30、Linux用户与组管理及文件权限设置全解析

Linux用户与组管理及文件权限设置全解析

1. UID和GID的重用问题

在Linux系统中，当一个账户被删除后，其对应的用户ID（UID）和组ID（GID）会变为可用状态，可被重新使用。不过，在很多情况下，这些编号不会被立即重用，因为Linux通常基于当前最大的编号来分配新的UID和GID。所以，如果你删除的不是当前编号最大的用户，那么该用户原来的UID和GID不会被重用，除非删除中间的其他账户。

如果一个UID被重用，之前由旧用户拥有的文件会突然显示为新用户所拥有。这可能不会引发问题，但可能会让人对文件的创建者产生混淆，甚至可能会让人怀疑新用户有不当行为（比如旧文件包含新用户不应拥有的信息，或者文件位于新用户不应访问的目录中）。

为了避免因UID或GID重用而给新用户带来混淆或不当行为的质疑，你可以使用 find 命令来定位具有特定UID或GID值的所有文件。操作步骤如下：
1. 使用 -uid 或 -gid 选项，例如：

# find / -uid 1004

这个示例会查找计算机上所有UID为1004的文件。查找GID的操作类似，只是使用 -gid 选项。
2. 找到文件后，你可以使用 chown 命令重新分配这些文件的所有权，或者直接删除它们。通常，你应该在删除或重新分配用户主目录的所有权之后再执行此命令，因为主目录可能包含大量匹配的文件。

2. 删除账户

2.1 使用GUI工具删除账户

使用图形用户界面（GUI）进行账户管理通常比较直观，但不同的Linux发行版具体操作细节可能有所不同。以openSUSE的用户和组管理工具为例，删除账户的步骤如下：
1. 打开用户和组管理工具。
2. 点击要删除的账户。
3. 点击“Delete”按钮。
4. 在弹出的确认对话框中，根据需要勾选或取消勾选删除用户主目录的选项。
5. 确认操作后，点击“Yes”按钮，账户将立即被删除。

如果用户当前正在登录，工具通常会在确认对话框中提示这一情况。你仍然可以删除账户，但用户不会立即被注销。

2.2 使用命令行删除账户

在文本模式的shell中，可以使用 userdel 命令删除账户。具体操作如下：
- 基本用法 ：只传递用户名，不删除用户主目录。

$ sudo userdel samantha
root's password:

该程序不会提示确认，直接删除账户。
- 删除用户主目录 ：使用 --remove （ -r ）选项。

$ sudo userdel -r samantha

• 强制删除正在使用的账户 ：使用 --force （ -f ）选项。如果要同时强制删除账户并删除用户文件，可以同时传递这两个选项。

$ sudo userdel -rf samantha
root's password:
userdel: user samantha is currently logged in 

程序会提示用户正在登录，但仍然会删除账户和文件。

3. 管理组

3.1 使用GUI工具管理组

许多GUI账户维护工具（如openSUSE的用户和组管理工具）提供了类似于用户管理工具的组管理功能。以openSUSE为例，管理组的步骤如下：
1. 打开用户和组管理工具。
2. 点击“Groups”标签。
3. 要创建新组，点击“Add”按钮。
4. 在弹出的对话框中指定组名和GID。
5. 通过在账户名旁边的框中打勾来添加组成员。
6. 点击“OK”按钮完成组的添加。

你也可以通过单独更改每个用户的组成员身份来管理组，这将在后面的命令行管理部分介绍。

3.2 使用命令行管理组

在命令行中，可以使用以下命令管理组：
- 创建组 ：使用 groupadd 命令，常用选项如下表所示：
| 选项名称 | 选项缩写 | 效果 |
| ---- | ---- | ---- |
| --gid GID | -g | 可以使用此参数提供特定的GID。如果省略， groupadd 将使用下一个可用的GID。 |
| --non-unique | -o | 通常，你指定的GID必须未被其他组使用，但 -o 参数可以覆盖此行为，允许创建多个共享一个GID的组。 |
| --system | -r | 此参数指示 groupadd 创建一个系统组，其GID小于500或1000，具体取决于发行版。非系统组通常用作用户私有组。 |
| --force | -f | 通常，如果你尝试创建一个已经存在的组， groupadd 会返回错误消息。此参数可以抑制该错误消息。 |

