linux用戶管理及權(quán)限設(shè)置

Linux 用戶管理及權(quán)限設(shè)置Linux 系統(tǒng)是一個(gè)多用戶多任務(wù)的分時(shí)操作系統(tǒng)， 任何一個(gè)要使用系統(tǒng)資源的用戶， 都必須首先向系統(tǒng)管理員申請(qǐng)一個(gè)賬號(hào)， 然后以這個(gè)賬號(hào)的身份進(jìn)入系統(tǒng)。 用戶的賬號(hào)一方面可以幫助系統(tǒng)管理員對(duì)使用系統(tǒng)的用戶進(jìn)行跟蹤， 并控制他們對(duì)系統(tǒng)資源的訪問； 另一方面也可以幫助用戶組織文件， 并為用戶提供安全性保護(hù)。 每個(gè)用戶賬號(hào)都擁有一個(gè)惟一的用戶名和各自的口令。用戶在登錄時(shí)鍵入正確的用戶名和口令后，就能夠進(jìn)入系統(tǒng)和自己的主目錄。實(shí)現(xiàn)用戶賬號(hào)的管理，要完成的工作主要有如下幾個(gè)方面： 用戶賬號(hào)的添加、刪除與修改。 用戶口令的管理。 用戶組的管理。注：此說明適用于Debian、 Redhat、 suse、 Ubuntu 、 Fedora 等眾多 linux 系統(tǒng)，并對(duì)多少位沒有區(qū)別。一、 Linux 系統(tǒng)用戶賬號(hào)的管理用戶賬號(hào)的管理工作主要涉及到用戶賬號(hào)的添加、修改和刪除。添加用戶賬號(hào)就是在系統(tǒng)中創(chuàng)建一個(gè)新賬號(hào)， 然后為新賬號(hào)分配用戶號(hào)、 用戶組、 主目錄和登錄 Shell 等資源。剛添加的賬號(hào)是被鎖定的，無法使用。1 、添加新的用戶賬號(hào)添加新用戶帳號(hào)使用useradd命令，其語法如下：代碼 :useradd 選項(xiàng) 用戶名其中各選項(xiàng)含義如下：代碼 :- c comment 指定一段注釋性描述。- d 目錄 指定用戶主目錄，如果此目錄不存在，則同時(shí)使用 -m 選項(xiàng)，可以創(chuàng)建主目錄。- g 用戶組 指定用戶所屬的用戶組。- G 用戶組，用戶組指定用戶所屬的附加組。- s Shell 文件 指定用戶的登錄Shell 。- u 用戶號(hào) 指定用戶的用戶號(hào)，如果同時(shí)有-o 選項(xiàng)，則可以重復(fù)使用其他用戶的標(biāo)識(shí)號(hào)。用戶名 指定新賬號(hào)的登錄名。例 1：代碼 :- useradd -d /home/olcs -m olcs此命令創(chuàng)建了一個(gè)用戶sam，其中-d和-m選項(xiàng)用來為登錄名sam產(chǎn)生一個(gè)主目錄/home/olcs （/home為默認(rèn)的用戶主目錄所在的父目錄） 。例 2：代碼 :- useradd -s /bin/bash -g olcs -G olcs,root此命令新建了一個(gè)用戶gem,該用戶的登錄 Shell是/bin/bash ,它屬于01cs用戶組，同時(shí)又屬于 root 用戶組，其中 olcs 用戶組是其主組。這里可能新建組： #groupadd olcs增加用戶賬號(hào)就是在/etc/passwd 文件中為新用戶增加一條記錄，同時(shí)更新其他系統(tǒng)文件如/etc/shadow, /etc/group 等。Linux提供了集成的系統(tǒng)管理工具userconf,它可以用來對(duì)用戶賬號(hào)進(jìn)行統(tǒng)一管理。2、刪除帳號(hào)如果一個(gè)用戶的賬號(hào)不再使用，可以從系統(tǒng)中刪除。刪除用戶賬號(hào)就是要將/etc/passwd等系統(tǒng)文件中的該用戶記錄刪除， 必要時(shí)還刪除用戶的主目錄。 刪除一個(gè)已有的用戶賬號(hào)使用 userdel 命令，其格式如下：代碼 :userdel 選項(xiàng) 用戶名常用的選項(xiàng)是-r ，它的作用是把用戶的主目錄一起刪除。例如：代碼 :- userdel -r olcs此命令刪除用戶 olcs 在系統(tǒng)文件中（主要是/etc/passwd, /etc/shadow, /etc/group 等）的記錄，同時(shí)刪除用戶的主目錄。3、修改帳號(hào)主目錄、用戶組、 登修改用戶賬號(hào)就是根據(jù)實(shí)際情況更改用戶的有關(guān)屬性，如用戶號(hào)、錄 Shell 等。