Linux
Linux 是多用户多任务操作系统;简单的说:Linux 系统支持多个用户在同一时间内登陆,不同用户可以执行不同的任务,并且互不影响。
用户和组的概念
用户的作用:
Authentication:认证
Authorization:授权
Accouting:审计
用户存在的最终目的:
为了实现资源的分派
组的作用:
将具有相同特征的用户放在一起组成一个整体
当用户数量过多时方便管理
Linux安全上下文
Linux通过安全上下文的概念完成用户权限的指派。
先判断用户是否是某文件的属主
再判断用户是否属于某个组
最后定其为其他用户
运行中的程序:进程(process)
以进程发起者的身份运行
root:cat
tom:cat
进程所能够访问的所有资源的权限取决于进程的发起者的身份
用户和组的分类
## 用户分类
Linux用户分为管理员和普通用户:
用户分类 用户ID(uid)
管理员 0
普通用户 1-65535
其中普通用户又分为系统用户和登录用户:
普通用户类别 用户ID(uid)
系统用户 1-999(为守护类进程获取系统资源而完成权限指派的用户)
登录用户 1000-65535(为了完成交互式登录使用的用户)
## 组的分类
用户组分类 特性
基本组 用户的默认组
附加组(额外组) 基本组以外的其它组
## 用户和组相关的配置文件
各配置文件
配置文件 作用
/etc/passwd 用户及其属性信息(名称、uid、基本组id等等)
/etc/shadow 用户密码及其相关属性
/etc/group 组及其属性信息
/etc/gshadow 组密码及其相关属性。在用户执行基本组切换时使用
配置文件解析/etc/passwd 配置文件解析
字段 含义
第一字段 用户名
第二字段 密码占位符
第三字段 UID
第四字段 GID
第五字段 用户的描述信息
第六字段 用户家目录
第七字段 用户的登录shell
/etc/shadow 配置文件解析
字段 含义
第一字段 用户名
第二字段 加密后的密码
第三字段 最近一次更改密码的日期
第四字段 密码的最小使用期限
第五字段 密码的最大使用期限
第六字段 密码警告时间段
第七字段 密码禁用期
第八字段 帐号的过期日期
第九字段 保留字段
/etc/group 配置文件解析
字段 含义
第一字段 组名
第二字段 组密码
第三字段 GID
第四字段 以当前组为附加组的用户列表(分隔符为逗号)
/etc/gshadow 配置文件解析
字段 含义
第一字段 用户组
第二字段 用户组密码
第三字段 用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割
第四字段 组成员,如果有多个成员,用,号分割
用户管理命令
查看用户信息命令id
id 查看用户的帐号属性信息
-u 查看UID
-g 查看GID
-G 查看Groups
id命令用法
[root@123 ~]# id -u dd 查看UID
1206
[root@123 ~]# id -g dd 查看GID
1206
[root@123 ~]# id -G dd 查看Groups
1206
[root@123 ~]# id dd 查看用户的帐号属性信息
uid=1206(dd) gid=1206(dd) groups=1206(dd)
创建用户命令useradd
语法:useradd [option] USERNAME
-u UID [UID_MIN,UID_MAX]定义在/etc/login.defs文件中
-g GID 指定用户所属基本组,可为组名或GID
-G groupname,... 附加组,可以有多个,用逗号隔开。组groupname必须事先存在
-c "COMMENT" 注释信息
-d /path/to/directory 指定用户的家目录。此目录必须不能事先存在, \
否则将不会从/etc/skel中复制环境设置文件
-s shell 这里的shell最好使用/etc/shells里面有的shell, \
/etc/shells指定了当前系统可用的安全shell
-M 创建用户时不给其创建家目录
-r 添加一个系统用户
-D 直接打印/etc/default/useradd文件的内容或配合其它选项 \
(例如-s SHELL)直接修改/etc/default/useradd文件中的默认值
useradd命令用法
useradd -u id 用户名 //指定用户uid,并创建用户
id 用户名 //查看用户的id
uid=1200(du) gid=1200(du) groups=1200(du)
useradd -g 已有的用户组 需要创建的用户 //指定用户所属基本组,可为组名或GID,并创建用户
id aa //查看用户aa 所属基本组有哪些
uid=1201(aa) gid=1200(du) groups=1200(du)
useradd -G 已有的用户组,另一个已有的用户组 需要创建的用户 // 附加组,可以有多个,用逗号隔开。组groupname必
须事先存在
id 用户名 //可以查看到这个用户有多个组
uid=1202(bb) gid=1202(bb) groups=1202(bb),1200(du),0(root)
useradd -c '需要注释的信息' 需要创建的用户名 // 注释信息
cat /etc/passwd |grep 用户名 // 可以查看到用户注释的信息
cc:x:1203:1203:123:/home/cc:/bin/bash
useradd -d /目录的路径 需要创建的用户名 // 指定用户的家目录。此目录必须不能事先存在
useradd -s /bin/sh 需要创建的用户名 //这里的shell最好使用/etc/shells里面有的shell
cat /etc/passwd | grep ee //etc/shells指定了当前系统可用的安全shell
ee:x:1205:1205::/home/ee:/bin/sh
useradd -M // 需要创建的用户名 //创建用户时不给其创建家目录
ls /home // 查看创建用户的家目录
用户删除命令userdel
语法:userdel [option] USERNAME
-r //删除用户的同时删除其家目录(userdel默认不会删除其家目录)
userdel命令用法
[root@123 ~]# userdel -r 用户名 //删除用户的同时删除其家目录(userdel默认不会删除其
家目录)
##修改用户帐号属性的命令 usermod
usermod命令语法
usermod 修改用户属性
语法:usermod [options] username
