目录
一、用户和组概念
(一)、用户的概念
(二)、组的概念
补充组
主要组
二、获取超级用户访问权限
(一)、su 命令和su -命令
( 二)、sudo命令
三、管理本地用户账户
(一)创建用户
(二)修改用户
(三)删除用户
(四)设置用户密码
四、管理本地组账户
(一)创建组
(二)修改组
(三)删除组
(四)更改组成员
(五)临时更改主要组
一、用户和组概念
(一)、用户的概念
用户主要分为超级用户(root),系统用户和普通用户
- 超级用户账户负责管理系统,超级用户的名称为root,其账户的UID为0,超级用户具有完全的系统访问权限
- 系统用户账户提供支持服务进程使用,这些进程通常不需要以超级用户身份运行。系统会为它们分配非特权账户,确保其文件和其他资源不受彼此以及以上系统上普通用户的影响。用户无法使用系统用户账户以交互方式登录。
- 普通用户对系统具有有限的访问权限。
使用id命令可以显示有关当前已登录用户的信息
[kiosk@foundation0 ~]$ id
uid=1000(kiosk) gid=1000(kiosk) groups=1000(kiosk),982(libvirt) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023查看其它用户的信息,将用户名作为参数传递给id命令即可
eg:
使用ls -l 命令查看文件的所有者,ls -ld命令查看目录的所有者,而不是目录的内容
上图中,第一列表示第一个字母表示类型,-表示普通文件,d表示目录,l表示软链接(也称符号链接),第二列表示硬链接数目,第三列显示用户名
使用ps命令可查看进程信息。默认仅显示当前shell中的进程。
- -a选项可查看与某一终端相关联的所有进程
- -u选项可查看与进程相关联的用户
在pa -au输出中,第一列显示用户名,第二列显示进程id。
在默认情况下,系统使用/etc/passwd文件存储有关本地用户的信息,/etc/passwd文件的每一行都包含了每个用户的信息
如上显示了/etc/passwd文件中的最后三行用户信息,代码块的每一部分用:分隔。
示例: usr01:x:1000:1000:User One:/home/user01:/bin/bash
代码块解释:
- user01:此用户的用户名
- x:用户密码(用户密码存储在这里,x为一个占位符)
- 1000:此用户账户的uid编号
- 1000:此用户账号的主要组的GID编号
- User One:用户描述或者真是姓名
- /home/user01:用户的主目录,以及登录shell启动时的工作目录
- /bin/bash:用户的默认shell程序(一些账户,例如系统账户使用/sbin/nologin shell来禁止使用该账户进行交互式登录)
(二)、组的概念
补充组
组通俗理解就是一群用户的集合。组可向其中的所有用户授予文件访问权限,组内的用户享有该组的所有权限,这种通俗意义上的组称为组员用户的补充组,补充组一般允许存在多个成员。
与用户一样,组也具有组名以便于识别。在内部,系统通过分配唯一标识符(组ID或GID)来区分不同的组。
默认情况下,系统使用/etc/group存储有关本地组的信息
如上图/etc/group文件中展示了最后三行的内容,代码块分为四部分,以:分隔
示例:group01:x:10000:user01,user02,user03
- group01:此组的名称
- x:组密码字段,x为一个标识符
- 10000:此组的GID编号
- user01,user02,user03:属于此组的成员列表
主要组
每个用户有且只有一个主要组,这个组按照GID列在/etc/passwd文件中,主要组拥有用户创建的文件。
在创建普通用户时,会创建一个与用户同名的组,作为该用户的主要组。
二、获取超级用户访问权限
大多数操作系统具有一个超级用户,该用户拥有系统的全部权限,在linux中,该用户为root 用户。但因为root用户的权限过大,很容易将系统置于危险之中,因此系统管理员一般以普通用户的身份登录,仅在必要时候获取root 用户权限进行操作
(一)、su 命令和su -命令
su命令可以使当前用户切换到另一个用户账号,但需要提供要切换的用户账号的密码。(以root用户切换时不需要密码)
