Linux中用戶管理詳解

1、Linux中用戶管理詳解（上）-Linux學(xué)習(xí)日記在Linux系統(tǒng)中，所有的用戶和組像一個(gè)國(guó)家。如果國(guó)家要繁榮昌盛的話，需要治理得當(dāng)，需要有主席或者總統(tǒng)，以及地方官員和老百姓組成。在linux中如果你對(duì)安全需求比較苛刻，完全可以限制用戶的各種行為，不同用戶的權(quán)限是不同的。在linux中系統(tǒng)中，它并不認(rèn)識(shí)帳號(hào)名稱。它認(rèn)識(shí)的是我們的帳號(hào)ID，帳號(hào)ID保存在/etc/passwd文件中。我們?cè)诘卿沴inux主機(jī)時(shí)，在輸入完帳號(hào)和密碼時(shí)，linux會(huì)先查找/etc/passwd文件中是否有這個(gè)帳號(hào)，如果沒(méi)有則跳出，如果有的話，他會(huì)讀取該帳號(hào)的user ID和group ID同時(shí)該帳號(hào)的根目錄和shel

2、l也讀了出來(lái)。然后在去核對(duì)密碼表，在/etc/shadow中找出我們剛剛輸入的帳號(hào)和userID,核對(duì)我們輸入密碼是否正確。一切正確我們可以登錄到當(dāng)前用戶shell。那么，我們首先了解一下用戶帳號(hào)文件。1./etc/passwd我們使用more查看一下這個(gè)文件我們首先看第一行root這一行，一共有七項(xiàng)，每一項(xiàng)使用：分開(kāi)，他們代表的意思如下：帳號(hào)名稱：帳號(hào)名稱由于對(duì)應(yīng)用戶ID，這個(gè)是系統(tǒng)默認(rèn)用戶root超級(jí)管理員，在同一個(gè)系統(tǒng)帳號(hào)名稱是唯一的，長(zhǎng)度根據(jù)不同的linux系統(tǒng)而定，一般是8位。密碼：由于系統(tǒng)中還有一個(gè)/etc/shadow文件用于存放加密后的口令，所以在這里這一項(xiàng)是“x”來(lái)表示，如果

3、用戶沒(méi)有設(shè)置口令，則該項(xiàng)為空。用戶ID：這個(gè)是系統(tǒng)內(nèi)部用于來(lái)識(shí)別不同的用戶的，不同的用戶識(shí)別碼不同，其中用戶ID有以下幾種：0代表系統(tǒng)管理員，如果你想建立一個(gè)系統(tǒng)管理員的話，可以建立一個(gè)普通帳戶，然后將該賬戶的用戶ID改為0即可。1-500系統(tǒng)預(yù)留的ID，500以上是普通用戶使用。組ID：其實(shí)這個(gè)和用戶ID差不多，用來(lái)規(guī)范群組，他與/etc/group有關(guān)。描述信息：這個(gè)字段幾乎沒(méi)有什么作用，只是用來(lái)解釋這個(gè)帳號(hào)的意義。一般常見(jiàn)的是用戶全名信息。-用戶根目錄：就是用戶登錄系統(tǒng)的起始目錄，用戶登錄系統(tǒng)后將首先進(jìn)入該目錄。root用戶默認(rèn)的是/root，普通用戶的是/home/用戶名。用戶登錄sh

4、ell：就是用戶登錄系統(tǒng)時(shí)使用的shell，關(guān)于shell我們會(huì)在以后專門的研究一下。通常我們可以使用vi編輯這個(gè)文件，也可以使用vipw命令對(duì)/etc/passwd對(duì)這個(gè)用戶帳戶文件進(jìn)行編輯，使用的編輯器是vi。2./etc/shadow在早期的unix操作系統(tǒng)中，用戶的帳號(hào)信息和口令信息都保存在passwd文件中，盡管系統(tǒng)已經(jīng)對(duì)口令進(jìn)行了加密，并且以密文的方式保存在passwd文件中，但是由于passwd文件對(duì)于系統(tǒng)中的所有用戶是可讀的，口令比較容易破解，存在較大的安全隱患?，F(xiàn)在使用“shadow”文件保存密文的用戶口令，使用passwd文件保存用戶帳號(hào)其它信息。“shadow”文件只有管

5、理員用戶才可以讀取其中的內(nèi)容。由于這個(gè)文件可能被破解，所以一定不要將該文件內(nèi)容泄露給他人，保證系統(tǒng)安全。同樣，我們還是分析第一行，一共有九項(xiàng)，分別說(shuō)明一下：帳戶名稱：和passwd對(duì)應(yīng)，和passwd的意思相同。密碼：這才是真正的密碼，并且已經(jīng)加密過(guò)了，只能看到一些特殊符號(hào)。需要注意的是這些密碼很難破解，但是不等于不能。還有密碼欄的第一個(gè)字符為“*”表示這個(gè)用戶不用來(lái)登錄，如果那個(gè)用戶不想讓他登錄了，可以在他前面加個(gè)星。上次改動(dòng)密碼的日期：這段記錄了改動(dòng)密碼的最后日期，為什么是13798呢？這是因?yàn)閘inux計(jì)算日期的方法是以1970年1月1日作為1，1971年1月1日就是366，依次類推到我