修改已有用戶的信息使用 usermod 命令，其格式如下： 代碼 :usermod 選項(xiàng) 用戶名常用的選項(xiàng)包括-c, -d, -m, -g, -G，-s, -u以及-o等，這些選項(xiàng)的意義與useradd命令中的選項(xiàng)一樣，可以為用戶指定新的資源值。另外，有些系統(tǒng)可以使用如下選項(xiàng)：代碼 :- l 新用戶名這個(gè)選項(xiàng)指定一個(gè)新的賬號(hào)，即將原來的用戶名改為新的用戶名。例如：代碼 :- usermod -s /bin/csh -d /home/zinglabs -g olcsteam olcs此命令將用戶 olcs 的登錄 Shell 修改為csh， 主目錄改為/home/zinglabs ， 用戶組改為olcsteam。4、用戶口令的管理用戶管理的一項(xiàng)重要內(nèi)容是用戶口令的管理。 用戶賬號(hào)剛創(chuàng)建時(shí)沒有口令， 但是被系統(tǒng)鎖定，無法使用，必須為其指定口令后才可以使用，即使是指定空口令。指定和修改用戶口令的Shell命令是passwd。超級(jí)用戶可以為自己和其他用戶指定口令，普通用戶只能用它修改自己的口令。命令的格式為：代碼 :passwd 選項(xiàng) 用戶名可使用的選項(xiàng)：代碼 :- l 鎖定口令，即禁用賬號(hào)。- u 口令解鎖。- d 使賬號(hào)無口令。- f 強(qiáng)迫用戶下次登錄時(shí)修改口令。如果默認(rèn)用戶名，則修改當(dāng)前用戶的口令。例如，假設(shè)當(dāng)前用戶是olcs,則下面的命令修改該用戶自己的口令：代碼 :$ passwdOld password:*New password:*Re-enter new password:*如果是超級(jí)用戶，可以用下列形式指定任何用戶的口令：代碼 :- passwd olcsNew password:*Re-enter new password:* 普通用戶修改自己的口令時(shí)， passwd 命令會(huì)先詢問原口令，驗(yàn)證后再要求用戶輸入兩遍新口令， 如果兩次輸入的口令一致， 則將這個(gè)口令指定給用戶； 而超級(jí)用戶為用戶指定口令時(shí)，就不需要知道原口令。為了系統(tǒng)安全起見， 用戶應(yīng)該選擇比較復(fù)雜的口令， 例如最好使用 8 位長(zhǎng)的口令， 口令中包 含有大寫、小寫字母和數(shù)字，并且應(yīng)該與姓名、生日等不相同。為用戶指定空口令時(shí)，執(zhí)行下列形式的命令：代碼 :- passwd -d olcs此命令將用戶 sam 的口令刪除，這樣用戶 sam 下一次登錄時(shí)，系統(tǒng)就不再詢問口令。passwd 命令還可以用 -l(lock) 選項(xiàng)鎖定某一用戶，使其不能登錄，例如：代碼 :- passwd -l olcs備注： /usr/bin/passwd 是修改用戶密碼的程序 密碼記錄在 /etc/shadow /etc/passwd 是用戶數(shù)據(jù)庫，其中的域給出了用戶名、加密口令和用戶的其他信息/etc/shadow 是在安裝了影子(shadow) 口令軟件的系統(tǒng)上的影子口令文件。影子口令文件將/etc/passwd 文件中的加密口令移動(dòng)到 /etc/shadow 中，而后者只對(duì)超級(jí)用戶 ( r o o t )可讀。Linux /etc/shadow 文件中的記錄行與 /etc/passwd 中的一一對(duì)應(yīng),它由 pwconv 命令根據(jù)/etc/passwd 中的數(shù)據(jù)自動(dòng)產(chǎn)生。5、口令時(shí)效口令時(shí)效是系統(tǒng)管理員用來防止機(jī)構(gòu)內(nèi)不良口令的一種技術(shù)。 在 Linux 系統(tǒng)上， 口令時(shí)效是通過chage命令來管理的，格式為：chage 口下面列出了 chage命令的選項(xiàng)說明：- m days ： 指定用戶必須改變口令所間隔的最少天數(shù)。如果值為0 ，口令就不會(huì)過期。- M days ： 指定口令有效的最多天數(shù)。 當(dāng)該選項(xiàng)指定的天數(shù)加上-d 選項(xiàng)指定的天數(shù)小于當(dāng)前的日期時(shí)，用戶在使用該帳號(hào)前就必須改變口令。- d days： 指定從 1970 年 1 月 1 日起，口令被改變的天數(shù)。