第五章 用户身份与文件权限

第五章 用户身份与文件权限

用户身份与能力

  • 身份分类

    • 管理员UID为0:系统的管理员用户。
    • 系统用户UID为1~999: Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。
    • 普通用户UID从1000开始:是由管理员创建的用于日常工作的用户。

  • 用户组

    • 通过使用用户组号码(GID,Group IDentification),我们可以把多个用户加入到同一个组中,从而方便为组中的用户统一规划权限或指定任务

    • 基本用户组和拓展用户组

  • 命令

    • useradd

      • useradd命令用于创建新的用户,格式为“useradd [选项] 用户名”。(实验是不正确的,因为没有权限)

      • 参数

        • -d 指定用户的家目录(默认为/home/username)
        • -e 账户的到期时间,格式为YYYY-MM-DD.
        • -u 指定该用户的默认UID
        • -g 指定一个初始的用户基本组(必须已存在)
        • -G 指定一个或多个扩展用户组
        • -N 不创建与用户同名的基本用户组
        • -s 指定该用户的默认Shell解释器

      • 示例

        • [root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe
          [root@linuxprobe ~]# id linuxprobe
          uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe)

    • groupadd

      • groupadd命令用于创建用户组,格式为“groupadd [选项] 群组名”。

      • 示例

        • [root@linuxprobe ~]# groupadd ronny

    • usermod

      • usermod命令用于修改用户的属性,格式为“usermod [选项] 用户名”。

      • 参数

        • -c 填写用户账户的备注信息
        • -d -m 参数-m与参数-d连用,可重新指定用户的家目录并自动把旧的数据转移过去
        • -e 账户的到期时间,格式为YYYY-MM-DD
        • -g 变更所属用户组
        • -G 变更扩展用户组
        • -L 锁定用户禁止其登录系统
        • -U 解锁用户,允许其登录系统
        • -s 变更默认终端
        • -u 修改用户的UID

      • 注意

        • 这个是修改用户属性的一种方法,还有一种方法是修改系统中用户的配置文件/etc/passwd,可以通过文本编辑器来修改用户参数

    • passwd

      • passwd命令用于修改用户密码、过期时间、认证信息等,格式为“passwd [选项] [用户名]”

      • 参数

        • -l 锁定用户,禁止其登录
        • -u 解除锁定,允许用户登录
        • --stdin 允许通过标准输入修改用户密码,如echo "NewPassWord" | passwd --stdin Username
        • -d 使该用户可用空密码登录系统
        • -e 强制用户在下次登录时修改密码
        • -S 显示用户的密码是否被锁定,以及密码所采用的加密算法名称

    • userdel

      • userdel命令用于删除用户,格式为“userdel [选项] 用户名”。

      • 参数

        • -f 强制删除用户
        • -r 同时删除用户及用户家目录

文件权限与归属

  • 尽管在Linux系统中一切都是文件,但是每个文件的类型不尽相同,因此Linux系统使用了不同的字符来加以区分

  • 文件类型对应的字符类型

    • -:普通文件。
    • d:目录文件。
    • l:链接文件。
    • b:块设备文件。
    • c:字符设备文件。
    • p:管道文件。

  • 文件的权限

    • 普通文件

      • r

        • 可读

      • w

        • 可写

      • x

        • 可执行

    • 目录文件

      • r

        • 可读,表示可读取目录的文件列表

      • w

        • 可写,表示能够在目录内新增、删除、重命名文件

      • x

        • 可执行,表示可以进入该目录

    • rwx数字表示法

      • 每一个文件对应三种角色的权限,即为文件所有者,文件所属组和其他用户

      • 示例

        • rwxrw-r--

          • 该文件所有者拥有可读、可写、可执行的权限,其文件所属组拥有可读、可写的权限;而且其他人只有可读的权限。数字表示法为764

  • 文件的特殊权限(未完成)

    • SUID
    • SGID
    • SBIT

  • 文件的隐藏属性

  • 文件访问控制列表

  • su和sudo

    • su

      • 可以用来切换用户,包括管理员切换至普通用户,普通用户切换到管理员账户

      • su - username

        • -:这意味着完全切换到新的用户,即把环境变量信息也变更为新用户的相应信息,而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号(-)。
posted @ 2025-03-11 23:00  红豆绿豆abc  阅读(282)  评论(0)    收藏  举报