前言
对于完备的centos系统来说,创建一套规范的账户权限系统是十分必要的。针对不同的用户提供不同的操作权限,避免直接使用root账号,造成系统的误操作,导致一些不必要的损失,将删库跑路扼杀在摇篮中。本节内容会从用户、用户组、用户权限三个方面来展开,按需完成一套符合生产系统体系的账户管理案例方案。
正文
①系统账户权限管理系统设计
| 用户 | 用户组 | 权限 | 说明 |
|---|---|---|---|
| root | root | 全部权限 | 超级管理员:拥有全部权限 |
| tec_dev | tec | 读、写、可执行 | 管理员:拥有读、写、可执行权限 |
| tec_test | tec | 读、可执行 | 同组用户:拥有读、可执行权限 |
| tec_read | tec_read | 只读权限 | 不同组普通用户:只读权限 |
②用户组相关命令说明
| 命令 | 说明 |
|---|---|
| groupadd <组名> | 新建一个组 |
| groupmod -n <新组名> <旧组名> | 修改组名 |
| groupdel <组名> | 删除组 |
③创建系统账号用户组tec
④用户操作相关命令说明
| 命令 | 功能 |
|---|---|
| useradd <用户名> | 创建用户 |
| useradd -g <组名> <用户名> | 分组创建用户 |
| useradd -d /home/<用户目录> <用户名> | 自定义用户主目录的方式创建用户 |
| passwd <用户名> | 创建用户密码 |
| id <用户名> | 查看创建的用户详情 |
| cat /etc/passwd | 查看系统用户 |
| userdel <用户名> | 删除用户 |
| usermod -g <组名> <用户名> | 将用户加入到某一个组中 |
⑤分别创建tec_dev、tec_test、tec_read用户
- 创建tec_dev账户并加入tec用户组
- 创建tec_test账户并加入tec用户组
- 创建tec_read账户使用默认用户组tec_read
- 查看新创建的用户
⑥在opt目录下创建一个helloworld的shell脚本,用与测试各种用户的权限
⑦用户与文件权限命令说明
| 命令 | 说明 |
|---|---|
| chmod [{ugoa}{+-=}{rwx}] [文件或者目录] | 授权 |
| chmod [mode=421] [文件或者目录] | 授权 |
| chmod -R 777 [目录] | 目录下所有文件都有可读可写可执行权限 |
| chown [选项(-R)] [最终用户] [文件或者目录] | 更改文件或者目录所有者 |
| chgrp [组] [文件或者目录] | 更改文件或者目录所属组 |
⑧将helloworld.sh文件的用户所有者改为tec_dev
⑨将helloworld.sh文件的用户组所有者改为tec
⑩授权文件helloword.sh权限给tec_dev用户可读可写可执行权限,授权同组tec用户可读可执行权限,普通用户只读权限
- 命令:chmod 754 helloworld.sh
- 权限说明:4-代表读权限 2-代表写权限 1-代表可执行权限
- 754这里的7(4+2+1)代表的是用户tec_dev用户拥有可读可写可执行权限rwx
- 754这里的5(4+1)代表的是用户组tec拥有可读可执行权限rx
- 754这里的4(4)代表的是普通用户只有只读权限r
⑪切换到tec_dev用户,测试其对helloworld.sh文件的权限
⑫切换到tec_test用户,测试其对helloworld.sh文件的权限
⑬切换到tec_read用户,测试其对helloworld.sh文件的权限
结语
关于用户、用户组及用户权限管理的内容到这里就结束了,我们下期见。。。。。。
