AI 助理
备案控制台
开发者社区 龙蜥操作系统 文章 正文

Linux系统之高级用户组和权限管理

2023-07-21 148
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Linux系统之高级用户组和权限管理

一、用户的密码策略设置

1.用户的密码文件

[root@tianyi ~]# cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
unbound:x:997:994:Unbound DNS resolver:/etc/unbound:/sbin/nologin
libstoragemgmt:x:996:993:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
setroubleshoot:x:995:992::/var/lib/setroubleshoot:/sbin/nologin
clevis:x:994:990:Clevis Decryption Framework unprivileged user:/var/cache/clevis:/sbin/nologin
cockpit-ws:x:993:989:User for cockpit-ws:/:/sbin/nologin
sssd:x:992:988:User for sssd:/:/sbin/nologin
insights:x:991:987:Red Hat Insights:/var/lib/insights:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
pesign:x:990:986:Group for the pesign signing daemon:/var/run/pesign:/sbin/nologin
chrony:x:989:985::/var/lib/chrony:/sbin/nologin
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
admin:x:1000:1000::/home/admin:/bin/bash
nginx:x:988:984:Nginx web server:/var/lib/nginx:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin
zabbix:x:987:983:Zabbix Monitoring System:/var/lib/zabbix:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
~

2.用户的密码期限配置

①查看用户密码期限

[root@tianyi ~]# 
[root@tianyi ~]# chage -l user1
Last password change                    : Nov 25, 2025      #最后一次密码变更时间
Password expires                    : never             # 密码到期
Password inactive                    : never             #   密码禁止
Account expires                        : never             # 账户到期
Minimum number of days between password change        : 0             #更改密码的最短天数
Maximum number of days between password change        : 99999         # 更改密码的最长天数
Number of days of warning before password expires    : 7     # 密码到期之前警告天数
[root@tianyi ~]#

②修改密码期限

[root@tianyi ~]# chage -m 0 -M 90 -W7 -I 14 user1
[root@tianyi ~]# chage -l user1
Last password change                    : Nov 25, 2025
Password expires                    : Feb 23, 2026
Password inactive                    : Mar 09, 2026
Account expires                        : never
Minimum number of days between password change        : 0
Maximum number of days between password change        : 90
Number of days of warning before password expires    : 7

③强制用户下一次修改密码

[root@tianyi ~]# chage -d 0 user1

④用户到期时间设置

[root@tianyi ~]# chage -E 2021-10-01 user1
[root@tianyi ~]# chage -l user1
Last password change                    : password must be changed
Password expires                    : password must be changed
Password inactive                    : password must be changed
Account expires                        : Oct 01, 2021
Minimum number of days between password change        : 0
Maximum number of days between password change        : 90
Number of days of warning before password expires    : 7

3.查看当前用户存在

[root@tianyi ~]# id user1
uid=1001(user1) gid=1001(user1) groups=1001(user1)
[root@tianyi ~]#

二、监控系统用户登录

1.查看当前登录用户

[root@tianyi ~]# w
 11:54:10 up 89 days, 20:42,  1 user,  load average: 0.04, 0.05, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    183.92.102.127   11:14    0.00s  0.06s  0.00s w

2.用户登录和重启记录

[root@node1 ~]# last |head
root     pts/0        192.168.200.1    Fri Sep 17 22:32   still logged in
reboot   system boot  4.18.0-80.el8.x8 Fri Sep 17 22:29   still running
root     pts/0        192.168.200.1    Mon Sep 13 20:28 - crash (4+02:00)
reboot   system boot  4.18.0-80.el8.x8 Mon Sep 13 20:22   still running
root     pts/2        192.168.200.1    Wed Sep  1 20:19 - 01:04  (04:45)
root     pts/1        192.168.200.1    Mon Aug 30 23:11 - 22:59 (1+23:47)
root     pts/0        192.168.200.1    Mon Aug 30 20:04 - 22:59 (2+02:54)
reboot   system boot  4.18.0-80.el8.x8 Mon Aug 30 20:03   still running
root     pts/0        192.168.200.1    Mon Aug 30 19:59 - 20:00  (00:00)
root     pts/1        192.168.200.1    Mon Aug 30 16:36 - 19:59  (03:23)
[root@node1 ~]#

3.用户登录失败记录

[root@node1 ~]# lastb

btmp begins Mon Sep 13 20:23:03 2021
[root@node1 ~]#

4.登录日志

[root@node1 ~]# lastlog 
Username         Port     From             Latest
root             pts/0    192.168.200.1    Fri Sep 17 22:32:06 +0800 2021
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
dbus                                       **Never logged in**
systemd-coredump                           **Never logged in**
systemd-resolve                            **Never logged in**
tss                                        **Never logged in**
polkitd                                    **Never logged in**
geoclue                                    **Never logged in**
rtkit                                      **Never logged in**
pulse                                      **Never logged in**