6、修改密碼的日期表示為13798了。密碼不可被改動(dòng)的天數(shù)：這個(gè)字段代表要經(jīng)過(guò)多久才可以更改密碼。如果是“0”代表密碼可以隨時(shí)更改。密碼需要重新更改天數(shù)：由于害怕密碼被人盜取而危害到整個(gè)系統(tǒng)的安全，所以安排了這個(gè)字段，你必須在這個(gè)時(shí)間內(nèi)重新修改密碼，否則這個(gè)帳號(hào)將暫時(shí)失效。上面的99999，表示密碼不需要重新輸入，最好設(shè)定一段時(shí)間修改密碼。確保系統(tǒng)安全。密碼變更期期限快到前的警告期：當(dāng)帳號(hào)的密碼失效期限快到時(shí)，系統(tǒng)依據(jù)這個(gè)字段的設(shè)定發(fā)出警告，提醒用戶“再過(guò)n天您的密碼將過(guò)期，請(qǐng)盡快重新設(shè)定密碼。默認(rèn)的是七天。帳號(hào)失效期：如果用戶過(guò)了警告期沒(méi)有重新輸入密碼，使得密碼失效，而該用戶在這個(gè)字段限定的時(shí)間

7、內(nèi)又沒(méi)有向管理員反映，讓帳號(hào)重新啟用，那么這個(gè)帳號(hào)將暫時(shí)失效。帳號(hào)取消日期：這個(gè)日期跟第三個(gè)字段一樣，都是使用1970年以來(lái)的日期設(shè)定方法。這個(gè)字段表示：這個(gè)帳號(hào)在此字段規(guī)定的日期之后將無(wú)法再使用。這個(gè)字段通常用于收費(fèi)服務(wù)系統(tǒng)中，可以規(guī)定一個(gè)日期讓該帳號(hào)不能再使用。保留：最后一個(gè)字段是保留的，看以后有沒(méi)有新功能加入。3. /etc/group查看一下這個(gè)文件我們還是分析第一行，一共有四項(xiàng)，依次為：群組名稱：就是群組的名稱了。群組密碼：通常不需設(shè)定，因?yàn)槲覀兒苌偈褂萌航M登錄。不過(guò)這個(gè)密碼也被記錄在/etc/shadow中了。群組ID：也就是組ID了。支持帳號(hào)的名稱：這個(gè)群組的所有帳號(hào)。如果你想讓

8、用戶qiuri也屬于root這個(gè)群組，就在第一行最后加上“，qiuri”注意添加的時(shí)候沒(méi)有空格。通常我們使用vi編輯這個(gè)文件，也可以使用vigr這個(gè)命令編輯，等同于使用vi /etc/group編輯。4. adduser添加用戶如果沒(méi)有特殊的要求，通常我們使用adduser 用戶名稱直接創(chuàng)建用戶帳號(hào)。例如我們創(chuàng)建qiuri帳戶：由于一般新創(chuàng)建的帳號(hào)都會(huì)在剛才我們說(shuō)的三個(gè)文件的最后一行添加一行內(nèi)容，我們驗(yàn)證一下：我們使用這條命令是通過(guò)/etc/login.defs和/etc/default/useradd這兩個(gè)默認(rèn)帳號(hào)設(shè)定文件來(lái)實(shí)現(xiàn)創(chuàng)建用戶時(shí)用戶的基本設(shè)置的。/etc/login.defs文件內(nèi)

9、容如下：/etc/default/useradd文件內(nèi)容如下：這個(gè)文件中我們有必要了解一下，SKEL這個(gè)選項(xiàng)，用戶的根目錄內(nèi)容是從/etc/skel這個(gè)目錄下復(fù)制過(guò)去的。在手動(dòng)添加用戶的時(shí)候有用。查看一下這個(gè)目錄下的內(nèi)容：這條命令還有好多的參數(shù)舉例幾個(gè)，供大家參考一下：adduser -u uid-g group-d home-s shell-u:直接給出userID -g:直接給出GID -d:直接將根目錄建立在已存在目錄 -s:定義shell5.passwd設(shè)置用戶密碼默認(rèn)的情況下，在添加完用戶后并沒(méi)有設(shè)置用戶的密碼，因此建立的用戶帳號(hào)即使存在也不能登陸系統(tǒng)。需要使用passwd命令對(duì)用戶

