这一节我们介绍Linux的用户以及权限管理的前半段,包括:1、权限管理介绍; 2、用户管理; 3、常见命令
权限管理介绍
权限管理:
为了访问计算机资源,我们需要对其进行授权才能访问,根据什么东西来进行授权呢?这样就有了用户的概念;一般情况下我们都是基于用户来进行计算机资源的授权,而为了更好的管理这些用户,具有同一属性的用户我们归为同一组,这就是用户组;对于一个文件而言,它有自己的属主(也就是某一个用户),也有它自己的属组(也就是该用户所在的用户组),也有即不是他的属主也不是属组的其他用户的权限,这段权限我们统称为其他用户;
属主、属组和其他用户就是我们Linux系统下文件的三个权限段;
而用户与用户组的概念则是为了方便人类识别而取名的,对于计算机而言,则是查看用户与用户组对应的UID以及GID来识别用户与用户组;
安全上下文关系(secure context):
进程启动是依托于用户的!!!每个进程启动是要借助于这个用户,而这个用户启动的这个进程的权限也来源于这个用户的权限!!!;
而对应进程调用的文件而言,文件又有它自己本身的权限,这个权限;
整个任务是否能完成,就取决于两点:(对上)启动该进程用户的权限,(对下)程序调用的文件的权限。而这两点就是我们所说的安全上下文关系(secure context);
权限:
到底什么是权限呢?常见的权限有rwx,读写执行(还有一些特殊权限位在之后介绍);
rwx对于文件而言:可读,代表可以使用类似于cat等命令查看文件内容;可写,代表可以通过vi或者echo编辑以及rm删除此文件;可执行,exacutable,表示可以将该文件当做命令提交给kernel执行;
rwx对于目录而言:可读,代表可以对此目录执行ls来列出内部的所有文件;可写,代表可以在此目录下创建子目录;可执行,表示可以使用cd来切换进此目录,也可以使用ls -l查看文件内部子目录以及子文件的详细信息;
文件权限分为三段:在介绍ls命令的时候我们提到过,如上图:查看a这个目录的权限--rwx代表属主,中间r-x代表属组,最后r-x代表其他用户;
其中,这些权限位可以通过8进制表示显示显示出来:
| 000 | 0 | --- | 无权限 |
| 001 | 1 | --x | 仅能执行 |
| 010 | 2 | -w- | 仅能写 |
| 011 | 3 | -wx | 可写可执行 |
| 100 | 4 | r-- | 仅能读 |
| 101 | 5 | r-x | 读执行权限 |
| 110 | 6 | rw- | 读写权限 |
| 111 | 7 | rwx | 读写执行权限 |
上图中a的权限则为:对于属主有读写执行权限,对于属组有读和执行权限,对于其他用户也是读和执行权限;
用户管理
用户
用户分为两类:管理员与普通用户,管理员则是root用户,而普通用户又分为系统用户和一般用户,root这里我们不用过多介绍,只需要知道root的UID为0不能修改,它具有最大的权限即可,我们重点介绍普通用户;
1、系统用户:系统用户的UID一般为1-499(linux6到了7版本为1-999),这些用户时系统后台进程运行的时候所需要的用户,这类用户不用来登录系统,所以我们看到的shell程序定义为了/bin/nologin;
2、一般用户:这类用户的UID一般为500-60000,这类用户就是用来做系统管理,做计算机资源的分配;
用户组
用户一般属于用户组!而每一个用户都会属于一个组或者多个组,而这些组对于用户而言,则分为基本组和额外组(额外组也叫做附加组),一般创建用户的时候,如果没有指定组,则会自动为这个用户创建一个同名的组,我们叫这个组为私有组;
常见文件
/etc/passwd、/etc/group、/etc/shadow、/etc/gshadow
/etc/passwd:用来存放用户的相关信息;:为分割符(cut -d指定分割符)
第一列:用户名
第二列:密码,而这里用x代替,这里叫做填充符,真正的密码存放于/etc/shadow文件中
第三列:UID,用户ID号(0为root用户,1-499为系统用户,500-60000为一般用户)
第四列:GID,组ID号
第五列:描述,如果一个用户又多个描述内容,用 “,”隔开
第六列:用户的家目录
第七列:用户使用的shell程序,一般为/bin/bash,如果是/sbin/nologin,则这个用户时不能登录的
/etc/shadow:“影子文件”,用来存放密码相关内容,重点为密码本身以及密码的过期时间的定义,它同样是以“:”作为分割符;同时,通过man shadow文件可以查看相关文档说明;
第一列:用户名
第二列:密码,密码列又以$符号做为分割,分为几个内容(以hive用户为例)
这里的6代表md5的hash方式
/toyUKZI 则为随机产生的“盐”,用来使相同的密码在做hash后能得到不同的128位字符;
最后一段乱码为“密码+盐”进行md5 hash后的结果存放在这里;
md5sum 文件名 #生成一段MD5的hash码
(从第三列开始则是对密码一系列的时间定义)
第三列:(date of last password change)从系统元年(1970-01-01)到最近一次修改密码的时间;
第四列:(minimum password age)密码的最短使用期限,让你的密码先用两天才能去改;
第五列:(maximum password age)密码使用的最长期限,这个密码用了多少天以后必须修改;
第六列:(password warning period)密码过期警告时间,还有多少天密码就要过期了,警告用户需要修改密码了;
第七列:(password inactivity period)在密码过期以后,还宽限几天,而这几天以登录就必须修改密码,无法做其他的操作;
第八列:(account expiration date)从1970-01-01开始算起,到达目标时间以后就直接过期,不能再使用;
其中99999表示永不过期;
【reserved field,在文件的最后还有一列保留位】
/etc/group:组文件,里面存放了Linux系统下组信息;包括组名、组密码(占位符)、GID、和存放在这个组中的用户(如果对于用户而言,这个组时它的私有组,则不会显示在这里,只有是附加组的时候才会显示);
/etc/gshadow:组密码文件,在用户需要临时组权限的时候,这时,我们就需要切换组(newgrp 组名),这时就需要为组设置密码;
常见命令
用户管理:useradd、userdel、usermod、passwd、chsh、chfn、finger、id、chage
组管理:groupadd、groupdel、groupmod、gpasswd
权限管理:chown、chgrp、chmod、umask