三、用户的提权

[root@node1 ~]# vim /etc/sudoers.d/user1
user1 ALL= (ALL) NOPASSWD: /usr/bin/passwd, /usr/bin/mkdir
[user1@node1 ~]$ sudo mkdir file01
[user1@node1 ~]$ ls -l file01
total 0
[user1@node1 ~]$ ls -ld file01
drwxr-xr-x 2 root root 6 Sep 17 22:49 file01
[user1@node1 ~]$ mkdir file02
[user1@node1 ~]$ ls -ld file02
drwxrwxr-x 2 user1 user1 6 Sep 17 22:49 file02
[user1@node1 ~]$

四、ACL权限配置

1.查看文件的ACL权限

访问控制列表,可以实现更细致的访问控制

[root@node1 ~]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
group::r--
other::r--

2.给指定用户设置ACL权限

[root@node1 ~]# setfacl -m u:user1:rx- file
[root@node1 ~]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
user:user1:r-x
group::r--
mask::r-x
other::r--

3.给文件拥有人设置ACL权限

[root@node1 ~]# setfacl -m u::rwx file
[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
user:user1:r-x
group::r--
mask::r-x
other::r--

4.给指定用户组设置权限

①新建用户组及添加组内用户

[root@node1 ~]# groupadd HR
[root@node1 ~]# groupmems -g HR -a user1
[root@node1 ~]# groupmems -g HR -l
user1

②设置文件的用户组权限

[root@node1 ~]# setfacl -m g:HR:rwx file
[root@node1 ~]# getfacl file
# file: file
# owner: root
# group: root
user::rwx
user:user1:r-x
group::r--
group:HR:rwx
mask::rwx
other::r--

[root@node1 ~]#

5.给文件拥有组设置权限

[root@node1 ~]# setfacl -m g::rx- file
[root@node1 ~]# getfacl file
# file: file
# owner: root
# group: root
user::rwx
user:user1:r-x
group::r-x
group:HR:rwx
mask::rwx
other::r--

[root@node1 ~]#

6.给文件其他人设置权限

[root@node1 ~]# setfacl -m o::rw- file
[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
user:user1:r-x
group::r-x
group:HR:rwx
mask::rwx
other::rw-

7.删除文件高级权限

①删除指定用户权限

[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
user:user1:r-x
group::r-x
group:HR:rwx
mask::rwx
other::rw-

[root@node1 ~]# setfacl -x u:user1 file
[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
group::r-x
group:HR:rwx
mask::rwx
other::rw-

[root@node1 ~]#

②删除指定组的ACL权限

[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
group::r-x
group:HR:rwx
mask::rwx
other::rw-

[root@node1 ~]# setfacl -x g:HR file
[root@node1 ~]# getfacl  file
# file: file
# owner: root
# group: root
user::rwx
group::r-x
mask::r-x
other::rw-

[root@node1 ~]#

③递归修改ACL权限

[root@node1 ~]# getfacl ./dir01/
# file: dir01/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

[root@node1 ~]# getfacl ./dir01/test.txt 
# file: dir01/test.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@node1 ~]# setfacl -R -m u:user1:rw- ./dir01/
[root@node1 ~]# getfacl ./dir01/
# file: dir01/
# owner: root
# group: root
user::rwx
user:user1:rw-
group::r-x
mask::rwx
other::r-x

[root@node1 ~]# getfacl ./dir01/test.txt 
# file: dir01/test.txt
# owner: root
# group: root
user::rw-
user:user1:rw-
group::r--
mask::rw-
other::r--

[root@node1 ~]#

④清除所有ACL权限

setfacl -b

五、文件与目录的特殊权限

1.进程与文件的属主与属组

前提:进程有属主和属组;文件有属主和属组;
(1) 任何一个可执行程序文件能不能启动为进程:取决于发起者对程序文件是否拥有执行权限;
(2) 启动为进程之后,其进程的属主为发起者;进程的属组为发起者所属的组;
(3) 进程访问文件时的权限,取决于进程的发起者:
(4) 进程的发起者,同文件的属主:则应用文件属主权限;
(5) 进程的发起者,属于文件的属组;则应用文件属组权限;
(6) 应用文件“其它”权限;

2.suid高级权限

ps:/usr/bin/passwd root

1.当一个文件有suid的权限时,那么其他用户来执行该文件时,临时获得文件拥有人的权限
2.suid的权限只能用在二进制的文件上,一般是针对命令
3.只能设置在文件上,设置目录上无意义
chmod u+s file
[root@node1 ~]# getfacl /usr/bin/passwd 
getfacl: Removing leading '/' from absolute path names
# file: usr/bin/passwd
# owner: root
# group: root
# flags: s--
user::rwx
group::r-x
other::r-x

