+

与用户和组相关的装备文件

1./etc/passwd

2./etc/shadow

3./etc/gruop

4./etc/gshadow

4./home/xx 用户家目录

6./var/log/mail/xx 用户邮箱

7/etc/skel 在用户被创立时家目录下的躲藏文件是从/etc/skel/仿制曩昔的。

 

2.用户账号和组的办理

useradd 指令 创立用户

-u 选项 指定uid

-g 选项 指定基本组

-G 选项 指定附加组

-d 选项 指定家目录

-e 选项 指定账户失效时刻

-M 选项 不创立家目录

-s 选项 指定登录shell

实例:创立一个FTP拜访账号ftpuser,制止其登录,不为其创立家目录

useradd -M -s /sbin/nologin ftpuser

***

passwd 指令 为用户创立暗码

-d 选项 清空用户暗码

-l 选项 确定用户不能登录

-u 选项 免除确定

***

userdel 指令 删去用户

-r 选项 用于删去家目录

***

usermod 指令 修正账号特点

-d 选项 修正用户家目录

-l 选项 修正用户名

-g 选项 修正用户基本组

-G 选项 修正用户附加组

su - 指令 用于切换用户身份

***

groupadd 指令 用于增加用户组

-g 选项 用于指定GID

***

gpasswd 指令 增加、删去组成员

-a 选项 增加用户

-d 选项 删去用户

***

groupdel 指令 删去用户组

groups 指令 检查用户组信息

二、文件和目录权限及归属

在多用户操作体系中,处于安全考虑,需求为每个文件和目录设置拜访权限,严厉规矩每个用户的权限。

Linux体系中每一个文件或目录都被赋予两种属相:拜访权限、文件一切者。

权限意义 权限 文件 目录 r 检查文件内容 检查目录内容ls w 修正文件内容 修正目录下的内容(创立、移动、删去文件或目录) x 履行该文件(程序或脚本) 履行cd指令进入目录

1.检查文件、目录权限

经过ls -l 检查文件详细信息

输出信息共7个字段代表意义如下

1.榜首组:代表文件类型和文件权限其间榜首字符代表如下意义:

  “-”表明一般文件、“d”表明目录、“l”表明符号链接、“c”代表字符设备、“b”代表块设备。

2.第二组:代表硬链接数,文件默以为1,目录默以为2。

3.第三组:文件一切者

4.第四组:文件所属组

5.第五组:代表文件巨细(单位为字节B)目录只显现目录自身巨细一般状况下为4096B

6.第六组:文件创立或修正时刻

7.第七组:文件名

文件权限类型

2.设置文件、目录权限

chmod 指令 用于更改文件或目录权限

实例:useradd test 

   passwd test 

   暗码xxxxxx

   su - test

   pwd

   /home/test

   mkdir file1

   ls -l  file1

   drwxrwxr-x. 2 test test 4096 Sep 2 16:36 file1

   chmod g-w,o-x file1 

   ls -l file1

   drwxr-xr--.2 test test 4096 Sep 2 16:36 file1

文件权限数字表现形式

权限项 履行 履行 履行 字符表明 r w x r w x r w x 数字表明 4 2 1 4 2 1 4 2 1 权限分配 一切者 所属组 其他人

   ls -l file1

   drwxr-xr--.2 test test 4096 Sep 2 16:36 file1

   chmod 755 file

   ls -l file1

   drwxr-xr-x--.2 test test 4096 Sep 2 16:36 file1

   chmod -R 能够递归修正目录下的一切文件权限

   root 用户 umask 值 0022

   一般用户 umask 值 0002

   root用户创立目录 时,生成目录权限为 777 - umask对应权限 ,终究为 755

   root用户创立文件时,生成文件权限为 666 - umask对应权限,终究为644

   一般用户创立目录时,生成目录权限为 777 - umask对应权限,终究为 775

   一般用户创立文件时,生成文件权限为 666 - umask对应权限,终究为664

3.设置文件、目录归属

chown 指令

格局:chown 一切者 文件或目录

   chown :所属组 文件或目录

   chown 一切者:所属组 文件或目录

例如:chown root:root  /home/test/file1

   ls -l /home/test/file1

   drwxr-xr-x,2 root root 4096 Sep 2 16:36 file1

三、体系高档权限设置

1.装备拜访操控列表ACL(Access Control List)

