Linux——用户、组的管理以及文件的权限设置

一、用户和组

Linux系统中的用户唯一的标识码为用户ID，即UID，每个用户至少属于一个组，即为用户分组。用户分组存在唯一的标识码，为GID。不同的用户拥有不同的权限。

1．认识用户账号文件/etc/passwd和用户影子文件/etc/shadow

cat /etc/passwd显示系统的用户信息

每行为一个用户的信息，包括七个域，用：隔开。

root:6x:0:0:root:/root:/bin/bash

第一字段：用户名

第二字段：口令

第三字段：UID

第四字段：GID

第五字段：用户名全称

第六字段：用户的登录目录

第七字段：用户所用的shell类型

cat /etc/shadow显示：

root:$1$HYFeV$E24GrTEYNjXQptoHpHOan.:16349:0:99999:7:::

包括九个域

（1）帐号名称：由于密码也需要与帐号对应啊，必须要与 /etc/passwd 的账号相同。

（2）密码：这个才是真正的密码，而且是经过编码过的密码，只有 root 才可以读写如果是在密码栏的第一个字元为‘ * ’或者是‘#’，表示这个帐号并不会被用来登入。
（3）最近更动密码的日期：这个时间是从 1970 年 1 月 1 日算起到最近一次修改密码的时间间隔（天数）。

（4）两次修改密码间隔最少的天数：第四个栏位记录了这个帐号的密码需要经过几天才可以被变更。

（5）两次修改密码间隔最多的天数

（6）提前多少天警告用户密码将过期

（7）在密码过期之后多少天禁用此用户

（8）帐号失效日期：从 1970 年1月1日开始的天数

（9）保留字段。未使用。

2．认识组账号文件/etc/group和用户组影子文件/etc/gshadow

用户组的设置是为了方便检查、设置文件或目录的访问权限。举例：我们为了让一些用户有权限查看某一文件，比如是个时间表，而编写时间表的人要具有读写执行的权限，我们想让一些用户知道这个时间表的内容，而不让他们修改，所以我们能把这些用户都划到一个组（用chgrp命令），然后来修改这个文件（用chmod命令）的权限，让用户组可读（用chgrp命令将此文件归属于这个组），这样用户组下面的每个用户都是可读的，其他用户是无法访问的。

Cat /etc/group显示

group_name:passwd:GID:user_list

gshadow目录不做介绍

二、用户管理

实现用户账号的管理，要完成的工作主要有如下几个方面：
a.用户账号的添加、删除和修改。
b.用户口令的管理。

Linux用户账号的管理

用户账号的管理主要涉及到用户账号的添加、删除和修改。
添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。
1、添加新的用户账号使用useradd命令，语法如下：

useradd 选项用户名
其中各选项含义如下：
-c comment 指定一段注释性描述。
-d 目录指定用户主目录，如果此目录不存在，则同时使用-m选项，能创建主目录。
-g 用户组指定用户所属的用户组。
-G 用户组,用户组指定用户所属的附加组。（设置新用户到其它的组中去）
-s Shell文件指定用户的登录Shell。
-u 用户号指定用户的用户号，如果同时有-o选项，则能重复使用其他用户的标识号。
-p这个命令是需求提供md5码的加密口令，普通数字是不行的。

例1：
# useradd -d /usr/sam -m sam
此命令创建了一个用户sam，其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam（/usr为默认的用户主目录所在的父目录）。
例2：
# useradd -s /bin/sh -g group -G adm,root gem
此命令新建了一个用户gem，该用户的登录Shell是/bin/sh，他属于group用户组，同时又属于adm和root用户组，其中group用户组是其主组。
这里可能新建组：groupadd group 及 groupadd adm
增加用户账号就是在/etc/passwd文件中为新用户增加一条记录，同时更新其他系统文件，如/etc/shadow，/etc/group等。

2、删除帐号
如果一个用户账号不再使用，能从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除，必要时还要删除用户的主目录。删除一个已有的用户账号使用userdel命令，格式如下：
代码:
userdel 选项用户名
常用的选项是-r，他的作用是把用户的主目录一起删除。
例如：
# userdel -r sam
此命令删除用户sam在系统文件（主要是/etc/passwd，/etc/shadow，/etc/group等）中的记录，同时删除用户的主目录。

