用户、组及权限控制
用户和组管理
1.资源分派
Authentication 认证:识别用户
Authorization 授权:
Accoutiog 审计
token,identity (username/password)
2.Linux用户:
Username/UID(UserID) 管理员:root,0 普通用户:1-65535 系统用户: 守护进程获取资源进行权限分配 1-499(centos 6),1-999(centos 7)不同的发行版会不同 登录用户(交互式登录):500+(centos 6),1000+(centos 7)
3.Linux用户组:
Groupname/GID(GroupID) 管理员组:root,0 普通组: 系统组:1-499(centos 6),1-999(centos 7) 普通组:500+(centos 6),1000+(centos 7)
4.Linux安全上下文
运行中的程序:进程(process)
以进程发起者的身份运行
进程所能够访问的所有资源的权限取决于进程的发起者的身份
5.Linux组的类别
用户的基本组(主组):
组名同用户名,且仅包含一个用户,即私有组
用户的附加组(额外组)
6.Linux用户和组相关的配置文件:
/etc/passwd 用户及其属性信息(名称、GID、基本组ID等) /etc/group 组及其属性信息 /etc/shadow 用户密码及其相关属性 /etc/gshadow 组密码及其相关属性
[root@Auscoo ~]# more /etc/passwd name:password:UID:GID:GECOS:directory:shell root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin 用户名:密码占位符:UID:GID(用户的基本组ID):GECOS(用户的备注信息):主目录:默认shell [root@Auscoo ~]# more /etc/group group_name:password:gid:user_list 组名:组密码占位符:GID:以当前组为附加组的用户列表(分隔符为逗号) [root@Auscoo ~]# more /etc/shadow user1: :17684:0:99999:7: : : ①用户名 ②加密了的密码 ③最近一次更改密码的日期(相对时间,上次修改密码到unix元年经过的天数) ④密码的最小使用期限 ⑤密码的最大使用期限 ⑥密码警告时间段 ⑦密码禁用期(非活动期限) ⑧账号过期日期(从 unix 元年到该日期经过的天数) ⑨保留字段 顺序:① : ② : ③ : ④ : ⑤ : ⑥ : ⑦ : ⑧ : ⑨ 加密机制: 加密:明文-->密文 解密:密文-->明文 单向加密:提取数据指纹 md5: message digest 消息摘要 128bits sha1: secure hash algorithm 安全的哈希算法 160bits sha224:224bits sha256:256bits sha384:384bits sha512:512bits 雪崩效应:初始条件的微小改变,将会引起结果的巨大改变;蝴蝶效应; 定长输出 密码的复杂性策略 1、使用数字、大写字母、小写字母及特殊字符中至少3种 2、足够的长度; 3、不要使用易猜测密码,使用随机密码 4、定期更换;不要使用最近曾经使用过的密码
用户和组相关的管理命令
1.用户创建:useradd
useradd [option] LOGIN
用法:useradd [选项] 登录
useradd -D
useradd -D [选项]
选项:
-b, --base-dir BASE_DIR 新账户的主目录的基目录
-c, --comment COMMENT 新账户的 GECOS 字段
-d, --home-dir HOME_DIR 新账户的主目录
-D, --defaults 显示或更改默认的 useradd 配置
-e, --expiredate EXPIRE_DATE 新账户的过期日期
-f, --inactive INACTIVE 新账户的密码不活动期
-g, --gid GROUP 新账户主组的名称或 ID
-G, --groups GROUPS 新账户的附加组列表
-h, --help 显示此帮助信息并推出
-k, --skel SKEL_DIR 使用此目录作为骨架目录
-K, --key KEY=VALUE 不使用 /etc/login.defs 中的默认值
-l, --no-log-init 不要将此用户添加到最近登录和登录失败数据库
-m, --create-home 创建用户的主目录
-M, --no-create-home 不创建用户的主目录
-N, --no-user-group 不创建同名的组
-o, --non-unique 允许使用重复的 UID 创建用户
-p, --password PASSWORD 加密后的新账户密码
-r, --system 创建一个系统账户
-R, --root CHROOT_DIR chroot 到的目录
-s, --shell SHELL 新账户的登录 shell
-u, --uid UID 新账户的用户 ID
