第4章-Linux用戶及權(quán)限機(jī)制

Linux操作系統(tǒng)基礎(chǔ)教程

人民郵電出版社安俊秀編著

目錄CONTENTS第1章Linux概述第2章Linux的基本操作第3章Linux文件系統(tǒng)與磁盤管理第4章Linux用戶及權(quán)限機(jī)制第5章Linux文本處理第6章Linux多命令協(xié)作第7章Shell編程第8章進(jìn)程與設(shè)備管理第4章Linux用戶及權(quán)限機(jī)制《Linux操作系統(tǒng)基礎(chǔ)教程》

第4章Linux用戶及權(quán)限機(jī)制4.1用戶與用戶組4.1.1用戶的管理4.1.2

用戶組的管理4.1.3用戶配置文件4.2文件權(quán)限管理4.2.1所有者、所在組和其他用戶4.2.2讀、寫和執(zhí)行操作4.2.3umask屬性和特殊權(quán)限4.2.4文件屬性控制 4.1.1用戶的管理

Linux系統(tǒng)是一個(gè)多用戶多任務(wù)的分時(shí)操作系統(tǒng)，任何一個(gè)要使用系統(tǒng)資源的用戶，都必須首先向系統(tǒng)管理員申請(qǐng)一個(gè)賬號(hào)，然后以該賬號(hào)的身份進(jìn)入系統(tǒng)。每個(gè)用戶賬號(hào)都擁有一個(gè)唯一的用戶名和口令，同時(shí)系統(tǒng)會(huì)為每個(gè)用戶賬號(hào)分配一個(gè)用戶ID（uid）來標(biāo)識(shí)用戶。用戶在登錄時(shí)鍵入正確的用戶名和口令后，就能夠進(jìn)入系統(tǒng)和自己的主目錄。根據(jù)用戶ID的不同，在Linux系統(tǒng)中，用戶可分為以下3種類型。（1）root用戶：又稱為超級(jí)用戶，ID為0，擁有最高權(quán)限。（2）系統(tǒng)用戶：又稱為虛擬用戶、偽用戶或假用戶，不具有登錄Linux系統(tǒng)的能力，但卻是系統(tǒng)運(yùn)行不可缺少的用戶，一般ID為1～499，本書中使用的Centos7為1～999。（3）普通用戶：ID為500以上，Centos7為1000以上?？梢缘卿汱inux系統(tǒng)，但是使用的權(quán)限有限，由管理員創(chuàng)建。用戶管理的常用命令包括：useradd、passwd、usermod、userdel。useradd用來添加用戶，passwd修改用戶口令，usermod修改用戶信息，userdel刪除用戶。4.1.1用戶的管理

1．添加用戶添加用戶就是在系統(tǒng)中創(chuàng)建一個(gè)新賬號(hào)，并為新賬號(hào)分配用戶ID、用戶組、主目錄和登錄Shell等資源。通過useradd命令添加用戶。useradd的命令格式為：useradd[option]usernameusername表示新賬號(hào)的登錄名。

2．修改用戶口令用戶賬號(hào)剛創(chuàng)建時(shí)沒有口令，被系統(tǒng)鎖定無法使用，必須為其指定口令后才可以使用，即使是空口令。使用passwd命令指定和修改用戶口令。超級(jí)用戶可以為自己和其他用戶指定口令，普通用戶只能用它修改自己的口令。passwd的命令格式為：passwd[option][username]其中，option選項(xiàng)可以缺省，主要對(duì)/etc/shadow文件的字段產(chǎn)生影響，username參數(shù)也可以缺省，沒有指定該參數(shù)時(shí)，表示修改當(dāng)前用戶的口令；如果指定了該參數(shù)，則表示修改指定用戶的口令，只有root用戶才有修改指定用戶口令的權(quán)限。4.1.1用戶的管理