10、帳號(hào)設(shè)置密碼才可以用于登陸系統(tǒng)。這條命令分為管理員給用戶修改密碼和用戶自己登錄系統(tǒng)自己修改密碼。管理員root給用戶修改密碼，例如：創(chuàng)建用戶qiuri，然后設(shè)置密碼管理員給用戶設(shè)置密碼以命令passwd 用戶名來(lái)設(shè)置密碼，在輸入密碼的過(guò)程中為了避免輸入錯(cuò)誤，將連續(xù)輸入兩次。如果兩次輸入的密碼相同，表示輸入的密碼正確，同時(shí)將密碼以加密的方式保存到了shadow文件中。設(shè)置完以后我們可以使用用戶qiuri登錄。qiuri用戶自己修改一下密碼：Linux用戶管理詳解(中)在我的上一篇Linux中用戶管理詳解(上)我們已經(jīng)明白通過(guò)命令useradd每創(chuàng)建一個(gè)用戶都會(huì)在相應(yīng)的配置文件中添加相關(guān)的信息和創(chuàng)

11、建用戶的宿主目錄。其實(shí)今天要和大家說(shuō)的是和用戶相關(guān)的linux安全問(wèn)題，在安全中有一種技術(shù)人們稱它為“后門”技術(shù)，其實(shí)就是說(shuō)一些“小黑”，入侵到服務(wù)器后得到root權(quán)限，最常見(jiàn)的就是添加一個(gè)用戶方便日后來(lái)訪。雖然這是一個(gè)初級(jí)的技術(shù)，但是這個(gè)能夠看出你對(duì)/etc/passwd和/etc/shadow文件的熟悉程度。如果你是黑客的話，入侵到一個(gè)系統(tǒng)后，你為了防止管理員修改密碼導(dǎo)致你不能登錄，而你去修改密碼，這不是明擺著要通知管理員他的系統(tǒng)已近被入侵了，所以這個(gè)時(shí)候可以通過(guò)編輯passwd和shadow文件來(lái)實(shí)現(xiàn)如下內(nèi)容：rootqiuri #echo admin:x:0:0:/usr/src:/b

12、in/bash /etc/passwdrootqiuri #echo admin:!:14143:0:99999:7: /etc/shadow通過(guò)以上兩條命令可以添加一個(gè)UID為0的具有管理員權(quán)限的賬戶，也可以編輯配置文件手工輸入，當(dāng)然，這里小黑們會(huì)盡量的掩蓋自己創(chuàng)建的這個(gè)賬戶，首先用戶名稱一般會(huì)選擇一個(gè)類似系統(tǒng)應(yīng)用程序的賬戶，用戶的主目錄也不會(huì)和其它賬戶一樣放在/home下?？傊M量的逃過(guò)哪些粗心的管理員。當(dāng)然，還沒(méi)有設(shè)置密碼是不能夠通過(guò)遠(yuǎn)程可以連接上服務(wù)器的，這個(gè)時(shí)候用passwd來(lái)設(shè)置一下：輸入要設(shè)置的密碼，之后查看/etc/shadow配置文件后密碼位已近成為md5加密的亂碼。root

13、qiuri # passwd adminrootqiuri # grep admin /etc/shadowadmin:$1$1IoPDSJW$3NxLHwcXeutWT1lIMb4Zy1:14163:0:99999:7:這個(gè)時(shí)候我們可以測(cè)試一下登錄，這個(gè)時(shí)候我們沒(méi)有必要退出后再登錄，我們可以使用su命令切換用戶，大家在使用這條命令的時(shí)候最常見(jiàn)的問(wèn)題如下：rootqiuri # su adminbash-3.1#rootqiuri # su adminbash-3.1#咋看起來(lái)這兩條命令沒(méi)有什么區(qū)別，當(dāng)我們使用su admin命令的時(shí)候，我們輸入一個(gè)認(rèn)為可用的命令的時(shí)候會(huì)得到“command

14、not found”的錯(cuò)誤信息。是由于su命令不能在根用戶環(huán)境中的讀操作。為了解決這個(gè)問(wèn)題，只能在給su命令添加一個(gè)”的選項(xiàng)，也就是su admin這樣的格式。我們使用pwd查看一下這兩個(gè)命令的區(qū)別：rootqiuri # su adminbash-3.1# pwd/rootbash-3.1# su - admin-bash-3.1# pwd/usr/src看到了吧，其實(shí)這兩個(gè)命令的區(qū)別就是：使用su命令切換用戶后，不會(huì)修改當(dāng)前登錄會(huì)話的目錄或者環(huán)境；而su 后，通常會(huì)修改用戶的登錄目錄為用戶自己的根目錄，并且用戶自己的變量也可以使用了?；蛟S有人還有疑問(wèn)為何提示符為”-bash-3.1#”了，

