用户身份与文件权限

本章讲解了如下内容：

Ø     用户身份与能力；

Ø     文件权限与归属；

Ø     文件的特殊权限；

Ø     文件的隐藏权限；

Ø     文件访问控制列表；

Ø     su命令与sudo服务。

Linux是一个多用户、多任务的操作系统，具有很好的稳定性与安全性，在幕后保障Linux系统安全的则是一系列复杂的配置工作。本章将详细讲解文件的所有者、所属组以及其他人可对文件进行的读（r）、写（w）、执行（x）等操作，以及如何在Linux系统中添加、删除、修改用户账户信息。我们还可以使用SUID、SGID与SBIT特殊权限更加灵活地设置系统权限功能，来弥补对文件设置一般操作权限时所带来的不足。隐藏权限能够给系统增加一层隐形的防护层，让黑客最多只能查看关键日志信息，而不能进行修改或删除。而文件的访问控制列表（Access

Control List，ACL）可以进一步让单一用户、用户组对单一文件或目录进行特殊的权限设置，让文件具有能满足工作需求的最小权限。本章最后还将讲解如何使用su命令与sudo服务让普通用户具备管理员的权限，不仅可以满足日常的工作需求，还可以确保系统的安全性。

5.1用户身份与能力

设计Linux系统的初衷之一就是为了满足多个用户同时工作的需求，因此Linux系统必须具备很好的安全性。第1章在安装RHEL 7操作系统时，特别要求设置root管理员密码，这个root管理员就是存在于所有类UNIX系统中的超级用户。它拥有最高的系统所有权，能够管理系统的各项功能，如添加/删除用户、启动/关闭服务进程、开启/禁用硬件设备等。虽然以root管理员的身份工作时不会受到系统的限制，但俗语讲“能力越大，责任就越大”，因此一旦使用这个高能的root管理员权限执行了错误的命令可能会直接毁掉整个系统。使用与否，确实需要好好权衡一下。

在学习时是否要使用root管理员权限来控制整个系统呢？面对这个问题，网络上有很多文章建议以普通用户的身份来操作—这是一个更安全也更“无责任”的回答。今天，刘遄老师就要冒天下之大不韪给出自己的心得—强烈推荐大家在学习时使用root管理员权限！

这种为root管理员正名的决绝态度在网络中应该还是很少见的，我之所以力荐root管理员权限，原因很简单。因为在Linux的学习过程中如果使用普通用户身份进行操作，则在配置服务之后出现错误时很难判断是系统自身的问题还是因为权限不足而导致的；这无疑会给大家的学习过程徒增坎坷。更何况我们的实验环境是使用VMware虚拟机软件搭建的，可以将安装好的系统设置为一次快照，这即便系统彻底崩溃了，您也可以在5秒钟的时间内快速还原出一台全新的系统，而不用担心数据丢失。

总之，刘遄老师在培训时都推荐每位学生使用root管理员权限来学习Linux系统，等到工作时再根据生产环境决定使用哪个用户权限；这些仅与选择相关，而非技术性问题。

另外，很多图书或培训机构的老师会讲到，Linux系统中的管理员就是root。这其实是错误的，Linux系统的管理员之所以是root，并不是因为它的名字叫root，而是因为该用户的身份号码即UID（User IDentification）的数值为0。在Linux系统中，UID就相当于我们的身份证号码一样具有唯一性，因此可通过用户的UID值来判断用户身份。在RHEL 7系统中，用户身份有下面这些。

Ø   管理员UID为0：系统的管理员用户。

Ø   系统用户UID为1～999： Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器，默认服务程序会有独立的系统用户负责运行，进而有效控制被破坏范围。

Ø   普通用户UID从1000开始：是由管理员创建的用于日常工作的用户。

需要注意的是，UID是不能冲突的，而且管理员创建的普通用户的UID默认是从1000开始的（即使前面有闲置的号码）。

为了方便管理属于同一组的用户，Linux系统中还引入了用户组的概念。通过使用用户组号码（GID，Group IDentification），我们可以把多个用户加入到同一个组中，从而方便为组中的用户统一规划权限或指定任务。假设有一个公司中有多个部门，每个部门中又有很多员工。如果只想让员工访问本部门内的资源，则可以针对部门而非具体的员工来设置权限。例如，可以通过对技术部门设置权限，使得只有技术部门的员工可以访问公司的数据库信息等。

另外，在Linux系统中创建每个用户时，将自动创建一个与其同名的基本用户组，而且这个基本用户组只有该用户一个人。如果该用户以后被归纳入其他用户组，则这个其他用户组称之为扩展用户组。一个用户只有一个基本用户组，但是可以有多个扩展用户组，从而满足日常的工作需要。

5.1.1useradd命令

useradd命令用于创建新的用户，格式为“useradd [选项] 用户名”。

可以使用useradd命令创建用户账户。使用该命令创建用户账户时，默认的用户家目录会被存放在/home目录中，默认的Shell解释器为/bin/bash，而且默认会创建一个与该用户同名的基本用户组。这些默认设置可以根据表5-1中的useradd命令参数自行修改。

表5-1                                         useradd命令中的用户参数以及作用

参数作用

-d指定用户的家目录（默认为/home/username）

-e账户的到期时间，格式为YYYY-MM-DD.