示例：

# groupadd -g 1001 consultants

这个示例创建了一个GID为1001，组名为 consultants 的组。注意，这里的 # 提示符表示使用了root账户以获得执行此命令所需的超级用户权限。
- 添加组成员 ：使用 usermod 命令。例如，将用户 rich 添加到 consultants 组：

# usermod -aG consultants rich 
# groups rich
rich: users consultants

-aG 选项一起使用，将 rich 账户添加到新的 consultants 组。如果不使用 -a 选项， rich 账户将被从其当前的组中移除，只属于 consultants 组。使用 groups 命令可以检查修改是否成功。
- 修改组 ：使用 groupmod 命令。可以使用 --gid （ -g ）、 --non-unique （ -o ）选项，还可以使用 --new-name （ -n name ）选项来更改组名。
- 删除组 ：使用 groupdel 命令，例如：

groupdel consultants

这个命令将删除 consultants 组。

在Linux发行版中，通常默认提供多个组。其中， wheel 组（在某些发行版中）对于系统管理特别重要。 wheel 组成员被授予某些特殊的管理权限，例如使用 sudo 命令的权限。你可以使用以下命令检查你的发行版是否存在 wheel 组：

grep wheel /etc/group

有些发行版允许你在安装操作系统时将主用户账户添加到 wheel 组，不过安装程序通常会询问你是否要将账户添加到“administrators group”或类似的组。

4. 总结

在Linux系统中，无论是使用GUI工具还是命令行工具，都可以方便地进行用户和组的管理。GUI工具适合初学者和需要直观操作的场景，而命令行工具则更适合熟练的管理员进行高效操作。同时，了解UID和GID的重用问题以及文件所有权和权限的设置，对于保障系统的安全性和数据的正确管理至关重要。

5. 流程图

graph TD;
    A[开始] --> B[选择管理方式];
    B --> C{GUI工具};
    B --> D{命令行工具};
    C --> E[打开用户和组管理工具];
    E --> F[点击要操作的账户或组];
    F --> G[进行添加、修改、删除等操作];
    D --> H[使用相应命令];
    H --> I[useradd/usermod/userdel/groupadd/groupmod/groupdel等];
    I --> J[根据需求设置选项];
    J --> K[执行命令完成操作];
    G --> L[操作完成];
    K --> L;

6. 建议练习

• 创建一个测试账户，使用发行版提供的GUI工具，然后登录该账户，验证其是否按预期工作。
• 使用 useradd 创建另一个测试账户，但不使用 passwd 设置密码。尝试登录该账户，然后使用 passwd 创建密码并再次尝试登录。

7. 复习问题

1. 要删除 nemo 账户及其主目录，Linux系统管理员应输入以下哪个命令？
   A. userdel nemo
   B. userdel -f nemo
   C. userdel -r nemo
   D. rm /home/nemo
   E. rm -r /home/nemo
   答案：C
2. 以下哪个是最佳密码？
   A. LinusTorvalds
   B. uB2op%4q+++++++++++++++
   C. 123456
   D. password
   E. peanutbuttersandwich
   答案：B
3. 假设以下命令成功完成，它的效果是什么？

# groupadd henry

A. 它创建了一个名为 henry 的新组。
B. 它将用户 henry 添加到当前默认组。
C. 它从名为 henry 的文件中导入组信息。
D. 它将用户的默认组更改为 henry 。
E. 它将组 henry 添加到用户的组列表中。
答案：A
4. 判断对错：用户账户的UID号比系统账户的UID号高。
答案：对
5. 判断对错：命令行用户通常应使用 usermod 来更改密码。
答案：错
6. 判断对错：删除账户后，以前由该删除账户拥有的文件可能仍保留在计算机上。
答案：对
7. 要为新用户创建一个账户，用户名为 theo ，并赋予UID为1926，应使用的命令是 useradd _______ 。
答案： -u 1926 theo
8. 要将用户的用户名从 e1211 更改为 emilyn ，而不更改账户的其他信息，应输入的命令是 _ 。
答案： usermod -l emilyn e1211
9. 要创建一个系统组，必须向 groupadd 传递 _选项。
答案： -r
10. 各种组的信息，如组名、GID和组成员，存储在 _ ______文件中（答案应为绝对文件引用）。
答案： /etc/group

