第五章 Linux用戶和文件權限管理

一，本章內容

    1，用戶管理

    2，用戶組管理

    3，基本權限及管理命令

    4，POSIX ACL權限系統及其管理命令

 備註：本Linux系統爲RHEL5.3

二，用戶管理

1，系統用戶文件概述

[1] 系統用戶文件/etc/passwd

 用於保存系統用戶及用戶設置的文件是/etc/passwd

 

[2] 用戶密碼文件/etc/shadow

  用於保存密碼的文件是 /etc/passwd

 

2，useradd 添加用戶命令

   命令adduser實際上是useradd的軟鏈接文件，因此兩個命令的用法相同。

     useradd [option] username

     g: 指定新用戶所屬的組

      s: 指定新用戶使用的shell

  使用選項s修改用戶使用的shell爲、sbin/nolohin，以阻止其登錄，如軟件建立的專有用戶，不應讓其登錄

 

  使用選項g指定添加的新用戶user2的用戶組爲user1

 

3，passwd 設置用戶密碼

    passwd [username]

 

  如果沒有指定用戶，默認修改當前用戶的密碼

4，userdel 刪除用戶指令

    userdel [option] username

  選項：

     r: 刪除用戶時，連同用戶的家目錄和郵件文件一起刪除。

 

5，usermod 用戶管理命令

  用戶管理的基本內容是禁用，啓用用戶賬號（即鎖定，解除鎖定），以及修改用戶賬號的某些屬性等。

    usermod [option] username

    L: 鎖定用戶，即禁止用戶登錄系統

    U: 解除鎖定

    e: 指定用戶過期的日期

    f: 指定用戶過期之後的緩衝時間，既過期之後還能登陸的天數

    d: 爲用戶指定新的家目錄

    m: 爲用戶指定新的家目錄時，移動原來家目錄中的所有文件

     s : 修改用戶的默認shell

  連同家目錄中文件一起移動，修改家目錄

 

三，用戶組管理

1，用戶組文件概述

 [1] 系統用戶組文件

  用戶組的相關設置保存在/etc/group中

 

[2] 用戶組密碼文件

  用戶組密碼文件用於保存用戶組密碼，用戶組管理員等設置。保存在/etc/gshadow中

2，groupadd 添加用戶組命令

  在Linux系統中實施權限細則時，通常將權限相似的用戶添加到一個組，最後對組實施權限細則，已達到方便管理的目的。

     groupadd groupname

 

3，groupdel 刪除用戶組命令

     groupadd groupname

    

4，用戶組管理

  用戶組管理的主要內容是將用戶加入不同的組，或從用戶組中移除用戶，以便使用ACL以組爲單位實施權限細則。

  通常將系統用戶文件中指定的用戶組成爲用戶的私有組，在用戶組文件中爲用戶指定的的組稱爲用戶的附加組，系統將使用用戶的私有組作爲用戶的屬組。

     g: 將用戶的私有組改變爲選項指定的組。

     G: 爲用戶添加多個附加組，使用逗號作爲分隔符。

     a: 將用戶以追加的形式添加到一個附加組。

 

四，基本權限及管理命令

  1，文件的屬主和屬組

 

2，chown chgrp修改文件屬主

  chown [option] user:group file

 常用的選項：

    r∶遞歸修改目錄及目錄中的所有文件

3，chgrp修改文件屬組

   chgrp [option] group file

 常用的選項：

   r∶遞歸修改目錄及目錄中的所有文件

 

4，文件權限及表示方法

  讀，寫，執行權限，對於文件和目錄不同：

  對於文件：

  讀：允許讀取文件內容包括查看文件內容，複製

  寫：允許寫入內容，，包括編輯文件內容，追加內容，刪除文件等

  執行：如文件是可執行的腳本，二進制代碼文件或程序，此權限用於控制用戶能否執行該文件

  對於目錄：

  讀：允許查看目錄中的文件列表

  寫：允許在目錄中創建和刪除文件。刪除目錄中的文件時，還應具備相應文件的寫權限

  執行：允許用戶使用cd命令進入目錄

  雖然用戶可能無法進入目錄或是查看目錄中的文件列表，但如果目錄中的文件權限允許，用戶仍然可以使用輸入全路徑的方式操作文件

    權限表示方法之符號模式rwx

    權限表示方法之絕對模式421

3，chmod 文件權限管理命令

    chmod [option] [mode] file常用選項：

    r∶遞歸修改目錄及目錄中的所有文件的權限

  參數說明：

    chmod命令中的mode是權限表達式，可使用符號模式或絕對模式。使用符號模式時，表達式可拆分爲操作對象，操作符，和權限列表3部分，具體如下：

 操作對象是用戶合組，使用字母u, g,o 和a表示，使用a表示all

 操作符表示賦予或回收，可使用”+”, “-”, “=”,分別表示添加，刪除和賦予

 權限列表：讀，寫執行rwx的權限的組合

 符號模式

 

絕對模式

五，POSIX ACL權限系統及其管理命令

ACL訪問控制列表，可定義多用戶，多用戶組對文件的訪問權限。

1，setfacl 權限管理命令

setfacl [option] 權限表達式 文件名

常用選項：

b∶刪除所有擴展ACL權限
      k∶刪除默認的ACL權限

d∶設置默認的ACL權限

R: 遞歸的設置目錄及目錄中的所有文件

m: 修改，添加已有的ACL權限

參數說明：

  設置ACL權限時，需使用權限表達式，與chmod命令的權限表達式不同，setfacl的權限表達式需要明確指出用戶和組的權限。

[對象類型]:[對象]:權限列表

  表達式以冒號作爲分隔符，分爲對象類型，對象，和權限3個部分，具體如下：

  對象類型：有4種，u, g, m,和o，分別表示用戶，組。Mask和其他用戶。Mask表示ACL權限的安全值。當超過此權限上限時，超過的權限將會被系統屏蔽。

  對象：應用權限的對象，用戶或組的名稱。

  權限：w, r, x的組合

  如果一條命令有多個權限表達式，可使用逗號”,”，分隔開。

爲用戶lji添加file的可讀寫權限

2，getfacl 查看ACL權限

Getfacl [option] filename