筆記–8.2–用戶管理，權限管理

·硬鏈接，軟鏈接區別

	大小	鏈接數	設備，分區	類型
硬連接	一樣大，顯示的是本身的大小	會增加	不能跨分區	是一個文件，相同inode號，忘了位置可通過inode號找到源文件
軟鏈接	不一樣大，鏈接文件大小是路徑的大小	不會增加	可以跨分區，跨設備	兩個文件，不同inode號，像發小廣告，忘了源連接，文件就找不到了

軟鏈接格式：ln -s +絕對路徑或相對路徑（相對于軟連接的路徑） + 連接文件路徑

硬鏈接格式：ln + 相對源文件路徑可以，相對后面連接文件也可以，因為鏈接不是根據路徑找的，而是根據inode號找的+         連接文件

·一個文件的創建會帶來4個文件的修改，還有家目錄和郵箱（/var/spool/mail）

·創建用戶時的默認信息是調用/etc/default/useradd的，可用cat查看，查看效果等同于  useradd -D 

·創建用戶時，會自動建家目錄，而且家目錄中還有內容，是因為調用了/etc/skel模板

·/etc/passwd

 用戶名：密碼：UID：GID：注釋信息：家目錄：shell類型

·/etc/shadow

 用戶名：密碼：最后一次修改密碼時間：最短密碼有效期：最長密碼有效期：警告時間：過  期后寬限時間：賬戶有效期

·/etc/gshadow

 組名：密碼：組管理員：組成員

·用戶屬性修改

   usermod [OPTION] login  

-aG:保留原來的附加組，并添加新的附加組  usermod  -aG root,nodody  laoli

清空附加組：usermod -G  “ ”  laoli

-u UID:  新UID

-g GID:  新基本組

-G ：新附加組，原來的附加組將會被覆蓋；若保留原有，則要同時使用-a 選項

-s SHELL ：新的默認SHELL

-c 'COMMENT' ：新的注釋信息

-d HOME:  新家目錄不會自動創建，原家目錄中的文件不會同時移動至新的家目錄；若要創建新家目錄并移動原家數據，同時使用-m 選項

-l login_name:  新的名字

-L: lock 指定用戶, 在/etc/shadow  密碼欄的增加 !

-U: unlock 指定用戶,將 將 /etc/shadow 的 密碼欄的 !  拿掉

-e YYYY-MM-DD:  指明用戶賬號過期日期；

-f INACTIVE: 設定非活動期限

 

例：

修改user1用戶的一些相關信息：usermod -u 600 -g 600 -Ga(追加附加組) user2 -s /bin/csh  -dm /tmp/user2

查看用戶有幾個附加組用groups

擴展技巧：拷貝/etc/skel下的所有目錄來恢復家目錄

cp -r /etc/skel/. /tmp/user1

·userdel：刪除用戶userdel [OPTION]… Login：默認不刪家目錄，是好事，因為只刪用戶，用戶的內容還保留

     -r: 刪除用戶家目錄   

·查看用戶相關的ID 信息

 id [OPTION]… [USER]

   -u:顯示用戶id號

   -n：顯示用戶名（要配合-u使用，顯示用戶名）

   -g：顯示組id號（同樣要配合-u使用，顯示組名）

   -G：顯示附加組

·su：切換用戶

      su UserName ：非登錄式切換（而不是登陸 ，who am i測試），即不會讀取目標用戶的配置文件，不改變當前工作目錄

    su – UserName ：登錄式切換，會讀取目標用戶的配置文件，切換至家目錄，完全切換

· root su 至其他用戶無須密碼；非root 用戶切換時需要密碼

·換個身份執行命令：

      su [-] UserName -c 'COMMAND' 例wu$  su  – root  -c ‘pwck’ 一條命令執行三條命令，執行完又退回到wu用戶了

·設置口令：passwd

-l: 鎖定指定用戶    相當于usermod – l(加兩個！！雙保險，用usermod解也是解一個)