su命令与su -命令不同的是su -命令可以切换到shell登录环境。
当su 或su -后面不加用户名时,一般默认为切换到root 用户
( 二)、sudo命令
一般情况下,系统管理员为了安全原因会为root用户配置为没有有效的密码。因此不能使用su或者su -命令获取root用户的权限,此时,可以使用sudo命令
与su 和su -不同的是,sudo命令要求用户使用自己的密码进行身份验证(避免root用户密码的泄露)而不需要要切换用户账户的密码
sudo+命令+选项+参数=使用root用户身份执行该命令 : sudo -i 为切换到root账户的命令
同时,sudo命令的另一个优点是默认将所有执行的命令记录到/var/log/secure中
/etc/sudoers文件 是sudo命令的主要配置文件。可以使用visudo命令进行编辑。
以下图片是使用su -命令进入root用户进行的操作(刚开始学习,刚才尝试使用sudo -i 命令显示kiosk用户不被允许使用该操作,因此使用su -命令演示),查看/etc/sudoers文件中设置可以使用sudo命令切换到root账户的组和用户
- %符号表示其后面的 wheel为一个组
- ALL=(ALL)指具有此文件的任何主机上(第一个ALL),wheel组中的任何用户(第二个ALL)都可以在系统上运行命令
- 最后一个ALL指所有的命令
/etc/sudoers文件中含有/etc/sudoers.d目录中的所有文件,因此可以通过创建文件放在/etc/sudoers.d目录下来为用户或者组添加sudo访问权限
三、管理本地用户账户
(一)创建用户
useradd username命令用于创建一个名为username用户的账号,系统创建用户的同时也设置了用户的主目录和账户信息,同时也为用户创建了一个私有组(当用户创建文件时,文件必须有所属用户和所属组,系统会将用户的私有组作为创建文件的所属组),但此时用户未设置密码,只有设置密码后用户才可以登录其账号。
(二)修改用户
usermod --help可以展示usermod命令的选项
以下是一些比较重要常用的选项解释:
- -a:与-G选项一起使用时意为将组添加到当前用户的组成员当中去,与替换当前用户补充组意思不同
- -c:将COMMENT文本添加到注释字段
- -d:为用户账户指定一个主目录
- -g:为用户账户指定主要组
- -G:为用户账户指定不充足的逗号2分隔列表
- -L:锁定账户
- -m:将用户的主目录移到新的位置(必须与-d选项搭配使用)
- -S:为用户指定特定的登录shell
- -U:解锁用户账户
(三)删除用户
userdel username命令意为从/etc/passwd文件中删除用户账号,但用户的主目录仍在,userdel -r username命令可以在删除用户账户的同时删除用户的主目录
(四)设置用户密码
passwd username可以为用户设置初始密码或者更改密码
四、管理本地组账户
(一)创建组
groupadd命令用于创建组,不带任何选项时,系统将从/etc/login.defs文件中GID_MIN和GID_MAX变量中指定一个可用的GID,所指定的GID将大于当前所有组的GID,即使有较小的GID可以选择
groupadd命令 -g选项指定选择GID
(二)修改组
groupmod命令可以修改组的属性
groupmod 命令 -n选项可以更改组的名称
上图将group01组的名称修改为group1
groupmod命令 -g 选项可以更改组队的GID
上图将group1组的GID从1008 改为了1010
(三)删除组
groupdel命令用于删除组
上图将group1组从/etc/group文件中删除
(四)更改组成员
usermod 命令-g选项用于更改用户的主要组
上图将用户user01 的主要组从user01改为了group01
使用usermod -aG命令将用户添加到某一补充组
上图将user01用户添加到group02补充组中
(五)临时更改主要组
在shell 对话中,newgrp 命令临时切换主要组,一次只能有一个组时主要组,当重新登录时,主要组将恢复默认值
上图中,将user01用户的主要组从group01临时更改为group02
