linux用户及权限管理

用户管理相关命令
工作中经常用到对系统上用户及文件权限的管理，本文详细介绍下用户及权限管理相关的命令
相关知识：
对计算机而言，每个使用者都是一个用户，每个用户都有一个用户ID和密码；用户登录系统分为认证(Authentication)、授权(Authorization)、审计(Audition)三步，任何一步出错用户都会登录不上系统；
在linux系统中用户分为管理用户和普通用户，普通又分为系统用户和登录用户；其中，每个用户都有一个ID号用来惟一标识此用户，此ID号也叫做UID；在linux系统中UID是由16bits的二进制数字组成的，范围为(0-65535)，其中：
管理员的UID号为0
普通用户为1-65535
系统用户为1-499(CentOS5/6),1-999(CentOS7)
登录用户为500-60000(CentOS5/6),1000-60000(CentOS7)
当用户登录系统时需要输入用户名，用户输入用户名之后需要进行名称解析，将用户的用户名转换为系统的UID来惟一标识此用户，在此，系统根据名称解析库/etc/passwd进来行解析，其中，/etc/passwd中的内容由冒号分隔为七段：
account:password:UID:GID:GECOS:directory:shell
account：表示用户名
password：表示加密的密码，也可以是占位符；用户的真实密码存放于/etc/shadow中
UID：表示用户ID
GID：表示用户所属的主组的ID号
GECOS：表示注释信息
directory：表示用户的家目录路径
shell：表示用户的默认shell，登录时默认的shell程序
刚刚提到用户的真实密码存放于/etc/shadow文件中，其中，/etc/shadow文件的内容由冒号分隔为九段：
sp_namp:sp_pwdp:sp_lstchg:sp_min:sp_max:sp_warn:sp_inact:sp_expire：sp_flag
sp_name：账号名称，由于密码也需要与账号对应。因此，这个文件的第一列就是账号，必须要与/etc/passwd相同才行；
sp_pwdp：表示用户加密后的密码
sp_lstchg：最近一次修改密码的时间
sp_min：表示密码的最短使用期限(密码不可被改动的天数)
sp_max：表示密码的最长使用期限(密码需要重新更动的天数)
sp_warn：表示密码最长使用期限到期后的警告时间段，在此时间段内用户还可以正常使用密码
sp_inact：非活动时间(密码过期后的账号宽限时间)，不过，如果密码过期了，那当你登录系统时，系统会强制要求你必须要重新设置密码才能登录继续使用。
sp_expire：账号失效日期，这个日期跟第三个字段一样，都是使用1970年以来的总日数设置。这个字段表示：这个账号在此字段规定的日期之后，将无法再使用。
sp_inact：保留字段
在linux系统中组分为管理员组和普通用户组，普通用户组又分为系统组和登录组，同用户ID一样，组也有ID叫做GID，GID和UID一样也是由16bits位的二进制数组成，范围为(0-65535),其中：
管理员组的ID号为0
普通用户组的ID号为1-65535
系统登录组的ID号为1-499(CentOS5/6),1-999(CentOS7)
登录用户组的ID号为500-60000(CentOS5/6),1000-60000(CentOS7)
存储组信息的名称库为/etc/group，此文件被冒号分隔为四段：
roup_name:passwd:GID:user_list
group_name：表示组名
passwd：组密码占位符，真实的密码存放于/etc/gshadow中，稍后介绍。
GID：组ID号
user_list：用户列表，表示的是以此组为附加组的用户列表。
组密码存放于/etc/gshadow中，此文件由冒号分隔为四段
group name:encrypted password:administrators:members
group name：用户组名,和/etc/group里面的组名一样
encrypted password：密码列
administrators：用户组管理员的账号
members：该用户组的所属账号
用户管理的命令详解：
useradd命令：
功能：创建用户
用法：useradd[options] LOGIN
参数：
-u：指定用户UID
-g：指定基本组ID，此组得事先存在
-G：指定用户所属的附加组，多个组之间用逗号分隔；
-c：指明注释信息
-d：指定用户家目录，通过复制/etc/skel目录并重命名实现，指定的家目录路径如果事先存在，则不会为用户复制环境配置文件
-s：指定用户的默认shell，可用的所有shell列表存储在/etc/shells文件中；
-r：表示创建的是系统用户
-m：创建用户时为用户创建家目录，默认创建用户时已经创建家目录
-M：表示创建用户时不为用户创建家目录
-D：显示创建用户时的默认配置，用户的默认配置文件为/etc/login.defs；
-e：后面接一个日期，格式为"YYYY-MM-DD"，此选项可写入shadow第八个字段，即账号失效日；
-f：后面接shadow的第七个字段选项，指定密码是否会失效；
usermod命令：
功能：修改用户属性
用法：usermod[options] LOGIN
参数：
-u：修改用户的UID
-g：修改用户所属的基本组
-G：修改用户所属的附加组；原来的附加组会被覆盖，如果不想覆盖需要添加-a选项
-c：修改注释信息
-d：修改用户的家目录；用户原有的文件不会被转移至新位置，如果想转移原有的文件，需要添加-m选项；
-l：修改用户名
-s：修改用户的默认shell
-L：锁定用户账号，即在用户原来的密码字符串之前添加一个“！”，解锁即去掉叹号；