-U, --user-group 创建与用户同名的组
-Z, --selinux-user SEUSER 为 SELinux 用户映射使用指定 SEUSER
-u UID: UID=[UID_MIN,UID_MAX] , 定义在/etc/login.defs
UID: 用户 ID 的数字值。此值必须为唯一的,除非使用了 -o
-g GID: 指明用户所属的基本组,可以为组名,也可以为GID,注意:组名或GID必须已经存在
-c "COMMENT" :“用户的注释信息”
[root@localhost ~]# useradd -c "I am ben." ben
[root@localhost ~]# tail -1 /etc/passwd
ben:x:502:502:I am ben.:/home/ben:/bin/bash
-d /PATH/TO/HOME/DIR 以指定的路径为家目录,注意:提前条件,该目录事先不存在,如果存在,则报错
[root@localhost ~]# useradd -d /tmp/centos cento
[root@localhost ~]# tail -1 /etc/passwd
cento:x:503:503::/tmp/centos:/bin/bash
[root@localhost ~]# mkdir /tmp/test
[root@localhost ~]# useradd -d /tmp/test test
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells 文件中
[root@localhost ~]# useradd -s /bin/tcsh docker
[root@localhost ~]# tail -1 /etc/passwd
docker:x:505:505::/home/docker:/bin/tcsh
-G GROUP1[,GROUP2,...[,GROUPN]]]: 为用户指明附加组,组必须事先存在,多个附加组之间用逗号分隔
[root@localhost ~]# useradd -G test,docker centos
[root@localhost ~]# id centos
uid=506(centos) gid=506(centos) groups=506(centos),504(test),505(docker)
-r: 创建系统用户
centos 6 id < 500
centos 7 id < 1000
[root@localhost ~]# useradd -r zabbix
[root@localhost ~]# cat /etc/passwd | grep "zabbix"
zabbix:x:496:493::/home/zabbix:/bin/bash
默认值设定:/etc/default/useradd文件中 比如使用 useradd -D -s /etc/tcsh 来改变默认的shell
练习:创建用户gentoo,附加组为distro和linux,默认shell为/bin/csh,注释信息为"gentoo distribution"
useradd -G distro,linux -s /bin/csh -c "gentoo distribution" gentoo
[root@localhost ~]# useradd -G distro,linux -s /bin/csh -c "gentoo distribution" gentoo
[root@localhost ~]# tail -1 /etc/passwd
gentoo:x:508:508:gentoo distribution:/home/gentoo:/bin/csh
[root@localhost ~]# id gentoo
uid=508(gentoo) gid=508(gentoo) groups=508(gentoo),1503(distro),1504(linux)
2.groupadd:组创建
groupadd [OPTION].. group_name
-g GID: 指明GID号,[GID_MIN,GID_MAX] 定义在/etc/login.defs
[root@localhost ~]# groupadd -g 2001 cook
[root@localhost ~]# tail -1 /etc/group
cook:x:2001:
-r:创建系统组
centos 6 id < 500
centos 7 id < 1000
[root@localhost ~]# groupadd -r jobs
[root@localhost ~]# cat /etc/group | grep "jobs"
jobs:x:492:
3.id: 查看用户相关的ID信息
id [OPTION]... [USER]
-u: UID 显示UID
-g: GID 显示GID基本组id
-G: Groups 显示所有GID
-n: NAME显示用户名或用户组名
4.su: 切换用户或以其他用户身份执行命令
su [OPTION] [-] [user [args...]]
