4管理用户和文件权限合编.docxVIP

一、管理用户和组账号1、用户和组账号概述（1）用户账号主要包括超级用户（如root）、普通用户和程序用户（如bin、daemon、ftp、mail等）（2）组账号用于表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组，这个组称为该用户的基本组（或私有组）；如果该用户同时还包括在其他组中，则这些组称为该用户的附加组（或公共组）。基本组不能删除（除非没有成员了），附加组不管有没有成员都可以删除。（3）UID和GIDroot用户的UID为固定值0，程序用户的UID默认在1-499之间，普通用户的UID默认在500-60000之间。普通用户、及其组账号使用的默认UID、GID范围定义在配置文件“/etc/login.defs”中2、用户账号管理useradd、passwd、usermod、userdel（1）用户账号文件 /etc/passwd、/etc/shadow在这两个配置文件中，每一行对应一个用户账号，不同的配置项之间用冒号“：”分隔。passwd文件的配置行格式：第二字段：经过加密的用户密码字串，或密码占位符“X”（若此X删了，表示无密码）在早期的unix系统中，用户账号的密码信息也是保存在passwd文件中的，不法用户可以获取密码字串进行暴力破解，这样一来账号安全就存在一定的隐患。因此后来将密码转存入专门的shadow文件中，而passwd文件中仅保留密码占位符“x”shadow文件的配置行格式：shadow文件又被称为“影子文件”，其中保存有各用户账号的密码信息，因此对shadow文件的访问应该进行严格限制。默认只有root用户能够读取文件中的内容，而不允许直接编辑该文件中的内容。①用户账号②加密密码字串。使用MD5加密的密码字串，当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空，则该用户无需密码即可登录系统。③上次改密码时间戳（天数）。表示从1970年01月01日起到最近一次修改密码间隔的天数。0表示还未修改，下次登录时必须修改④密码最短有效天数。自本次修改密码后，必须至少经过多少天才能再次修改密码。默认值为0，表示不进行限制⑤密码最长有效天数。默认值999999，表示不进行限制。⑥提前多少天警告用户密码将过期。默认值为7。⑦过期之后多少天禁用此账户。⑧账号失效时间戳（天数）。默认值为空，表示账号永久可用⑨保留字段（2）useradd [-dMugGse] 用户名 ##添加用户useradd命令在添加用户账号的过程中主要完成以下几项任务。①在“/etc/passwd”文件和“/etc/shadow”文件的末尾增加该用户账号的记录②若未明确指定用户的宿主目录，则在“/home”目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的初始配置文件。③若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到“/etc/group”、“/etc/gshadow”文件中。-d：指定宿主目录 ##directory-M：不建立宿主目录。-u：指定UID。-g：指定基本组名（或gid）-G：指定附加组名（或gid）-s：指定登录shell。-e：指定有效期至。可使用YYYY-MM-DD的日期格式。##effective有效期例 4.6 创建一个辅助管理员账号admin，宿主目录为“/admin”，基本组为“wheel”、附加组为“root”，有效期至“2020-07-30”例 4.7 创建用于FTP访问的用户账号dluser，指定登录shell为“/sbin/nologin”（禁止登录），且不建立宿主目录。在linux系统中，绝大部分的程序用户都是被禁止登录到系统的。补充：创建用户sa时，所已经存在组sa，那么就必须-g指定sa的基本组，否则sa默认添加不了基本组sa，从而sa创建不成功。正在登录的用户不能被删除。（3）passwd [-dSlu]用户名##为用户设置密码root用户可以指定用户名作为参数，来修改对应用户的密码，但是普通用户只能执行单独的passwd命令修改自己的密码。普通用户设置自己的密码时，密码有一定的复杂性要求（如不要直接使用英文单词，长度保持在6位以上），否则系统可能拒绝进行设置。-d：清空密码 ##delete-S：查看用户的锁定状态 ##status-l：锁定用户。##lock-u：解锁用户。##unlock（4）usermod [-dMugGselLU] 用户名##修改用户属性-d：修改宿主目录-M：不为用户建立并初始化宿主目录。-u：修改UID。-g：修改基本组名（或gid）-G：修改附加组名（或gid）-s：修改登录shell。-e：修改有效期至。可使用YYYY-MM-DD的日期格式。##effective有效期-l：