系列文章目录
Linux常用命令
linux 账号管理与权限设定
Linux运维相关基础知识(一)
Linux运维相关基础知识(二)
文章目录
账号相关的重要文件
/etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
# ...
hplip:x:128:7:HPLIP system user,,,:/run/hplip:/bin/false
gdm:x:129:134:Gnome Display Manager:/var/lib/gdm3:/bin/false
user:x:1000:1000:user,,,:/home/user:/bin/bash
root | x | 0 | 0 | root | /root | /bin/bash |
---|---|---|---|---|---|---|
账号名 | 密码 | UID 0:系统管理员 1~999:保留给系统使用的id >1000: 给一般使用者 系统只认识UID,其为0就拥有root权限 | GID:组id | 使用者资讯说明 | 家目录 | shell |
/etc/shadow
很多程序的运行都与权限有关,而权限与UID/GID有关。因此各个程序都需要读取/etc/passwd来了解不同账号的权限。与密码相关的内容在该文件下,密码和密码限制等内容
root:!:20065:0:99999:7:::
daemon:*:19481:0:99999:7:::
# ...
hplip:*:19481:0:99999:7:::
gdm:*:19481:0:99999:7:::
user:经过加密后的密码:20065:0:99999:7:::
root:!:20065:0:99999:7:::
root | ! | 20065 | 0 | 99999 | 7 | |||
---|---|---|---|---|---|---|---|---|
账号名 | 密码 | 最近更新密码的日期(d) | 密码几天内不能更改 | 几天后需要变更 | 需要更改前的警告天数 | 密码失效日 | 账号失效日期,失效后账号将无法使用 | 保留 |
dmtsai | xxx | 16559 | 5 | 60 | 7 | 5 | 16679 | |
最后一次更新密码日期为2015/05/04 (16559) | 5天后才能再改密码(2015/05/09之前都不能改) | 60天后密码过期(使用者必須要在 2015/05/09 (前 5 天不能改) 到 2015/07/03 之間的 60 天限制內去修改自己的密碼,若 2015/07/03 之後還是沒有變更密碼時,該密碼就宣告為過期) | 过期前7天提醒 | 过期后5天仍可登录,强制改密码,过期后5天仍不改密码,账号失效不可用 | 无论如何 16679 (大約是 2015/09/01 左右)账号强制失效 |
/etc/group
记录GID与群组名称的对应
root:x:0:
daemon:x:1:
# ...
user:x:1000:
sambashare:x:117:user,daemon
sambashare | x | 117 | user[,daemon] |
---|---|---|---|
组名 | 密码 | GID | 支援的账号名 |
重点是/etc/passwd,其它信息都是根据它找出来的
/etc/passwd的GID就是该账户的初始群组,当使用者一登入系统,立刻就会有这个群组的相关权限的意思。
grep dmtsai /etc/passwd /etc/group /etc/gshadow
以当前使用者建立文件时,文件属组为该用户的有效群组
groups #查看当前用户所在组
id
newgrp grpname # 在加入的群组中切换有效群组(创建子进程并在进入的子进程中生效 exit后返回原来的环境)
/etc/gshadow
这个 gshadow 最大的功能就是建立群组管理员
root:*::
daemon:*::
# ...
sambashare:!::user
sambashare | ! | user | |
---|---|---|---|
组名 | 密码 !开头表示无合法密码,所以无群组管理员 | 群组管理员的账号 | 加入到该群组的用户(与/etc/group内容相同) |
useradd
他会修改一些文件
参考以下文件:
- /etc/default/useradd
- /etc/login.defs
- /etc/skel/*
passwd
usermod
userdel
chsh
查看、修改shell,其实就是/etc/shells的内容
群组命令
groupadd, groupmod, groupdel, gpasswd
ACL
ACL(Access Control List), 在传统权限基础之上提供额外的细节权限设定,它可针对单一使用者、单一文件或目录进行rwx权限限制。
- 使用者:可以针对使用者来设定权限
- 群组:针对群组对象设定权限
- 预设属性:针对在该目录下在建立文件/目录时的权限设定
一个目录可以给多个人使用,每个人都有不同的权限。
- getfacl: 取得某个文件/目录的ACL设定项目
- setfacl: 设定某个文件/目录的ACL规范
setfacl -m u:[username]:[rwx/-] [file] # 某个用户对某个文件有对应权限,与ll中显示的分离
getfacl filename # 显示ACL权限
setfacl -m g:[群组列表]:[rwx] filename # 某个群组对某个文件有对应权限
d:[u|g]:[user|group]:权限 # 子目录继承ACL
setfacl -b filename 取消ACL设定
su # 以non-login shell方式切换
su - # 以login shell方式切换身份(推荐)
su - {{username}} -c "{{command}}" # Execute a command as another user:
sudo -u sshd /bin/bash -c "mkdir /tmp/sshd-test; cd /tmp/sshd-test; echo 'this is index' > index.html"
-
当使用者执行sudo时,系统在**/etc/sudoers**文件中搜索该使用是否能执行sudo
-
通过visudo编辑/etc/sudoers
# User privilege specification root ALL=(ALL:ALL) ALL user ALL=(ALL) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root #仅能用sudo执行passwd User_Alias ADMPW = pro1, pro2, pro3, myuser1, myuser2 Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root ADMPW ALL=(root) ADMPWCOM ADMINS ALL=(root) /bin/su - # sudo su - 在不泄露root密码的同时切换root权限 # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL %wheel ALL=(ALL) NOPASSWD: ALL # 无需密码即可使用sudo # Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL # See sudoers(5) for more information on "@include" directives: @includedir /etc/sudoers.d
使用者的特殊shell与PAM模组
PAM(Pluggable Authentication Modules,嵌入式模组)是一套API,提供一连串的验证机制。
- passwd调用PAM模组进行验证
- PAM模组会到/etc/pam.d/寻找与程序(passwd)同名的文件
- 根据/etc/pam.d/passwd内的设定,引用相关的PAM模组逐步进行验证分析
- 将验证结果传回passwd,然后它会决定下一步
/etc/security/limits.conf
与ulimits相关,设定用户所能使用的资源
试了下似乎不生效?
Linux主机上用户之间通讯
w
who
账号检查
pwck # 检查/etc/passwd
grpck # /etc/group
pwconv # 检查passwd和shadow