3．修改用戶信息修改用戶信息就是更改用戶的屬性，如用戶ID、主目錄、用戶所在組、登錄Shell等。通過usermod命令修改用戶信息。usermod的命令格式為：usermod[option]usernameusername表示用戶名。4．刪除用戶如果一個(gè)用戶賬號(hào)不再使用，可以從系統(tǒng)中刪除。刪除用戶就是刪除與用戶有關(guān)的系統(tǒng)配置文件中的記錄（如/etc/passwd）。通過userdel命令刪除用戶。userdel的命令格式為：userdel[option]username其中，option選項(xiàng)最常用的參數(shù)是-r，表示同時(shí)刪除用戶的主目錄。username表示要?jiǎng)h除的用戶。例如，刪除用戶user2，執(zhí)行如下命令。[root@localhostDesktop]#userdel-ruser2此時(shí)再查看/etc/passwd文件中的信息，將不會(huì)找到與user2有關(guān)的信息行。4.1.2用戶組的管理

用戶組是具有相同特征用戶的集合，每個(gè)用戶都有一個(gè)用戶組，方便系統(tǒng)集中管理一個(gè)用戶組中的所有用戶。用戶組的管理主要包括用戶組的添加、修改和刪除。常用命令有：groupadd、groupmod、groupdel。

1．添加用戶組使用groupadd命令增加新的用戶組。groupadd的命令格式為：groupadd[option]groupgroup表示用戶組的組名。2．修改用戶組信息使用groupmod命令修改用戶組的屬性。groupmod的命令格式為：groupmod[option]groupgroup表示需要修改屬性的用戶組的名稱。3．刪除用戶組使用groupdel命令刪除用戶組。groupdel命令的格式為：groupdelgroupgroup表示要?jiǎng)h除的用戶組的名稱。4.1.3用戶配置文件

與用戶相關(guān)的系統(tǒng)配置文件主要有/etc/passwd、/etc/shadow、/etc/group。/etc/passwd文件保存用戶信息，/etc/shadow文件保存加密的用戶密碼，/etc/group文件保存用戶組信息。1．/etc/passwd文件系統(tǒng)中所有的用戶信息都會(huì)記錄到/etc/passwd文件中，是系統(tǒng)識(shí)別用戶的一個(gè)文件。當(dāng)用戶登錄時(shí)，系統(tǒng)首先查閱/etc/passwd文件。假設(shè)用戶名為user，則會(huì)在/etc/passwd文件中查看是否有該賬號(hào)，然后確定user的uid，通過uid確認(rèn)用戶和身份。在/etc/passwd文件中，每一行都表示一個(gè)用戶的信息。每行有7個(gè)字段，字段之間通過“：”分隔。例如：[root@localhostDesktop]#cat/etc/passwdroot:x:0:0:root:/root:/bin/bashuser:x:1001:1001::/home/user:/bin/bash4.1.3用戶配置文件

2．/etc/shadow文件/etc/shadow與/etc/passwd文件是互補(bǔ)的，由于/etc/passwd文件所有用戶都可以訪問，為保證安全，將密碼和其他/etc/passwd文件不能包括的信息（如有效期限）單獨(dú)保存在/etc/shadow中，此文件只有root用戶有權(quán)查看。例如，用user用戶查看該文件時(shí)，會(huì)出現(xiàn)提示“Permissiondenied（權(quán)限不足）”。[user@localhostDesktop]$cat/etc/shadowcat:/etc/shadow:Permissiondenied

3．/etc/group文件/etc/group文件是用戶組的配置文件，可以直觀看出用戶組中包括哪些用戶。每個(gè)用戶組是一條記錄，每個(gè)記錄包含4個(gè)字段，字段之間通過“：”分隔，具體內(nèi)容如下。[root@localhostDesktop]#cat/etc/grouproot:x:0:myuuser:x:1001:user1:x:1002:myuser:x:1003:myGroup:x:1004:4.2.1所有者、所在組和其他用戶

有3種類型的用戶可以訪問文件或目錄：文件所有者、同組用戶、其他用戶。所有者一般是文件的創(chuàng)建者，對(duì)該文件的訪問權(quán)限擁有控制權(quán)。所有者可以允許同組用戶有權(quán)訪問文件，還可以將文件的訪問權(quán)限賦予系統(tǒng)中的其他用戶。通過chown和chgrp命令可以改變文件的所屬用戶和所屬組。