-u指定该用户的默认UID

-g指定一个初始的用户基本组（必须已存在）

-G指定一个或多个扩展用户组

-N不创建与用户同名的基本用户组

-s指定该用户的默认Shell解释器

下面我们创建一个普通用户并指定家目录的路径、用户的UID以及Shell解释器。在下面的命令中，请注意/sbin/nologin，它是终端解释器中的一员，与Bash解释器有着天壤之别。一旦用户的解释器被设置为nologin，则代表该用户不能登录到系统中：

[root@linuxprobe ~]#useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe

[root@linuxprobe ~]# id linuxprobe

uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe)

5.1.2groupadd命令

groupadd命令用于创建用户组，格式为“groupadd [选项] 群组名”。

为了能够更加高效地指派系统中各个用户的权限，在工作中常常会把几个用户加入到同一个组里面，这样便可以针对一类用户统一安排权限。创建用户组的步骤非常简单，例如使用如下命令创建一个用户组ronny：

```[root@linuxprobe ~]# groupadd ronny

5.1.3usermod命令

usermod命令用于修改用户的属性，格式为“usermod [选项] 用户名”。

前文曾反复强调，Linux系统中的一切都是文件，因此在系统中创建用户也就是修改配置文件的过程。用户的信息保存在/etc/passwd文件中，可以直接用文本编辑器来修改其中的用户参数项目，也可以用usermod命令修改已经创建的用户信息，诸如用户的UID、基本/扩展用户组、默认终端等。usermod命令的参数以及作用如表5-2所示。

表5-2                                              usermod命令中的参数及作用

参数作用

-c填写用户账户的备注信息

-d -m参数-m与参数-d连用，可重新指定用户的家目录并自动把旧的数据转移过去

-e账户的到期时间，格式为YYYY-MM-DD

-g变更所属用户组

-G变更扩展用户组

续表

参数作用

-L锁定用户禁止其登录系统

-U解锁用户，允许其登录系统

-s变更默认终端

-u修改用户的UID

大家不要被这么多参数吓坏了。我们先来看一下账户linuxprobe的默认信息：

[root@linuxprobe ~]# id linuxprobe

uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)

然后将用户linuxprobe加入到root用户组中，这样扩展组列表中则会出现root用户组的字样，而基本组不会受到影响：

[root@linuxprobe ~]# usermod -G root linuxprobe

[root@linuxprobe ~]# id linuxprobe

uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

再来试试用-u参数修改linuxprobe用户的UID号码值。除此之外，我们还可以用-g参数修改用户的基本组ID，用-G参数修改用户扩展组ID。

[root@linuxprobe ~]# usermod -u 8888 linuxprobe

[root@linuxprobe ~]# id linuxprobe

uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

5.1.4passwd命令

passwd命令用于修改用户密码、过期时间、认证信息等，格式为“passwd [选项] [用户名]”。

普通用户只能使用passwd命令修改自身的系统密码，而root管理员则有权限修改其他所有人的密码。更酷的是，root管理员在Linux系统中修改自己或他人的密码时不需要验证旧密码，这一点特别方便。既然root管理员可以修改其他用户的密码，就表示完全拥有该用户的管理权限。passwd命令中可用的参数以及作用如表5-3所示。

表5-3                                              passwd命令中的参数以及作用

参数作用

-l锁定用户，禁止其登录

-u解除锁定，允许用户登录

--stdin允许通过标准输入修改用户密码，如echo  "NewPassWord" | passwd --stdin Username

-d使该用户可用空密码登录系统

-e强制用户在下次登录时修改密码

-S显示用户的密码是否被锁定，以及密码所采用的加密算法名称

接下来刘遄老师将演示如何修改用户自己的密码，以及如何修改其他人的密码（修改他人密码时，需要具有root管理员权限）：

[root@linuxprobe ~]#passwd

Changing password for user root.

New password: 此处输入密码值

Retype new password: 再次输入进行确认

passwd: all authentication tokens updated successfully.

[root@linuxprobe ~]#passwd linuxprobe

Changing password for user linuxprobe.

New password: 此处输入密码值

Retype new password: 再次输入进行确认

passwd: all authentication tokens updated successfully.

假设您有位同事正在度假，而且假期很长，那么可以使用passwd命令禁止该用户登录系统，等假期结束回归工作岗位时，再使用该命令允许用户登录系统，而不是将其删除。这样既保证了这段时间内系统的安全，也避免了频繁添加、删除用户带来的麻烦：

[root@linuxprobe ~]# passwd -l linuxprobe

Locking password for user linuxprobe.

passwd: Success

[root@linuxprobe ~]# passwd -S linuxprobe

linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked.)

[root@linuxprobe ~]# passwd -u linuxprobe

Unlocking password for user linuxprobe.

passwd: Success

[root@linuxprobe ~]# passwd -S linuxprobe

linuxprobe PS 2017-12-26 0 99999 7 -1 (Password set, SHA512 crypt.)

5.1.5userdel命令

userdel命令用于删除用户，格式为“userdel [选项] 用户名”。

如果我们确认某位用户后续不再会登录到系统中，则可以通过userdel命令删除该用户的所有信息。在执行删除操作时，该用户的家目录默认会保留下来，此时可以使用-r参数将其删除。userdel命令的参数以及作用如表5-4所示。

表5-4                                                userdel命令的参数以及作用

参数作用

-f强制删除用户

-r同时删除用户及用户家目录

下面使用userdel命令将linuxprobe用户删除，其操作如下：

[root@linuxprobe ~]# id linuxprobe

uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

[root@linuxprobe ~]# userdel -r linuxprobe

[root@linuxprobe ~]# id linuxprobe

id: linuxprobe: no such user