8. 文件所有权和权限设置

Linux作为多用户操作系统，提供了工具来保护文件免受不必要的访问。这主要通过文件和目录的两个特征来实现：所有权和权限。

8.1 理解所有权

每个文件都有一个关联的所有者（一个与之关联的账户），通过账户的用户ID（UID）编号实现关联。每个文件还通过组ID（GID）编号与一个组关联。

作为root用户，你可以更改任何文件的所有者和组。文件的所有者也可以更改文件的组，但只能更改为用户所属的组。同样的所有权原则也适用于目录，目录也有所有者和组，可以由root或在一定程度上由目录的所有者更改。

在多Linux安装环境中，如果你在不同的安装之间传输文件，可能会发现文件的所有权似乎发生了变化。这是因为这些操作系统的文件系统使用UID和GID编号来存储所有权和组信息，同一个用户或组在不同的计算机上可能有不同的UID或GID编号，即使账户或组的名称相同。

这个问题在使用原生Linux或Unix文件系统传输数据时最容易出现，包括基于磁盘的文件系统（如Linux的ext2fs或Mac OS X的HFS+）或用于远程文件访问的网络文件系统（NFS）。如果使用非Linux/Unix文件系统，如文件分配表（FAT）或新技术文件系统（NTFS）用于磁盘，或服务器消息块/通用互联网文件系统（SMB/CIFS，在Linux中由Samba处理）用于网络访问，这个问题发生的可能性较小。

如果遇到这个问题，你可以通过更改一个或多个安装上的UID或GID映射，使它们匹配。可以使用 usermod 命令更改用户的UID号，使用 groupmod 命令更改组的GID号。在通过可移动磁盘传输数据时，如果不需要保留Unix风格的权限，使用FAT或NTFS是一个简单的解决方案。

8.2 设置所有权

你可以使用GUI文件管理器或文本模式的shell来更改文件的所有权。所有权也适用于正在运行的程序（或进程），大多数程序与启动它们的账户相关联，这个身份结合文件的所有权和权限，决定了程序是否可以修改文件。

总之，掌握Linux系统中用户和组的管理以及文件所有权和权限的设置，对于系统的安全和有效管理至关重要。通过本文介绍的方法和命令，你可以更好地管理Linux系统中的账户、组和文件。

9. 设置文件权限

9.1 权限概述

在Linux中，文件和目录的权限分为三组，分别针对文件的所有者、文件所属组的成员以及其他所有用户。这三组权限决定了不同用户对文件或目录可以执行的操作，主要包括读取（r）、写入（w）和执行（x）权限。

用户类型	读取（r）	写入（w）	执行（x）
文件所有者	可以查看文件内容	可以修改文件内容	可以将文件作为程序执行
文件所属组	可以查看文件内容	可以修改文件内容	可以将文件作为程序执行
其他用户	可以查看文件内容	可以修改文件内容	可以将文件作为程序执行

对于目录来说，读取权限允许列出目录中的文件和子目录；写入权限允许在目录中创建、删除或重命名文件和子目录；执行权限允许进入该目录。

9.2 使用命令行设置权限

在命令行中，可以使用 chmod 命令来修改文件和目录的权限。 chmod 命令有两种主要的使用方式：符号模式和数字模式。

9.2.1 符号模式

符号模式使用符号来表示要修改的权限和操作。常用的符号如下：
- u ：表示文件所有者（user）
- g ：表示文件所属组（group）
- o ：表示其他用户（others）
- a ：表示所有用户（all）
- + ：表示添加权限
- - ：表示删除权限
- = ：表示设置权限

