Linux是一个多用户、多任务的操作系统,具有很好的稳定性与安全性
用户身份与能力
可通过用户的UID值来判断用户身份:
管理员UID为0:系统的管理员用户。
系统用户UID为1~999:Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。
普通用户UID从1000开始:是由管理员创建的用于日常工作的用户。
为了方便管理属于同一组的用户,Linux系统中还引入了用户组的概念。通过使用用户组号码(GID,Group IDentification),可以把多个用户加入到同一个组中,从而方便为组中的用户统一规划权限或指定任务。
另外,在Linux系统中创建每个用户时,将自动创建一个与其同名的基本用户组,而且这个基本用户组只有该用户一个人。如果该用户以后被归纳入其他用户组,则这个其他用户组称之为扩展用户组。一个用户只有一个基本用户组,但是可以有多个扩展用户组,从而满足日常的工作需要。
id
显示用户详细信息
1 | id root |
useradd
or adduser
创建新的用户账户
1 | useradd -d /home/linux -u 6666 -s /sbin/nologin linuxdown |
/sbin/nologin 是终端解释器中的一员,与Bash解释器有着天壤之别。一旦用户的解释器被设置为nologin,则代表该用户不能登录到系统中
groupadd
1 | groupadd newgroup |
usermod
修改用户的属性 user modify
Linux系统中的一切都是文件,因此在系统中创建用户也就是修改配置文件的过程。用户的信息保存在/etc/passwd文件中,可以直接用文本编辑器来修改其中的用户参数项目,也可以用usermod命令修改已经创建的用户信息,诸如用户的UID、基本/扩展用户组、默认终端等。
1 | usermod -G root andy |
passwd
普通用户只能使用passwd命令修改自己的系统密码,而root管理员则有权限修改其他所有人的密码。
1 | passwd slacr |
userdel
1 | userdel -rf andy |
文件权限与归属
其中排在权限前面的减号(-)是文件类型, 尽管在Linux系统中一切都是文件,但是不同的文件由于作用不同,因此类型也不尽相同,有一点点像Windows系统的后缀名。常见的文件类型包括有:普通文件(-)、目录文件(d)、链接文件(l)、管道文件(p)、块设备文件(b)以及字符设备文件©。
文件的特殊权限
在复杂多变的生产环境中,单纯设置文件的rwx权限无法满足我们对安全和灵活性的需求,因此便有了SUID、SGID与SBIT的特殊权限位。这是一种对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。
SUID
SUID是一种对二进制程序进行设置的特殊权限,能够让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。
SGID
SGID特殊权限有两种应用场景,当对二进制程序进行设置时,能够让执行者临时获取到文件所有组的权限;而对目录进行设置时,则是让目录内新创建的文件自动继承该目录原有用户组的名称。
第一种功能是参考SUID而设计的,不同点在于执行程序的用户获取的不再是文件所有者的临时权限,而是获取到文件所属组的权限。
SBIT
SBIT(Sticky Bit)特殊权限位(也可以称之为特殊权限位之粘滞位)。SBIT特殊权限位可确保用户只能删除自己的文件,而不能删除其他用户的文件。换句话说,当对某个目录设置SBIT粘滞位权限后,那么该目录中的文件就只能被其所有者执行删除操作了。
RHEL8系统中的/tmp作为一个共享文件的目录,默认已经设置了SBIT特殊权限位,因此除非是该目录的所有者,否则无法删除这里面的文件。
当目录被设置SBIT特殊权限位后,文件的其他人权限部分的x执行权限就会被替换成t或者T,原本有x执行权限则会写成t,原本没有x执行权限则会被写成T。
chmod & chown & chgrp
change mod change own change group
1 | chmod 4771 test.sh |
文件的隐藏属性
chattr & lsattr
change attributes
1 | lsattr user.txt |
文件访问控制列表
一般权限、特殊权限、隐藏权限其实有一个共性——权限是针对某一类用户设置的,能够对很多人同时生效。
如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(FACL, File Access Control Lists)
通俗来讲,基于普通文件或目录设置ACL访问控制其实就是针对指定的用户或用户组设置文件或目录的操作权限,更加精准的派发权限。另外,如果针对某个目录设置了ACL,则目录中的文件会继承其权限;若针对文件设置了ACL,则文件不再继承其所在目录的权限。
setfacl
setfacl命令用于管理文件的ACL权限规则,set files ACL
ACL权限提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制,使用setfacl命令可以针对单一用户或用户组、
单一文件或目录来进行读/写/执行权限的控制。其中,针对目录文件需要使用-R递归参数;针对普通文件则使用-m参数;如果想要删除
某个文件的ACL,则可以使用-b参数。
1 | setfacl -Rm u:slacr:rwx /root |
常用的ls命令是看不到ACL表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),这就意味着该文件已经设置了ACL了。
getfacl
1 | getfacl /root |
备份和恢复acl
1 | getfacl -R /home > backup.acl |
su & sudo(Superuser Do)
su命令可以解决切换用户身份的需求,使得当前用户在不退出登录的情况下,顺畅地切换到其他用户,比如从root管理员切换至普通
用户
1 | su - slacr # 无需密码 |
sudo命令用于给普通用户提供额外的权限,语法格式为: “sudo [参数] 用户名”。
使用sudo命令可以给普通用户提供额外的权限来完成原本只有root管理员才能完成的任务。可以限制用户执行指定的命令、记录用
户执行过的每一条命令、集中的管理用户与权限(/etc/sudoers)以及验证密码后一段时间内免验证的方便措施。常见的sudo命令:
visudo命令用于编辑配置用户sudo权限文件,语法格式为:“visudo [参数]”。visudo命令只有root管理员才可以执行
这是一条会自动调用vi编辑器来配置/etc/sudoers权限文件的命令,能够解决多个用户同时修改权限而导致的冲突问题,不仅如此,visudo命令还可以对配置文件内的参数进行语法检查,在发现参数错误时进行报错提醒,比用户直接修改文件更友好、安全、方便。
1 | # root: |
参考
- Linux就该这么学
- [鸟哥linux基础学习篇4th]
- linux命令
- 开源许可证总览
- LSB标准
- 硬盘结构
