用户、组和权限

1.Linux安全模型

资源分派：

• Authentication：认证，验证用户身份
• Authorizaation：授权，不同的用户设置不同的权限
• Accounting | Audition：审计

1.1用户

Linux中每个用户是通过User Id (UID)来唯一标识的

• 管理员：root，0
• 普通用户：1-60000自动分配
  • 系统用户：1-499（CentOS 6以前），1-999（CentOS 7以后）

                对守护进程获取资源进行权限分配

• 登录用户：500+ （CentOS 6以前），1000+ （CentOS 7以后）

                给用户进行交互式登录使用

1.2用户组

Linux 中可以将一个或多个用户加入用户组中，用户组是通过 Group ID （ GID ） 来唯一标识的。

• 管理员组：root, 0
• 普通组：
  • 系统组： 1-499 （ CentOS 6 以前） , 1-999 （ CentOS7 以后） , 对守护进程获取资源进行权限分 配
  • 普通组： 500+ （ CentOS 6 以前） , 1000+ （ CentOS7 以后） ,给用户使用

 ​​1.3用户和组的关系

• 用户的主要组 (primary group)：用户必须属于一个且只有一个主组，默认创建用户时会自动创建 和用户名同名的组，做为用户的主要组，由于此组中只有一个用户，又称为私有组
• 用户的附加组 (supplementary group) ： 一个用户可以属于零个或多个辅助组，附属组

 1.4安全上下文

Linux 安全上下文 Context ：运行中的程序，即进程 (process) ，以进程发起者的身份运行，进程所能够

访问资源的权限取决于进程的运行者的身份

比如：分别以 root 和 wang 的身份运行 /bin/cat /etc/shadow ，得到的结果是不同的，资源能否能

被访问，是由运行者的身份决定，非程序本身

2.用户和组的配置文件 

2.1用户和组的主要配置文件

• /etc/passwd：用户及其属性信息(名称、UID、主组ID等）
• /etc/shadow：用户密码及其相关属性
• /etc/group：组及其属性信息
• /etc/gshadow：组密码及其相关属性

2.2passwd文件格式

login name ：登录用名（ wang ）

passwd ：密码 (x)

UID ：用户身份编号 (1000)

GID ：登录默认所在组编号 (1000)

GECOS ：用户全名或注释

home directory ：用户主目录 (/home/wang)

shell ：用户默认使用 shell (/bin/bash)

2.3shadow文件格式

登录用名

用户密码 : 一般用 sha512 加密

从 1970 年 1 月 1 日起到密码最近一次被更改的时间

密码再过几天可以被变更（

0 表示随时可被变更）

密码再过几天必须被变更（ 99999 表示永不过期）

密码过期前几天系统提醒用户（默认为一周）

密码过期几天后帐号会被锁定

从 1970 年 1 月 1 日算起，多少天后帐号失效

更改密码加密算法：

authconfig   --passalgo=sha256 --update

密码的安全策略

• 足够长
• 使用数字、大写字母、小写字母及特殊字符中至少3种
• 使用随机密码
• 定期更换,不要使用最近曾经使用过的密码

2.4group文件格式

群组名称：就是群组名称

群组密码：通常不需要设定，密码是被记录在 /etc/gshadow

GID ：就是群组的 ID

以当前组为附加组的用户列表 ( 分隔符为逗号 )

2.5gshdow文件格式

群组名称：就是群的名称

群组密码：

组管理员列表：组管理员的列表，更改组密码和成员

以当前组为附加组的用户列表：多个用户间用逗号分隔

2.6文件操

• vipw和vigr
• pwck和grpck

3. 用户和组管理命令

用户管理命令

• useradd
• usermod
• userdel

组帐号维护命令

• groupadd
• groupmod
• groupdel

3.1 用户创建

useradd 命令可以创建新的Linux用户

格式：

useradd [options] LOGIN

常见选项：

-u UID

-o 配合 -u 选项，不检查 UID 的唯一性

-g GID 指明用户所属基本组，可为组名，也可以 GID

-c "COMMENT“ 用户的注释信息

-d HOME_DIR 以指定的路径 ( 不存在 ) 为家目录

-s SHELL 指明用户的默认 shell 程序，可用列表在 /etc/shells 文件中

-G GROUP1[,GROUP2,...] 为用户指明附加组，组须事先存在

-N 不创建私用组做主组，使用 users 组做主组

-r 创建系统用户 CentOS 6 之前 : ID<500 ， CentOS7 以后 : ID<1000

-m 创建家目录，用于系统用户

-M 不创建家目录，用于非系统用户

-p 指定加密的密码

3.2用户属性修改

usermod 命令可以修改用户属性

格式：

usermod [OPTION] login

常见选项：

-u UID: 新 UID

-g GID: 新主组

-G GROUP1[,GROUP2,...[,GROUPN]]] ：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使

用 -a 选项

-s SHELL ：新的默认 SHELL

-c 'COMMENT' ：新的注释信息

-d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用 -m 选项

-l login_name: 新的名字

-L : lock 指定用户 , 在 /etc/shadow 密码栏的增加 !