3、修改帐号
修改用户账号就是根据实际情况更改用户(chgrp是针对文件而言)的有关属性，如用户号、主目录、用户组、登录Shell等。
修改已有用户的信息使用usermod命令，格式如下：
代码:
usermod 选项用户名[只有终极管理员才有权限修改帐号名，如果用sudo命令来对普通帐号授权也行]
常用的选项包括-c,-d,-m,-g,-G,-s,-u,-o等，这些选项的意义和useradd命令中的相同，能为用户指定新的资源值。另外，有些系统能使用如下选项：
代码:
-l 新用户名
这个选项指定一个新的账号，即将原来的用户名改为新的用户名。
例如：
# usermod -s /bin/ksh -d /home/z -g developer sam
此命令将用户sam的登录Shell修改为ksh，主目录改为/home/z，用户组改为developer。
#usermod zte1 -g cheng
#此命令是改动用户zte1所属的组为cheng这个组

4、查看帐号属性

格式： id user1 显示user1的uid和gid ,缺省为当前用户的id信息.

groups user1 显示用户user1所在的组,缺省为当前用户所在的组信息.

Linux用户口令的管理

用户管理的一项重要内容是用户口的管理。用户账号刚创建时没有口令，是被系统锁定的，无法使用，必须为其指定口令后才能使用，即使是空口令。
指定和修改用户口令的Shell命令是passwd。终极用户能为自己和其他用户指定口令，普通用户只能修改自己的口令。命令的格式为：
代码:
passwd 选项用户名
可使用的选项：
-l 锁定口令，即禁用账号。
-u 口令解锁。
-d 使账号无口令。
-f 强迫用户下次登录时修改口令。
如果默认用户名，则修改当前用户的口令。
例如：假设当前用户是sam，则下面的命令修改该用户自己的口令：
passwd
Old password:******
New password:*******
Re-enter new password:*******
如果是终极用户，能用下列形式指定任意用户的口令：
passwd sam
New password:*******
Re-enter new password:*******

普通用户修改自己的口令时，passwd命令会先询问原口令，验证后再需求用户输入两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而终极用户为用户指定口令时，就不必知道原口令。为了安全起见，用户应该选择比较复杂的口令，最佳使用不少于8位的口令，口令中包含有大写、小写字母和数字，并且应该和姓名、生日等不相同。
为用户指定空口令时，执行下列形式的命令：
代码:
# passwd -d sam

下次登录时，不用输入密码即可登录。
此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。
passwd命令还能用-l(lock)选项锁定某一用户，使其不能登录，例如：
代码:
# passwd -l sam （关机再次登录时，会出现鉴定故障）

三、组管理

Linux用户组的管理

用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就对/etc/group文件的更新。

1、增加一个新的用户组使用groupadd命令。格式如下：
代码:
groupadd 选项用户组[用户组添加后，将用户进行组赋予用chown和chgrp指令]
能使用的选项有：
-g GID 指定新用户组的组标识号（GID）。
-o 一般和-g选项同时使用，表示新用户组的GID能和系统已有用户组的GID相同。
例1：
# groupadd group1
此命令向系统中增加了一个新组group1，新组的组标识号是在当前已有的最大组标识号的基础上加1。
例2：
# groupadd -g 101 group2
此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。
2、如果要删除一个已有的用户组，使用groupdel命令，格式如下：
代码:
groupdel 用户组
例如：
# groupdel group1
此命令从系统中删除组group1。
3、修改用户组的属性使用groupmod命令。其语法如下：
代码:
groupmod 选项用户组
常用的选项有：
-g GID 为用户组指定新的组标识号。
-o 和-g选项同时使用，用户组的新GID能和系统已有用户组的GID相同。
-n 新用户组将用户组的名字改为新名字
例1：
# groupmod -g 102 group2
此命令将组group2的组标识号修改为102。
例2：
# groupmod -g 10000 -n group3 group2
此命令将组group2的标识号改为10000，组名修改为group3。
4、如果一个用户同时属于多个用户组，那么用户能在用户组之间转换，以便具有其他用户组的权限。用户能在登录后，使用命令newgrp转换到其他用户组，这个命令的参数就是目的用户组。
例如：
$ newgrp root
这条命令将当前用户转换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也能通过集成的系统管理工具来完成。

文件的属性及权限：

文件的权限与属性是Linux相当重要的一部分，今天主要来看一下linux文件的属性。

工具

Linux操作系统

方法/步骤

查看Linux属性基本上都需要使用Root的身份才能够处理，所以第1步要先登陆root的身份登陆。

su root

首先了解一个重要的也是常用的查看文件的命令ls，ls是list的意思，重点是显示文件的文件名与相关属性。

以root身份登录linux后，执行ls -al查看内容；

带上参数-al表示列出所有的文件详细权限与属性，包含隐藏文件（文件名第一个字符为“.”的文件为隐藏文件）

通过ls -al显示的结果中看文件属性示意图

列中的第一个字符代表这个文件是“目录、文件或链接文件等”