-u: 解鎖指定用戶    相當于usermod – U（用usermod解也是解一個）

-uf;強行解鎖

-e: 強制用戶下次登錄修改密碼，相當于shadow第三項為0

     等同于chage  -d   ·下一次登錄強制重設密碼chage -d 0 tom

-n mindays:  指定最短使用期限      等同于chage  -m

-x maxdays ：最大使用期限        等同于chage  -M

-w warndays ：提前多少天開始警告 等同于chage  -W

-i inactivedays ：非活動期限；      等同于chage  -i

–stdin ：從標準輸入接收用戶密碼；（適合編腳本）

echo " PASSWORD " | passwd –stdin USERNAME

另一種改密碼方法：echo  xixi:123.com | chpasswd

·chage修改用戶密碼策略 [OPTION]… LOGIN（影響 某一個賬號）

 -E, 最長密碼有效期   chage -E 2016-09-10 tom

 –l ，顯示密碼策略    chage  -l wu等同于getent shadow wu

     -m：最短修改時間

 -M：最長修改時間

 -I：設置寬限時間

 -W：警告時間

 chage -m 0 –M 42 –W 14 –i 7 tom

可以不加任何選項，以交互的方式修改

   chage user1

  

用戶相關的其他命令擴展：

  chfn:修改usermod 修改的是（useradd -c 說明信息）

  chsh：修改shell    等同于usermod  -s  /bin/csh  wu

  finger 指定格式修改用戶說明信息

·創建組,只改/etc/group和/etc/gshadow，不改：/etc/passwd和/etc/shadow

    groupadd+選項+組名

    -g GID:  指明GID 號；[GID_MIN, GID_MAX]

    -r:  創建系統組；

   CentOS 6: ID<500   CentOS 7: ID<1000

   Groups wu :查看wu屬于哪個組

   Groupmems  -l  -g  group1：查看groups1輔助組里有誰  例groupmems  -l  -g  mail

·更改和查看組成員groupmems [options] [action]

   -gl：查看有哪些用戶屬于xx組

    -a指定用戶加入組，追加用戶（需要有-g選項） 

   -d從組中刪除用戶

   -p從組中清除所有成員

   -l顯示組成員列表

·groups  [OPTION].[USERNAME]…  查看用戶所屬組列表

 

·groupmod：修改組信息

-g：修改組id

-n：修改組名

·groupdel：刪除組 groupdel + 組名

·gpasswd：更改組密碼，gpasswd選項基本和group mems一樣

·gpasswd + 組名 （修改方式是交互式的）

    -a：添加用戶到組 gpassed -a user1（用戶） group1（組）

    -d：刪除組內一個用戶

    -A:將用戶設置為管理員 gpasswd -A user group1

·newgrp 命令：臨時切換基本組；

     如果用戶本不屬于此組，則需要組密碼

·文件權限

   ?。∥募?/span>

r:  可使用文件查看類工具獲取其內容

w:  可修改其內容

x:  可以把此文件提請內核啟動為一個進程

   ??！目錄：一般都會給rx

r:  可以使用ls 查看此目錄中文件列表

w:可在此目錄中創建文件，也可刪除此目錄中的文件，如果只有w，沒有x，也不能建，刪

x:  可以使用ls -l 查看此目錄中文件列表，可以cd 進入此

目錄，讀目錄內文件內容，沒有執行權限，目錄內內容讀不了

X:只給目錄x 權限，不給文件x權限（本身沒有x），但如果所有者本來就有x權限，ugo就都有x權限了   Chmod   -R  a+X  /testdir/dir/                                    Chmod   -R  u=rwx  /testdir/dir

·chmod：修改文件權限

   1.授權修改：

chmod u=.. ,g=.. ,o=.. file1

chmod u+.. ,g+.. ,o+.. file1

或者chmod a=.. or a+.. file1

(..用rwx代替)

   2.數值修改

chmod 777 file1

   3.參考修改，

參考RFILE文件權限，將FILE 修改為同RFILE；chmod –reference f1  f2  參考f1的權限，把f2和f1改的一樣

 

3.chown:修改文件的屬主（只有root 可以改）

·chown 屬主 文件名

也可以同時修改屬主屬組：[chown 屬主：屬組 文件名]   chown user1：group1 file1

   -R：表示遞歸修改

補充：chown user1: file1          這條命令表示將file1文件的屬主屬組同時改成user1

    chown :group1 file1         這條命令表示將file1文件的屬組改成group1，屬主不變

·chgrp：修改文件的屬組

-R：遞歸

chgrp group1 file1

·文件的權限

r: 可以ls

x：可以cd 讀cat目錄內文件內容

w：配合x能刪能創建

遞歸給權限時X可以只給文件夾x權限，不給文件夾內文件的x權限

用數字表示權限

rwx：111 rw-：110等

  補充說明：

a.只有root可以修改文件的屬主，即使是文件的屬主也不能修改文件屬主

b.chgrp 文件的屬組可以在屬主的附加組內轉換

 

