項目4Linux用戶與權限管理主講：***2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）12024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）2本項目學習目標：1.知識目標2.能力目標掌握Linux用戶和組的基本概念及相關文件；掌握Linux用戶和組的管理；掌握Linux用戶基本權限的分類及管理；理解Linux文件的特殊權限和隱藏屬性。能熟練使用命令行管理Linux用戶和組；能熟練使用命令行修改和控制Linux文件的基本權限；能使用命令行修改和控制Linux文件的特殊權限；能使用命令行修改和控制Linux文件的隱藏屬性。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）3學習任務任務4.1用戶和組的基本概念任務4.2用戶和組管理任務4.3權限管理2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）4任務4.1用戶和組的基本概念在Linux操作系統中，任何文件都屬于某一特定的用戶，而任何用戶都屬于至少一個用戶組。用戶是否有權限對某文件進行訪問、讀寫或執行受到系統的嚴格約束。這種清晰、嚴謹的用戶與用戶組管理系統在很大程度上保證了Linux系統的安全。用戶是系統安全的基礎。系統中的每個進程都由一個特定的用戶來執行，每個文件都由一個特定用戶所有。文件所有權有助于系統對用戶文件實施訪問控制。與執行進程相關的用戶可確定該進程可訪問的文件和目錄。4.1.1用戶和組的基本概念1.用戶的基本概念與分類2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）5用戶可分為3類，分別是超級用戶、系統用戶和普通用戶。1)超級用戶超級用戶(root用戶)用于管理系統，其UID和GID(組ID)都是0，該用戶對系統具有全部訪問權限，可以操作系統中的所有資源。2)系統用戶系統用戶用于執行系統服務進程。系統服務進程通常不需要以root用戶的身份執行，每個系統服務進程在執行時，系統都會為其分配非特權用戶，以確保其文件和相關資源不受彼此及普通用戶的影響。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）63)普通用戶普通用戶是系統執行時為了完成某項任務手動創建的用戶，該用戶僅能使用Linux的部分資源，對系統具有有限的訪問權限，從而保證的Linux的安全。該用戶可用于登錄系統，并操作權限內的系統資源。查看當前已登錄的用戶信息可以使用id命令，如圖4-1所示。圖4-1查看當前已登錄的用戶信息2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）7用戶組是具有相同特征用戶的邏輯集合，相同特征用戶包括需要共享文件和其他系統資源的用戶。將所有需要訪問相同資源的用戶放入同一個組中，然后給這個組授權，那么這個組內的所有用戶也就擁有了相同的權限。用戶組極大地簡化了Linux管理用戶的難度，使Linux對用戶的管理及對權限的控制更加容易、便捷。與用戶相似，用戶組也有組名稱，以增強操作的便利性。在Linux內部，系統通過為用戶組分配唯一的標識號(即組ID或GID)來區分不同的組。2.用戶組的基本概念與分類2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）81)主組每個用戶有且只有一個主組，對本地用戶而言，主組是“/etc/passwd”文件中用戶條目的GID字段所標識的組。通常情況下，在創建普通用戶時，系統會默認創建一個與該用戶同名的新組。該組將作為該新用戶的主組，而該新用戶則是這一用戶組的唯一成員，這樣做有助于簡化文件權限的管理。例如，用戶user01在“/etc/passwd”文件中的用戶條目對應的GID為1002，通過id命令查看，GID為1002的用戶組為user01，由此可知用戶user01的主組為用戶組user01，如圖4-2所示。用戶組可以分為兩類，分別是主組和附加組。圖4-2用戶的主組2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）92)附加組附加組的成員資格由“/etc/group”文件確定。如果一個組對某資源具有訪問權限，那么屬于該組的用戶也對該資源具有訪問權限，不管該組是用戶的主組還是附加組。例如，如果用戶user01有一個主組user01及兩個附加組group01和group02，那么該用戶就可以訪問這3個組中任何一個組具有訪問權限的資源。用id命令還可以查找用戶的組成員信息，如圖4-3所示。