若是【d】则代表该条记录是目录；

若是【-】则代表是文件；

若是【l】则表示为连接文件(linkfile)；

若是【b】则表示设备文件里面的可供存储的接口设备；

若是【c】则表示设备文件里面的串口端口设备，例如键盘、鼠标。

接下来的字符中，以3个为一组，且均为”rwx”：

其中【r】代表可读(read)；

其中【w】代表可写(write)；

其中【x】代表可执行(execute)；

这3个权限的位置不会改变，如果没有相应的权限，就会出现减号【-】

第二列表示有多少文件名连接到此节点(i-node)

第三列表表示这个文件(或目录)的“所有者账号”

第四列表表示这个文件的所属用户组

第五列为这个文件的大小，默认单位为B

第六列为这个文件的创建文件日期或者是最近的修改日期

第七列为文件名

对于ls的详细用法，还可以使用man ls进一步了解

在linux中，每一个文件都多加了很多的属性进来，尤其是用户组，其最大的用途是在“数据安全性”上来。如果你有一个开发团队，在你的团队中，你希望每个人都可以使用某一些目录下的文件，而非你的团队的其他人则不能使用，那么可以将团队所需的文件权限写为【-rwxrwx---】

二、改变文件属性与权限

我们这里介绍几个常用于群组、拥有者、各种身份的权限的指令。如下所示

chgrp: 改变文件所属群组

chown :改变文件拥有者

chmod :改变文件的权限,

1、chmod 命令

chmod命令是非常重要的，用于改变文件或目录的访问权限。用户用它控制文件或目录的访问权限。该命令有两种用法。一种是包含字母和操作符表达式的文字设定法；另一种是包含数字的数字设定法。

文字设定法

chmod ［who］［+ | - | =］［mode］文件名

命令中各选项的含义为：

操作对象who可是下述字母中的任一个或者它们的组合：

u 表示“用户（user）”，即文件或目录的所有者。

g 表示“同组（group）用户”，即与文件属主有相同组ID的所有用户。

o 表示“其他（others）用户”。

a 表示“所有（all）用户”。它是系统默认值。

操作符号可以是：

+ 添加某个权限。

- 取消某个权限。

= 赋予给定权限并取消其他所有权限（如果有的话）。

设置mode所表示的权限可用下述字母的任意组合：

r 可读。

w 可写。

x 可执行。

X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。

s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u＋s”设置文件的用户ID位，“g＋s”设置组ID位。

t 保存程序的文本到交换设备上。

u 与文件属主拥有一样的权限。

g 与和文件属主同组的用户拥有一样的权限。

o 与其他用户拥有一样的权限。

文件名：以空格分开的要改变权限的文件列表，支持通配符。

在一个命令行中可给出多个权限方式，其间用逗号隔开。例如：chmod g+r，o+r example

使同组和其他用户对文件example 有读权限。

数字设定法

我们必须首先了解用数字表示的属性的含义：0表示没有权限，1表示可执行权限，2表示可写权限，4表示可读权限，然后将其相加。所以数字属性的格式应为3个从0到7的八进制数，其顺序是（u）（g）（o）。

例如，如果想让某个文件的属主有“读/写”二种权限，需要把4（可读）+2（可写）＝6（读/写）。数字设定法的一般形式为：

chmod ［mode］文件名

2、chgrp命令

功能：改变文件或目录所属的组。

语法：chgrp ［选项］ group filename

该命令改变指定文件所属的用户组。其中group可以是用户组ID，也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表，支持通配符。如果用户不是该文件的属主或超级用户，则不能改变该文件的组。

该命令的各选项含义为：

- R 递归式地改变指定目录及其下的所有子目录和文件的属组。

例1：$ chgrp - R book /opt/local /book

改变/opt/local /book/及其子目录下的所有文件的属组为book。

3、chown 命令

功能：更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu，为了让用户xu能够存取这个文件，root用户应该把这个文件的属主设为xu，否则，用户xu无法存取这个文件。

语法：chown ［选项］用户或组文件

说明：chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表，支持通配符。

该命令的各选项含义如下：

- R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。

- v 显示chown命令所做的工作。

例1：把文件shiyan.c的所有者改为wang。

$ chown wang shiyan.c

例2：把目录/his及其下的所有文件和子目录的属主改成wang，属组改成users。

$ chown - R wang:users /his