   權限設置

chgrp sales testfile  設置所屬組是sales

chown root:admins testfile  設文件的屬組為root屬組為admins

chmod u+wx,g-r,o=rx file

hmod -R g+rwX /testdir

chmod 600 file

chown mage testfile

chown  wangcai   f1  只改文件所有者，所屬組不變

chown  wangcai： f1  屬主屬組都變

chown  :ftp     f1    只改屬組，屬主不變

 

新建文件和目錄的默認權限

·umask值  可以用來保留在創建文件權限，從最大權限中屏蔽相應權限位，從而得出默認權限 

·默認權限=最大權限-umask        文件：如果所得結果某位存在執行（奇數）權限，則將其權限+1  例子（umask=137   file=666-137=53-1 因為出現奇數，三位都+1，就成了640）  目錄：不變

·新建FILE 權限: 666-umask  ，linux默認對文件沒有執行權限

·新建DIR 權限: 777-umask

·非特權用戶umask是002

·root 的umask 是022

·umask: 查看默認umask值

·umask #:  設定  umask  u=rw  g=r  o=rw

·umask  137  

·umask –S  模式方式顯示

·umask –p  輸出可被調用  實際用法：umask -p >> ~/.bashrc

·默認值：

 umask + 屏蔽權限位，例 umask 002，以上這種寫法只是臨時有效，永久生效：全局設置： /etc/bashrc  用戶設  置：~/.bashrc

·文件的特殊權限：

1.suid：表示其他用戶可以臨時擁有[二進制文件]屬主的執行權限 ，在屬主的權限位的x位變成s位

chmod u+s file1，只能作用在二進制程序上

實例：/bin/passwd

擁有suid的文件要特別小心，它可以讓其它用戶擁有二進制文件的屬主的權限

2.sgid：作用在二進制程序上，任何人（不一定是該組成員）執行該程序的時候將繼承程序所屬組的權限。作用在目錄上，該目錄內新建的文件或目錄的所屬組自動繼承該目錄的所屬組，其他用戶臨時繼承擁有了[二進制文件或者目錄]的組的權限，在屬組的權限位的x變成s

chmod g+s file1

實例：對于目錄來說有2個用戶屬于目錄的屬組，那么他們所建立的文件的屬組變為他們所在目錄的屬組

例：drwxrwsrwx user1 group1 dir1

user2和user3都屬于group1那么他們所建立的文件的屬組都為group1

若是other其他用戶，那么需要看other是否又權限，如果有，那么他們所建的文件的屬組依然是group1

3.sticky粘滯位：只能作用在目錄上，具有寫權限的目錄通常用戶可以刪除該目錄中的任何

文件，無論該文件的權限或擁有權，在目錄設置Sticky  位，只有文件的所有者或root可以刪除該文件，sticky 設置在文件上無意義

實例：/tmp/目錄

·文件的特殊屬性：

1. chattr：

+i：不能被刪除改名，和修改 chattr +i file1

+a：只可以增加，不能刪除 chattr +a file1

2.lsattr：查看文件的特定屬性

·ACL訪問控制列表：

1.setfacl：setfacl + 選項 + u/g/o : 用戶名、組名 : 權限 + 文件

-m：增加

setfacl -m u:user1:rw file1

-x：刪除權限

setfacl -x u:user1 file1

-b：清空所有acl權限

setfacl -b file1

-R：遞歸

setfacl -Rm g:group1:rwX dir1

-M：調用已經寫好的文件的acl

1.echo “u:user1:rw” > acl.txt

2.setfacl -M acl.txt file1

-X：減去調用的文件

u前面加d

setfacl -m d:u:user1:rw dir1

表示在dir1 這個目錄下用戶user1所創建的文件默認有rw權限

2.mask：限制除所有者和other外的人

包括用acl允許的用戶、組和文件本身的屬組

setfacl -m mask::rw file1