15、其實(shí)這個(gè)”-bash-3.1”不是關(guān)鍵，主要是看”#”和”$”來(lái)區(qū)別用戶的類型。這里變?yōu)椤?bash-3.1”的原因是我們創(chuàng)建的admin用戶沒(méi)有自己的初始配置文件，我們使用命令創(chuàng)建用戶的時(shí)候都會(huì)從/etc/skel這個(gè)目錄中復(fù)制到用戶的宿主目錄。這里查看一下這個(gè)配置文件：rootqiuri # ls -al /etc/skel/total 48drwxr-xr-x 2 root root 4096 09-18 21:26 .drwxr-xr-x 94 root root 12288 10-11 20:27 .-rw-r-r- 1 root root 24 2006-07-12 .bash_l

16、ogout-rw-r-r- 1 root root 176 2006-07-12 .bash_profile-rw-r-r- 1 root root 124 2006-07-12 .bashrcrootqiuri #我們看到這些都是一下隱藏文件，這些文件是用于用戶的環(huán)境變量的shell腳本，用戶登錄后可以修改這些文件。我在以后的文章中詳細(xì)介紹這些文件的用途。那我們就將這些文件復(fù)制過(guò)去看看：rootqiuri # cp -r /etc/skel/.* /usr/srcrootqiuri # su - adminrootqiuri # pwd/usr/admin當(dāng)然，通過(guò)這種方法創(chuàng)建的后門用戶很容

17、易被細(xì)心的管理員發(fā)現(xiàn)，但是如果你對(duì)這些配置文件不是很熟悉的話也是很難發(fā)現(xiàn)問(wèn)題。這就是火能助人，也能殺人的道理。當(dāng)發(fā)現(xiàn)這樣的用戶，我們需要做的是將其刪除，刪除用戶的命令是userdel。1)userdel命令用于刪除linux系統(tǒng)中的用戶賬號(hào)，命令格式如下：userdel -r user_name一般，在使用這條命令的時(shí)候，如果不添加”-r”的話，不會(huì)刪除用戶的宿主目錄，這樣就可以保存該用戶在系統(tǒng)中的文件，要是想刪除的話我們可以手工的去刪除該目錄。但是你已經(jīng)確認(rèn)該宿主目錄中的文件可以刪除，直接使用”-r”這樣就可以一次性的刪除用戶操作。rootqiuri #userdel r admin2)手工

18、刪除用戶手工刪除一個(gè)用戶需要執(zhí)行如下步驟：從/etc/passwd、/etc/shadow、/etc/group配置文件中刪除該用戶的相關(guān)條目，之后刪除該用戶的宿主目錄。但是，在我們工作的過(guò)程中，為了提高系統(tǒng)的安全性最常用的就是禁用和啟用賬戶?？梢允褂胾sermod命令來(lái)禁用賬號(hào)：rootqiuri # grep u1 /etc/shadow #禁用前查看一下u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri # usermod -L u1 #禁用賬號(hào)rootqiuri # grep u1 /etc/shadow #再

19、次查看一下，發(fā)現(xiàn)多出一個(gè)!，表明用戶已禁用u1:!$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri #當(dāng)因工作需要的時(shí)候，可以將已禁用的賬號(hào)u1重新啟用，命令如下：rootqiuri # usermod -U u1 #重新啟用賬號(hào)rootqiuri # grep u1 /etc/shadow #發(fā)現(xiàn)!已經(jīng)移除，表明用戶已啟用u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:rootqiuri #從上邊的操作可以看出usermod命令禁用和啟用賬號(hào)功能是通過(guò)在/etc

20、/shadow 配置文件中，在用戶密碼位之前添加和刪除!實(shí)現(xiàn)的。當(dāng)然也可以使用手工添加或刪除!來(lái)實(shí)現(xiàn)效果。不知道大家還記不記得我在上一篇文章中提到可以通過(guò)設(shè)置shadow文件中的“賬號(hào)失效期”來(lái)設(shè)置賬號(hào)的有效期限。這里也可以使用usermod命令實(shí)現(xiàn)，命令格式如下：usermod e YYYY-MM-DD name通過(guò)這個(gè)命令可以設(shè)置用戶賬號(hào)的過(guò)期時(shí)間，就是說(shuō)在此日期之前用戶賬戶生效，過(guò)了這個(gè)日期后用戶將禁止登錄。設(shè)置后如下所示： rootqiuri # usermod -e 2008-10-18 u1 #設(shè)置賬號(hào)過(guò)期時(shí)間rootqiuri # grep u1 /etc/shadow #驗(yàn)證結(jié)

21、果u1:$1$66svsu0z$9yg1bwziK2rXvnYiUH9HB1:14163:0:99999:7:14170:rootqiuri #在實(shí)際的管理工作中，如果我們一個(gè)一個(gè)的去管理賬號(hào)的話，無(wú)形中會(huì)增加我們大量的管理負(fù)擔(dān)和造成不必要的錯(cuò)誤?？梢允褂谩坝脩艚M”來(lái)解決這些問(wèn)題。那么什么是“用戶組”呢？用戶組就是一個(gè)具有相同特性的用戶集合，在同一個(gè)組中的所有用戶具有相同的組權(quán)限。一般情況下我們使用useradd創(chuàng)建用戶的時(shí)候會(huì)創(chuàng)建和用戶同名的用戶組，但是有些時(shí)候我們需要單獨(dú)的創(chuàng)建用戶組，可以使用groupadd命令實(shí)現(xiàn)？命令格式如下： groupadd -g gid -o -r -f gro

