第4章-Linux用户及权限机制.ppt

*,成都信息工程大学 并行计算实验室,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Linux,操作系统基础教程,人民邮电出版社,安俊秀 编著,目 录,CONTENTS,第,1,章,Linux,概述,第,2,章,Linux,的基本操作,第,3,章,Linux,文件系统与磁盘管理,第,4,章,Linux,用户及权限机制,第,5,章,Linux,文本处理,第,6,章,Linux,多命令协作,第,7,章,Shell,编程,第,8,章 进程与设备管理,第,4,章,Linux,用户及权限机制,Linux,操作系统基础教程,第,4,章,Linux,用户及权限机制,4,.1,用户与用户组,4.1.1,用户的管理,4.1.2,用户,组的管理,4.1.3,用户配置文件,4.2,文件权限管理,4,.2.1,所有者、所在组和其他用户,4.2.2,读、写和执行操作,4.2.3 umask,属性和特殊权限,4.2.4,文件属性控制,4.1.1,用户的管理,Linux,系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以该账号的身份进入系统。每个用户账号都拥有一个唯一的用户名和口令，同时系统会为每个用户账号分配一个用户,ID,（,uid,）来标识用户。用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。,根据用户,ID,的不同，在,Linux,系统中，用户可分为以下,3,种类型。,（,1,）,root,用户：又称为超级用户，,ID,为,0,，拥有最高权限。,（,2,）系统用户：又称为虚拟用户、伪用户或假用户，不具有登录,Linux,系统的能力，但却是系统运行不可缺少的用户，一般,ID,为,1,499,，本书中使用的,Centos7,为,1,999,。,（,3,）普通用户：,ID,为,500,以上，,Centos7,为,1000,以上。可以登录,Linux,系统，但是使用的权限有限，由管理员创建。,用户管理的常用命令包括：,useradd,、,passwd,、,usermod,、,userdel,。,useradd,用来添加用户，,passwd,修改用户口令，,usermod,修改用户信息，,userdel,删除用户。,4.1.1,用户的管理,1,添加用户,添加用户就是在系统中创建一个新账号，并为新账号分配用户,ID,、用户组、主目,录和登录,Shell,等资源。通过,useradd,命令添加用户。,useradd,的命令格式为：,useradd option username,username,表示新账号的登录名。,2,修改用户口令,用户账号刚创建时没有口令，被系统锁定无法使用，必须为其指定口令后才可以使用，即使是空口令。使用,passwd,命令指定和修改用户口令。超级用户可以为自己和其他用户指定口令，普通用户只能用它修改自己的口令。,passwd,的命令格式为：,passwd option username,其中，,option,选项可以缺省，主要对,/etc/shadow,文件的字段产生影响，,username,参数也可以缺省，没有指定该参数时，表示修改当前用户的口令；,如果指定了该参数，则表示修改指定用户的口令，只有,root,用户才有修改指定用户口令的权限。,4.1.1,用户的管理,3,修改用户信息,修改用户信息就是更改用户的属性，如用户,ID,、主目录、用户所在组、登录,Shell,等。通过,usermod,命令修改用户信息。,usermod,的命令格式为：,usermod option username,username,表示用户名。,4,删除用户,如果一个用户账号不再使用，可以从系统中删除。删除用户就是删除与用户有关的系统配置文件中的记录（如,/etc/passwd,）。通过,userdel,命令删除用户。,userdel,的命令格式为：,userdel option username,其中，,option,选项最常用的参数是,-r,，表示同时删除用户的主目录。,username,表示要删除的用户。例如，删除用户,user2,，执行如下命令。,rootlocalhost Desktop#userdel-r user2,此时再查看,/etc/passwd,文件中的信息，将不会找到与,user2,有关的信息行。,4.1.2,用户组的管理,用户组是具有相同特征用户的集合，每个用户都有一个用户组，方便系统集中管理一个用户组中的所有用户。用户组的管理主要包括用户组的添加、修改和删除。常用命令有：,groupadd,、,groupmod,、,groupdel,。,1,添加用户组,使用,groupadd,命令增加新的用户组。,groupadd,的命令格式为：,groupadd option group,group,表示用户组的组名。,2,修改用户组信息,使用,groupmod,命令修改用户组的属性。,groupmod,的命令格式为：,groupmod option group,group,表示需要修改属性的用户组的名称。,3,删除用户组,使用,groupdel,命令删除用户组。,groupdel,命令的格式为：,groupdel group,group,表示要删除的用户组的名称。