linux账号与权限管理.docx

linux账号和权限管理用户账号和组账号概述： 1、用户账号超级用户：root用户是Linux系统中默认的超级用户账号，对本主机拥有最高权限，类似Windows的administrator用户。进行系统管理，维护时，建议使用root用户，平时建议使用普通用户。普通用户：普通用户的账号需要由root用户或其他管理员用户创建，权限受到一定限制，一般只在用户自己的宿主目录中拥有完整权限。程序用户：在安装Linux系统及部分应用程序时，会添加一些特定的低权限账号。这些用户一般不允许登录到系统，仅用于维持系统或某个程序正常的运行，如 bin，ftp，mail。 2、组账号将多个用户集合在一起，即构成一个用户组，用于表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组，称为该用户的基本组（或私有组）；若该用户还在其他组中，则这些组为该用户的附加组（或公共组）。对组账号设置的权限，适用于组内的每个用户。 3、 UID和GID号 Linux系统中每一个用户账号都有一个数字形式的身份标记，称为UID（User IDentity，用户标示号，）UID作为区分用户的基本数据，原则上每个用户的UID号是唯一的。root用户的UID号固定值为0，而程序用户账号的UID号默认为1~499,500~60000 默认分配给普通用户使用。与UID类似，每一个组账号也有一个数字形式的身份标记，称为GID（Group IDentity，组标示号）。root组账号的GID号固定值为0，程序组账号的GID号默认为1~499,500~60000的GID号给普通组使用。用户账号管理 1、用户账号文件与用户账号相关的配置文件有两个，分别是/etc/passwd,/etc/shadow。前者保存用户名称，宿主目录，登录shell等基本信息，后者用于保存密码，账号有效期等信息。配置文件中，每一行对应一个用户账号，不同的配置项之间用：分隔。 1）passwd文件中的配置行格式 passwd开头包括了root及各个程序用户的信息，系统新增加的用户保存到passwd文件的末尾。所有用户都可以访问passwd文件中的内容，但只有root用户才能进行更改。每一行有七个字段，用冒号隔开，从左到右各字段含义如下：第1字段：用户账号的名称，登录系统时使用的识别名称。第2字段：经过加密的用户密码字串，或密码占位符“x”。第3字段：用户账号的UID号。第4字段：　所属基本组账号的GID号。第5字段：　用户全名，可填写与用户相关的说明信息。第６字段：　宿主目录，即该用户登录后所在的默认工作目录。第７字段：　登录shell等信息，用户完成登录后使用的shell。 2）shadow文件中的配置行格式 shoadow文件又被称为影子文件，其中保存有各用户账号的密码信息，因此对shadow文件的访问应该进行严格限制。默认只有root用户能读取文件中的内容，不允许直接编辑该文件中的内容。 shadow文件的每一行内容中，包含了九个冒号“：”分隔的字段，从左到右含义如下：第1字段：用户账号名称。第2字段：　使用MD5加密的密码字串信息，当为*或！！时此用户不能登录系统。当该字段为空时，该用户无需密码登录。第3字段：上次修改密码的时间，表示从1970年1月1日起到最近修改密码时的间隔的天数。第4字段：　密码的最短有效天数，本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为０，表示不进行限制。第5字段：密码的最长有效天数，本次修改密码后，经过该天数以后必须再次修改密码。默认值为99999，表示不进行限制。第6字段：提前多少天警告用户口令过期，默认值为7。第7字段：　在密码过期之后多少天内禁用此用户。第8字段：账号失效时间，此字段指定了用户作废的天数，默认值为空，表示永久可用。第9字段：保留字段，没有特定用途。2、添加、删除、修改用户账号1）useradd命令——添加用户账号 useradd [选项] 用户名创建用户时，可以不添加任何选项。在RHEL6系统中，使用useradd命令添加用户账号时主要完成一下几项任务。在/etc/passwd文件和/etc/shadow文件的末尾增加该用户账号的记录。若没有指定用户的宿主目录，则在/home目录下自动创建与该用户同名的宿主目录，并在该目录中建立用户的各种初始配置文件。若没有指定用户所属的组，则自动创建与该用户同名的基本组账号，记录信息保存到/etc/group、/etc/gshadow文件中。例如，执行以下操作可以创建名为zhangsan的用户账号，通过查看passwd、shadow文件和/home目录确认新增用户账号时的变化。 useradd命令中用于设置账号属性的几个常见选项（可以组合使用）:-u：指定用户的UID号，要