Linux体系中权限设置,仅有3种身份,3种权限,经过协作chmod和chown指令来对文件或目录进项设置。假如进项杂乱权限设定,如某个目录要敞开为给某个特定用户运用时,传统办法不能满意需求。

例如:/home/project 目录,一切者是student用户,所属组是users组,预设权限为770。现有用户teacher,所属组为teacher,期望对/home/project/目录具有rwx权限;还有用户test,所属组??test,期望对/home/project/目录具有读rx权限。

明显运用chmod和chown指令无法完结上述要求,因此,在Linux体系供给了ACL来完结这种杂乱权限设置。

设置ACL

setfacl 【选项】  设定值   文件目录

-m 选项 设定一个ACL规矩

-x 选项 撤销一个ACL 规矩

-b 选项 撤销一切的ACL规矩

-d 选项 设置默许ACL规矩 (对当时目录设置ACL权限后,未来在其目录下创立的文件或目录承继该目录的ACL权限)

-k 选项 撤销默许权限

-R 选项 用于递归设置(对当时目录设置ACL权限,该目录下已有的子目录及文件也具有相应的ACL权限)

例如:setfacl -m u:teacher:rwx  /home/project

   setfacl -m u:test:rx /home/project

getfacl 指令 检查文件目录ACL权限

   setfacl -x u:teacher /home/project

   setfacl -b /home/project

##ACL需求分区敞开acl,经过dumpe2fs检查。Linux体系默许敞开acl,假如分区没有敞开acl,能够经过设置/etc/fstab文件敞开##

例如:/dev/sdb1  /data  ext4  defaults,acl  0  0

2.设置特别权限:SUID/SGID/Sticky Bit

SUID权限:首要设置于可履行文件,对目录设置无效,当其他人履行该文件时,主动获取该文件一切者身份,设置指令为chmod u+s file。

例如: ls -l /usr/bin/passwd

   -rwsr-x-r-x, 1 root root 30768 11月 24 2017 /usr/bin/passwd

SGID权限:

    设置与目录,当目录设置SGID后,在该目录下创立的文件或子目录主动承继该目录的所属组

    设置与文件,当文件设置SGID后,该文件不管运用者是谁,在其履行时将以该文件一切者身份履行。

例如: chmod g+s file、dirfile

设置粘滞位权限:

当一个用户对一个目录具有写权限,该用户能删去该文件下的一切文件。

粘滞位权限首要针对其他人设置,运用指令chmod设置目录权限时,“o+t”、“o-t”能够增加或许删去粘滞位权限。

当一个目录设置粘滞位权限后,对该目录具有写权限的其他用户不能删去其他用户创立的文件或目录,只能删去自己创立的文件或目录。

例如 /tmp 和 /var/tmp

  ls -ld  /tmp

  drwxrwxrwt. 3 root root 4096 9月 2 18:27 /tmp

  ls -ld  /var/tmp

   drwxrwxrwt. 2 root root 4096 9月 2 18:27 /var/tmp

3.设置躲藏权限chattr

chattr设置躲藏权限,lsattr检查躲藏权限。

chattr +i

chattr +a

chattr -i

chattr -a

i:特点,假如对文件设置i特点,不允许对文件进行删去、改名、增加数据、

    对目录设置i特点,不能创立删去文件,

a:特点,假如对文件设置a特点,只能向文件中追加数据,不能删去或修正文件。

    对目录设置a特点,只能在目录中树立或修正文件,不能删去文件。