- I days ： 指定口令過期后，帳號(hào)被鎖前不活躍的天數(shù)。如果值為0， 帳號(hào)在口令過期后就不會(huì)被鎖。- E date： 指定帳號(hào)被鎖的日期。 日期格式 YYYY-MM-DD 。 若不用日期， 也可以使用自 1970 年 1 月 1 日后經(jīng)過的天數(shù)。- W days ： 指定口令過期前要警告用戶的天數(shù)。- l ： 列出指定用戶當(dāng)前的口令時(shí)效信息，以確定帳號(hào)何時(shí)過期。例如下面的命令要求用戶 user1 兩天內(nèi)不能更改口令，并且口令最長(zhǎng)的存活期為 30 天，并且口令過期前5 天通知用戶chage -m 2 -M 30 -W 5 user1可以使用如下命令查看用戶 user1 當(dāng)前的口令時(shí)效信息： chage -l user1提示： 1）可以使用 chage 進(jìn)入交互模式修改用戶的口令時(shí)效。2）修改口令實(shí)質(zhì)上就是修改影子口令文件/etc/shadow 中與口令時(shí)效相關(guān)的字段值。二、 Linux 系統(tǒng)用戶組的管理每個(gè)用戶都有一個(gè)用戶組，系統(tǒng)可以對(duì)一個(gè)用戶組中的所有用戶進(jìn)行集中管理。不同 Linux系統(tǒng)對(duì)用戶組的規(guī)定有所不同， 如 Linux 下的用戶屬于與它同名的用戶組， 這個(gè)用戶組在創(chuàng)建用戶時(shí)同時(shí)創(chuàng)建。用戶組的管理涉及用戶組的添加、刪除和修改。組的增加、刪除和修改實(shí)際上就是對(duì)/etc/group 文件的更新。1 、增加一個(gè)新的用戶組增加一個(gè)新的用戶組使用 groupadd 命令，其格式如下：代碼 :groupadd 選項(xiàng) 用戶組可以使用的選項(xiàng)有：代碼 :# g GID 指定新用戶組的組標(biāo)識(shí)號(hào)（ GID ） 。# o 一般與 -g 選項(xiàng)同時(shí)使用，表示新用戶組的 GID 可以與系統(tǒng)已有用戶組的 GID 相同。例 1：代碼 :# groupadd olcs此命令向系統(tǒng)中增加了一個(gè)新組 olcs ， 新組的組標(biāo)識(shí)號(hào)是在當(dāng)前已有的最大組標(biāo)識(shí)號(hào)的基礎(chǔ)上加 1。例 2：代碼 :# groupadd -g 101 group1此命令向系統(tǒng)中增加了一個(gè)新組group2,同時(shí)指定新組的組標(biāo)識(shí)號(hào)是101。2、刪除已有用戶組如果要?jiǎng)h除一個(gè)已有的用戶組，使用 groupdel 命令，其格式如下：代碼 :groupdel 用戶組例如：代碼 :# groupdel group1此命令從系統(tǒng)中刪除組group1 。3、修改用戶組的屬性修改用戶組的屬性使用groupmod 命令。其語法如下：代碼 :groupmod 選項(xiàng) 用戶組常用的選項(xiàng)有：代碼 :# g GID 為用戶組指定新的組標(biāo)識(shí)號(hào)。# o 與 -g 選項(xiàng)同時(shí)使用，用戶組的新GID 可以與系統(tǒng)已有用戶組的 GID 相同。# n 新用戶組 將用戶組的名字改為新名字例 1：代碼 :# groupmod -g 102 group1此命令將組 group1 的組標(biāo)識(shí)號(hào)修改為102。例 2：代碼 :# groupmod -g 10000 -n group2 groupl此命令將組 group1 的標(biāo)識(shí)號(hào)改為10000 ，組名修改為group2。4、用戶在用戶組間切換如果一個(gè)用戶同時(shí)屬于多個(gè)用戶組，那么用戶可以在用戶組之間切換，以便具有其他用戶組的權(quán)限。用戶可以在登錄后，使用命令newgrp切換到其他用戶組，這個(gè)命令的參數(shù)就是目的用戶組。例如：代碼：$ newgrp root這條命令將當(dāng)前用戶切換到root用戶組，前提條件是 root用戶組確實(shí)是該用戶的主組或附加組。類似于用戶賬號(hào)的管理，用戶組的管理也可以通過集成的系統(tǒng)管理工具來完成。讓Linux系統(tǒng)中的普通用戶也有超級(jí)用戶的權(quán)限三、目錄權(quán)限管理1、3種基本權(quán)限在Linux中，將使用系統(tǒng)資源的人員分為4類：超級(jí)用戶、文件或目錄的屬主、屬主的同組人和其他人員。