切换用户的方式:
su UserName: 非登录式切换,即不会读取目标用户的配置文件
su - UserName: 登录式切换,会读取目标用户的配置文件,完全切换
注意:root用户su到其他用户无须密码;非root用户切换时需要密码;
换个身份执行命令
su [-] UserName -c ‘COMMAND‘ 仅仅只是使用另一个用户来执行命令,不进行用户切换。
[root@localhost ~]# su - tom -c ‘echo $PATH‘
/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/tom/bin
选项:
-l "su -l username"相当于"su - username" 相当于登录式切换
[root@localhost ~]# su -l tom
[tom@localhost ~]$ echo $PATH
/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/tom/bin
sudo
sudo可以针对单个命令授予临时权限
使用visudo进行修改,可以提示报错
usermod: 用户属性修改
usermod [OPTION] login
-u UID: 新的UID
[root@localhost ~]# usermod -u 2002 tom
[root@localhost ~]# id -u tom
2002
-g GID: 新的基本组id 可以是组名或者gid 注意:前提条件,新的基本组必须事先存在
[root@localhost ~]# usermod -g cook tom
[root@localhost ~]# id -g tom
2001
[root@localhost ~]# usermod -g 508 tom
[root@localhost ~]# id -g tom
508
-G GROUP1,GROUP2...GROUP# 新的附加组,原来的附加组将会覆盖,若保留原有,则要同时使用-a选项,表示append -a选项必须作为首选项
[root@localhost ~]# usermod -G gentoo,linux tom
[root@localhost ~]# id tom
uid=2002(tom) gid=508(gentoo) groups=508(gentoo),1504(linux)
[root@localhost ~]# usermod -a -G cook tom
[root@localhost ~]# id tom
uid=2002(tom) gid=508(gentoo) groups=508(gentoo),1504(linux),2001(cook)
-s SHELL 新的默认shell
[root@localhost ~]# usermod -s /bin/tcsh tom
[root@localhost ~]# cat /etc/passwd | grep "tom"
tom:x:2002:508::/home/tom:/bin/tcsh
-c "COMMENT": 新的注释信息[root@localhost ~]# usermod -c "I am tom." tom
[root@localhost ~]# usermod -c "I am tom." tom [root@localhost ~]# cat /etc/passwd | grep "tom" tom:x:2002:508:I am tom.:/home/tom:/bin/tcsh
-d HOME_DIR: 新的家目录,原有家目录中的文件不会同时移动至新的家目录,若要移动,则同时使用-m选项
[root@localhost ~]# usermod -d /home/tom2 -m tom
[root@localhost ~]# cat /etc/passwd | grep "tom"
tom:x:2002:508:I am tom.:/home/tom2:/bin/tcsh
-l LOGIN_NAME: 新的名字
[root@localhost ~]# usermod -l tom123 tom
[root@localhost ~]# cat /etc/passwd | grep "tom123"
tom123:x:2002:508:I am tom.:/home/tom2:/bin/tcsh
-L: lock指定用户,锁定用户的密码,这会在用户加密的密码之前放置一个“!”
[root@localhost ~]# usermod -L tom
[root@localhost ~]# cat /etc/shadow | grep "tom"
tom:!$6$Xab6yTDv$GEqYjEyz/4yBqcsVLLbLrgGQu4McQCq3DXwGzeCAW4jOobf7Jb3fJovrtCb70R1JZYLYZYYau.oCR5iKTVBCC.:17622:0:99999:7:::
-U: unlock指定用户,解锁用户的密码,这样移除加密的密码之前的“!”
[root@localhost ~]# usermod -U tom
[root@localhost ~]# cat /etc/shadow | grep "tom"
tom:$6$Xab6yTDv$GEqYjEyz/4yBqcsVLLbLrgGQu4McQCq3DXwGzeCAW4jOobf7Jb3fJovrtCb70R1JZYLYZYYau.oCR5iKTVBCC.:17622:0:99999:7:::
-e YYYY-MM-DD: 指定用户账号的过期日期 禁用日期 (从unix元年到该日期经过的天数)
[root@localhost ~]# usermod -e 2018-12-12 tom
[root@localhost ~]# cat /etc/shadow | grep "tom"
tom:$6$Xab6yTDv$GEqYjEyz/4yBqcsVLLbLrgGQu4McQCq3DXwGzeCAW4jOobf7Jb3fJovrtCb70R1JZYLYZYYau.oCR5iKTVBCC.:17622:0:99999:7::17877:
-f INACTIVE: 设定非活动期限
[root@localhost ~]# cat /etc/shadow | grep "tom" tom:$6$Xab6yTDv$GEqYjEyz/4yBqcsVLLbLrgGQu4McQCq3DXwGzeCAW4jOobf7Jb3fJovrtCb70R1JZYLYZYYau.oCR5iKTVBCC.:17622:0:99999:7:10:17877:
passwd: 给用户添加密码
passwd [OPTION] UserName 修改指定用户的密码,仅root用户有权限
passwd: 修改自己的密码
[root@localhost ~]# passwd 更改用户 root 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 重新输入新的 密码: passwd:所有的身份验证令牌已经成功更新。
常用选项:
-l: 锁定指定用户, 在/etc/shadow 密码加密字段的前面加入"!!"
