设计Linux 系统的初衷之一就是为了满足多个用户同时工作的需求,因此Linux 系统必须具备很好的安全性。在安装RHEL 7 操作系统时,特别要求设置root 管理员密码,这个root 管理员就是存在于所有类UNIX 系统中的超级用户。它拥有最高的系统所有权,能够管理系统的各项功能,如添加/删除用户、启动/关闭服务进程、开启/禁用硬件设备等。虽然以root 管理员的身份工作时不会受到系统的限制,但俗语讲能力越大,责任就越大,因此一旦使用这个高能的root 管理员权限执行了错误的命令可能会直接毁掉整个系统。使用与否,确实需要好好权衡一下。
在学习时是否要使用root 管理员权限来控制整个系统呢?面对这个问题,强烈建议使用root 权限来进行学习,避免一些学习过程中因权限而产生的耗时耗力,等熟练掌握之后在进行细致划分即可。而且学习时使用的是VMware 虚拟机,即使出错我们使用快照恢复下也不过是秒秒钟的事。
有些认知是这样的:Linux 系统中的管理员就是root。这其实是错误的,Linux 系统的管理员之所以是root,并不是因为它的名字叫root,而是因为该用户的身份号码即UID(User IDentification)的数值为0。在Linux 系统中,UID 就相当于我们的身份证号码一样具有唯一性,因此可通过用户的UID 值来判断用户身份。在RHEL 7 系统中,用户身份有下面这些。
管理员UID 为0:系统的管理员用户。
系统用户UID 为1~999: Linux 系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。
普通用户UID 从1000 开始:是由管理员创建的用于日常工作的用户。
需要注意的是,UID 是不能冲突的,而且管理员创建的普通用户的UID 默认是从1000开始的(即使前面有闲置的号码)。
为了方便管理属于同一组的用户,Linux 系统中还引入了用户组的概念。通过使用用户组号码(GID,Group IDentification),我们可以把多个用户加入到同一个组中,从而方便为组中的用户统一规划权限或指定任务。假设有一个公司中有多个部门,每个部门中又有很多员工。如果只想让员工访问本部门内的资源,则可以针对部门而非具体的员工来设置权限。例如,可以通过对技术部门设置权限,使得只有技术部门的员工可以访问公司的数据库信息等。
另外,在Linux 系统中创建每个用户时,将自动创建一个与其同名的基本用户组,而且这个基本用户组只有该用户一个人。如果该用户以后被归纳入其他用户组,则这个其他用户组称之为扩展用户组。一个用户只有一个基本用户组,但是可以有多个扩展用户组,从而满足日常的工作需要。
useradd 命令
useradd 命令用于创建新的用户,格式为useradd [选项] 用户名。
可以使用useradd 命令创建用户账户。使用该命令创建用户账户时,默认的用户家目录会被存放在/home目录中,默认的Shell 解释器为/bin/bash,而且默认会创建一个与该用户同名的基本用户组。这些默认设置可以根据下表中的useradd 命令参数自行修改:
| 参数 | 作用 |
| --- | --- |
| -d | 指定用户的家目录(默认为/home/username)|
| -e | 账户的到期时间,格式为YYYY-MM-DD |
| -u | 指定该用户的默认UID |
| -g | 指定一个初始的用户基本组(必须已存在) |
| -G | 指定一个或多个扩展用户组 |
| -N | 不创建与用户同名的基本用户组 |
| -s | 指定该用户的默认Shell 解释器 |
下面我们创建一个普通用户并指定家目录的路径、用户的UID 以及Shell 解释器。在下面的命令中,请注意/sbin/nologin,它是终端解释器中的一员,与Bash 解释器有着天壤之别。
一旦用户的解释器被设置为nologin,则代表该用户不能登录到系统中:
[root@lynchj ~]# useradd -d /home/testUserOne -u 1234 -s /sbin/nologin testUserOne
[root@lynchj ~]# id testUserOne
uid=1234(testUserOne) gid=1234(testUserOne) groups=1234(testUserOne)
groupadd 命令