,4.1.3,用户配置文件,与用户相关的系统配置文件主要有,/etc/passwd,、,/etc/shadow,、,/etc/group,。,/etc/passwd,文件保存用户信息，,/etc/shadow,文件保存加密的用户密码，,/etc/group,文件保存用户组信息。,1,/etc/passwd,文件,系统中所有的用户信息都会记录到,/etc/passwd,文件中，是系统识别用户的一个文件。当用户登录时，系统首先查阅,/etc/passwd,文件。假设用户名为,user,，则 会在,/etc/passwd,文件中查看是否有该账号，然后确定,user,的,uid,，通过,uid,确认用户和身份。在,/etc/passwd,文件中，每一行都表示一个用户的信息。每行有,7,个字段，字段之间通过“：”分隔。例如：,rootlocalhost Desktop#cat/etc/passwd,root:x:0:0:root:/root:/bin/bash,user:x:1001:1001:/home/user:/bin/bash,4.1.3,用户配置文件,2,/etc/shadow,文件,/etc/shadow,与,/etc/passwd,文件是互补的，由于,/etc/passwd,文件所有用户都可以访问，为保证安全，将密码和其他,/etc/passwd,文件不能包括的信息（如有效期限）单独保存在,/etc/shadow,中，此文件只有,root,用户有权查看。例如，用,user,用户查看该文件时，会出现提示“,Permission denied,（权限不足）”。,userlocalhost Desktop$cat/etc/shadow,cat:/etc/shadow:Permission denied,3,/etc/group,文件,/etc/group,文件是用户组的配置文件，可以直观看出用户组中包括哪些用户。每个用户组是一条记录，每个记录包含,4,个字段，字段之间通过“：”分隔，具体内容如下。,rootlocalhost Desktop#cat/etc/group,root:x:0:myu,user:x:1001:,user1:x:1002:,myuser:x:1003:,myGroup:x:1004:,4.2.1,所有者、所在组和其他用户,有,3,种类型的用户可以访问文件或目录：文件所有者、同组用户、其他用户。所有者一般是文件的创建者，对该文件的访问权限拥有控制权。所有者可以允许同组用户有权访问文件，还可以将文件的访问权限赋予系统中的其他用户。通过,chown,和,chgrp,命令可以改变文件的所属用户和所属组。,1,改变文件所属用户,通过,chown,命令将文件的所有者修改为指定的用户，普通用户不能将自己的文件改变成其他的拥有者，超级用户才拥有此权限。,chown,的命令格式为：,chown option owner:group file,。,owner,表示文件的所有者，可以是用户名，也可以是用户,ID,。,group,表示文件的所在组，组名或者组,ID,均可。,file,是文件的名称。,2,改变文件所在组,通过,chgrp,命令变更目录和文件的所属组，只有超级用户才拥有此权限。,chgrp,的命令格式为：,chgrp option group file,。,group,表示目录或文件的所在组，可以是组名或者组,ID,。,file,是目录或文件的名称。,4.2.2,读、写和执行操作,每一文件或目录的访问权限都有三组，每组用三位表示，分别为文件属主的读、写、执行权限，与属主同组用户的读、写和执行权限，系统中其他用户的读、写和执行权限。文件被创建时，文件的所有者自动拥有对该文件的读、写、执行权限，以便于阅读和修改文件。用户也可根据需要把访问权限设置为需要的任何组合，目录必须拥有执行权限，否则无法查看其内容。,r,表示读权限，,w,表示写权限，,x,表示执行权限。三种权限模式对文件和目录的影响如表所示。,当用,ls l,命令显示文件或目录的详细信息时，最左边一列为文件的访问权限。,/etc/passwd,文件的详细信息如下。,rootlocalhost Desktop#ls-l/etc/passwd,-rw-r-r-.1 root root 2418 Mar 22 10:48/etc/passwd,4.2.2,读、写和执行操作,输出结果的前十个字符“,-rw-r-r-”,表示文件属性，第一个字符表示文件类型，剩,下的,9,个字符（三个一组）分别表示文件所有者、文件所在组以及其他用户对该文件的读、写和执行权限，具体含义如图所示。,通过,chmod,命令改变不同用户对文件或目录的访问权限，文件或目录的所有者和超级用户拥有修改权限。该命令有以下两种使用方法：表达式法和数字法。,4.2.2,读、写和执行操作,1,表达式法,表达式法的,chmod,的命令格式为：,chmod who operator mode file,。,其中，,who,指定用户身份，若此参数省略，则表示对所有用户进行操作。,operator,表示添加或取消某个权限，取值为“,+”,或“,-”,。,mode,指定读、写、执行权限，取值为,r,、,w,、,x,的任意组合。,2,数字法,chmod,支持以数字方式修改权限，读、写、执行权限分别由,3,个数字表示：,r,（读）,=4,；,w,（写）,=2,；,x,（执行）,=1,。每组权限分别为对应数字之和，如“,rw-rw-r-”,表示为“,664”,（其中的,-,表示没有某一个权限，取值为,0,）。