2014管理用户和文件权限.docxVIP

管理用户和组账号用户账号和组账号概述：用户账号：超级用户：root用户是linux系统中默认的超级用户账号，对本主机拥有至高无上的完全权限，类似于window中的administrator，只有当进行系统管理、维护任务时，才建议使用root。日常处理事务建议使用普通的用户账号进行。普通用户：普通用户账号需要由root用户或其他管理员用户创建，拥有的权限受到一定限制，一般只在用户自己的宿主目录中完全权限。程序用户：在安装linux系统及部分应用程序时，会添加一些热定程序的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维护系统或某个程序的正常运行。比如：bin、daemon、ftp、mail等。组账号：基于某种特定关系（如都需要访问ftp服务器）将多个用户集合在一起，即构成一个用户组，用于表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组，这个组成为基本组（或私有组）；如果该用户同时还包括在其他的组中，则这些组称为该用户的附加组（或公共组）。对组账号设置权限，将适用于组内的每一个用户账号。UID和GID号：linux中每一个用户账号都有一个数字形式的身份标记，称为UID（User Idenity（身份），用户标识号），对于系统核心而言，UID作为区分用户的基本依据，原则上每一个用户的UID号应该是唯一的。root用户账号的UID号固定值为0，而程序用户账号的UID号默认在1~499之间，500~60000的UID号默认分配给普通用户账号使用。与UID号类似，每一个组账号也有一个数字形式的身份标记，称为GID（group identity，组织标号）。root组账号的GID号为固定值0，而程序组账号的GID号默认在1~499之间，普通组账号使用的UID号默认为500~60000.普通用户、组账号使用的默认UID、GID号范围定义在配置文件“/etc/login.defs”中。例子：查看“/etc/login.defs”配置文件中定义的默认UID、GID号范围。~]#grep “ID” /etc/login.defs用户账号管理：用户账号文件。与用户账号相关的配置文件主要有两个，分别是/etc/passwd、/etc/shadow。前者用于保存用户名称、宿主目录、登录Shell等基本信息，后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中，每一行对应一个用户账号，不同的配置项之间使用冒号“：”进行分隔。passwd文件中的配置行格式：系统中所有用户的账号基本信息都保存在“/etc/passwd”文件中，该文件时文本文件，任何用户都可以读取文件中的内容。例子：查看“/etc/passwd”文件中的前两行、后两行的内容。~]#head -2 /etc/passwd~]#tail -2 /etc/passwd在passwd文件开头的部分，包括超级用户root及各程序用户的信息，系统中新增的用户账号信息将保存到passwd文件的末尾。passwd文件的每一行内容中，包含了七个用冒号“：”分隔的配置字段（不是7个冒号），从左到右各配置字段的含义如下第一字段：用户账号的名称，也是登录系统时使用的识别名称。第二字段：经过加密的用户密码字串，或者密码占用符“x”。第三字段：用户账号的UID号。第四字段：所属基本组账号GID号。第五字段：用户全名、可填写与用户相关的说明信息。第六字段：宿主目录，即该用户登录后所在的默认工作目录。第七字段：登录Shell等信息，用户完成登录后使用的Shell。如果是/sbin/nologin ,则禁止登录到系统。基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改。在早期的unix系统中，用户账号的密码信息也是保存在passwd中的，不法用户可以获取密码字串进行暴力破解，这样一来账号安全就存在一定的隐患。因此，后来将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符“x”。B，shadow文件中的配置行格式。shadow文件又被称为“影子文件”，其中保存有各用户账号的密码信息，因此对shadow文件的访问应该进行严格的限制。默认只有root用户能够读取文件中的内容，而不许直接编辑该文件中的内容。查看“/etc/shadow”文件的前两行、后两行内容shadow文件的每一行内容中，包含了九个用冒号“：”分隔的配置字段，从左到右配置字段的含义如下：第一字段：用户账号的名称。第二字段：使用MD5加密的密码字串信息，当为“*”或者“！”时表示此用户不能登录到系统。若该字段内容为空，则用户无需密码即可登录到系统。第三字段：上次修改密码的时间，表示从1970年01月01日算起到最近一次修改密码时间隔的天数。第四字段：密码的