22、up我們創(chuàng)建一個(gè)qiuri組為例：rootqiuri # groupadd qiuri #添加用戶組rootqiuri# grep qiuri /etc/group #驗(yàn)證是否創(chuàng)建成功qiuri:x:501:如果我們要?jiǎng)?chuàng)建一個(gè)xifeng組同時(shí)組ID為1000rootqiuri # groupadd -g 1000 xifeng #添加組ID為1000的用戶組rootqiuri # grep xifeng /etc/group #驗(yàn)證結(jié)果xifeng:x:1000:我們會(huì)創(chuàng)建組了，但是如何將用戶添加到相應(yīng)的組呢？一般有以下幾種情況？ 1) 創(chuàng)建用戶的時(shí)候指定用戶屬于那個(gè)用戶組例如：我們創(chuàng)建一個(gè)

23、test用戶，同時(shí)這個(gè)用戶屬于qiuri組，這個(gè)時(shí)候系統(tǒng)就不會(huì)再建立與用戶名同名的用戶組賬號(hào)了。命令格式:uersadd -g group_name user_name創(chuàng)建過(guò)程：rootqiuri # grep qiuri /etc/group #確認(rèn)用戶組qiuri是否存在qiuri:x:1001:rootqiuri # useradd -g qiuri test #將創(chuàng)建用戶指定到qiuri組rootqiuri # grep test /etc/passwd #查看用戶是否創(chuàng)建成功，是否屬于組qiuri。test:x:510:1001:/home/test:/bin/bashrootqiu

24、ri # grep qiuri /etc/groupqiuri:x:1001:說(shuō)明：驗(yàn)證用戶屬于那個(gè)組的時(shí)候也可以使用命令groups user_name來(lái)查詢。2)更改用戶的用戶組一般什么時(shí)候需要更改用戶組呢？例如：我們?cè)趧?chuàng)建用戶的時(shí)候忘記指定用戶屬于那個(gè)用戶組，這個(gè)時(shí)候我們執(zhí)行此命令?？梢允褂胾sermod g來(lái)更新組的名稱，這里我們將test用戶從qiuri組更改到xifeng組。命令格式：uermod g group_name user_name更改過(guò)程：rootqiuri # usermod -g xifeng test #更改用戶所屬于的組rootqiuri # grep test

25、 /etc/passwd #確認(rèn)用戶組ID是否發(fā)生變化test:x:510:1000:/home/test:/bin/bashrootqiuri # grep xifeng /etc/group #確認(rèn)組ID為1000的組是否是xifeng。xifeng:x:1000:rootqiuri #3) 將用戶添加到其它組一個(gè)用戶可以同時(shí)屬于多個(gè)組，例如：test用戶同時(shí)屬于qiuri和xifeng組，可以通過(guò)usermod G命令來(lái)實(shí)現(xiàn)。注意：這條命令執(zhí)行的前提條件是確認(rèn)該用戶是否存在，也就是說(shuō)是將已有用戶添加到相應(yīng)的組。命令格式：usermod G group_name user_name方法一、

26、添加過(guò)程：rootqiuri # usermod -G qiuri test #讓用戶test同時(shí)屬于qiuri組rootqiuri # grep test /etc/passwd #查看一下用戶配置文件，無(wú)變化test:x:510:1000:/home/test:/bin/bashrootqiuri # egrep qiuri|xifeng /etc/group #查看一下用戶組配置文件中關(guān)于xifeng和qiuri組。個(gè)人認(rèn)為使用groups test命令查看更方便些。xifeng:x:1000:qiuri:x:1001:testrootqiuri #或者使用gpasswd命令，命令格式如

27、下：gpasswd a user_name group_name方法二、添加過(guò)程：rootqiuri # gpasswd -a test qiuri #讓用戶test同時(shí)屬于qiuri組Adding user test to group qiurirootqiuri # egrep qiuri|xifeng /etc/group #驗(yàn)證結(jié)果xifeng:x:1000:qiuri:x:1001:testrootqiuri # grep test /etc/passwdtest:x:510:1000:/home/test:/bin/bashrootqiuri #當(dāng)我們需要修改組的名稱的時(shí)候可以使用

28、groupmod -n實(shí)現(xiàn)，命令格式：groupmod -n new_group_name old_ group_name例如：將組qiuri更改為qiurixifengrootqiuri # groupmod -n qiurixifeng qiuri #修改組名稱rootqiuri # grep qiuri /etc/group #確認(rèn)結(jié)果qiurixifeng:x:1001:testrootqiuri #和組名稱對(duì)應(yīng)的就是用戶名稱，我們可以u(píng)sermod l修改用戶名稱，命令格式如下：usermod l new_user_name old_ user_namerootqiuri # use