-u: 解锁指定用户, 在/etc/shadow 密码加密字段的前面移除"!!"
-n mindays: 指定最短使用期限
[root@localhost ~]# passwd -n 7 tom Adjusting aging data for user tom. passwd: Success [root@localhost ~]# cat /etc/shadow | grep "tom" tom:$6$/M5PH/Al$mBtJBCMMbJhmrVTnXyjRO59KcSeLvsKQ8kOB0I3bTpyEMp0hpNLD0hVC4WEizh/vAcdx6Y8OWsqKimngwEHIE.:17622:7:99999:7:10:17877:
-x maxdays: 指定最大使用期限
-w warndays: 提前多少天开始警告用户修改密码
-i inactivedays: 非活动期限(这段时间用户不能用修改密码,但是修改密码后可以继续使用)
--stdin: 从标准输入接收用户的密码
echo "PASSWD" | passwd --stdin UserName
[root@localhost ~]# echo '123456' | passwd --stdin user3
更改用户 user3 的密码 。
passwd:所有的身份验证令牌已经成功更新。
注意:/dev/null, bit buckets 位桶 数据黑洞 空设备,丢弃一切写入其中的数据
/dev/zero, 当你读它的时候,它会提供无限的空字符
例如上个修改密码成功的的信息,如果修改成功则会发出信息,这时可以将该信息
丢给/dev/null,则不会显示任何信息
若想知道是否执行成功,则可以使用echo $?命令查看,成功则返回0
[root@localhost ~]# echo "o0p-[=" | passwd --stdin tom &> /dev/null
[root@localhost ~]# echo $?
0
userdel: 删除用户
userdel [OPTION]... login
-r 删除用户家目录
[root@localhost ~]# userdel docker
[root@localhost ~]# ll -d /home/docker
drwx------. 4 505 docker 4096 Apr 1 16:50 /home/docker
[root@localhost ~]# userdel -r centos
[root@localhost ~]# ll -d /home/centos
ls: cannot access /home/centos: No such file or directory
groupmod: 组属性修改
groupmod [OPTION]... group
-n group_name: 新名字
-g GID: 新的GID
groupdel: 组删除
groupdel [OPTION]... group
groupdel GROUP:新名字
gpasswd:修改组密码
gpasswd [OPTION] GROUP
[root@localhost ~]# gpasswd gentoo
Changing the password for group gentoo
New Password:
Re-enter new password:
[root@localhost ~]# cat /etc/gshadow | grep "gentoo"
gentoo:$6$CUkW//JZ/Gm/R$6XS3FPfEa07nTZUSDkMVey3u7j6713AVAFwW1vMUBR31Ve0KVRLL6ZFIQGh.cONoZXLcL/IAH56i633z6zdu1/::
-a user: 将user添加至指定组中
[root@localhost ~]# gpasswd -a tim gentoo
Adding user tim to group gentoo
[root@localhost ~]# id tim
uid=501(tim) gid=1502(testgrp) groups=1502(testgrp),508(gentoo)
-d user: 删除用户user的以当期为组名的附加组
[root@localhost ~]# gpasswd -d tim gentoo
Removing user tim from group gentoo
[root@localhost ~]# id tim
uid=501(tim) gid=1502(testgrp) groups=1502(testgrp)
-A user1,user2,...: 设置有管理权限的用户列表,用户之间用逗号隔开
[root@localhost ~]# gpasswd -A tim,ben root
newgrp命令,临时切换基本组
临时切换基本组,切换后创建文件,该文件属组是切换后的组
如果用户不属于此组,切换需要密码