3.sgid高级权限

1.当一个文件有sgid的权限时,那么其他用户来执行该文件时,临时获得文件拥有组的权限。
2.当一个目录有sgid的权限时,那么任何人在该目录下创建文件(包括目录)时,该文件的拥有组继承目录的组。

chmod  g+s directory
[root@node1 ~]# chmod g+s dir01/
[root@node1 ~]# getfacl dir01/
# file: dir01/
# owner: root
# group: root
# flags: -s-
user::rwx
user:user1:rw-
group::r-x
mask::rwx
other::r-x

[root@node1 ~]# touch dir01/list.txt
[root@node1 ~]# getfacl dir01/list.txt 
# file: dir01/list.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

4.sticky高级权限

1.用在目录上,当一个目录有stciky的权限时,那么其他用户只能删除拥有人是自己的文件。
chmod  o+t directory

六、默认权限与反掩码

1.root用户文件的默认权限

默认权限 umask 022
root 
文件  644 
目录  755

2.普通用户文件的默认权限

普通用户 002
文件  664
目录  775

3.umask配置文件

[root@node1 ~]# cat /etc/bashrc |grep umask
    # By default, we want umask to get set. This sets it for non-login shell.
       umask 002
       umask 022
[root@node1 ~]#

4.修改umask

# .bashrc
  
# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
~         


# .bashrc
  
# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
~

5.umask和mask的权限计算

[root@node1 ~]# mkdir dir02/
[root@node1 ~]# ls -ld dir02/
drwxr-xr-x 2 root root 6 Sep 18 12:30 dir02/
[root@node1 ~]# touch file02
[root@node1 ~]# ll file02
-rw-r--r-- 1 root root 0 Sep 18 12:30 file02
[root@node1 ~]#
文章标签:
龙蜥操作系统
监控
Linux
数据安全/隐私保护
关键词:
Linux系统
Linux权限管理
Linux用户组
Linux系统用户组
Linux用户组权限管理
相关实践学习
CentOS 7迁移Anolis OS 7
龙蜥操作系统Anolis OS的体验。Anolis OS 7生态上和依赖管理上保持跟CentOS 7.x兼容,一键式迁移脚本centos2anolis.py。本文为您介绍如何通过AOMS迁移工具实现CentOS 7.x到Anolis OS 7的迁移。
江湖有缘
目录
相关文章
龙大吉
|
16天前
|
Linux
在 Linux 系统中,“cd”命令用于切换当前工作目录
在 Linux 系统中,“cd”命令用于切换当前工作目录。本文详细介绍了“cd”命令的基本用法和常见技巧,包括使用“.”、“..”、“~”、绝对路径和相对路径,以及快速切换到上一次工作目录等。此外,还探讨了高级技巧,如使用通配符、结合其他命令、在脚本中使用,以及实际应用案例,帮助读者提高工作效率。
龙大吉
57 3
东方睿赢
|
16天前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
东方睿赢
48 2
墨城coding
|
26天前
|
Linux 应用服务中间件 Shell
linux系统服务二!
本文详细介绍了Linux系统的启动流程,包括CentOS 7的具体启动步骤,从BIOS自检到加载内核、启动systemd程序等。同时,文章还对比了CentOS 6和CentOS 7的启动流程,分析了启动过程中的耗时情况。接着,文章讲解了Linux的运行级别及其管理命令,systemd的基本概念、优势及常用命令,并提供了自定义systemd启动文件的示例。最后,文章介绍了单用户模式和救援模式的使用方法,包括如何找回忘记的密码和修复启动故障。
墨城coding
43 5
linux系统服务二!
蓝易云
|
10天前
|
Ubuntu Linux 网络安全
linux系统ubuntu中在命令行中打开图形界面的文件夹
在Ubuntu系统中,通过命令行打开图形界面的文件夹是一个高效且实用的操作。无论是使用Nautilus、Dolphin还是Thunar,都可以根据具体桌面环境选择合适的文件管理器。通过上述命令和方法,可以简化日常工作,提高效率。同时,解决权限问题和图形界面问题也能确保操作的顺利进行。掌握这些技巧,可以使Linux操作更加便捷和灵活。
蓝易云
15 3
东方睿赢
|
16天前
|
安全 网络协议 Linux
本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。
本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。通过掌握 ping 命令,读者可以轻松测试网络连通性、诊断网络问题并提升网络管理能力。
东方睿赢
53 3
龙大吉
|
19天前
|
安全 Linux 数据安全/隐私保护
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。本文介绍了使用 `ls -l` 和 `stat` 命令查找文件所有者的基本方法,以及通过文件路径、通配符和结合其他命令的高级技巧。还提供了实际案例分析和注意事项,帮助读者更好地掌握这一操作。
龙大吉
37 6
土木林森
|
19天前
|
Linux
在 Linux 系统中,`find` 命令是一个强大的文件查找工具
在 Linux 系统中,`find` 命令是一个强大的文件查找工具。本文详细介绍了 `find` 命令的基本语法、常用选项和具体应用示例,帮助用户快速掌握如何根据文件名、类型、大小、修改时间等条件查找文件,并展示了如何结合逻辑运算符、正则表达式和排除特定目录等高级用法。
土木林森
55 6
东方睿赢
|
20天前
|
机器学习/深度学习 自然语言处理 Linux
Linux 中的机器学习:Whisper——自动语音识别系统
本文介绍了先进的自动语音识别系统 Whisper 在 Linux 环境中的应用。Whisper 基于深度学习和神经网络技术,支持多语言识别,具有高准确性和实时处理能力。文章详细讲解了在 Linux 中安装、配置和使用 Whisper 的步骤,以及其在语音助手、语音识别软件等领域的应用场景。
东方睿赢
52 5
蓝易云
|
20天前
|
缓存 运维 监控
【运维必备知识】Linux系统平均负载与top、uptime命令详解
系统平均负载是衡量Linux服务器性能的关键指标之一。通过使用 `top`和 `uptime`命令,可以实时监控系统的负载情况,帮助运维人员及时发现并解决潜在问题。理解这些工具的输出和意义是确保系统稳定运行的基础。希望本文对Linux系统平均负载及相关命令的详细解析能帮助您更好地进行系统运维和性能优化。
蓝易云
43 3
游客5fdji2pvmf8888
|
20天前
|
监控 网络协议 算法
Linux内核优化:提升系统性能与稳定性的策略####
本文深入探讨了Linux操作系统内核的优化策略,旨在通过一系列技术手段和最佳实践,显著提升系统的性能、响应速度及稳定性。文章首先概述了Linux内核的核心组件及其在系统中的作用,随后详细阐述了内存管理、进程调度、文件系统优化、网络栈调整及并发控制等关键领域的优化方法。通过实际案例分析,展示了这些优化措施如何有效减少延迟、提高吞吐量,并增强系统的整体健壮性。最终,文章强调了持续监控、定期更新及合理配置对于维持Linux系统长期高效运行的重要性。 ####
游客5fdji2pvmf8888
65 2