超級(jí)用戶擁有對(duì)Linux系統(tǒng)一切操作權(quán)限，對(duì) 于其他3類用戶都要指定對(duì)文件和目錄的訪問權(quán)限。代表字符對(duì)應(yīng)數(shù)值權(quán)限對(duì)文件的含義對(duì)目錄的含義r4讀可以讀文件的內(nèi)容可以列出目錄中的文件列表w2寫可以修改該文件可以在目錄中創(chuàng)建刪除文件x1可執(zhí)行可以執(zhí)行該文件可以使用cd命令進(jìn)入該目錄-0無2、查看文件和目錄的權(quán)限可以使用帶l參數(shù)的ls命令查看文件或目錄的權(quán)限liubingsg62O_llldb_backup$Is -1total 220drwKr-Kr2rootroot4096Sep1311:31diw國工一荏匚一耳5rootH。0七4096Oct1208：se2rootroot4096Sep1315:36-I? w-i?1丁。ot88。1Otn10：15Hcdist, frm一 wr 1rootroot160192Oct1110:15rcdict. MYD一工期干一丁 -1rootT C>ot.31744Oct1110:15red it t. M?I每一行顯示一個(gè)文件或目錄的信息， 這些信息包括文件的類型、 文件的權(quán)限、 文件的屬主和文件的所屬組，還有文件的大小以及創(chuàng)建時(shí)間和文件名。輸出列表中每一行第一列的第一個(gè)字母指示了該文件的類型。各種文件類型及代表字符如下：-：普通文件b ：塊文件設(shè)備，是特殊的文件類型d:目錄文件，事實(shí)上在ext2fs中，目錄是一個(gè)特殊的文件c：字符文件設(shè)備，是特殊的文件類型l ：符號(hào)鏈接文件，實(shí)際上它指向另一個(gè)文件s 、 p ：管道文件，這些文件關(guān)系到系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)和管道，通常很少見到第一列的其余9 個(gè)字母可分為三組， 3 個(gè)字母一組， 這 3 組分別代表： 文件屬主的權(quán)限、文件所屬組的權(quán)限和其他用戶的權(quán)限。每組中的 3 個(gè)欄位分別表示讀、 寫、執(zhí)行權(quán)限。第210個(gè)字符當(dāng)中的每3個(gè)為一組，左邊三個(gè)字符表示所有者權(quán)限，中間3個(gè)字符表示與所有者同一組的用戶的權(quán)限， 右邊 3 個(gè)字符是其他用戶的權(quán)限。 這三個(gè)一組共9 個(gè)字符，代表的意義如下：r（Read ，讀?。?：對(duì)文件而言，具有讀取文件內(nèi)容的權(quán)限；對(duì)目錄來說，具有瀏覽目錄的權(quán)限。w（Write, 寫入） ：對(duì)文件而言，具有新增、修改文件內(nèi)容的權(quán)限；對(duì)目錄來說，具有刪除、移動(dòng)目錄內(nèi)文件的權(quán)限。x（eXecute ，執(zhí)行 ） ： 對(duì)文件而言，具有執(zhí)行文件的權(quán)限； 對(duì)目錄了來說該用戶具有進(jìn)入目錄的權(quán)限。：表示不具有該項(xiàng)權(quán)限。3 、更改操作權(quán)限（ chmod/chown ）系統(tǒng)管理員和文件屬主可以根據(jù)需要來設(shè)置文件的權(quán)限， 有兩種設(shè)置方法： 文字設(shè)定法和數(shù)值設(shè)定法。（ 1）文字設(shè)定法chomd 的文字設(shè)定法的格式為： chmod ugoa+-=rwxugo第 1 個(gè)選項(xiàng)表示要賦予權(quán)限的用戶，具體說明如下：u：屬主 g：所屬組用戶o：其他用戶a：所有用戶第 2 個(gè)選項(xiàng)表示要進(jìn)行的操作，具體說明如下：+ ：增加權(quán)限- ：刪除權(quán)限=：分配權(quán)限，同時(shí)將原有權(quán)限刪除第 3 個(gè)選項(xiàng)是要分配的權(quán)限，具體說明如下：r/x/w ：允許讀取/寫入/執(zhí)行u/g/o ：和屬主/所屬組用戶/其他用戶的權(quán)限相同例如：chmod go -r users/取消組用戶和其他用戶對(duì)文件users 的讀取權(quán)限chmod u+x users /對(duì)文件 users 的屬主增加招待權(quán)限chmod u+x,go-r users /對(duì)文件 users 的屬主添加執(zhí)行權(quán)限， 同時(shí)取消組用戶和其他用戶對(duì)文件的讀取權(quán)限（ 2）數(shù)值設(shè)定法chmod 的數(shù)值設(shè)定法的格式為： chmod n1n2n3其中 n1 、 n2、 n3 分別代表屬主的權(quán)限、組用戶的權(quán)限和其他用戶的權(quán)限，這三個(gè)選項(xiàng)都是八進(jìn)制數(shù)字。 