4、Linux用户组和权限管理

Linux用户组和权限管理

Linux安全模型
Authentication：认证，验证用户身份
Authorization：授权，不同的用户设置不同权限
Accouting|Audition：审计

用户
Linux中每个用户是通过 User Id （UID）来唯一标识的
管理员：root, 0
普通用户：1-60000 自动分配
系统用户：1-499 （CentOS 6以前）, 1-999 （CentOS 7以后）
对守护进程获取资源进行权限分配
登录用户：500+ （CentOS6以前）, 1000+（CentOS7以后）
给用户进行交互式登录使用

用户组
Linux中可以将一个或多个用户加入用户组中，用户组是通过Group ID（GID） 来唯一标识的。
管理员组：root, 0
普通组：系统组：1-499（CentOS 6以前）, 1-999（CentOS7以后）, 对守护进程获取资源进行权限分配
普通组：500+（CentOS 6以前）, 1000+（CentOS7以后）, 给用户使用

用户和组的主要配置文件
/etc/passwd：用户及其属性信息(名称、UID、主组ID等）
/etc/shadow：用户密码及其相关属性
/etc/group：组及其属性信息
/etc/gshadow：组密码及其相关属性

passwd文件格式
login name：登录用名（wang）
passwd：密码 (x)
UID：用户身份编号 (1000)
GID：登录默认所在组编号 (1000)
GECOS：用户全名或注释
home directory：用户主目录 (/home/wang)
shell：用户默认使用shell (/bin/bash)

shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更（0表示随时可被变更）
密码再过几天必须被变更（99999表示永不过期）
密码过期前几天系统提醒用户（默认为一周）
密码过期几天后帐号会被锁定
从1970年1月1日算起，多少天后帐号失效

group文件格式
群组名称：就是群组名称
群组密码：通常不需要设定，密码是被记录在 /etc/gshadow
GID：就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)

gshdow文件格式
群组名称：就是群的名称
群组密码：
组管理员列表：组管理员的列表，更改组密码和成员
以当前组为附加组的用户列表：多个用户间用逗号分隔

用户管理命令

getent查看用户和组的配置文件
getent

#getent passwd root
root:x:0:0:root:/root:/bin/bash
#getent shadow root
root:$6$09WphkdSJadX2i0D$PHzs0ObRhTBpckz1rJqKAL33pidFtS76.VzGn73PQw/j3vWMFIH7DKVi/dHE6wugBG50e6OpZ3WWNU6Xtxh8W.:19248:0:99999:7:::

用户管理命令

useradd 命令可以创建新的Linux用户
useradd

-u UID
-o 配合-u 选项，不检查UID的唯一性
-g GID 指明用户所属基本组，可为组名，也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序，可用列表在/etc/shells文件中
-G GROUP1