Linux是多用户,多任务操作系统:多用户是指多个用户可以同时使用系统资源,而多任务指同时运行多个进程。

一、用户和组的概念

    1.用户和用户组

        用户:能够获取系统资源权限的集合。Linux通过用户实现资源分隔。

        用户组:具有相同特征的用户集合。用户组作为用户容器,方便于管理用户。

    a.用户类别
        管理员:root
        普通用户:
            系统用户:仅仅用于用于启动服务进程。
            登录用户:用于使用者交互使用,是系统资源的使用者

    b.用户在操作系统中用UID来标识:

        UID是16bits的二进制数字,如此范围为:0-65535。Linux 系统对用户UID做出了规定如图:

       用户解析库为/etc/passwd ,定义见:/etc/login.defs  文件定义。

    2.用户组:组解析库为/etc/group
    a.用户组分类

       (1)从角色上去分为:管理员组和普通用户组,普通用户组内又包含系统用户组和普通用户组。

       (2)从用户角度来看:

            基本组:一般与用户命同名,登录时gid为该组gid

            附加组:用户附加的组

       (3)从组内成员成分区分为:

            私有组:一般与对应用户名称相同,组内仅仅有同名用户一个用户;

            公共组:为多人组,组内为具有相同权限特征的用户集合。

三、进程:以某个用户的身份运行程序。进程对资源的操作权限取决于它代表的用户。

        Linux操作系统中的文件权限模型;          
                 属主:owner
                 属组:group
                 其他人:others

四、权限模型生效的机制:

       进程的发起者是否与发文件的属主相同,如果是则以文件的属主的身份来访问此文件,否则是否属于文件的属组,如果是则以文件属组的身份来访问此文件,否则以其他用户的身份来访问。如下图所示:

  五、用户和组的管理:

    Linux 中用户和用户组的命令有如下命令:
            组:groupadd,groupdel,groupmod
            用户:useradd,userdel,userdel
            认证:passwd,gpasswd

    1.组管理命令:

        a.groupadd 命令:添加组;
            groupadd [选项] group_name

            OPTIONS:

                    -g GID:指定gid,默认为最大gid+1;
                    -r: 创建系统组,较为常用;           

groupadd -r -g 336 testgrp#tail -1  /etc/grouptestgrp:x:336:

     说明:/etc/group文件格式:testgrp:x:336:gentoo,ubuntu  # 组名:组密码:gid:组用户,以逗号分隔

        b.groupmod 命令:修改组信息;

             groupmod [选项] GROUP
                -g GID:修改GID;
                -n new_name:修改组名;

                -o, --non-unique :允许使用重复的gid       

groupmod -g 348 mango # 只能指定没被占用的gid,否则报错,指定被占用的gid,可以加-o 选项groupmod -o -g 336 mango# cat /etc/group|grep 336testgrp:x:336:mango:x:336:

        c.groupdel 命令:删除组

            groupdel [选项] GROUP

groupdel mango # 没有返回就是没问题

    2.用户管理命令

         a.useradd命令:创建用户;
           useradd [选项] 登录名
            -u, --uid UID:指定UID;
            -g, --gid GROUP:指定基本组ID,此组得事先存在;
            -G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:指明用户所属的附加组,多个组之间用逗号分隔;
            -c, --comment COMMENT:指明注释信息;
            -d, --home HOME_DIR:以指定的路径为用户的家目录;通过复制/etc/skel此目录并重命名实现;指定的家目录路径如果事先存在,则不会为用户复制环境配置文件;
            -s, --shell SHELL:指定用户的默认shell,可用的所有shell列表存储在/etc/shells文件中;
            -r, --system:创建系统用户;

            -m:--no-create-home:创建家目录

            -e, --expiredate YYYY-MM-DD: 指定过期时间。

            -M:-M, --no-create-home:不创建家目录

            -N:-N, --no-user-group:不创建用户组

            -o, --non-unique:可设置重复id

#交互式用户创建useradd magedu -g magedu -G mint,gentoo -c "use for magedu " -d /home/mghome  -s /bin/bash#tail -1 /etc/passwdmagedu:x:5003:332:use for magedu :/home/mghome:/bin/bash #tail  /etc/groupgentoo:x:5000:magedumint:x:330:mageduuseradd -r magedu3 # 系统用户不会创建家目录# 系统用户创建useradd magedu3 -r[root@localhost ~]# tail /etc/passwdmagedu3:x:983:329::/home/magedu3:/bin/bashcd ~magedu3-bash: cd: /home/magedu3: No such file or directory