-U：解锁用户锁定
userdel命令：
功能：删除用户
用法：userdel[options] LOGIN
参数：
-r：删除用户时一并删除用户家目录，默认不删除
passwd命令：
功能：(1)修改用户自己的密码(2)修改制定用户的密码，仅root有此权限
用法：passwd/passwdUSERNAME
参数：
-l,-u：锁定和解锁用户
-d：清除用户密码
-e：date过期期限，日期
-i：days非活动期限
-n：密码的最短使用期限
-x：密码的最长使用期限
-w：警告期限
--stdin:
echo"PASSWORD" |passwd --stdin 用户名  修改用户名密码
groupadd命令
功能：添加用户组
用法：groupadd[options] groupname
参数：
-g GID：指定GID，默认是上一个组的GID+1；
-r：创建系统组，id号为1-499(CentOS6)或1-999(CentOS7)
groupmod命令：
功能：修改组信息
用法：groupmod[options] groupname
参数：
-g GID：修改GID
-n new_name：修改组名
groupdel命令：
功能：删除组
用法：groupdel组名
gpasswd命令：
功能：给组设定密码
用法：gpasswd[option] group
参数：
-a USERNAME：向组中添加用户
-d USERNAME：从组中移除用户
newgrp命令：
功能：临时切换用户的基本组为其它组，这时如果切换的组不是用户的附加组需要输入密码；
用法：newgrp[-] [group]
参数：
-:会模拟用户重新登录以实现重新初始化其工作环境；
chage命令：
功能：修改用户的密码过期信息
用法：chage[options] [LOGIN]
参数：
-d：修改最近一次更改密码的日期
-E：修改账号失效日
-W：修改密码过期警告时间
-m：修改密码最短保留天数
-M：修改密码多久需要进行更改的时间
-l：列出该账号的详细密码参数
-I：修改密码失效日期
id命令：
功能：显示用户的真实和有效ID
用法：id[OPTION]... [USERNAME]
参数：
-u：仅显示有效的UID；
-g：仅显示用户的基本组ID;
-G：仅显示用户所属的所有组的ID
-n：显示名字而非ID
-r：显示真实ID
su命令：switchuser
功能：
登录式切换：会通过重新读取目标用户的配置文件来重新初始化
非登录式切换：不会读取目标用户的配置文件来进行初始化
注意：管理员可无密码切换至其它任何用户；非管理员切换时必须给出目标用户的密码，否则，无法切换；
参数：
-c ‘COMMAND’仅以指定用户的身份运行此处指定的命令；
su - woniu -c 'whoami'  表示以woniu用户执行whoami命令，执行完成后还是当前用户
chown命令：
功能：更改文件的属主或属组
用法：chown[OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
参数：
-R：递归修改

权限管理知识及命令
在命令ls -l的结果中，前一列为文件的类型和权限说明，如下所示：
[root@localhost/]# ls -l
total 106
dr-xr-xr-x.   2 root root 4096 Dec 11 09:43 bin
其中的d表示文件为目录，接下来的字符中，以3个为一组，且均为“rwx”的3个参数的组合。其中r代表可读、w代表可写、x代表可执行。要注意的是，这3个权限的位置不会改变，如果没有权限就会减号-代替。
第一组为文件所有者的权限，用u表示
第二组为文件用户组的权限，用g表示
第三组为其它非本用户组的权限，用o表示
进程对文件的访问权限应用模型：
首先检查进程的属主于文件的属主是否相同；如果相同，则应用属主权限；
否则，则检查进程的属主是否属于文件的属组；如果是，则应用属组权限；
否则，就只能应用other的权限；
对文件而言：
r：可获取文件的数据
w：可修改文件的数据
x：可将此文件发起运行为进程
对目录而言：
r：可使用ls命令获取其下的所有文件列表
w：可修改此目录下的文件列表；即创建或删除文件
x：可cd至此目录中，且可使用ls -l来获取所有文件的详细属性信息；
权限管理命令：
chmod命令：
功能：修改文件或目录的权限
用法：chmod[OPTION]... MODE[,MODE]... FILE...
MODE表示法：
赋权表示法: 直接操作一类用户的所有权限位
u=
g=
o=
a=
授权表示法：直接操作一类用户的一个权限位
u+,u-
g+,g-
o+,o-
a+,a-
chmod [OPTION]...OCTAL-MODE FILE...
chmod 755/etc/fstab
chmod[OPTION]... --reference=RFILE FILE...
chmod--reference=/var/log/message /etc/fstab 将/etc/fatab的权限修改为和/var/log/message的权限一样。
参数：
-R：表示递归修改
umask：文件的权限反向掩码，遮罩码，文件默认权限
对文件而言，默认权限是666，因为文件默认没有执行权限：而目录默认权限是777，而umask是从权限中“拿走”相应的位
所以默认创建文件时的权限为：666-umask；创建目录时的权限为777-umask
对文件而言，如果减得的结果中有执行权限，则需要将其加1；而目录不变。
例如，如果umask值为023，则创建出来的文件的权限为
666-023+1=644
umask命令：
umask：查看当前umask
umask MASK：设置umask
注意：此类设定仅对当前shell进程有效；