例如：chmod 755 adduser /對(duì)文件 adduser 的屬設(shè)置可讀、 寫和執(zhí)行的權(quán)限， 所屬組和其他用戶只設(shè)置讀和執(zhí)行權(quán)限，沒有寫權(quán)限chmod 600 user1/取消組用戶和其他用戶對(duì)文件user1 的一切權(quán)限（原權(quán)限為 -rw-rCrC ）備注： 加入想一次修改某個(gè)目錄下所有文件的權(quán)限， 包括子目錄中的文件權(quán)限也要修改， 要使用參數(shù)-R表示啟動(dòng)遞歸處理。4、更改屬組或同組人改變文件的屬主和組可以用 chown 命令，命令格式為： chown -R 。例如：chmod osmond user1/將文件user1 的屬主改為osmondchmod osmond.osmond user1/將文件user1 的屬主和組都改成osmondchmod -R osmond.osmond mydir/將 mydir 目錄及其子目錄下的所有文件或目錄的屬主和組都改成osmond5、設(shè)置文件和目錄的生成掩碼用戶可以使用 umask 命令設(shè)置文件夾的默認(rèn)生成掩碼。默認(rèn)的生成掩碼告訴系統(tǒng)當(dāng)創(chuàng)建一個(gè)文件或目錄時(shí)不應(yīng)該賦予哪些權(quán)限。如果用戶將umask 命令放 在環(huán)境文件（.bash_profile ）中，就可以控制所有的新建文件或目錄的訪問權(quán)限。其命令格式為： umasku1u2u3其中，u1、u2、u3分別表示的是不允許屬主有的權(quán)限、不允許同組人有的權(quán)限和不允許其他人有的權(quán)限。例如：umask 022/設(shè)置不允許同組用戶和其他用戶有寫權(quán)限umask/顯示當(dāng)前的默認(rèn)生成掩碼用法非常簡(jiǎn)單，只需執(zhí)行umask 777 命令，便代表屏蔽所有的權(quán)限，因而之后建立的文件或目錄，其權(quán)限都變成 000,依次類推。通常root帳號(hào)搭配umask命令的數(shù)值為022、027 和 077，普通用戶則是采用002 ，這樣所產(chǎn)生的權(quán)限依次為755、 750、 700、 775 。用戶登錄系統(tǒng)時(shí)，用戶環(huán)境就會(huì)自動(dòng)執(zhí)行rmask 命令來決定文件、目錄的默認(rèn)權(quán)限。6、特殊權(quán)限設(shè)置（ 1） SUID 、 SGID 和 sticky-bit除了上述的基本權(quán)限之外， 還有所謂的特殊權(quán)限存在。 由于特殊權(quán)限會(huì)擁有一些 “特權(quán) ” ，因而用戶若無特殊需要， 不應(yīng)該去打開這些權(quán)限， 避免安全方面出現(xiàn)嚴(yán)重漏洞， 甚至摧毀系統(tǒng)。下面列出了 3 個(gè)特殊權(quán)限的說明：SUID ：當(dāng)一個(gè)設(shè)置了 SUID 位的可執(zhí)行文件被執(zhí)行時(shí)，該文件以所有者的身份運(yùn)行， 也就是說無論誰來執(zhí)行這個(gè)文件， 他都擁有文件所有者的特權(quán)， 可以任意存取該文件擁有者能使用的全部系統(tǒng)資源。如果所有者是root,那么執(zhí)行人就有超級(jí)用戶的特權(quán)了。SGID：當(dāng)一個(gè)設(shè)置了SGID位的可執(zhí)行文件被執(zhí)行時(shí)，該文件將具有所屬組的特權(quán)，任意存取整個(gè)組所能使用的系統(tǒng)資源；若一個(gè)目錄設(shè)置了SGID,則所有被復(fù)制到這個(gè)目錄下的文件，其所屬的組都會(huì)被重設(shè)為和這個(gè)目錄一樣，除非在復(fù)制文件時(shí)加上-p (preserve,保留文件屬性)參數(shù)，才能保留原來所屬的群組設(shè)置。