如果用户属于此组,切换不需要密码
[root@localhost ~]# useradd ben
[root@localhost ~]# su - ben
[ben@localhost ~]$ newgrp mygrp
密码:
[ben@localhost ~]$ id
uid=1002(ben) gid=1002(mygrp) 组=1002(mygrp),1005(ben)
[ben@localhost ~]$ touch d.txt
[ben@localhost ~]$ ll
总用量 0
-rw-r--r-- 1 ben mygrp 0 6月 2 11:07 d.txt
[ben@localhost ~]$ exit
exit
[ben@localhost ~]$ touch e.txt
[ben@localhost ~]$ ll
总用量 0
-rw-r--r-- 1 ben mygrp 0 6月 2 11:07 d.txt
-rw-rw-r-- 1 ben ben 0 6月 2 11:08 e.txt
pwck 检查密码文件的完整性
检查密码文件的完整性,命令检查用户及其认证信息的完整性
chage:修改用户密码过期信息
chage [OPTION].. login
用法:chage [选项] 登录
选项:
-d, --lastday 最近日期 将最近一次密码设置时间设为“最近日期”
-E, --expiredate 过期日期 将帐户过期时间设为“过期日期”
-h, --help 显示此帮助信息并推出
-I, --inactive INACITVE 过期 INACTIVE 天数后,设定密码为失效状态
-l, --list 显示帐户年龄信息
-m, --mindays 最小天数 将两次改变密码之间相距的最小天数设为“最小天数”
-M, --maxdays 最大天数 将两次改变密码之间相距的最大天数设为“最大天数”
-R, --root CHROOT_DIR chroot 到的目录
-W, --warndays 警告天数 将过期警告天数设为“警告天数”
-d: LAST_DAY 格式 YYYY-MM-DD 上一次修改密码的日期 (相对时间,unix元年到该日期经过的天数)
-E: --expiredate EXPIRE_DATE 过期日期 格式 YYYY-MM--DD (相对时间,unix元年到该日期经过的天数)
-I: --inactive INACTIVE 设定非活动期限
-m: --mindays MIN_DAYS 设定密码最短使用期限
-M: --maxdays MAX_DAYS 设定密码最长使用期限
-W: --warndyas WARN_DAYS 设定提前多少天警告
其他命令:chfn、chsh、finger
chfn 修改用户的注释信息
chsh修改用户的默认shell
[root@localhost ~]# tail -1 /etc/passwd
ben:x:1002:1005::/home/ben:/bin/bash
[root@localhost ~]# chsh ben
Changing shell for ben.
New shell [/bin/bash]: /bin/csh
Shell changed.
[root@localhost ~]# tail -1 /etc/passwd
ben:x:1002:1005::/home/ben:/bin/csh
finger查看用户的详细信息(Linux未装)
权限管理
1.文件的权限主要针对三类对象进行定义
owner:属主,u
group:属组,g
other:其他,o
-rw-------. 1 root root 1631 5月 5 17:57 anaconda-ks.cfg
前三位为属主权限(红色),中间三位为属组权限(粉色),后面三位为其他权限(蓝绿色)
2.每个文件针对每类访问者都定义了三种权限
r:readable 可读 w:writable 可写 x:execuable 可执行
文件:
r:可使用文件查看类工具获取其内容 cat tac more less head tail w:可修改其内容 nano vim vi x:可以把此文件提前内核启动为一个进程 bash
目录:
r:可以使用ls查看此目录中文件列表 ls w:可以在此目录中创建文件,也可删除此目录中的文件 touch rm x:可以使用ls -l查看此目录中文件列表,可以cd进入此目录 ll cd 权限转换二进制数、八进制数 --- 000 0 --x 001 1 -w- 010 2 -wx 011 3 r-- 100 4 r-x 101 5 rw- 110 6 rwx 111 7 例如:640:rw-r----- rw-r-xr-x:755
3.chmod: 修改文件权限
三种身份(user,group,others)各自的三个权限(r,w,x)
使用八进制修改
chmod [OPTION]... OCTAL-MODE FILE...