当前,a,文件的访问权限为“,rwxrwxrw-”,，将其恢复到原来的“,rw-rw-r-”,，只需要执行命令“,chmod 664 a”,，结果如下。,rootlocalhost four#chmod 664 a,rootlocalhost four#ls-ld a,-rw-rw-r-.1 myUser myGroup 0 Mar 28 15:20 a,4.2.3 umask,属性和特殊权限,文件和目录的默认访问权限是不同的。文件默认没有执行权限，对于所有者、同组用户、其他用户都只有,rw,两个权限，即默认属性为“,-rw-rw-rw-,（数字表示为：,666,）”。对于目录而言，所有权限均开放，即默认属性为“,drwxrwrwx,（数字表示为：,777,）”。但新建文件目录的访问权限是由默认权限和,umask,属性的差值决定的，每个终端都拥有一个,umask,属性。一般普通用户的默认,umask,是,002,，,root,用户的默认,umask,是,022,，使用,umask,命令查看当前终端的,umask,值。,userlocalhost Desktop$umask/,普通用户,0002,userlocalhost Desktop$su root/,切换到,root,用 户,Password:,rootlocalhost Desktop#umask/root,用户,0022,使用,umask,命令查看默认权限时，有,4,位数字（如,0002,），而所有者、所在组、其他用户的读、写、执行权限只占后面三位。这是因为除读、写、执行,3,个普通权限外，系统中还存在,3,个特殊权限：,suid,、,sgid,、,sbit,，最开头的一位保存特殊权限。,4.2.3 umask,属性和特殊权限,1,suid,设置了,suid,权限的文件，在执行时以文件的所属用户身份执行，而非执行文件的,用户。例如，查看文件,/usr/bin/passwd,，所有者的,x,权限被,s,替代，命令如下。,rootlocalhost Desktop#which passwd,/usr/bin/passwd,rootlocalhost Desktop#ls-ld/usr/bin/passwd,-rwsr-xr-x.1 root root 27832 Jun 10 2014/usr/bin/passwd,当,s,标志出现在文件所有者的,x,权限上时，如上述结果出现的“,-rwsr-xr-x”,，该文件就拥有了,suid,权限。,suid,权限的限制与功能为：,suid,只能用于二进制可执行文件（即需对该文件拥有可执行权限），对目录无效；执行者将具有该文件所有者的权限；本权限只在文件执行时有效，执行完毕不再拥有所有者权限。,2,sgid,sgid,权限出现在文件所属组权限的执行位上面。与,suid,不同的是，对普通二进制文件和目录都有效。当它作用于普通文件时和,suid,类似，执行者若具有该文件的,x,权限，执行者将获得该文件所属组的权限。当,sgid,作用于目录时，若执行者对某一目录具有,x,、,w,权限，该执行者就可以在该目录下建立文件，而且该执行者在这个目录下建立的文件都是属于这个目录所属的组。,4.2.3 umask,属性和特殊权限,3,sbit,sbit,权限出现在其他用户的,x,权限上，只对目录有效，若执行者对此目录具有,w,、,x,权限，在该目录下创建文件或目录时，仅自己与,root,才有权删除新建的目录或文件。例如，,/tmp,文件的访问权限是“,drwxrwxrwt”,。,rootlocalhost Desktop#ls-ld/tmp,drwxrwxrwt.16 root root 4096 Mar 29 18:55/tmp,特殊权限的修改和设置同样使用,chmod,命令，表达式法和数字法均可。表达式法与修改普通权限一样，针对,u,（所有者）、,g,（所在组）、,o,（其他用户）进行设置，由于,suid,、,sgid,、,sbit,权限是代替特定用户的,x,权限位，使用方法一共有,3,种：,chmod u+s file,、,chmod g+s file,、,chmod o+t file,，,file,表示文件或目录的名称。数字法则是在原来三位数字的前面添加一位，,4,表示,suid,权限，,2,表示,sgid,权限，,1,表示,sbit,权限，如,chmod 4777 file,（,file,表示文件或目录的名称）。,4.2.4,文件属性控制,在平时使用计算机时，我们会遇到这样的需求：在操作文件时，不能让用户修改文件本身的内容，但允许用户添加新的内容到文件中。虽然从需求的角度上来看这没有问题，但是从实现的角度上来看好像是有冲突的，即文件既不允许写又允许写。这在其他操作系统与文件系统中很难实现，而,Linux,则提供了很容易实现的机制,文件属性控制。在文件系统,ext4,中，只需要,chattr+a file,就可以实现以上功能。当然，并不是所有文件系统都支持这样的特性，当前支持的文件系统有：,ext2,、,ext3,、,ext4,、,btrfs,等。,1,lsattr,查看文件属性,lsattr,列出当前文件的属性信息。,lsattr,的命令格式为：,lsattr-RVadv files,，参数选项及含义如表所示。,4.2.4,文件属性控制,2,chattr,修改文件属性,修改文件属性方式有,3,种不同的方法，如表所示。,