sticky-bit :對(duì)一個(gè)文件設(shè)置了sticky-bit之后，盡管其他用戶有寫權(quán)限，也必須由屬主執(zhí)行刪除、移動(dòng)等操作，對(duì)一個(gè)目錄設(shè)置了sticky-bit之后，存放在該目錄下的文件僅允許其屬主執(zhí)行刪除、移動(dòng)等操作。一個(gè)設(shè)置了 SUID的典型例子是 passwd程序，它允許普通用戶改變自己的口令，這是通過 改變/etc/shadow文件的口令字段來實(shí)現(xiàn)的。然而系統(tǒng)管理員決不允許普通用戶擁有直接改變/etc/shadow文件的權(quán)限。解決方法是將 passwd程序設(shè)置SUID ,當(dāng)passwd被執(zhí)行時(shí)將擁 有超級(jí) 用戶的權(quán)限，而 passwd程序運(yùn)行結(jié)束又回到普通用戶的權(quán)限，下面是顯示passwd程序的權(quán)限：1iublngsg620_111 db_backup$ LI /usr/hIn/passwd-r-s-3一一量 1 root root 24848 Sep 7 2004 /usr/bir一個(gè)設(shè)置了 sticky-bit的典型例子是系統(tǒng)臨時(shí)文件目錄/tmp ,這避免了不守法的用戶存心搞鬼，恣意亂刪其他用戶存放的文件。下面顯示/tmp目錄的權(quán)限：|LiubingEg620_lLl db_backup$ 11 /tinp6 ro-ot root 4096 Oct 12 lb: 22(2) SUID、SGID 和 sticky-bit 的表示從上面的顯示可以看出，SUID是占用屬主的x位置為表示的；SGID是占用組的x位置來表示的；sticky-bit是占用其他人的x位置來表示 的。在表示上有大小定之分，假若同 時(shí)設(shè)置執(zhí)行權(quán)限和SUID、SGID和sticky-bit ,權(quán)限標(biāo)識(shí)字符是小寫的；倘若關(guān)閉執(zhí)行權(quán)限，則標(biāo)識(shí)字符會(huì)變成大寫。(3)設(shè)置特殊權(quán)限使用chmod命令設(shè)置特殊權(quán)限，仍然有字符設(shè)定法和數(shù)值設(shè)定法之分。使用字符設(shè)定 法時(shí)，可以使用s和t權(quán)限字符，例如：chmod u+s /usr/bin/myapp 為程序/usr/bin/myapp 添加 SUID 權(quán)限chmod g+s /home/groupspace為目錄/home/groupspace 添力口 SGID 權(quán)限chmod o+t /home/share 為目錄/home/share 添力口 sticky-bit 權(quán)限使用chmod的數(shù)值設(shè)定法時(shí)，要使用 4位八進(jìn)制數(shù)值，其中第一位八進(jìn)制數(shù)用于設(shè)置 特殊權(quán)限，后三位八進(jìn)制數(shù)用于設(shè)置基本權(quán)限。例如：chmod 4755 /usr/bin/myapp/設(shè)置 SUIDchmod 2755 /home/groupspace /設(shè)置 SGIDchmod 1755 /home/share設(shè)置 sticky-bit附錄：1、用戶和組狀態(tài)命令whoami:用于顯示當(dāng)前用戶的名稱groups 口：用于顯示指定用戶所屬的組，若未指定用戶，則顯示當(dāng)前用戶所屬的組id:用于顯示用戶當(dāng)前的 UID、GID和用戶所屬的組列表su H口：用于轉(zhuǎn)換當(dāng)前用戶到指定的用戶帳號(hào)，若不指定用戶名則車t換當(dāng)前用戶到root;若使用參數(shù)-“，則在轉(zhuǎn)換當(dāng)前用戶的同時(shí)轉(zhuǎn)換用戶工作環(huán)境。newgrp 口：用于轉(zhuǎn)換用戶的當(dāng)前組到指定的附加組，用戶必須屬于該組才可以進(jìn)行。2、Linux下的帳戶系統(tǒng)文件Linux 下的帳戶系統(tǒng)文件主要有 /etc/passwd、/etc/shadow、/etc/group 和/etc/gshadow 4 個(gè)。