-R 递归修改权限
[root@localhost ~]# chmod -R 700 /tmp/test
[root@localhost ~]# ls -ld /tmp/test
drwx------ 2 root root 4096 Apr 2 09:41 /tmp/test
[root@localhost ~]# ll /tmp/test
total 0
-rwx------ 1 root root 0 Apr 2 09:41 abc
使用八进制数修改文件或目录权限
[root@localhost ~]# chmod 640 /tmp/fstab
[root@localhost ~]# ll /tmp/fstab
-rw-r----- 1 root root 621 Mar 29 19:56 /tmp/fstab
使用MODE修改
chmod [OPTION]... MODE[,MODE]... FILE...
MODE:
修改一类或多类用户的所有权限,若没有任何权限,则留空,a表示所有三类用户
u= 属主 g= 属组 o= 其他 ug= 属主、属组 a= 所有用户 u= ,g= 多个用户指定权限 使用逗号隔开
[root@localhost ~]# chmod u=rwx /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxr--r-- 1 root root 621 Mar 23 15:04 /etc/fstab
[root@localhost ~]# chmod g=r /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxr--r-- 1 root root 621 Mar 23 15:04 /etc/fstab
[root@localhost ~]# chmod o= /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxr----- 1 root root 621 Mar 23 15:04 /etc/fstab
[root@localhost ~]# chmod ug=rwx /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxrwx--- 1 root root 621 Mar 23 15:04 /etc/fstab
[root@localhost ~]# chmod u=rwx,g=r /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxr----- 1 root root 621 Mar 23 15:04 /etc/fstab
[root@localhost ~]# chmod a=rwx /etc/fstab
[root@localhost ~]# ll /etc/fstab
-rwxrwxrwx 1 root root 621 Mar 23 15:04 /etc/fstab
修改一类用户某位或某些权限
u+: +表示增加权限 u-: -表示移除权限
[root@localhost ~]# chmod u+r /tmp/fstab
[root@localhost ~]# ll /tmp/fstab
-rw-r--r-- 1 root root 621 Mar 29 19:56 /tmp/fstab
[root@localhost ~]# chmod u-r /tmp/fstab
[root@localhost ~]# ll /tmp/fstab
--w-r--r-- 1 root root 621 Mar 29 19:56 /tmp/fstab
参考RFILE修改
chmod [OPTION].. --reference=RFILE FILE...
参考RFILE文件的权限,修改FILE的权限和RFILE一样
[root@localhost ~]# ll /tmp/fstab
-rw-r--r-- 1 root root 0 6月 2 16:57 /tmp/fstab
[root@localhost ~]# ll /tmp/issue
-r--r--r-- 1 root root 0 6月 2 16:58 /tmp/issue
[root@localhost ~]# chmod --reference=/tmp/issue /tmp/fstab
[root@localhost ~]# ll /tmp/{issue,fstab}
-r--r--r-- 1 root root 0 6月 2 16:57 /tmp/fstab
-r--r--r-- 1 root root 0 6月 2 16:58 /tmp/issue
4.修改文件的属主,属组
仅root有使用权限
chown:修改文件的属主
chown [OPTION]...[OWNER][:[GROUP]] FILE...
用法: OWNER: 修改文件属主 OWNER:GROUP: 修改文件属主、属组 :GROUP: 修改文件属组 注意:命令中的 : 可用 . 替换 -R 递归修改文件属主、属组
[root@localhost ~]# ll /tmp/x
总用量 0
-rwxr--r-- 1 root root 0 6月 2 16:06 a.txt
-rw-r--r-- 1 root root 0 6月 2 16:19 d
[root@localhost ~]# chown -R user2.user2 /tmp/x
[root@localhost ~]# ll /tmp/x
总用量 0
-rwxr--r-- 1 user2 user2 0 6月 2 16:06 a.txt
-rw-r--r-- 1 user2 user2 0 6月 2 16:19 d
chown [option]... --reference=rfile file... 参考rfile的属主属组,修改file的属主属组
[root@localhost ~]# chown --reference=/tmp/issue /tmp/fstab
[root@localhost ~]# ll /tmp/{issue,fstab}
--w-r--r-- 1 tom root 621 Mar 29 19:56 /tmp/fstab
-rw-r--r-- 1 tom root 74 Mar 29 22:38 /tmp/issue
chgrp: 修改文件的属组
chgrp [OPTION]... GROUP FILE...