    注意:创建用户时的默认设定配置文件为/etc/login.defs,/etc/default/useradd,其中定义用户添加的默认定义。

利用 useradd -D 选项可以显示或修改创建用户的默认配置;

    useradd -D -[e|f|s /PATH/TO/SHELL ]:修改默认的过期时间、是否不活动时间,shell路径       

useradd -D -s /bin/tcsh  # 修改默认shell,结果保存于/etc/default/useradd

    b.usermod [选项] 用户

        -u, --uid UID:修改用户的ID

UID;

        -g, --gid GROUP:修改用户所属的基本组;
        -G, --groups GROUP1[,GROUP2,...[,GROUPN]]]:修改用户所属的附加组;原来的附加组会被覆盖;
        -a, --append:与-G一同使用,用于为用户追加新的附加组;
        -c, --comment COMMENT:修改注释信息;
        -d, --home HOME_DIR:修改用户的家目录;用户原有的文件不会被转移至新位置;
        -m, --move-home:只能与-d选项一同使用,用于将原来的家目录移动为新的家目录;
        -l, --login NEW_LOGIN:修改用户名;
        -s, --shell SHELL:修改用户的默认shell;
    注意:登录用户,为其自定义的shell程序必须在/etc/shells中,否则不能登录。
        -L, --lock:锁定用户密码;即在用户原来的密码字符串之前添加一个"!";
        -U, --unlock:解锁用户的密码;
        -e, --expiredate EXPIRE_DATE:用与设置用户密码过期时间。
        -f,--inactive INACTIVE:密码过期后,不活动时间。

# cat /etc/shadow |grep magedu3magedu3:$1$mAsT1.9N$BK9Ga4xjDcI6yEZCufL6f.:16856:0:99999:7:::usermod -L  magedu3# 锁定用户magedu3# cat /etc/shadow |grep magedu3magedu3:!$1$mAsT1.9N$BK9Ga4xjDcI6yEZCufL6f.:16856:0:99999:7::: # 密码前添加了一个!

    c.userdel命令:删除用户

       userdel [选项] 登录
            -r,--remove:删除用户时一并删除其家目录;

# tail -n 1 /etc/passwd magedu:x:5003:5003::/home/magedu:/bin/bashuserdel -r  magedu# grep magedu /etc/passwd  # 找不到magedu 账号magedu1:x:5002:331::/home/magedu1:/bin/bashmagedu3:x:983:329::/home/magedu3:/bin/bash

六、passwd命令:修改用户信息,普通用户默认不加用户名修改自己的信息,管理员可修改其他用户信息。

passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]:

普通用户(1)要求输入老密码(2)符合密码复杂度,不能少于8位,使用至少三类字符,不能近似旧密码等等。
    1.passwd USERNAME:修改指定用户的密码,仅root有此权限;
        -l, -u:锁定和解锁用户;
        -d:清除用户密码串;
        -e DATE: 过期期限,日期;
        -i DAYS:非活动期限;
        -n DAYS:密码的最短使用期限;
        -x DAYS:密码的最长使用期限;
        -w DAYS:警告期限;
    2.passwd --stdin:通过标准输入,输入密码;
echo "PASSWORD" | passwd --stdin USERNAME      

# echo "administrator"| passwd --stdin magedu #可以在脚本中避免交互!

   说明1. /etc/passwd 解析库字段,解析库每行为一条记录,信息栏以":"分隔,以新添加的用户storm用户的解析库条目为例:     

storm:x:5001:5001::/home/storm:/bin/bash

    各字段意义如下

name:passwd:UID:GID:comment:Home_directory:shell路径

        说明2. /etc/shadow 密码库解析库字段,解析库每行为一条记录,信息栏以":"分隔以新添加的用户storm用户解析的库条目为例:

storm:!!:16867:0:99999:7:::

        login_name:登录名

        encripted_password:加密的密码
        date of last password change:上次跟新密码时间(这里时间都是用距离1970-01-01的天数);
        minimum password age:最小密码更换周期天数,不到期,想更换密码也更换不了;
        maximum password age:最长密码更换周期天数,到期不改,会有措施;
        password warning period:密码过期警告日期,在到期之前会提示改密码警告;
        password inactivity period:密码到期后宽限时间,在宽限时间内只能重新设置密码后,才能使用系统;
        account expiration date:硬性规定的过期时间,到期就会不能登录;
        reserved field:保留它用。