（1） /etc/passwd文件中每行定義一個(gè)用戶帳號(hào)，一行中又劃分為多個(gè)不同的字段定義用戶帳號(hào)的不同屬性，各字段用"隔開。root;0:0:root:/root:/b in/bashbin! x: 1:1:13 in: /b Lri： /sbin.daenton:黑二2 ： 2: daeiaon： /sbin: /sb in/nolog in adm：x：3:4:adm：/var/adm：/sbin/nologin Ip:W:4：7:Ip:/uar/spool/lpd：/sh in/n0凸8 in各字段定義如下：第一字段：用戶登錄系統(tǒng)時(shí)使用的用戶名，它在系統(tǒng)中是唯一的。第二字段：口令；在例子中我們看到的是一個(gè)x,其實(shí)密碼已被映射到/etc/shadow文件中；第三字段：UID,是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶。每個(gè)用戶的UID都是唯一的。root用戶的UID是0, 1499是系統(tǒng)的標(biāo)準(zhǔn)帳戶，普通用戶從 500開始。第四字段：GID,是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶所屬的組。第五字段：注釋性描述，例如存放用戶名全稱等信息，這是可選的第六字段：用戶home目錄所在位置，即用戶登錄系統(tǒng)后進(jìn)入的目錄。第七字段：批示該用戶使用的shell, Linux默認(rèn)為bash。例：給linux系統(tǒng)添加一個(gè)帳號(hào)：useradd -g mysql -d /home/test -m test(:新建個(gè)用戶 test,屬于 mysql 組，開始 目錄是 /home/test)然后進(jìn)入/etc/passwd,可以看到剛加的用戶的信息。如下test:x:504:501:/home/test:/bin/bash（2） /etc/passwd文件對(duì)任何用戶均可讀，為了增加系統(tǒng)安全性，用戶的口令通常用shadowpasswords保護(hù)。/etc/shadow只對(duì)root用戶可讀。在安裝系統(tǒng)時(shí)，會(huì)詢問用戶是否啟用 shadow passwords功能。在安裝好系統(tǒng)后也可以用 pwconv命令和pwunconv來啟動(dòng)或取消 shadowpasswords保護(hù)。經(jīng)過 shadow passwords保護(hù)的帳戶口令和相關(guān)設(shè)置信息保存在/etc/shadow文件里。Wot: $IB9XBSkZ5V2LkHdGiTyZmlDs j JqPU. 1:： 13649：.& 99959：7 ：:bin:4:13如4:0:99909:7:daenon：*：13404：019999：7：瓦dm;牛：13404:0:9999:7:IIp：*：13404:0:9999:7；：sync:*:13404:0:99399: 7:：shutdQvm:*;13404;0:99999;7;:;halt:13404:0:9999:7:nail:*:13404:0:9999;7:;:各字段意義如下：第一字段：用戶的帳戶名同 /etc/passwd ,字段非空；第二字段：用戶的口令，是加密過的；第三字段：上次修改口令的時(shí)間；從1970年1月1日起，到用戶最后一次更改口令的天數(shù)；第四字段：兩次修改口令間隔最少的天數(shù)；字段值為空，帳號(hào)永久可用；第五字段：兩次修改口令間隔最多的天數(shù)；字段值為空，帳號(hào)永久可用；（99999表示不需要變更）第六字段：在用戶口令過期之前多少天提醒用戶更新；字段值為空，帳號(hào)永久可用；第七字段：在口令過期之后多少天禁用此用戶；如果這個(gè)字段的值為空，帳號(hào)永久可用；第八字段：在用戶口令過期之后到禁用帳戶的天數(shù)（從1970年的1月1日開始的天數(shù)），字段值為空，帳號(hào)永久可用；第九字段：標(biāo)志，保留位；（3） /etc/group文件。將用戶分組是 Linux中對(duì)用戶進(jìn)行管理及控制訪問權(quán)限的一種手段。當(dāng)一個(gè)用戶同時(shí)是多個(gè)組的成員時(shí)，在/etc /passwd中記錄的是用戶所屬的主組，也就是登錄時(shí)所屬的默認(rèn)組，而其他的組稱為附加組。用戶要訪問附加組的文件時(shí)，必須首先使用newgrp命令使 自己成為所要訪問的組的成員。