29、rmod -l qiuri test #修改用戶名稱rootqiuri # grep qiuri /etc/passwd #驗(yàn)證結(jié)果qiuri:x:501:501:/home/test:/bin/bash最后要介紹刪除組的命令groupdel，命令格式如下：groupdel group_namerootqiuri # egrep qiuri|xifeng /etc/group #查看一下qiuri和xifeng組是否存在qiuri:x:1001:xifeng:x:1000:rootqiuri # groupdel qiuri #刪除qiuri組rootqiuri # groupdel xife

30、ng #刪除xifeng組rootqiuri # egrep qiuri|xifeng /etc/group #確認(rèn)結(jié)果rootqiuri #下一篇： Linux用戶管理詳解（下）我們已經(jīng)可以通過(guò)創(chuàng)建不同的用戶來(lái)防止其他人使用自己的賬號(hào)，之后每個(gè)賬戶對(duì)應(yīng)一個(gè)單獨(dú)的用戶密碼，構(gòu)成了一個(gè)基本的用戶管理思路。為了方便管理還可以使用組來(lái)設(shè)置相同屬性的用戶。那么設(shè)置這些到底是為了什么呢？今天就揭開(kāi)它的面紗。Linux系統(tǒng)是一個(gè)典型的多用戶操作系統(tǒng)，不同的用戶處于不同的地位，為了保護(hù)系統(tǒng)的安全性，linux系統(tǒng)對(duì)于不同用戶訪問(wèn)同一個(gè)文件或目錄做了不同的訪問(wèn)權(quán)限控制。我們是否還記得查看文件權(quán)限的命令，為了便

31、于大家理解首先我創(chuàng)建如下所示文件和目錄并查看相應(yīng)的權(quán)限。userqiuri $ mkdir qiuri userqiuri $ touch xifenguserqiuri $ ls -l總計(jì) 4drwxrwxr-x 2 user user 4096 07-13 15:17 qiuri-rw-rw-r- 1 user user 0 07-13 15:17 xifenguserqiuri $我們拿qiuri這個(gè)目錄分析一下輸出的結(jié)果的含義，首先將它從左邊開(kāi)始分為7個(gè)部分，如下圖所示:第一個(gè)部分：文件類型和文件權(quán)限，其中第一個(gè)字符是文件的類型標(biāo)志，后9個(gè)為權(quán)限標(biāo)志。通過(guò)第一位確認(rèn)文件屬于那種類型。說(shuō)

32、道文件類型在Windows中，常見(jiàn)的文件類型有file.txt、file.doc、file.mp3等，根據(jù)文件的后綴名判斷該文件的類型，在Linux中，一個(gè)文件主要看他是否能夠執(zhí)行與后綴沒(méi)有太大的關(guān)系，主要看文件的屬性有關(guān)。在linux中常見(jiàn)的文件類型有：“”表示普通文件，例如：rootqiuri # ls -l install.log-rw-r-r- 1 root root 41727 07-13 02:56 install.log輸出的第一個(gè)標(biāo)志位是“-”，這樣的文件在Linux 中就是普通文件。這些文件一般是用一些相關(guān)的應(yīng)用程序創(chuàng)建，比如圖像工具、文檔工具、歸檔工具. . 或 cp工具等

33、。這類文件的刪除方式是用rm 命令?！癲”表示目錄，例如：rootqiuri # ls -l /root總計(jì) 84-rw- 1 root root 882 07-13 02:56 anaconda-ks.cfgdrwxr-xr-x 2 root root 4096 07-13 03:18 Desktop-rw-r-r- 1 root root 41727 07-13 02:56 install.log-rw-r-r- 1 root root 4182 07-13 02:50 install.log.syslog-rw-r-r- 1 root root 209 07-13 03:14 scsru

34、n.log當(dāng)某個(gè)目錄下看到有類似 drwxr-xr-x ，這樣的文件就是目錄，目錄在Linux 是一個(gè)比較特殊的文件。注意它的第一個(gè)字符是d。創(chuàng)建目錄的命令可以用 mkdir 命令，或cp 命令，cp 可以把一個(gè)目錄復(fù)制為另一個(gè)目錄。刪除用rm 或rmdir 命令“b”表示塊設(shè)備文件，例如：rootqiuri # ls -l /dev/sdabrw-r- 1 root disk 8, 0 07-13 05:57 /dev/sda我們看到 /dev/sda 的屬性是 brw-rw- ，注意前面的第一個(gè)字符是b，這表示塊設(shè)備，比如硬盤，光驅(qū)等設(shè)備?！癱”表示字符設(shè)備文件rootqiuri # ls