1．改變文件所屬用戶通過chown命令將文件的所有者修改為指定的用戶，普通用戶不能將自己的文件改變成其他的擁有者，超級(jí)用戶才擁有此權(quán)限。chown的命令格式為：chown[option][owner][:[group]]file。owner表示文件的所有者，可以是用戶名，也可以是用戶ID。group表示文件的所在組，組名或者組ID均可。file是文件的名稱。2．改變文件所在組通過chgrp命令變更目錄和文件的所屬組，只有超級(jí)用戶才擁有此權(quán)限。chgrp的命令格式為：chgrp[option]groupfile。

group表示目錄或文件的所在組，可以是組名或者組ID。file是目錄或文件的名稱。4.2.2讀、寫和執(zhí)行操作

每一文件或目錄的訪問權(quán)限都有三組，每組用三位表示，分別為文件屬主的讀、寫、執(zhí)行權(quán)限，與屬主同組用戶的讀、寫和執(zhí)行權(quán)限，系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。文件被創(chuàng)建時(shí)，文件的所有者自動(dòng)擁有對(duì)該文件的讀、寫、執(zhí)行權(quán)限，以便于閱讀和修改文件。用戶也可根據(jù)需要把訪問權(quán)限設(shè)置為需要的任何組合，目錄必須擁有執(zhí)行權(quán)限，否則無法查看其內(nèi)容。r表示讀權(quán)限，w表示寫權(quán)限，x表示執(zhí)行權(quán)限。三種權(quán)限模式對(duì)文件和目錄的影響如表所示。當(dāng)用ls–l命令顯示文件或目錄的詳細(xì)信息時(shí)，最左邊一列為文件的訪問權(quán)限。/etc/passwd文件的詳細(xì)信息如下。[root@localhostDesktop]#ls-l/etc/passwd-rw-r--r--.1rootroot2418Mar2210:48/etc/passwd4.2.2讀、寫和執(zhí)行操作

輸出結(jié)果的前十個(gè)字符“-rw-r--r--”表示文件屬性，第一個(gè)字符表示文件類型，剩下的9個(gè)字符（三個(gè)一組）分別表示文件所有者、文件所在組以及其他用戶對(duì)該文件的讀、寫和執(zhí)行權(quán)限，具體含義如圖所示。通過chmod命令改變不同用戶對(duì)文件或目錄的訪問權(quán)限，文件或目錄的所有者和超級(jí)用戶擁有修改權(quán)限。該命令有以下兩種使用方法：表達(dá)式法和數(shù)字法。4.2.2讀、寫和執(zhí)行操作

1．表達(dá)式法表達(dá)式法的chmod的命令格式為：chmod[who][operator][mode]file。其中，who指定用戶身份，若此參數(shù)省略，則表示對(duì)所有用戶進(jìn)行操作。operator表示添加或取消某個(gè)權(quán)限，取值為“+”或“-”。mode指定讀、寫、執(zhí)行權(quán)限，取值為r、w、x的任意組合。2．?dāng)?shù)字法chmod支持以數(shù)字方式修改權(quán)限，讀、寫、執(zhí)行權(quán)限分別由3個(gè)數(shù)字表示：r（讀）=4；w（寫）=2；x（執(zhí)行）=1。每組權(quán)限分別為對(duì)應(yīng)數(shù)字之和，如“rw-rw-r--”表示為“664”（其中的-表示沒有某一個(gè)權(quán)限，取值為0）。當(dāng)前a文件的訪問權(quán)限為“rwxrwxrw-”，將其恢復(fù)到原來的“rw-rw-r--”，只需要執(zhí)行命令“chmod664a”，結(jié)果如下。[root@localhostfour]#chmod664a[root@localhostfour]#ls-lda-rw-rw-r--.1myUsermyGroup0Mar2815:20a4.2.3umask屬性和特殊權(quán)限