龙蜥操作系统

热门文章

最新文章

  • 1
    查看linux操作系统版本:Ubuntu?Centos?还是其他?
  • 2
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 3
    Linux环境下Docker的卸载
  • 4
    Linux进程查看与控制:掌握ps、top、kill等关键命令
  • 5
    Virtualbox上安装Linux系统(CentOS7)(图文超详细)
  • 6
    AI 场景下确保模型数据安全,Confidential AI 技术最佳实践解读
  • 7
    VMware虚拟机安装Linux教程(超详细) 1
  • 8
    部署并使用Docker(Alibaba Cloud Linux 3)
  • 9
    告别头文件,编译效率提升 42%!C++ Modules 实战解析 | 干货推荐
  • 10
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 1
    Java 内存管理与优化:掌控堆与栈,雕琢高效代码
    25
  • 2
    《C 语言函数指针:解锁灵活编程的强大工具》
    25
  • 3
    倒计时1天!龙蜥社区走进中科方德MeetUp演讲亮点一览
    17
  • 4
    硬核议程一睹为快!龙蜥社区走进Arm MeetUp邀您报名
    21
  • 5
    求同尊异 龙蜥鼎力支持开源生态发展合作倡议
    34
  • 6
    宏任务和微任务在浏览器渲染过程中的执行顺序
    19
  • 7
    物联网:关键技术剖析与应用拓展
    36
  • 8
    Coolbpf 最新特性系列解读:eNetSTL 网络功能加速库在龙蜥社区开源
    39
  • 9
    手把手教学攻略:在Anolis OS上部署OpenVINO深度学习模型
    32
  • 10
    “双龙”联合!助力辽宁沈抚示范区打造安全可靠的政务云平台 | 龙蜥案例
    31

    • 相关课程

    更多
  • Linux Web服务器Nginx搭建与配置
  • 计算机基础与Linux入门
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序
  • 手动部署MySQL数据库(Alibaba Cloud Linux 2)
  • 部署并使用Docker(Alibaba Cloud Linux 3)
  • 部署Linux主机管理系统WDCP

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月