圖4-3用戶的附加組2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）10人們習慣在Linux中使用用戶名進行操作，但在系統內部則使用UID來跟蹤用戶，用戶名和UID的映射在用戶信息數據庫中定義。默認情況下，系統使用“/etc/passwd”文件來存儲與本地用戶有關的信息。“/etc/passwd”文件中的每行保存一個用戶的資料，而每行各字段之間用“：”分隔，共7個字段，以用戶名為user01的普通用戶為例，格式如下：user01:x:1000:1000:centos:/home/user01:/bin/bash4.1.2用戶和組相關文件及目錄1.用戶文件----“/etc/passwd”2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）11“/etc/shadow”文件為文本文件，但這個文件只有root用戶才能讀取，普通用戶沒有權限讀取。由于任何用戶對“/etc/passwd”文件都有讀的權限，雖然密碼經過加密，但加密算法是公開的，所以一旦惡意用戶取得了“/etc/passwd”文件，便極有可能破解密碼。因此，針對這種安全隱患，Linux目錄系統廣泛使用了“shadow(影子)文件”機制，將加密的密碼轉移到“/etc/shadow”文件中，該文件只有root用戶才能讀取，而相應的“/etc/passwd”文件的密文域顯示為一個“x”，從而最大限制地減少密文泄露的機會。和“/etc/passwd”文件類似，“/etc/shadow”文件中的每條記錄用“：”分隔，共9個字段，以用戶名為user01的普通用戶為例，格式如下：user01:$6$P6WFxzcvdjhglucs$vUer6lweMzVM0F0G21AKOcDoco7Zl6v0qdPG/bcYxMlAR9z9zWlzzUPQ/K83FE6uM9Nta8zkkyeBrpevx0q7N.:18567:0:99999:7:::2.用戶影子文件----“/etc/shadow”2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）12用戶組名到GID的映射在組用戶信息數據庫中定義，默認使用“/etc/group”文件存儲用戶組的信息。和“/etc/passwd”文件類似，“/etc/group”文件的每一行都包含了有關某個組的信息。每條組記錄用“：”分隔，共4個字段，以group01為例，格式如下：group01:x:1002:user01,user023.用戶組帳號文件----“/etc/group”任務結束2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）13任務4.2用戶和組管理創建用戶的命令是useradd，該命令的語法格式如下：該命令可以直接創建一個新用戶。它會設置用戶的主目錄和用戶信息，并為名為用戶創建一個同名的主組。此時，該用戶尚未設置有效的密碼，設置了密碼后，用戶才能登錄。該命令支持豐富的選項，可用使用“useradd–help”命令查看，useradd命令常用的選項說明如表4-1所示。4.2.1用戶管理命令1.創建用戶useradd[選項]用戶名2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）14表4-1useradd命令常用的選項說明選項說明-c指定用戶添加注釋信息，即/etc/passwd文件中每條記錄的第五個字段-d指定用戶的主目錄，如不指定，系統會默認在/home目錄下創建與username同名的主目錄-g指定用戶的主組-G指定用戶的附加群組，可以指定多個，每個群組用逗號分隔，不允許有空格-m自動建立用戶的主目錄，如目錄不存在則自動建立-M不自動建立用戶的主目錄-s指定用戶登錄后所使用的shell，比如/bin/bash-u指定UID，UID一般不可重復，但使用-o選項時多個用戶可以共用相同的UID2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）15添加用戶時，一些默認值從“/etc/login.defs”文件中讀取，如有效的UID、默認的密碼過期規則等。添加用戶的本質是向“/etc/passwd”、“/etc/shadow”、“/etc/group”等用戶相關文件中添加相應的用戶記錄的條目。例如，使用useradd命令添加用戶user01，如圖4-4所示。圖4-4添加用戶2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）16修改用戶的命令是usermod，使用該命令可以修改用戶組、主目錄、Shell等信息，其語法格式如下：usermod[選項]用戶名2.修改用戶多數情況下，useradd命令的選項都可以用于usermod命令，以修改用戶信息。usermod命令常用的選項說明如表4-2所示。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）17表4-2usermod命令常用的選項說明選