文件和目錄的默認(rèn)訪問權(quán)限是不同的。文件默認(rèn)沒有執(zhí)行權(quán)限，對(duì)于所有者、同組用戶、其他用戶都只有rw兩個(gè)權(quán)限，即默認(rèn)屬性為“-rw-rw-rw-（數(shù)字表示為：666）”。對(duì)于目錄而言，所有權(quán)限均開放，即默認(rèn)屬性為“drwxrwrwx（數(shù)字表示為：777）”。但新建文件目錄的訪問權(quán)限是由默認(rèn)權(quán)限和umask屬性的差值決定的，每個(gè)終端都擁有一個(gè)umask屬性。一般普通用戶的默認(rèn)umask是002，root用戶的默認(rèn)umask是022，使用umask命令查看當(dāng)前終端的umask值。[user@localhostDesktop]$umask//普通用戶0002[user@localhostDesktop]$suroot//切換到root用戶Password:[root@localhostDesktop]#umask//root用戶0022使用umask命令查看默認(rèn)權(quán)限時(shí)，有4位數(shù)字（如0002），而所有者、所在組、其他用戶的讀、寫、執(zhí)行權(quán)限只占后面三位。這是因?yàn)槌x、寫、執(zhí)行3個(gè)普通權(quán)限外，系統(tǒng)中還存在3個(gè)特殊權(quán)限：suid、sgid、sbit，最開頭的一位保存特殊權(quán)限。4.2.3umask屬性和特殊權(quán)限

1．suid設(shè)置了suid權(quán)限的文件，在執(zhí)行時(shí)以文件的所屬用戶身份執(zhí)行，而非執(zhí)行文件的用戶。例如，查看文件/usr/bin/passwd，所有者的x權(quán)限被s替代，命令如下。[root@localhostDesktop]#whichpasswd/usr/bin/passwd[root@localhostDesktop]#ls-ld/usr/bin/passwd-rwsr-xr-x.1rootroot27832Jun102014/usr/bin/passwd當(dāng)s標(biāo)志出現(xiàn)在文件所有者的x權(quán)限上時(shí)，如上述結(jié)果出現(xiàn)的“-rwsr-xr-x”，該文件就擁有了suid權(quán)限。suid權(quán)限的限制與功能為：suid只能用于二進(jìn)制可執(zhí)行文件（即需對(duì)該文件擁有可執(zhí)行權(quán)限），對(duì)目錄無效；執(zhí)行者將具有該文件所有者的權(quán)限；本權(quán)限只在文件執(zhí)行時(shí)有效，執(zhí)行完畢不再擁有所有者權(quán)限。

2．sgidsgid權(quán)限出現(xiàn)在文件所屬組權(quán)限的執(zhí)行位上面。與suid不同的是，對(duì)普通二進(jìn)制文件和目錄都有效。當(dāng)它作用于普通文件時(shí)和suid類似，執(zhí)行者若具有該文件的x權(quán)限，執(zhí)行者將獲得該文件所屬組的權(quán)限。當(dāng)sgid作用于目錄時(shí)，若執(zhí)行者對(duì)某一目錄具有x、w權(quán)限，該執(zhí)行者就可以在該目錄下建立文件，而且該執(zhí)行者在這個(gè)目錄下建立的文件都是屬于這個(gè)目錄所屬的組。4.2.3umask屬性和特殊權(quán)限

3．sbitsbit權(quán)限出現(xiàn)在其他用戶的x權(quán)限上，只對(duì)目錄有效，若執(zhí)行者對(duì)此目錄具有w、x權(quán)限，在該目錄下創(chuàng)建文件或目錄時(shí)，僅自己與root才有權(quán)刪除新建的目錄或文件。例如，/tmp文件的訪問權(quán)限是“drwxrwxrwt”。[root@localhostDesktop]#ls-ld/tmpdrwxrwxrwt.16rootroot4096Mar2918:55/tmp特殊權(quán)限的修改和設(shè)置同樣使用chmod命