[root@localhost ~]# chgrp tim /tmp/fstab
[root@localhost ~]# ll /tmp/fstab
--w-r--r-- 1 tom tim 621 Mar 29 19:56 /tmp/fstab
chgrp [option]... --reference=rfile file... 参考rfile的属组,修改file的属组
[root@localhost ~]# chgrp --reference=/tmp/fstab /tmp/issue
[root@localhost ~]# ll /tmp/{fstab,issue}
--w-r--r-- 1 tom tim 621 Mar 29 19:56 /tmp/fstab
-rw-r--r-- 1 tom tim 74 Mar 29 22:38 /tmp/issue
-R 递归修改目录文件的属组
[root@localhost ~]# chgrp -R centos /tmp/test
[root@localhost ~]# ll -d /tmp/test
drwx------ 2 tom centos 4096 Apr 2 09:41 /tmp/test
[root@localhost ~]# ll /tmp/test
total 0
-rwx------ 1 tom centos 0 Apr 2 09:41 abc
5.umask: 文件或目录创建的遮罩码
创建文件: 666-umask
创建文件的默认权限
[root@localhost ~]# umask
0022
[root@localhost ~]# touch /tmp/test.txt
[root@localhost ~]# ll /tmp/test.txt
-rw-r--r-- 1 root root 0 Apr 2 10:21 /tmp/test.txt
*这里的默认umask不管第一位,为022,减后为755,这说明存在x权限,将权限加一,则为133,所以为644,-rw-r--r--*
注意:如果某类的用户的权限减得的结果中存在x执行权限,则将其权限+1
[root@localhost ~]# umask 023
[root@localhost ~]# touch /tmp/test1.txt
[root@localhost ~]# ll /tmp/test1.txt
-rw-r--r-- 1 root root 0 Apr 2 10:23 /tmp/test1.txt
6.创建目录: 777-umask
创建目录的默认权限
[root@localhost ~]# umask
0022
[root@localhost ~]# mkdir /tmp/test
[root@localhost ~]# ll -d /tmp/test
drwxr-xr-x 2 root root 4096 Apr 2 10:27 /tmp/test
umask 查看umask
[root@localhost ~]# umask
0022
umask # 设定umask
[root@localhost ~]# umask 023
[root@localhost ~]# umask
0023
用法:useradd [选项] 登录 useradd -D useradd -D [选项]
选项: -b, --base-dir BASE_DIR
新账户的主目录的基目录 -c, --comment COMMENT
新账户的 GECOS 字段 -d, --home-dir HOME_DIR
新账户的主目录 -D, --defaults
显示或更改默认的 useradd 配置 -e, --expiredate EXPIRE_DATE 新账户的过期日期 -f, --inactive INACTIVE
新账户的密码不活动期 -g, --gid GROUP
新账户主组的名称或 ID -G, --groups GROUPS
新账户的附加组列表 -h, --help
显示此帮助信息并推出 -k, --skel SKEL_DIR
使用此目录作为骨架目录 -K, --key KEY=VALUE
不使用 /etc/login.defs 中的默认值 -l, --no-log-init
不要将此用户添加到最近登录和登录失败数据库 -m, --create-home
创建用户的主目录 -M, --no-create-home
不创建用户的主目录 -N, --no-user-group
不创建同名的组 -o, --non-unique
允许使用重复的 UID 创建用户 -p, --password PASSWORD
加密后的新账户密码 -r, --system
创建一个系统账户 -R, --root CHROOT_DIR
chroot 到的目录 -s, --shell SHELL
新账户的登录 shell -u, --uid UID
新账户的用户 ID -U, --user-group
创建与用户同名的组 -Z, --selinux-user SEUSER
为 SELinux 用户映射使用指定 SEUSER
/etc/passwd