linux 用户身份与文件权限

一、用户身份

分类：

1、管理员UID为0：系统的管理员用户

2、系统用户UID为1-999：Linux系统为了避免因某个程序出现漏洞而被黑客提权至整台服务器，默认服务程序会有独立的系统用户负责运行，进而有效控制被破坏范围

3、普通用户UID从1000开始：有管理员创建的普通用户的UID默认是从1000开始的（即使前面有闲置的号码）

注：系统用户centos56范围：1-499     7：1-999

普通用户centos56范围：500-65535    7:1000-65535

 

管理用户主要命令useradd、groupadd、usermod、passwd、userdel

useradd命令

作用：用于创建用户

格式：useradd [参数][用户名]

参数：

-e：用户终止日期，日期的格式为YYYY-MM-DD

-m：用户目录不存在时自动创建

-M：不建立用户家目录，优先于/etc/login.defs文件设定

-d：新用户每次登陆时所使用的家目录

-u：指定用户id

 

例：添加用户tom，设置家目录为/tmp/tomhome，用户过期时间为2021/1/1日。过期后两天停权

useradd -e "2021/01/01" -f 2 -d /tmp/tomhome tom 

 

groupadd命令

作用：创建用户组，新用户组的信息将被添加到系统文件中

格式：groupadd [参数]

参数：

-g：指定新建工作组id

-r：创建系统工作组，系统工作组ID小于1000

 

例：创建id为1005的工作组，组名为tom

groupadd -g 1005 tom

 

usermod命令

作用：修改用户账号，可修改用户账号的各项设定，修改系统账号文件来反映通过命令行指定的变化

格式：usermod [参数]

参数：

-d：修改用户登录时的目录

-e：修改账号的有效期限

-f：密码过期后多少天关闭该账号

-l：修改用户账号名称

-g：修改用户所属组

-L：锁定用户密码

-U：解除密码锁定

-s：修改用户登陆后所使用的shell

 

例：更改登录目录

usermod -d /home/tom root

 

passwd命令

作用：修改用户账户密码

格式：passwd [参数]

参数：

-d：删除密码

-l：锁定用户密码

-u：解除密码锁定

-S：查询密码状态

 

例：修改root密码

passwd --stdin root

 

userdel命令

作用：删除用户

格式：userdel [参数][用户名]

参数：

-f：强制删除用户

-r：删除用户主目录及其中的任何文件

 

二、文件权限与归权

特殊字符文件

—：普通文件

d：目录文件

l：链接文件

b：块设备文件

c：字符设备文件

p：管道文件

 

1、文件属性说明

　drwxr-xr-x.　2　    root　　root　 4096  Sep　26　08:31　Templates

　　　1组　　2组　 3组　 　4组　　5组　　　6组　　　　　　7组

　　第 1 组：文件类型，其中第一个字符代表文件的类别。

　　　　- 普通文件　　d 目录　　l 符号链接

　　　　c 字符设备　　b 块设备

　　文件的权限

　　　　r：可读　　w：可写 　　x：可执行 　　-：没有权限

　　第 2 组：文件件的连接数

　　第 3 组：文件所有者

　　第 4 组：文件属组

　　第 5 组：文件大小，默认单位为字节

　　第 6 组：文件创建时间

　　第 7 组：文件名称

2、修改文件的权限：chmod

　　字母方式修改权限

　　　　文件所有者权限（u)

　　　　所属组权限（g)

　　　　其他用户权限(o)

　　　　所有用户（a)

　　例：/mnt 的权限是 drwxr-x---

　　　　chmod u-w /mnt　　权限变为：dr-xr-x---

　　　　chmod o+rx /mnt　　权限变为：dr-xr-xr-x

　　　　chmod g+w /mnt　　权限变为：dr-xrwxr-x

　　　　chmod a+w /mnt　　权限变为：drwxrwxrwx

3、数字方式修改权限

　　r=4　　w=2　　 x=1　　 -=0

4、修改文件的所有者与所属组：chown

　　例：chown teacher:teacher /test1　　同时修改所有者与所属组

　　　　chown root /test1　　　　　　　　修改所有者

　　　　chown :student /test1　　　　　　修改所属组

 

文件的特殊权限

SUID

作用：一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时执行属主的权限（仅对拥有执行权限的二进制程序有效）。

注：如果原先权限位上没有X执行权限，那么被赋予特殊权限后将变成大写的S

例：为/etc/passwd文件增加SUID权限，此时passwd文件的用户临时赋予了文件所属者权限。

chmod u+s /etc/passwd

 

SGID

两种功能：

1、让执行者临时拥有属组的权限（对拥有执行权限的二进制程序进行设置）

2、在某个目录中创建的文件自动继承该目录的用户组（只可以对目录进行设置）

例：创建testdir目录并附加给SGID权限

 

SBIT

作用：可确保用户只能删除自己的文件，而不能删除其他用户的文件。当对某个目录设置了SBIT粘滞位权限后，该目录中的文件就只能被其他所有者执行删除操作。

例：创建testdir目录并附加SBIT权限

 

文件访问控制列表

当对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（ACL）

未对普通用户root管理源的家目录设置ACL

对管理员家目录设置ACL

查看root目录ACL规则

删除之前创建的ACL