35、 -l /dev/ttycrw-rw-rw- 1 root tty 5, 0 07-13 05:58 /dev/tty我們看到/dev/tty的屬性是 crw-rw-rw-，注意前面第一個(gè)字符是 c ，這表示字符設(shè)備文件。比如貓等串口設(shè)備?！發(fā)” 表示符號(hào)鏈接rootqiuri # ls -l /etc/rc.local lrwxrwxrwx 1 root root 13 07-13 02:09 /etc/rc.local - rc.d/rc.local查看文件屬性時(shí)，會(huì)看到有類似 lrwxrwxrwx,注意第一個(gè)字符是l，這類文件是鏈接文件。這和Windows 操作系統(tǒng)中的快捷方式有點(diǎn)相似。

36、一般鏈接有兩種：硬連接和符號(hào)鏈接。 首先我們要明白，在Linux系統(tǒng)中每一個(gè)存儲(chǔ)設(shè)備(硬盤、U盤)，格式化后，分為Inode和Block兩個(gè)部分。內(nèi)核為每一個(gè)新建的文件分配一個(gè)Inode(索引結(jié)點(diǎn)),每個(gè)文件都有一個(gè)惟一的inode號(hào)。文件屬性(文件的所有者、存取模式、類型、創(chuàng)建或修改時(shí)間、文件真正內(nèi)容的指向等)保存在索引結(jié)點(diǎn)里，在訪問(wèn)文件時(shí)，索引結(jié)點(diǎn)值被復(fù)制到內(nèi)存中，快速找到真正內(nèi)容指向(pointer)指向數(shù)據(jù)內(nèi)容放置的區(qū)塊(Block)之中，從而實(shí)現(xiàn)文件快速的找到該文件。硬鏈接是直接指向索引結(jié)點(diǎn)(Inode)的指針，系統(tǒng)不會(huì)重新分配給它新的Inode。但是創(chuàng)建時(shí)需注意：鏈接文件和被鏈接文

37、件必須位于同一個(gè)文件系統(tǒng)中，并且不能建立指向目錄的硬鏈接。默認(rèn)情況下，ln名稱創(chuàng)建的便是硬鏈接。命令格式：ln source（源文件名）dist（目的文件名）例如：userqiuri $ ls -il #查看文件屬性并顯示文件lnode號(hào)total 4 drwxrwxr-x 2 user user 4096 07-13 17:34 qiuri -rw-rw-r- 1 user user 0 07-13 17:34 xifenguserqiuri $ ln xifeng qiurixifeng #創(chuàng)建文件xifeng的硬鏈接qiurixifenguserqiuri $ ls -il #驗(yàn)證結(jié)果，

38、結(jié)果表明創(chuàng)建硬鏈接系統(tǒng)沒(méi)有分配新的lndoetotal 4 drwxrwxr-x 2 user user 4096 07-13 17:34 qiuri -rw-rw-r- 2 user user 0 07-13 17:34 qiurixifeng -rw-rw-r- 2 user user 0 07-13 17:34 xifenguserqiuri $ ln qiuri qiurixifeng #創(chuàng)建目錄qiuri的硬鏈接，提示不允許硬鏈接指向目錄ln: qiuri: hard link not allowed for directoryuserqiuri $軟連接又稱符號(hào)鏈接克服了硬鏈接的不

39、足，不受文件系統(tǒng)的限制，可以創(chuàng)建指向目錄的符號(hào)鏈接。因此我們大多數(shù)使用符號(hào)鏈接。創(chuàng)建符號(hào)鏈接的時(shí)候只需要在ln后加上-s選項(xiàng)即可。例如：rootqiuri # ln -s /home/user/qiuri qiuri #給root用戶創(chuàng)建符號(hào)鏈接qiuri，鏈接到/home/user/qiurirootqiuri # ln -s /home/user/xifeng xifeng#創(chuàng)建符號(hào)鏈接xifeng,提示“文件已存在”的錯(cuò)誤信息。ln: creating symbolic link xifeng to /home/user/xifeng: File existsrootqiuri # ls

40、 -l #查看一下當(dāng)前目錄下的文件，發(fā)現(xiàn)當(dāng)前目錄下已存在一個(gè)同名文件。total 80-rw- 1 root root 882 Jul 13 02:56 anaconda-ks.cfgdrwxr-xr-x 2 root root 4096 Jul 13 03:18 Desktop-rw-r-r- 1 root root 41727 Jul 13 02:56 install.log-rw-r-r- 1 root root 4182 Jul 13 02:50 install.log.sysloglrwxrwxrwx 1 root root 16 Jul 13 17:48 qiuri - /home

41、/user/qiuri-rw-r-r- 1 root root 209 Jul 13 03:14 scsrun.log-rw-r-r- 1 root root 0 Jul 11 07:51 xifengrootqiuri # ln -sf /home/user/xifeng xifeng#我們可以使用-f選項(xiàng)忽略目標(biāo)文件的存在并強(qiáng)制做鏈接文件。rootqiuri # ls -li #驗(yàn)證結(jié)果，發(fā)現(xiàn)創(chuàng)建成功。total 80 -rw- 1 root root 882 Jul 13 02:56 anaconda-ks.cfg drwxr-xr-x 2 root root 4096 Jul 13 0