七、其他管理命令

gpasswd 命令:为组添加密码

     组密码文件:/etc/gpasswd

    gpasswd [选项] group

        -a USERNAME:把用户添加至组中;

        -d USERNAME:从此组中移除此用户;

# cat /etc/grouppeguin:x:1003:gentoo# gpasswd -d gentoo peguin# grep peguin  /etc/group peguin:x:1003:# gpasswd -a gentoo peguinAdding user gentoo to group peguin# grep peguin  /etc/group peguin:x:1003:gentoo

newgrp命令:登录到一个新组

# touch oldgroup# newgrp gentoo# touch newgrp# ls -al oldgroup newgrp-rw-r--r--. 1 root gentoo 0 Mar 10 00:15 newgrp-rw-r--r--. 1 root root   0 Mar 10 00:14 oldgroup

chage命令:修改用户账号的各种期限;

 4.认证机制

    通过对比事前存储的,与登录时提供的信息是否一致,用户的默认存储于/etc/shadow中,组的默认存储于/etc/gshadow中。

    密码:加密存放;使用单向加密机制;
    单向加密:仅能加密,不能解密;提取数据特征码;
    特点:定长输出;
        数据相同结果相同;
        雪崩效应:文件微小改变,但是加密后变化巨大
    常用加密算法:

                    md5sum:messge digest 消息摘要算法 128bit

                    sha1: secure hash algorithm,160bits, sha224,256,384,512
        说明:在passwd命令加密时会添加加salt防止密码泄漏,salt为添加的随机数;
    随机数:真随机数: 熵池
                伪随机数: 软件模拟产生的
    Linux中的随机设备:
        /dev/random:仅仅从熵池返回随机数,随机数耗尽会阻塞;
        /dev/urandom:先从 熵池返回随机数 ,随机数耗尽会从为随机数生成器返回随机数;

七、资源权限机制:

    1.文件系统权限:

    a.用户类型

        属主:owner,u

        属组:group,g

        其他人:other,o

        所有用户定义为:all,a

    b.文件权系统权限类型:

        (1)一般文件权限定义

             r:可获得文件内数据

             w:可修改文件内数据
             x:excutable,可执行

        (2)目录文件权限定义

            r:可使用ls 命令获取其下所有的文件列表;但不能使用ls -l去获取详细信,也不能使用cd 至目录中;
            w:可修改目录的文件列表,也就是在此目录下创建或删除文件;
            x:可以使用ls -l 命令获取文件的详细情况,也可以cd到此目录。

    c.权限组合机制:用八进制标识文件

          例如:rwxr-xr-x:755

    2.权限管理:

chmod - change file mode bits

    作用:更改文件权限位

        使用方法:

    chmod [OPTION]... MODE[,MODE]... FILE...

        # 以ugoa的方式来进行授权

    chmod [OPTION]... OCTAL-MODE FILE...

        # 权限数字是数值模式:八进制数字(0-7),分别用4(读权限) 2(写权限)             1(可执行权限) 

    chmod [OPTION]... --reference=RFILE FILE...

        # 标识权限参照某文件修改的方

    OPTION:

        -R,--recursive:递归 

        --reference=RFILE:RFILE表示参考其权限模型;

    (1)chmod [OPTION]... MODE[,MODE]... FILE...

MODE:

    赋权表示法:直接操作一类用户所有权限位rwx;      

        u=

        g=

        u=

        a=

        两类用户权限相同:ug=,go=,uo=

        不同类的用户权限不同:u=,g=,o=,

# # ls -al fstab -rw-rw-r-x. 1 guowang guowang 501 Mar  9 22:46 fstab# chmod u=rw,g=r,o=r fstab# ls -al fstab -rw-r--r--. 1 guowang guowang 501 Mar  9 22:46 fstab#以u,g,o,a方式赋权

    授权表示法:操作一类用户一位或多位权限:

                u+, u-

        g+, g-

        o+, o-

        a+, a-

        两类用户权限收授机制相同:ug+, ug-, ...