示例：

# 给文件所有者添加执行权限
chmod u+x file.txt
# 给文件所属组和其他用户删除写入权限
chmod go-w file.txt
# 给所有用户设置读取和执行权限
chmod a=rx file.txt

9.2.2 数字模式

数字模式使用数字来表示权限，每个权限对应一个数字：
- 读取（r）：4
- 写入（w）：2
- 执行（x）：1
- 无权限：0

将三组权限的数字相加，就可以得到一个三位数字来表示文件的权限。例如， 755 表示文件所有者具有读、写、执行权限（4 + 2 + 1 = 7），文件所属组和其他用户具有读、执行权限（4 + 1 = 5）。

示例：

# 设置文件权限为755
chmod 755 file.txt

9.3 使用GUI设置权限

许多GUI文件管理器允许你通过图形界面来设置文件和目录的权限。以常见的文件管理器为例，设置权限的步骤如下：
1. 右键单击文件或目录，选择“属性”或“权限”选项。
2. 在弹出的窗口中，切换到“权限”标签。
3. 在这里，你可以通过勾选或取消勾选相应的复选框来设置文件所有者、文件所属组和其他用户的读取、写入和执行权限。
4. 设置完成后，点击“确定”保存更改。

10. 特殊执行权限

10.1 SUID和SGID权限

除了基本的读取、写入和执行权限外，Linux还提供了两种特殊的执行权限：设置用户ID（SUID）和设置组ID（SGID）。

• SUID（Set User ID） ：当一个具有SUID权限的程序被执行时，它将以文件所有者的身份运行，而不是以执行该程序的用户身份运行。这意味着该程序可以访问文件所有者有权限访问的资源。例如， passwd 命令就是一个具有SUID权限的程序，普通用户可以使用它来修改自己的密码，因为它以root用户的身份运行，从而可以访问和修改 /etc/shadow 文件。
• SGID（Set Group ID） ：对于文件来说，当一个具有SGID权限的程序被执行时，它将以文件所属组的身份运行。对于目录来说，当一个目录具有SGID权限时，在该目录中创建的新文件将继承该目录的所属组。

10.2 设置和取消特殊权限

在命令行中，可以使用 chmod 命令来设置和取消SUID和SGID权限。在数字模式下，SUID权限用4表示，SGID权限用2表示。

示例：

# 给文件设置SUID权限
chmod 4755 file.txt
# 给目录设置SGID权限
chmod 2755 directory/
# 取消文件的SUID权限
chmod 0755 file.txt

11. 权限管理的最佳实践

11.1 最小权限原则

在设置文件和目录的权限时，应该遵循最小权限原则，即只给用户或组授予完成其任务所需的最少权限。这样可以降低系统被攻击的风险，因为即使某个账户或程序被攻破，攻击者也无法访问超出其权限范围的资源。

11.2 定期审查权限

定期审查文件和目录的权限，确保权限设置符合当前的安全策略和业务需求。随着系统的使用和人员的变动，可能需要调整某些文件或目录的权限。

11.3 备份重要文件

在进行权限更改之前，务必备份重要的文件和目录。这样，即使权限设置出现问题，也可以恢复到之前的状态。

12. 流程图

graph TD;
    A[开始] --> B[选择设置方式];
    B --> C{命令行};
    B --> D{GUI};
    C --> E[使用chmod命令];
    E --> F[选择符号模式或数字模式];
    F --> G[设置权限];
    D --> H[右键单击文件或目录];
    H --> I[选择属性或权限选项];
    I --> J[在权限标签中设置];
    J --> K[点击确定保存];
    G --> L[权限设置完成];
    K --> L;

13. 总结

Linux系统中的用户和组管理以及文件所有权和权限设置是保障系统安全和有效运行的重要方面。通过合理管理用户和组，可以对不同用户进行有效的权限控制；通过正确设置文件的所有权和权限，可以确保文件和数据的安全性和完整性。无论是使用GUI工具还是命令行工具，都可以方便地完成这些操作。同时，遵循权限管理的最佳实践，如最小权限原则、定期审查权限等，可以进一步提高系统的安全性。希望通过本文的介绍，你能够更好地掌握Linux系统中的这些重要知识，为系统的管理和维护打下坚实的基础。