項說

明-c修改用戶信息，即“/etc/passwd”文件中每條記錄的第5個字段-d修改用戶的主目錄，該選項對應的用戶目錄不會自動建立，需要手動建立-e修改用戶的過期時間-f修改在密碼過期后多少天即禁用該用戶-g修改用戶的主組-G修改用戶的附加組(群)，添加多個附加組(群)時，組之間用逗號分隔-a與-G選項搭配使用，將用戶添加至-G選項列出的組(群)中，而不把用戶從原有的附加組中刪除-m將用戶的主目錄移到新的位置，必須與-d選項搭配使用-s修改用戶登錄后所使用的Shell-l修改用戶名-L鎖定用戶-u修改UID-U解除用戶2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）18使用usermod命令的示例如圖4-5所示。圖4-5添加用戶2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）19如果不再需要某個用戶了，可以使用userdel命令來將其刪除。其語法格式如下：userdel[-r]用戶名3.刪除用戶其中，“-r”選項表示在刪除用戶的同時，刪除用戶的主目錄。使用userdel刪除用戶的示例如圖4-6所示。圖4-6刪除用戶2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）20創建用戶的命令是groupadd，該命令的語法格式如下：不帶選項時，groupadd命令會在創建組時使用“/etc/login.defs”文件中指定范圍內的下一個可用的GID為新組的GID。groupadd命令常用的選項說明如表4-3所示。4.2.2組管理命令1.創建組groupadd[選項]組名2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）21表4-3groupadd命令常用的選項說明選

項說

明-g創建組時指定特定的GID-o允許創建使用相同GID的不同組-p為新組指定密碼-r創建一個系統組使用groupadd命令創建組的示例如圖4-7所示。圖4-7創建組2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）22修改用戶的命令是groupmod，該命令的語法格式如下：groupmod命令常用的選項說明如表4-4所示。2.修改組groupmod[選項]組名選

項說

明-g修改GID-o允許多個不同的組使用相同的GID-n修改組名稱使用groupmod命令修改組的信息的示例如圖4-8所示。圖4-8修改組的信息表4-4groupadd命令常用的選項說明2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）23刪除用戶的命令是groupdel，如果要刪除的組為某個用戶的主組，那么不能刪除該組，必須先刪除用戶才能刪除該組。該命令的語法格式如下：3.刪除組groupdel組名使用groupdel命令刪除用戶主組的示例如圖4-9所示。圖4-9刪除組的信息2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）24創建用戶后，需要設置用戶對應的密碼，修改Linux用戶的密碼可以使用passwd命令。root用戶可以修改任意用戶的密碼，普通用戶只能修改自己的密碼。4.2.3其他與用戶和組相關的命令1.修改用戶密碼使用passwd命令修改當前用戶密碼和其他用戶密碼的示例分別如圖4-10、圖4-11所示。圖4-10普通用戶修改用戶自身的密碼圖4-11root用戶修改其他用戶的密碼2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）25“su”和“su-”命令用于不同的用戶之間的切換。“su”命令將啟動非登錄Shell，而“su–”命令會啟動登錄Shell，“su–”和“su–l(小寫字母L)”的作用一致。兩個命令的主要區別在于，“su–”會將Shell環境設置成與該用戶的身份重新登錄一樣，而“su”僅表示以該用戶身份啟動Shell，但仍然使用原始用戶的環境設置。2.切換用戶“su”與“su–”的區別示例如圖4-12所示。圖4-12“su”與“su–”的區別2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）26sudo命令允許普通用戶通過特定的方式使用root用戶才能執行的命令，并且要求用戶只需要輸入自己的密碼進行身份驗證即可。3.