groupadd 命令用于创建用户组,格式为groupadd [选项] 群组名。
为了能够更加高效地指派系统中各个用户的权限,在工作中常常会把几个用户加入到同一个组里面,这样便可以针对一类用户统一安排权限。创建用户组的步骤非常简单,例如使用如下命令创建一个用户组testGroup:
[root@lynchj ~]# groupadd testGroup
usermod 命令
usermod 命令用于修改用户的属性,格式为usermod [选项] 用户名。
Linux 系统中的一切都是文件,因此在系统中创建用户也就是修改配置文件的过程。用户的信息保存在/etc/passwd 文件中,可以直接用文本编辑器来修改其中的用户参数项目,也可以用usermod 命令修改已经创建的用户信息,诸如用户的UID、基本/扩展用户组、默认终端等。usermod 命令的参数以及作用如下表所示:
| 参数 | 作用 |
| --- | --- |
| -c | 填写用户账户的备注信息 |
| -d -m | 参数-m 与参数-d 连用,可重新指定用户的家目录并自动把旧的数据转移过去 |
| -e | 账户的到期时间,格式为YYYY-MM-DD |
| -g | 变更所属用户组 |
| -G | 变更扩展用户组 |
| -L | 锁定用户禁止其登录系统 |
| -U | 解锁用户,允许其登录系统 |
| -s | 变更默认终端 |
| -u | 修改用户的UID |
大家不要被这么多参数吓坏了。我们先来看一下账户testUserOne的默认信息:
[root@lynchj ~]# id testUserOne
uid=1234(testUserOne) gid=1234(testUserOne) groups=1234(testUserOne)
然后将用户testUserOne 加入到root 用户组中,这样扩展组列表中则会出现root 用户组的字样,而基本组不会受到影响:
[root@lynchj ~]# usermod -G root testUserOne
[root@lynchj ~]# id testUserOne
uid=1234(testUserOne) gid=1234(testUserOne) groups=1234(testUserOne),0(root)
再来试试用-u 参数修改linuxprobe 用户的UID 号码值。除此之外,我们还可以用-g 参数修改用户的基本组ID,用-G 参数修改用户扩展组ID。
[root@lynchj ~]# usermod -u 4321 testUserOne
[root@lynchj ~]# id testUserOne
uid=4321(testUserOne) gid=1234(testUserOne) groups=1234(testUserOne),0(root)
passwd 命令
passwd 命令用于修改用户密码、过期时间、认证信息等,格式为passwd [选项] [用户名]。
普通用户只能使用passwd 命令修改自身的系统密码,而root 管理员则有权限修改其他所有人的密码。更酷的是,root 管理员在Linux 系统中修改自己或他人的密码时不需要验证旧密码,这一点特别方便。既然root 管理员可以修改其他用户的密码,就表示完全拥有该用户的管理权限。passwd 命令中可用的参数以及作用如下表所示:
| 参数 | 作用 |
| --- | --- |
| -l | 锁定用户,禁止其登录 |
| -u | 解除锁定,允许用户登录 |
| --stdin | 允许通过标准输入修改用户密码,如:echo "NewPassWord" | passwd --stdin Username |
| -d | 使该用户可用空密码登录系统 |
| -e | 强制用户在下次登录时修改密码 |
| -S | 显示用户的密码是否被锁定,以及密码所采用的加密算法名称 |
userdel 命令
userdel 命令用于删除用户,格式为userdel [选项] 用户名。
如果我们确认某位用户后续不再会登录到系统中,则可以通过userdel 命令删除该用户的所有信息。在执行删除操作时,该用户的家目录默认会保留下来,此时可以使用-r 参数将其删除。userdel 命令的参与以及作用如下表所示:
| 参数 | 作用 |
| --- | --- |
| -f | 强制删除用户 |
| -r | 同时删除用户及用户家目录 |
文章评论