-U : unlock 指定用户 , 将 /etc/shadow 密码栏的 ! 拿掉

-e YYYY-MM-DD: 指明用户账号过期日期

-f INACTIVE: 设定非活动期限，即宽限期

3.3删除用户

userdel 可删除 Linux 用户

格式：

userdel [OPTION]... Login

常见选项：

-f, --force   强制

-r, --remove 删除用户家目录和邮箱

3.4查看用户相关的ID信息

id 命令可以查看用户的 UID ， GID 等信息

id [OPTION]... [USER]

常见选项：

u : 显示 UID

-g : 显示 GID

-G : 显示用户所属的组的 ID

-n : 显示名称，需配合 ugG 使用

3.5切换用户或以其他用户身份执行命令

su: 即 switch user ，命令可以切换用户身份，并且以指定用户的身份执行命令

格式：

su [options...] [-] [user [args...]]

常见选项：

-l   --login   su -l UserName   相当于 su - UserName

-c , --command <command>         pass a single command to the shell with -c

切换用户的方式：

• su UserName：非登录式切换，即不会读取目标用户的配置文件，不改变当前工作目录，即不完全切换
• su - UserName ：登录式切换，会读取目标用户的配置文件，切换至自已的家目录，即完全切换

说明： root su 至其他用户无须密码；非 root 用户切换时需要密码

注意： su 切换新用户后，使用 exit 退回至旧的用户身份，而不要再用 su 切换至旧用户，否则会生成很 多的 bash 子进程，环境可能会混乱。

换个身份执行命令：

su [-] UserName -c 'COMMAND'

3.6设置密码

passwd 可以修改用户密码

格式：

passwd [OPTIONS] UserName

常用选项：

-d ：删除指定用户密码

-l ：锁定指定用户

-u ：解锁指定用户

-e ：强制用户下次登录修改密码

-f ：强制操作

-n mindays ：指定最短使用期限

-x maxdays ：最大使用期限

-w warndays ：提前多少天开始警告

-i inactivedays ：非活动期限

--stdin ：从标准输入接收用户密码 ,Ubuntu 无此选项

3.7修改用户密码策略

chage 可以修改用户密码策略

格式：

chage [OPTION]... LOGIN

常见选项：

-d LAST_DAY               # 更改密码的时间

-m --mindays MIN_DAYS

-M --maxdays MAX_DAYS

-W --warndays WARN_DAYS

-I --inactive INACTIVE # 密码过期后的宽限期

-E --expiredate EXPIRE_DATE # 用户的有效期

-l 显示密码策略

3.8用户相关的其它命令

• chfn 指定个人信息
• chsh 指定shell，相当于usermod -s
• finger 可看用户个人信息

3.9创建组

groupadd 实现创建组

格式

groupadd [OPTION]... group_name

常见选项：

-g GID 指明 GID 号； [GID_MIN, GID_MAX]

-r 创建系统组， CentOS 6 之前 : ID<500 ， CentOS 7 以后 : ID<1000

3.10修改组

groupmod 组属性修改

格式：

groupmod [OPTION]... group

常见选项：

-n group_name: 新名字

-g GID: 新的 GID

3.11组删除

groupdel 可以删除组

格式

groupdel [options] GROUP

常见选项：

-f, --force 强制删除，即使是用户的主组也强制删除组 , 但会导致无主组的用户不可用无法登录

3.12 更改组密码

gpasswd 命令，可以更改组密码，也可以修改附加组的成员关系

格式

gpasswd [OPTION] GROUP

常见选项：

-a user 将 user 添加至指定组中

-d user 从指定附加组中移除用户 user

-A user1,user2,... 设置有管理权限的用户列表

3.13 临时切换主组

newgrp 命令可以临时切换主组， 如果用户本不属于此组，则需要组密码

格式：

newgrp [-] [group]

如果使用 - 选项，可以初始化用户环境

3.14更改和查看组成员

groupmems 可以管理附加组的成员关系

格式

groupmems [options] [action]

常见选项：

-g , --group groupname   # 更改为指定组 ( 只有 root)

-a , --add username     # 指定用户加入组

-d , --delete username # 从组中删除用户

-p , --purge               # 从组中清除所有成员

-l ,   --list                 # 显示组成员列表

groups 可查看用户组关系

格式

#查看用户所属组列表
groups [OPTION].[USERNAME]...

4.文件权限管理

4.1文件所有者和属组属性操作

4.1.1设置文件的所有者chown

chown 命令可以修改文件的属主，也可以修改文件属组

格式

chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...

用法说明：

OWNER   # 只修改所有者

OWNER:GROUP # 同时修改所有者和属组

:GROUP   # 只修改属组，冒号也可用 . 替换

--reference = RFILE   # 参考指定的的属性，来修改  

-R # 递归，此选项慎用，非常危险！

4.1.2 设置文件的属组信息chgrp

chgrp 命令可以只修改文件的属组

格式

 chgrp [OPTION]... GROUP FILE...
 chgrp [OPTION]... --reference=RFILE FILE...