        不同类的用户权限不同:u+,g+,o+

# ls -al fstab -rwxrw-rw-. 1 guowang guowang 501 Mar  9 22:46 fstab# chmod u+x,g+w,og+x fstab# ls -al fstab -rwxrwxrwx. 1 guowang guowang 501 Mar  9 22:46 fstab

(2) chmod [OPTION]... OCTAL-MODE FILE... 

    OCTAL-MODE:

        r:4

        w:2

        x:1

-rwxr-----. 1 guowang guowang 511 Mar  9 22:46 inittab# chmod 755 inittab # ls -al inittab -rwxr-xr-x. 1 guowang guowang 511 Mar  9 22:46 inittab# 以 三位八进制整体授权# 使用数字标识权限时不可省略,例如:# ls -al inittab -rwxr-xr-x. 1 guowang guowang 511 Mar  9 22:46 inittab# chmod 55  inittab # ls -al inittab ----r-xr-x. 1 guowang guowang 511 Mar  9 22:46 inittab

(3)chmod [OPTION]... --reference=RFILE FILE...

        --reference=RFILE:标识参考RFILE文件权限模型

# ls -al inittab fstab -rwxr-----. 1 guowang guowang 501 Mar  9 22:46 fstab----r-xr-x. 1 guowang guowang 511 Mar  9 22:46 inittab# chmod --reference=./fstab inittab [guowang@localhost mode]$ ls -al inittab fstab -rwxr-----. 1 guowang guowang 501 Mar  9 22:46 fstab-rwxr-----. 1 guowang guowang 511 Mar  9 22:46 inittab

chown命令:修改属主或属组

    chown [OPTION]... [OWNER][:[GROUP]] FILE...

    chown [OPTION]... --reference=RFILE  FILE...

# ls fstab -al-rwxr-----. 1 guowang guowang 501 Mar  9 22:46 fstab# chown gentoo:guowang fstab # ls -al fstab -rwxr-----. 1 gentoo guowang 501 Mar  9 22:46 fstab# chown gentoo:gentoo  fstab # ls fstab -al-rwxr-----. 1 gentoo gentoo 501 Mar  9 22:46 fstab

    选项:

        -R,--recursive:递归使用,对目录有效

chgrp命令:修改属组

    chgrp [OPTION]... GROUP FILE...

    chgrp [OPTION]... --reference=RFILE FILE...

 

]# ls fstab -al-rwxr-----. 1 gentoo gentoo 501 Mar  9 22:46 fstab# chgrp guowang fstab# ls fstab -al-rwxr-----. 1 gentoo guowang 501 Mar  9 22:46 fstab

 八、其他命令

chsh命令:修改用户的登录shell

    chsh [option] [username]

    -s:指定shell

    -l:查看可用shell列表

chsh -s /bin/tcsh guowangChanging shell for guowang.Shell changed.# grep guowang /etc/passwd guowang:x:1000:1000:guowang:/home/guowang:/bin/tcsh# chsh -l/bin/sh/bin/bash/sbin/nologin/usr/bin/sh/usr/bin/bash/usr/sbin/nologin/bin/tcsh/bin/csh

pwck [options] [passwd [ shadow ]]

    -s:以用户id排序文件 /etc/passwd /etc/shadow

    -r:只读方式运行命令

grpck:用来验证/etc/group /etc/gshadow件的内容格式完整性

grpck [options] [group [ shadow ]]

    -s:以uid排序文件 /etc/group /etc/gshadow

    -r:只读方式运行命令

pwck  -s passwd shadow[root@localhost ~]# tail  /etc/passwdguowang:x:1000:1000:guownag.org:/home/guowang:/bin/tcshtest:x:987:335::/home/test:/bin/bashfedora:x:1001:1001:Fedora Core:/home/fedora:/bin/tcshgentoo:x:5000:5000::/home/gentoo:/bin/bashstorm:x:5001:5001::/home/storm:/bin/bashubuntu:x:986:334::/home/ubuntu:/bin/bashmageedu:x:985:331::/home/mageedu:/bin/bashmagedu1:x:5002:331::/home/magedu1:/bin/bashmint:x:984:330::/home/mint:/bin/bashmagedu3:x:983:329::/home/magedu3:/bin/bash