第五章 Linux用户和文件权限管理

一，本章内容

    1，用户管理

    2，用户组管理

    3，基本权限及管理命令

    4，POSIX ACL权限系统及其管理命令

 备注：本Linux系统为RHEL5.3

二，用户管理

1，系统用户文件概述

[1] 系统用户文件/etc/passwd

 用于保存系统用户及用户设置的文件是/etc/passwd

 

[2] 用户密码文件/etc/shadow

  用于保存密码的文件是 /etc/passwd

 

2，useradd添加用户命令

   命令adduser实际上是useradd的软链接文件，因此两个命令的用法相同。

     useradd [option] username

     g: 指定新用户所属的组

      s: 指定新用户使用的shell

  使用选项s修改用户使用的shell为、sbin/nolohin，以阻止其登录，如软件建立的专有用户，不应让其登录

 

  使用选项g指定添加的新用户user2的用户组为user1

 

3，passwd设置用户密码

    passwd [username]

 

  如果没有指定用户，默认修改当前用户的密码

4，userdel删除用户指令

    userdel [option] username

  选项：

     r: 删除用户时，连同用户的家目录和邮件文件一起删除。

 

5，usermod用户管理命令

  用户管理的基本内容是禁用，启用用户账号（即锁定，解除锁定），以及修改用户账号的某些属性等。

    usermod [option] username

    L: 锁定用户，即禁止用户登录系统

    U: 解除锁定

    e: 指定用户过期的日期

    f: 指定用户过期之后的缓冲时间，既过期之后还能登陆的天数

    d: 为用户指定新的家目录

    m: 为用户指定新的家目录时，移动原来家目录中的所有文件

     s : 修改用户的默认shell

  连同家目录中文件一起移动，修改家目录

 

三，用户组管理

1，用户组文件概述

 [1] 系统用户组文件

  用户组的相关设置保存在/etc/group中

 

[2] 用户组密码文件

  用户组密码文件用于保存用户组密码，用户组管理员等设置。保存在/etc/gshadow中

2，groupadd添加用户组命令

  在Linux系统中实施权限细则时，通常将权限相似的用户添加到一个组，最后对组实施权限细则，已达到方便管理的目的。

     groupadd groupname

 

3，groupdel删除用户组命令

     groupadd groupname

    

4，用户组管理

  用户组管理的主要内容是将用户加入不同的组，或从用户组中移除用户，以便使用ACL以组为单位实施权限细则。

  通常将系统用户文件中指定的用户组成为用户的私有组，在用户组文件中为用户指定的的组称为用户的附加组，系统将使用用户的私有组作为用户的属组。

     g: 将用户的私有组改变为选项指定的组。

     G: 为用户添加多个附加组，使用逗号作为分隔符。

     a: 将用户以追加的形式添加到一个附加组。

 

四，基本权限及管理命令

  1，文件的属主和属组

 

2，chown chgrp修改文件属主

  chown [option] user:group file

 常用的选项：

    r∶递归修改目录及目录中的所有文件

3，chgrp修改文件属组

   chgrp [option] group file

 常用的选项：

   r∶递归修改目录及目录中的所有文件

 

4，文件权限及表示方法

  读，写，执行权限，对于文件和目录不同：

  对于文件：

  读：允许读取文件内容包括查看文件内容，复制

  写：允许写入内容，，包括编辑文件内容，追加内容，删除文件等

  执行：如文件是可执行的脚本，二进制代码文件或程序，此权限用于控制用户能否执行该文件

  对于目录：

  读：允许查看目录中的文件列表

  写：允许在目录中创建和删除文件。删除目录中的文件时，还应具备相应文件的写权限

  执行：允许用户使用cd命令进入目录

  虽然用户可能无法进入目录或是查看目录中的文件列表，但如果目录中的文件权限允许，用户仍然可以使用输入全路径的方式操作文件

    权限表示方法之符号模式rwx

    权限表示方法之绝对模式421

3，chmod文件权限管理命令

    chmod [option] [mode] file常用选项：

    r∶递归修改目录及目录中的所有文件的权限

  参数说明：

    chmod命令中的mode是权限表达式，可使用符号模式或绝对模式。使用符号模式时，表达式可拆分为操作对象，操作符，和权限列表3部分，具体如下：

 操作对象是用户合组，使用字母u, g,o 和a表示，使用a表示all

 操作符表示赋予或回收，可使用”+”, “-”, “=”,分别表示添加，删除和赋予

 权限列表：读，写执行rwx的权限的组合

 符号模式

 

绝对模式

五，POSIX ACL权限系统及其管理命令

ACL访问控制列表，可定义多用户，多用户组对文件的访问权限。

1，setfacl权限管理命令

setfacl [option] 权限表达式 文件名

常用选项：

b∶删除所有扩展ACL权限
      k∶删除默认的ACL权限

d∶设置默认的ACL权限

R: 递归的设置目录及目录中的所有文件

m: 修改，添加已有的ACL权限

参数说明：

  设置ACL权限时，需使用权限表达式，与chmod命令的权限表达式不同，setfacl的权限表达式需要明确指出用户和组的权限。

[对象类型]:[对象]:权限列表

  表达式以冒号作为分隔符，分为对象类型，对象，和权限3个部分，具体如下：

  对象类型：有4种，u, g, m,和o，分别表示用户，组。Mask和其他用户。Mask表示ACL权限的安全值。当超过此权限上限时，超过的权限将会被系统屏蔽。

  对象：应用权限的对象，用户或组的名称。

  权限：w, r, x的组合

  如果一条命令有多个权限表达式，可使用逗号”,”，分隔开。

为用户lji添加file的可读写权限

2，getfacl查看ACL权限

Getfacl [option] filename