普通用戶獲取root用戶權限who命令的示例如圖4-13所示。圖4-13顯示當前已登錄的用戶4.查看已登錄的用戶who命令用于查看系統中當前已經登錄的用戶，如果使用su命令進行了身份切換，則只顯示最初登錄的用戶。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）27whoami命令用于查看當前執行Shell的用戶，如圖4-14所示5.查看當前執行Shell的用戶圖4-14查看當前執行Shell的用戶2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）28在CentOS8中，選擇“活動”-“設置”-“詳細信息”-“用戶”選項，即可打開用戶管理界面，如圖4-15所示。點擊右上角的“添加用戶”按鈕即可添加用戶信息。4.2.4圖形化管理工具圖4-15用戶管理界面任務結束2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）29任務4.3權限管理在Linux系統中，根據應用權限，可將用戶分為3類：每個文件的所有者(user)、所屬組(group)和非文件所有者和非所屬組成員的其他用戶(other)。在對文件權限進行管理時可以分別使用以下字母中的任意一個或幾個字母的組合指定操作對象。(1)u：表示“用戶(user)”,，即文件或目錄的所有者。(2)g：表示“同組(group)用戶”，即與文件所有者屬于同一主個組的所有用戶。(3)o：表示“其他(other)用戶”，除文件所有者和與文件所有者的同組用戶以外的其他用戶。(4)a：表示“所有(all)用戶”。4.3.1用戶分類2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）30文件的基本權限主要分為3類：可讀(r)、可寫(w)、可執行(x)，使用“ls–l”命令可以查看文件或目錄的權限，如圖4-16所示。4.3.2權限的分類圖4-16查看文件權限2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）31表4-5權限對文件及目錄的影響在不同類型的文件上讀、寫、執行的體現有所不同，所以目錄權限和普通文件權限要區分開來，字符表示法分別用r、w、x表示可讀、可寫、可執行權限。表4-5給出了權限對文件及目錄的影響。權

限對文件的影響對目錄的影響r可以讀取文件的內容可以使用ls命令列出目錄下的內容w可以修改文件的內容可以創建或刪除目錄中的任意文件x可以執行文件，通常是針對二進制文件或腳本文件而言可以使用cd命令切換到目錄2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）32表4-6文件權限的字符表示法與八進制數表示法權限的表示方法除上述的字符表示法之外，還可以用八進制數表示。在權限的八進制數表示法中，“-”表示沒有權限，用0表示，r用數字4表示，w用數字2表示，x用數字1表示，最終表示結果為各權限字符對應數字的和。例如，文件權限rwxrw-r-x對應的權限表示如表4-6所示。表示方法usergroupother字符表示法rwxrw-r-x八進制表示法7652024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）33更改權限可以使用chmod命令，意思是“changemode”，該命令在要更改的文件或目錄列表后列出了權限說明，可使用4.3.2節所述的字符表示法或八進制數表示法來更改權限。chmod命令通過字符表示法更改權限的語法格式如下：4.3.3權限管理命令1.更改文件或目錄的權限chmod[選項]WhoWhatWhichfile|directoryWho是指u、g、o、a(分別代表用戶、組、其他、所有)中的一個或多個字符；What是指+、-、=(分別代表添加、刪除、精確設置權限)中的一個字符；Which是指r、w、x(分別代表讀、寫、執行)中的一個或多個字符。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）34使用chmod命令的字符表示法對文件權限進行修改的示例如圖4-17所示。圖4-17字符表示法對文件權限進行修改2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）35chmod命令通過八進制數表示法修改權限的語法格式如下：chmod###file|directory#代表一個數字。有經驗的管理員通常使用八進制數表示法對權限進行修改，因為其相對于字符表示法而言，更加方便快捷2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）36使用chmod命令的八進制數表示法對文件權限進行修改的示例如圖4-18所示。