Linux系统管理——用户权限管理

1 用户与用户组概念

　　（1）Linux是一个多用户多任务的分时操作系统。即系统中可以建立多个用户，而这些用户可以在同一时间内登录该系统互不影响地执行各自不同的任务。

　　（2）这些用户可以分为以下三类：
　　超级用户：拥有对系统的所有权限，使用时需谨慎，默认为root用户；
　　普通用户： 只能对自己目录下的文件进行访问和修改，这类用户的权限会受到基本权限的限制，也会受到来自管理员的限制。比如www、ftp用户。
　　系统虚拟用户：这类用户不能登录系统，主要用于系统管理，满足相应的系统进程对文件属性的要求。比如bin、adm、nobody用户。

　　（3）用户组：具有相同特征用户的逻辑合集，将多个用户分为一个组，赋予该组一定的权限即可实现这些用户拥有相同的权限。即用户分组是Linux系统中对用户进行管理及控制访问权限的一种手段。用户和用户组的对应关系有：一对一、一对多、多对一和多对多。

---

2 用户配置文件

2.1 /etc/passwd

　　系统配置用户的文件，文件中记录了Linux系统中每个用户的基本属性，每一行记录对应一个用户，对所有用户可读。具体含义为：
用户名: 密码: 用户标识号: 组标识号: 注释性描述: 主目录: 默认shell
　　用户名：代表用户帐号，用户名可以重复；
　　密码：这里的密码存放的是用户密码的加密串，即不是明文，真正加密后的密码存放在/etc/shadow文件中；
　　用户标识号：即UID，通常UID的取值范围是0~65535。0为root用户，1~499为系统虚拟用户，而普通用户的UID从500开始；
　　组标识号：即用户组的GID，表示用户所属于的用户组；
　　注释性描述：对用户的描述信息；
　　主目录：用户登陆后默认所处的目录；
　　默认shell：用户登陆后默认使用的shell命令解释器，Linux常用的shell有sh、bash、csh等。

2.2 /etc/shadow

　　存放着所有用户的加密密码，将/etc/passwd文件中的用户密码分离出来放在/etc/shadow文件中，只有root用户具有读权限。具体含义为：
用户名: 加密密码: 最后一次修改时间: 最小时间间隔: 最大时间间隔: 警告时间: 不活动时间: 失效时间: 保留字段
　　加密密码：加密后的用户密码；
　　最小时间间隔/最大时间间隔：两次修改密码之间的最小/大时间间隔；
　　警告时间：表示从系统开始警告用户到密码正式失效之间的天数；
　　失效时间：表示帐号的生存期，超过该时间，账号失效；
　　保留字段：目前为空，留待Linux日后发展所用。

2.3 /etc/group

　　存放用户组的信息。具体含义为：
组名: 密码: 组标识号: 组内用户列表
　　组名：用户组的名称，组名不能重复；
　　密码：用户组加密后的密码字串；
　　组标识号：组的GID，与/etc/passwd文件组标识号对应；
　　组内用户列表：属于这个组的所有用户，多个用户用逗号隔开。

2.4 /etc/default/useradd

　　定义新建用户的一些默认属性，比如用户的主目录、使用的shell等。
HOME：指定新建用户的主目录；
INACTIVE：表示是否启用帐号过期禁用，-1表示不启用；
EXPIRE：表示帐号过期日期，不设置表示不启用；
SHELL：指定用户所用的shell类型；
SKEL：指定用户主目录中默认文件的来源。

2.5 /etc/login.defs

　　定义新建用户的一些默认设置，比如指定用户的UID和GID范围，用户的过期时间、是否需要创建用户主目录等。

---

3 用户与用户组管理工具

　　用户管理工具为：useradd/usermod/userdel；
　　用户组管理工具为：groupadd/newgrp/groupdel。

3.1 用户管理工具

3.1.1 useradd

　　useradd [选项] [用户名]，命令用于新建一个用户。命令执行后，系统首先会按照选项给用户指定属性，其它没有指定的属性则会按照/etc/default/useradd和/etc/login.defs文件指定。useradd命令常见的选项有：
　　-u 用户UID标识号；
　　-g 新建用户默认所属的用户组；
　　-G 指定新建用户所属的附加组；
　　-c 一段对新建用户的注释性描述；
　　-d 指定新建用户的默认主目录；
　　-e 新建用户帐号的过期时间；
　　-s 指定新建用户使用的默认shell，如果不指定，则按照/etc/default/useradd文件中的shell指定。

3.1.2 usermod

　　usermod [选项] [用户名]，命令用于修改已有账户的属性信息，命令中的选项同useradd命令中的选项。

3.1.3 userdel

　　userdel [用户名]，用于删除指定用户；
　　userdel -r [用户名]，不仅删除用户，还删除用户主目录及其下所有文件。

3.2 用户组管理工具

3.2.1 groupadd

　　groupadd -g [GID] [groupname]：用于创建一个新的用户组，执行该命令需要root权限。其中GID为组标识号，groupname为用户组名。

3.2.2 newgrp

　　newgroup [用户组]：如果当前用户同时属于多个用户组，该命令可以用于当前用户在不同用户组之间切换，即可以随时切换当前用户的权限。

3.2.3 groupdel

　　groupdel [groupname]：用于删除用户组。如果待删除的用户组中有其它用户，必须先删除所有用户才能删除该用户组。