-u UID
-g GID
-a -G groupname //不使用-a选项,会覆盖此前的附加组
-d -m //改变用户家目录的同时把原来家目录的文件移动到新的家目录中
-e YYYY-MM-DD //指明用户帐号过期日期
-f INACTIVE //设定非活动期限
-L //锁定帐号。
//被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
-U //解锁帐号
//chsh 修改用户的默认shell
//语法:chsh [options] [username]
-s SHELL
usermod -u 1200 dd //-u修改UID
id dd
uid=1200(dd)
usermod -g 1006 aa //-g修改GID
gid=1006(aa)
usermod -a -G root aa //不使用-a选项,会覆盖此前的附加组
id aa
uid=1005(aa) gid=1005(aa) groups=1005(aa),0(root)
usermod -md /opt/123 abc //改变用户家目录的同时把原来家目录的文件移动到新的家目录中
cd ~abc
pwd
/opt/123
usermod -e 2022-7-10 abc //指明用户帐号过期日期
cat /etc/shadow | grep abc
abc:!!:19178:0:99999:7::19183:
usermod -f 10 abc //设定非活动期限
cat /etc/shadow | grep abc
abc:!!:19178:0:99999:7:10:19183:
usermod -L abc //锁定账户,被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
cat /etc/shadow | grep abc
abc:!$6$aK9ghw.kNDevnFx5$jFrVZTMzoy8eirD3BCf1X2CS391tCsqGjsWB/LP.XLs5agsN6Z7sSacxh6nyqXXJOv.R2f4lW8HggR7e5qMas.:19178:0:99999:7:10:19183:
usermod -U abc //解锁帐号
cat /etc/shadow | grep abc
abc:$6$aK9ghw.kNDevnFx5$jFrVZTMzoy8eirD3BCf1X2CS391tCsqGjsWB/LP.XLs5agsN6Z7sSacxh6nyqXXJOv.R2f4lW8HggR7e5qMas.:19178:0:99999:7:10:19183:
切换用户命令su
管理员用户使用su切换至其他用户不需要密码,不是管理员用户使用su切换到其他用户时需要输入目标用户的密码
1. //语法:su [options] [-] [USER NAME]
2. -c 'COMMAND' //切换身份执行命令,命令执行结束后又回到原来的身份
su的用法 | 特点 |
---|---|
su USERNAME | 非登录式切换,即不会读取目标用户的配置文件 |
su - USERNAME | 登录式切换,即会读取目标用户的配置文件。完全切换 |
• bash的配置文件
配置文件类型 | 配置文件路径 |
---|---|
全局配置 | /etc/profile,/etc/profile.d/*.sh,/etc/bashrc |
个人配置 | ~/.bash_profile,~/.bashrc |
配置文件类型 | 功能 |
profile类 | 为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本 |
bashrc类 | 为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名 |
• 非登录式shell如何读取配置文件 |
~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh
• 登录式shell如何读取配置文件?
/etc/profile --> /etc/profile.d/*.sh --> ~/.bash_profile --> ~/.bashrc --> /etc/bashrc
密码管理命令passwd
1. 语法:passwd [options] [USERNAME]
2. --stdin //从标准输入获取用户密码;例:echo "redhat"|passwd --stdin user1
3. -l //锁定用户
4. -u //解锁用户
5. -d //删除用户密码
6. -n mindays //指定最短使用期限
7. -x maxdays //指定最长使用期限
8. -w warndays //提前多少天开始警告
9. -i inactivedays //非活动期限,密码过期后到禁用前的这段时间
密码生成工具openssl
1. //语法:openssl command [command_opts] [command_args]
2. command //包含标准命令、消息摘要命令、加密命令
3. version //查看程序版本号
4. dgst //提取特征码
5. passwd //生成密码
6. rand //生成伪随机数
7.
8. //提取特征码
9. [root@localhost ~]# openssl dgst -md5 /etc/fstab
10. MD5(/etc/fstab)= 1e5e9207c47ba4e9393b153dc3b0375a
11.
12. //生成密码 openssl passwd -1 -salt 'string'
13. [root@localhost ~]# echo "hzz" | openssl passwd -1 -salt hellonihao -stdin
14. $1$hellonih$hSAyL4yP5lbKiUh76Z6W30
15.
16. //生成随机数 openssl rand -base64 NUM ; NUM表示随机数的长度
17. [root@localhost ~]# openssl rand -base64 20
18. aVQYKyrx8pX3y4Vjb8QBtxMbY9k=
组管理命令groupadd
1. //语法:groupadd [options] GROUP
2. -g GID //指定GID
3. -r //添加一个系统组
删除组命令groupdel
1. //语法:groupdel [options] GROUP 删除组时只需要指定组名即可