42、3:18 Desktop -rw-r-r- 1 root root 41727 Jul 13 02:56 install.log -rw-r-r- 1 root root 4182 Jul 13 02:50 install.log.syslog lrwxrwxrwx 1 root root 16 Jul 13 17:48 qiuri - /home/user/qiuri -rw-r-r- 1 root root 209 Jul 13 03:14 scsrun.log lrwxrwxrwx 1 root root 17 Jul 13 17:53 xifeng - /home/user/xifen

43、grootqiuri #對(duì)文件類型有了一個(gè)了解之后，我們接著說(shuō)文件權(quán)限，linux文件的權(quán)限標(biāo)志位共九個(gè)，分為3組，分別代表文件擁有者的權(quán)限，文件所屬用戶組的權(quán)限和其它用戶的權(quán)限，如下圖所示： Linux 文件的權(quán)限有三種：可讀(r)：意味著我們可以查看閱讀；可寫(xiě)(w)：意味著，可以修改或刪除(不過(guò)刪除或修改的權(quán)限受父目錄上的權(quán)限控制)；可執(zhí)行(x)：意味著如果是文件就可以運(yùn)行，比如二進(jìn)制文件(比如命令)，或腳本(要用腳本語(yǔ)言解釋器來(lái)解釋運(yùn)行)。如果權(quán)限位不可讀、不可寫(xiě)、不可執(zhí)行，是用“-”來(lái)表示。對(duì)于目錄來(lái)說(shuō)，執(zhí)行(x)權(quán)限表示可以使用cd 命令進(jìn)入該目錄，可以讀出該目錄下的文件的內(nèi)容。如果

44、某用戶對(duì)目錄只有讀取權(quán)限，而沒(méi)有執(zhí)行權(quán)限，那么該用戶只能使用ls 命令列出目錄下的文件，而不能讀取該目錄內(nèi)的文件。當(dāng)一個(gè)文件的權(quán)限不符合我們使用的要求我們可以使用命令chmod來(lái)設(shè)置和改變，改變目錄和文件權(quán)限的方法有兩種，一種是通過(guò)八進(jìn)制的語(yǔ)法，另一種是助記語(yǔ)法。八進(jìn)制的語(yǔ)法使用數(shù)字表示各個(gè)權(quán)限分別是r(4)、w(2)、x(1)、-(0)。例如目錄qiuri的權(quán)限如何使用八進(jìn)制來(lái)表示:drwxrwxr-x 2 user user 4096 07-13 15:17 qiuri屬主的權(quán)限用數(shù)字表達(dá)：屬主的那三個(gè)權(quán)限位的數(shù)字加起來(lái)的總和。比如上面的例子中屬主的權(quán)限是rwx ，也就是4+2+1 ，應(yīng)該

45、是7；屬組的權(quán)限用數(shù)字表達(dá)：屬組的那個(gè)權(quán)限位數(shù)字的相加的總和。比如上面的例子中的rwx ，也就是4+2+1 ，應(yīng)該是7；其它用戶的權(quán)限數(shù)字表達(dá)：其它用戶權(quán)限位的數(shù)字相加的總和。比如上面例子中是 r-x ，也就是4+0+1，應(yīng)該是5；也就是說(shuō)，如果使用八進(jìn)制數(shù)來(lái)表示該文件的權(quán)限，應(yīng)該是775。明白了數(shù)值表示權(quán)限的方法，例如將目錄qiuri的權(quán)限修改為：屬主對(duì)目錄qiuri有可讀可寫(xiě)可執(zhí)行權(quán)限，屬組和其他人有可讀和可執(zhí)行權(quán)限。rootqiuri # ls -l #修改前查看一下total 4drwxrwxr-x 2 user user 4096 07-13 15:17 qiuri-rw-rw-r-

46、 1 user user 0 07-13 15:17 xifengrootqiuri #chmod 755 qiuri #修改權(quán)限為755rootqiuri # ls -l #修改后驗(yàn)證total 4drwxr-xr-x 2 user user 4096 07-13 15:17 qiuri-rw-rw-r- 1 user user 0 07-13 15:17 xifeng如果想同時(shí)修改目錄和子目錄中所有文件的權(quán)限執(zhí)行如下命令：rootqiuri #chmod R 755 qiuri助記語(yǔ)法中將屬主(user)使用u表示、屬組(group)使用g表示、其它用戶(other)使用o來(lái)表示，而所有人(all)使用a來(lái)表示。使用“+”來(lái)表示添加權(quán)限、“”表示減少權(quán)限、“=”表示授予的權(quán)限。當(dāng)然使用r、w、x來(lái)表示權(quán)限。在使用的時(shí)候，可以組合使用。例如：rootqiuri tmp# touch xifeng #創(chuàng)建