-R 递归

4.2文件权限

4.2.1文件权限说明

文件的权限主要针对三类对象进行定义

owner 属主 , u

group 属组 , g

other 其他 , o

注意：

用户的最终权限，是从左向右进行顺序匹配，即，所有者，所属组，其他人，一旦匹配权限立即生效，不再向

右查看其权限

r 和 w 权限对 root 用户无效

只要所有者 , 所属组或 other 三者之一有 x 权限 ,root 就可以执行

每个文件针对每类访问者都定义了三种常用权限

每个文件针对每类访问者都定义了三种权限

r Readable

w Writable

x eXcutable

对文件的权限：

r 可使用文件查看类工具，比如： cat ，可以获取其内容

w 可修改其内容

x 可以把此文件提请内核启动为一个进程，即可以执行（运行）此文件（此文件的内容必须是可执行）

对目录的权限：

r 可以使用 ls 查看此目录中

文件列表

w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关

x 可以 cd 进入此目录，可以使用 ls -l 查看此目录中文件元数据（须配合 r权限），属于目录的可访问的最小权限

X 只给目录 x 权限，不给无执行权限的文件 x 权限

4.2.2 修改文件权限chmod

格式

chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限，将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...

4.3 新建文件和目录的默认权限

umask 的值可以用来保留在创建文件权限

实现方式：

•         新建文件的默认权限: 666-umask，如果所得结果某位存在执行（奇数）权限，则将其权限+1,偶 数不变
•         新建目录的默认权限: 777-umask

非特权用户 umask 默认是 002

root 的 umask 默认是 022

查看 umask

umask
#模式方式显示
umask –S 
#输出可被调用
umask –p

 修改umask

umask #

持久保存 umask

• 全局设置： /etc/bashrc
• 用户设置：~/.bashrc

4.4 Linux文件系统上的特殊权限

前面介绍了三种常见的权限： r, w, x 还有三种特殊权限： SUID, SGID, Sticky

特殊权限

• SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限
• SGID

                作用于二进制可执行文件上,用户将继承此程序所有组的权限

                作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承

• STICKY 作用于目录上,此目录中的文件只能由所有者自已来删除

4.4.1 特殊权限SUID

前提：进程有属主和属组；文件有属主和属组

• 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属主为发起者,进程的属组为发起者所属的组
• 进程访问文件时的权限，取决于进程的发起者

二进制的可执行文件上 SUID 权限功能：

• 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属主为原程序文件的属主
• SUID只对二进制可执行程序有效
• SUID设置在目录上无意义

SUID 权限设定：

chmod u+s FILE...
chmod 4xxx FILE
chmod u-s FILE...

4.4.2 特殊权限SGID

二进制的可执行文件上 SGID 权限功能：

• 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限
• 启动为进程之后，其进程的属组为原程序文件的属组

SGID权限设定：

chmod g+s FILE... 
chmod 2xxx FILE
chmod g-s FILE...

目录上的 SGID 权限功能：

        默 认情况下，用户创建文件时，其属组为此用户所属的主组，一旦某目录被设定了SGID，则对此目录有 写权限的用户在此目录中创建的文件所属的组为此目录的属组，通常用于创建一个协作目录

SGID 权限设定：

chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...

4.4.3 特殊权限 Sticky 位

具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权

在目录设置 Sticky 位，只有文件的所有者或 root 可以删除该文件

sticky 设置在文件上无意义

Sticky 权限设定：

chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...

4.4.4 特殊权限数字法

SUID SGID STICKY

000 0

001 1

010 2

011 3

100 4

101 5

110 6

111 7

权限位映射

SUID: user, 占据属主的执行权限位

        s：属主拥有 x 权限

        S：属主没有 x 权限

SGID: group, 占据属组的执行权限位

        s： group 拥有 x 权限

        S： group 没有 x 权限

Sticky: other, 占据 other 的执行权限位

        t： other 拥有 x 权限

        T： other 没有 x 权限

4.5 设定文件特殊属性

设置文件的特殊属性，可以访问 root 用户误操作删除或修改文件

不能删除，改名，更改

chattr +i file

只能追加内容，不能删除，改名

chattr +a file

显示特定属性

lsattr

4.6 访问控制列表 ACL

4.6.1 ACL权限功能

ACL ： Access Control List ，实现灵活的权限管理

除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

CentOS7 默认创建的 xfs 和 ext4 文件系统具有 ACL 功能

CentOS7 之前版本，默认手工创建的 ext4 文件系统无 ACL 功能 , 需手动增加

ACL 生效顺序：

所有者，自定义用户，所属组 | 自定义组，其他人

 4.6.2 ACL相关命令

setfacl 可设置 ACL 权限

getfacl 可查看设置的 ACL 权限

mask 权限

• mask只影响除所有者和other的之外的人和组的最大权限
• mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission)
• 用户或组的设置必须存在于mask权限设定范围内才会生效

4.6.3 备份和还原ACL

主要的文件操作命令 cp 和 mv 都支持 ACL ，只是 cp 命令需要加上 -p 参数。但是 tar等常见的备份工具是不 会保留目录和文件的 ACL 信息