Linux账号管理与权限设定

系列文章目录

Linux常用命令
linux 账号管理与权限设定
Linux运维相关基础知识(一)
Linux运维相关基础知识(二)



账号相关的重要文件

/etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
# ...
hplip:x:128:7:HPLIP system user,,,:/run/hplip:/bin/false
gdm:x:129:134:Gnome Display Manager:/var/lib/gdm3:/bin/false
user:x:1000:1000:user,,,:/home/user:/bin/bash
rootx00root/root/bin/bash
账号名密码UID
0:系统管理员
1~999:保留给系统使用的id
>1000: 给一般使用者
系统只认识UID,其为0就拥有root权限
GID:组id使用者资讯说明家目录shell

/etc/shadow

很多程序的运行都与权限有关,而权限与UID/GID有关。因此各个程序都需要读取/etc/passwd来了解不同账号的权限。与密码相关的内容在该文件下,密码和密码限制等内容

root:!:20065:0:99999:7:::
daemon:*:19481:0:99999:7:::
# ...
hplip:*:19481:0:99999:7:::
gdm:*:19481:0:99999:7:::
user:经过加密后的密码:20065:0:99999:7:::

root:!:20065:0:99999:7:::

root200650999997
账号名密码最近更新密码的日期(d)
密码几天内不能更改几天后需要变更需要更改前的警告天数密码失效日账号失效日期,失效后账号将无法使用保留
dmtsaixxx165595607516679
最后一次更新密码日期为2015/05/04 (16559)5天后才能再改密码(2015/05/09之前都不能改)60天后密码过期(使用者必須要在 2015/05/09 (前 5 天不能改) 到 2015/07/03 之間的 60 天限制內去修改自己的密碼,若 2015/07/03 之後還是沒有變更密碼時,該密碼就宣告為過期)过期前7天提醒过期后5天仍可登录,强制改密码,过期后5天仍不改密码,账号失效不可用无论如何 16679 (大約是 2015/09/01 左右)账号强制失效

/etc/group

记录GID与群组名称的对应

root:x:0:
daemon:x:1:
# ...
user:x:1000:
sambashare:x:117:user,daemon
sambasharex117user[,daemon]
组名密码GID支援的账号名

重点是/etc/passwd,其它信息都是根据它找出来的
在这里插入图片描述
/etc/passwd的GID就是该账户的初始群组,当使用者一登入系统,立刻就会有这个群组的相关权限的意思。
grep dmtsai /etc/passwd /etc/group /etc/gshadow
以当前使用者建立文件时,文件属组为该用户的有效群组

groups #查看当前用户所在组
id
newgrp grpname  # 在加入的群组中切换有效群组(创建子进程并在进入的子进程中生效 exit后返回原来的环境)

/etc/gshadow

这个 gshadow 最大的功能就是建立群组管理员

root:*::
daemon:*::
# ...
sambashare:!::user
sambashareuser
组名密码
!开头表示无合法密码,所以无群组管理员
群组管理员的账号加入到该群组的用户(与/etc/group内容相同)

useradd

他会修改一些文件
参考以下文件:

  • /etc/default/useradd
  • /etc/login.defs
  • /etc/skel/*

passwd

usermod

userdel

chsh

查看、修改shell,其实就是/etc/shells的内容

群组命令

groupadd, groupmod, groupdel, gpasswd

ACL

ACL(Access Control List), 在传统权限基础之上提供额外的细节权限设定,它可针对单一使用者、单一文件或目录进行rwx权限限制。

  • 使用者:可以针对使用者来设定权限
  • 群组:针对群组对象设定权限
  • 预设属性:针对在该目录下在建立文件/目录时的权限设定

一个目录可以给多个人使用,每个人都有不同的权限。

  • getfacl: 取得某个文件/目录的ACL设定项目
  • setfacl: 设定某个文件/目录的ACL规范
setfacl -m u:[username]:[rwx/-] [file]   # 某个用户对某个文件有对应权限,与ll中显示的分离
getfacl filename  # 显示ACL权限

setfacl -m g:[群组列表]:[rwx] filename  # 某个群组对某个文件有对应权限

d:[u|g]:[user|group]:权限  # 子目录继承ACL
setfacl -b filename  取消ACL设定
su   # 以non-login shell方式切换
su - # 以login shell方式切换身份(推荐)
su - {{username}} -c "{{command}}"  # Execute a command as another user:

sudo -u sshd /bin/bash -c "mkdir /tmp/sshd-test; cd /tmp/sshd-test; echo 'this is index' > index.html"

  1. 当使用者执行sudo时,系统在**/etc/sudoers**文件中搜索该使用是否能执行sudo

  2. 通过visudo编辑/etc/sudoers

    # User privilege specification
    root    ALL=(ALL:ALL) ALL
    user    ALL=(ALL)  !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root  #仅能用sudo执行passwd
    User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2
    Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
    ADMPW   ALL=(root)  ADMPWCOM
    ADMINS ALL=(root)  /bin/su -  # sudo su - 在不泄露root密码的同时切换root权限
    # Members of the admin group may gain root privileges
    %admin ALL=(ALL) ALL
    %wheel ALL=(ALL) NOPASSWD: ALL # 无需密码即可使用sudo
    
    # Allow members of group sudo to execute any command
    %sudo   ALL=(ALL:ALL) ALL
    
    # See sudoers(5) for more information on "@include" directives:
    
    @includedir /etc/sudoers.d
    

使用者的特殊shell与PAM模组

PAM(Pluggable Authentication Modules,嵌入式模组)是一套API,提供一连串的验证机制。

  1. passwd调用PAM模组进行验证
  2. PAM模组会到/etc/pam.d/寻找与程序(passwd)同名的文件
  3. 根据/etc/pam.d/passwd内的设定,引用相关的PAM模组逐步进行验证分析
  4. 将验证结果传回passwd,然后它会决定下一步

在这里插入图片描述

/etc/security/limits.conf

与ulimits相关,设定用户所能使用的资源
试了下似乎不生效?

Linux主机上用户之间通讯

w

who

账号检查

pwck  # 检查/etc/passwd
grpck # /etc/group

pwconv # 检查passwd和shadow

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值