第五章 用户身份与文件权限

第五章 用户身份与文件权限

用户身份与能力

• 身份分类

  • 管理员UID为0：系统的管理员用户。
  • 系统用户UID为1～999： Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器，默认服务程序会有独立的系统用户负责运行，进而有效控制被破坏范围。
  • 普通用户UID从1000开始：是由管理员创建的用于日常工作的用户。

• 用户组

  • 通过使用用户组号码（GID，Group IDentification），我们可以把多个用户加入到同一个组中，从而方便为组中的用户统一规划权限或指定任务

  • 基本用户组和拓展用户组

    • 

• 命令

  • useradd

    • useradd命令用于创建新的用户，格式为“useradd [选项] 用户名”。(实验是不正确的,因为没有权限)

    • 参数

      • -d 指定用户的家目录（默认为/home/username）
      • -e 账户的到期时间，格式为YYYY-MM-DD.
      • -u 指定该用户的默认UID
      • -g 指定一个初始的用户基本组（必须已存在）
      • -G 指定一个或多个扩展用户组
      • -N 不创建与用户同名的基本用户组
      • -s 指定该用户的默认Shell解释器

    • 示例

      • [root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe
        [root@linuxprobe ~]# id linuxprobe
        uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe)

  • groupadd

    • groupadd命令用于创建用户组，格式为“groupadd [选项] 群组名”。

    • 示例

      • [root@linuxprobe ~]# groupadd ronny

  • usermod

    • usermod命令用于修改用户的属性，格式为“usermod [选项] 用户名”。

    • 参数

      • -c 填写用户账户的备注信息
      • -d -m 参数-m与参数-d连用，可重新指定用户的家目录并自动把旧的数据转移过去
      • -e 账户的到期时间，格式为YYYY-MM-DD
      • -g 变更所属用户组
      • -G 变更扩展用户组
      • -L 锁定用户禁止其登录系统
      • -U 解锁用户，允许其登录系统
      • -s 变更默认终端
      • -u 修改用户的UID

    • 注意

      • 这个是修改用户属性的一种方法，还有一种方法是修改系统中用户的配置文件/etc/passwd，可以通过文本编辑器来修改用户参数

  • passwd

    • passwd命令用于修改用户密码、过期时间、认证信息等，格式为“passwd [选项] [用户名]”

    • 参数

      • -l 锁定用户，禁止其登录
      • -u 解除锁定，允许用户登录
      • --stdin 允许通过标准输入修改用户密码，如echo "NewPassWord" | passwd --stdin Username
      • -d 使该用户可用空密码登录系统
      • -e 强制用户在下次登录时修改密码
      • -S 显示用户的密码是否被锁定，以及密码所采用的加密算法名称

  • userdel

    • userdel命令用于删除用户，格式为“userdel [选项] 用户名”。

    • 参数

      • -f 强制删除用户
      • -r 同时删除用户及用户家目录

文件权限与归属

• 尽管在Linux系统中一切都是文件，但是每个文件的类型不尽相同，因此Linux系统使用了不同的字符来加以区分

• 文件类型对应的字符类型

  • -：普通文件。
  • d：目录文件。
  • l：链接文件。
  • b：块设备文件。
  • c：字符设备文件。
  • p：管道文件。

• 文件的权限

  • 普通文件

    • r

      • 可读

    • w

      • 可写

    • x

      • 可执行

  • 目录文件

    • r

      • 可读，表示可读取目录的文件列表

    • w

      • 可写，表示能够在目录内新增、删除、重命名文件

    • x

      • 可执行，表示可以进入该目录

  • rwx数字表示法

    • 

    • 示例

      • rwxrw-r--

        • 该文件所有者拥有可读、可写、可执行的权限，其文件所属组拥有可读、可写的权限；而且其他人只有可读的权限。数字表示法为764

      • 

• 文件的特殊权限(未完成)

  • SUID
  • SGID
  • SBIT

• 文件的隐藏属性

• 文件访问控制列表

• su和sudo

  • su

    • 可以用来切换用户，包括管理员切换至普通用户，普通用户切换到管理员账户

    • su - username

      • -：这意味着完全切换到新的用户，即把环境变量信息也变更为新用户的相应信息，而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号（-）。