Day5:Linux帳號管理和ACL權限設置

學習筆記

一、Linux的帳號和用戶組

1.用戶標識符：UID （user）、GID（group）

在linux當中 用戶的帳號是有一個與之相對應的UID，linux識別的是UID，而不是帳號，如果將UID改變後，重新登陸是該帳號就無法登陸，因爲在linux的表中該帳號對應的UID已經發生了變化。

GID就是所屬用戶組的id，同上

2.用戶帳號

賬戶的存放目錄;/etc/passwd

格式：1帳號名稱/2密碼/3UID/4GID/5用戶信息說明列/6主文件夾/7Shell

密碼存放目錄：/etc/shadow

格式：1帳號名稱/2密碼（加密過）/3.最近更動密碼的日期/4.密碼不可被更動的天數/5.密碼需要重新更改的天數/6.密碼需要更改期限前的警告天數/7.密碼過期後的帳號寬限日期/8.帳號的失效日期/9.保留

另外，當root密碼忘記了，可以重起系統進入用戶維護模式，修改/etc/shadow

3.有效用戶組和初始用戶組

有效用戶組groups(注意有s);

GID對應組名,記錄組名的文件存放目錄;/etc/group

格式：1用戶組名稱/2用戶組密碼/3GID/4此用戶組支持的帳號名稱--這就是初始用戶組，當該組內的用戶登陸系統時，立即獲得改組的權限。可以通過usermod對用戶組進行設置

有效用戶組：通過groups進行查找當前用戶的有效用戶組

通過newgrp對有效用戶組進行切換

二、帳號管理

1對用戶的管理和配置：

useradd--新增用戶

passwd--修改密碼，如果後面不加用戶名稱，就是修改root密碼

usermod--修改用戶參數

userdel--刪除用戶

chage--詳細顯示用戶信息

2.用戶功能（供普通用戶使用的工具）

finger--查看賬戶信息（yum install finger）

chfn--修改賬戶信息

chsh--修改shell

3.對用戶組的管理和配置

groupadd--用戶組的新增

groupmod--對用戶組的修改

groupdel--刪除用戶組

gpasswd--用戶組管理員功能

三、主機的具體權限規劃：ACL的使用

1. ACL指傳統權限r、w、x之外的權限設置，ACL可以針對單一用戶、單一文件或目錄來進行rwx權限設置。

2. mount -- 查看文件系統是否支持ACL

如果系統默認不支持acl

#mount -o remount,acl /

#mount

3. ACL的設置技巧

setfacl：設置某個目錄/文件的ACL規定

getfacl：取得某個文件/目錄的ACL設置項目

3.1 針對特定用戶： 設置規定 u:[用戶帳號列表]：[rwx]

#setfacl     參數       u:[用戶帳號列表]:[rwx]     文件/目錄名

#getfacl     文件/目錄名

3.2 針對特定用戶組：設置規定 g:[用戶組列表]:[rwx]

#setfacl     參數       u:[用戶組列表]:[rwx]     文件/目錄名

#getfacl     文件/目錄名

3.3 針對有效權限mask的設置方式：設置規定m:[rwx]

#setfacl      參數       m:[rwx]    文件/目錄名

#getfacl      文件/目錄名

四、用戶身份切換

1. su：

普通用戶切換root： su

普通用戶/root 切換普通用戶： su-用戶名

2.sudo：臨時使用root權限

通過visudo將該用戶/用戶組加入/etc/sudoers

五、用戶的特殊shell與PAM模塊

PAM是一套應用程序編程接口(API),它提供了一連串的驗證機制，只要用戶將驗證階段的需求告知PAM後，PAM就能夠回報用戶驗證的結果。

1.PAM模塊調用流程：

當執行passwd後，這個程序調用PAM的流程是：

用戶開始執行/etc/bin/passwd 這支程序，並輸入密碼；--->passwd調用PAM模塊進行驗證；--->PAM模塊會到/etc/pam.d/中找尋與程序（passwd）同名的配置文件；--->依據/etc/pam.d/passwd 內的設置，引用相關的PAM模塊逐步進行驗證分析--->將驗證結果（成功、失敗、其他）回傳給passwd這個程序---> passwd這支程序會根據PAM回傳的結果決定下一個操作（重新輸入新密碼或者通過驗證！）

2.PAM模塊的配置文件

格式：1驗證類型（TYPE）/2.驗證的控制標誌

六、Linux主機上的用戶信息傳遞

1.查詢用戶：

w/who -- 查詢當前已經在系統上登陸的用戶

last--列出系統新建後所有的登陸者的信息

lastlog--列出每個帳號最近的登陸時間

2.用戶對談：

write  用戶帳號  用戶所在的終端端口（通過who可以得到：1.賬戶名稱/2.終端端口/3.時間 ip）

mesg n 設定不接受信息（對root無效）

mesg y 接收

3.用戶郵件信箱：mail 對象 參數 內容

七、手動新增用戶

1.檢查工具：

pwck -- 檢查信息

pwconv -- 主要將/etc/passwd 內的帳號密碼移動到/etc/shadow中 ---沒看懂

pwunconv -- 如pwconv反過來

chpasswd -- 讀取未加密前的密碼

2.特殊帳號的手工新建

3.批量新建帳號模版--就是寫個腳本