圖4-18字符表示法對文件權限進行修改2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）37在Linux中，新建的文件由創建該文件的用戶所有，使用chown命令可以更改文件的所有權，chown命令的語法格式如下：2.更改文件或目錄的用戶所有權chown[選項]user|:group|user:groupfile|directoryuser表示更改文件或目錄的所有者；:group表示更改文件或目錄的組；user:group表示同時更改文件或目錄的所有者和組。只有root用戶可以使用chown命令更改文件的所有權。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）38使用chown修改用戶的示例如下，命令常用的選項為“-R”，作用與chmod命令中的“-R”類似，可以遞歸修改文件所有者，如圖4-19所示。圖4-19“chown–R”命令遞歸修改文件所有者2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）39更改文件和目錄的組除可以使用上述chown命令之外，還可以使用chgrp命令，該命令僅用于修改組所有權,chgrp命令的語法格式如下：3.更改文件或目錄的組所有權chgrp[選項]groupfile|directory使用chgrp命令更改文件的組的示例如圖4-20所示。圖4-20chgrp命令修改文件的組2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）40在Linux中，每個用戶都有一個用戶掩碼umask，每個用戶創建的文件的默認權限由umask的值決定，可以使用umask命令查看和設置用戶創建文件的默認權限。root用戶的默認用戶掩碼為0022，普通用戶的默認用戶掩碼為0002。4.3.4用戶掩碼與特殊權限位1.用戶掩碼通常，文件權限只會用到umask值的后3位，即022，而umask命令與chmod命令的設定剛好相反，umask命令設置的是權限的“補碼”，chmod命令設置的是文件權限碼。對文件而言，系統不允許在創建之初就對其賦予可執行權限，因此文件權限最高的設定值為6，而目錄為權限最高的設定值為7。將最高設定值減去umask值即得到默認文件的創建權限。因此當umask為022時，默認創建文件的權限為644，而默認創建目錄的權限為755。2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）41特殊權限是除用戶、組和其他用戶之外的第4種權限類型，這些權限提供了額外的訪問相關功能，超出了基本權限類型允許的范疇。特殊權限位對文件和目錄的影響如表4-7所示。2.特殊權限位表4-7特殊權限位對文件和目錄的影響特殊權限對文件的影響對目錄的影響u+s(suid)以擁有文件的用戶身份，而不是以執行文件的用戶身份執行文件無影響g+s(sgid)以擁有文件的組身份執行文件目錄中所創建的文件或子目錄的組將繼承該目錄的組所有權o+t(sbit)無影響對目錄具有寫權限的用戶(及root用戶)僅可刪除其所擁有的文件，無法刪除其他用戶擁有的文件2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）421)suid命令suid命令只針對可執行文件，即二進制文件執行。它的作用是對某個命令(可執行文件)授予所有者的權限，命令執行完成后，權限就消失了。2)sgid命令sgid命令針對可執行文件和目錄執行。針對可執行文件時，命令以擁有該文件的組執行，而不是以執行命令的用戶執行，其方式與suid類似；針對目錄時，在目錄中所創建的文件或子目錄將繼承該目錄的組所有權，而不繼承于創建用戶，其本質還是提升目錄所屬組的權限。3)stickybitstickybit，簡稱sbit特殊權限，可譯為粘著位、粘滯位、防刪除位。sbit針對目錄的粘滯位，將對文件刪除設置特殊限制。2.特殊權限位2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）43管理Linux中的文件和目錄，除可以利用普通權限和特殊權限之外，還可以利用文件和目錄具有的一些隱藏屬性。主要使用chattr和lsattr命令控制文件隱藏屬性，chattr命令用于修改文件隱藏屬性，lsattr命令用于查看文件隱藏屬性。4.3.5文件屬性控制chattr是changefileattributes的縮寫，chattr命令的語法格式如下：chattr[+-=][屬性]文件或目錄名2024年1月2日Linux應用基礎項目化教程（RHEL8.2/CentOS8.2）44chattr屬性說