組的所有屬性都存放在/etc/group中，此文件對(duì)任何用戶均可讀。root!x!0!r ootbin:x:1:root, bindaemon d總21rt占百：量！ 2 ：十口白 k in. dae sys : x: 3 ：Toot, bina dm adm： 4. ：i凸t, adnij daemon tty;5 ;disk:rootlp;x;7;daem口門j Ip各字段意義如下:第一字段: 第二字段: 第三字段: 不會(huì)相同 第四字段:用戶組名稱；用戶組口令，由于安全性原因，GID ,組的識(shí)別號(hào)，和 UID已不使用該字段保存口令，用類似，每個(gè)組都有自己獨(dú)有的x占住；ID號(hào)，不同組的GID用戶列表，每個(gè)用戶之間用，號(hào)分割；本字段可以為空；如果字段為空表示用戶組為GID的用戶名（4） /etc/gshadow文件用于定義用戶組口令、組管理員等信息，該文件只有root用戶可以讀取。Iroot: : : rootbin ： ： I root, b in., daemon daemon: : : rootj b in, daemon sys : : : r oot3 b in, a dm 3dm： : :rcot, adm7 daeiuon各字段意義如下:第一字段：用戶組名稱，該字段與group文件中的組名稱對(duì)應(yīng);第二字段：用戶組口令，該字段用于保存已加密的口令；第三字段：組的管理員帳號(hào)，管理員有權(quán)對(duì)該組添加、刪除帳號(hào)；第四字段：屬于該組的用戶成員列表，用；”分隔；提示：帳戶管理的實(shí)質(zhì)就是管理上述的4個(gè)帳戶系統(tǒng)文件。3、Chmod命令詳解指令名稱：chmod使用權(quán)限：所有使用者使用方式 ：chmod -cfvR -help -version mode file說明：Linux/Unix的檔案存取權(quán)限分為三級(jí)：檔案擁有者、群組、其他。利用 chmod可以藉以控制檔案如何被他人所存取。mode :權(quán)限設(shè)定字串，格式如下：ugoa+-=rwxX,.,其中u表示該檔案的擁有者，g表示與該檔案的擁有者屬于同一個(gè)群體（group）者，o表示其他以外的人，a表示這三者皆是。+表示增加權(quán)限、-表示取消權(quán)限、=表示唯一設(shè)定權(quán)限。r表示可讀取，w表示可寫入，x表示可執(zhí)行，X表示只有當(dāng)該檔案是個(gè)子目錄或者該檔 案已經(jīng)被設(shè)定過為可執(zhí)行。- c :若該檔案權(quán)限確實(shí)已經(jīng)更改，才顯示其更改動(dòng)作- f :若該檔案權(quán)限無法被更改也不要顯示錯(cuò)誤訊息- V :顯示權(quán)限變更的詳細(xì)資料- R :對(duì)目前目錄下的所有檔案與子目錄進(jìn)行相同的權(quán)限變更（即以遞回的方式逐個(gè)變更）- -help :顯示輔助說明- -version : 顯示版本范例：將檔案設(shè)為所有人皆可讀?。篶hmod ugo+r4 、 Chown 命令詳解指令名稱:chown使用權(quán)限:root使用方式:chown-cfhvR-help-versionuser:group file.說明 : Linux/Unix 是多人多工作業(yè)系統(tǒng)， 所有的檔案皆有擁有者。 利用 chown 可以將檔案的擁有者加以改變。一般來說，這個(gè)指令只有是由系統(tǒng)管理者 (root) 所使用，一般使用者沒有權(quán)限可以改變別人的檔案擁有者，也沒有權(quán)限可以自己的檔案擁有者改設(shè)為別人。只有系統(tǒng)管理者(root) 才有這樣的權(quán)限。user : 新的檔案擁有者的使用者IDgroup : 新的檔案擁有者的使用者群體(group)- c : 若該檔案擁有者確實(shí)已經(jīng)更改，才顯示其更改動(dòng)作- f : 若該檔案擁有者無法被更改也不要顯示錯(cuò)誤訊息- h : 只對(duì)于連結(jié)(link) 進(jìn)行變更，而非該 link 真正指向的檔案- v : 顯示擁有者變更的詳細(xì)資料- R : 對(duì)目前目錄下的所有檔案與子目錄進(jìn)行相同的擁有者變更( 即以遞回的方式逐個(gè)變更)- -help : 顯示輔助說明- -version : 顯示版本范例 :將檔案 的擁有者設(shè)為 users 群體的使用者 jessie :chown jessie:users