一文掌握linux系统用户、组和文件权限管理

在linux系统日常操作中，包括shell和python自动运维脚本的编写中，经常涉及的操作就是对用户、组和文件等的权限管理，因为这些基础的工作涉及文件的安全，甚至涉及到系统的安全；因此熟练掌握这部分的内容是作为一名it运维人员的必修课。

一、配置文件

1、/etc/passwd存储用户关键信息；

用户名:密码:uid:gid:用户注释:家目录:默认登录的shell

2、/etc/shadow存储用户密码信息；

用户名:加密存储的密码(!没有设置密码):最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段。

关于时间的说明：Linux计算日期的时间是以1970年1月1日作为1不断累加得到的时间。这里显示19300天，也就是说此账号在1970年1月1日之后的第19300天修改的用户密码。

3、/etc/group存储用户组关键信息；

组名:组密码(很少用):gid:组内用户

一个用户只有一个主组（默认组），但可以属于0个或多个附加组；

二、命令使用

1、语法：useradd [选项] username，创建新用户；选项：-d指定某个目录成为家目录，-g指定用户所属的用户组，-u指定一个特定的UID，-M强制不创建用户家目录，-c添加用户注释，-s指定用户登录时使用的shell；

2、语法：passwd username，为用户设置密码；su username切换用户时需输入正确的密码；

3、语法：usermod [选项] username，修改用户信息；选项：-G设置一个附加组，-g修改用户组，-u修改用户的UID，-l修改用户名，-d修改用户家目录，-s修改用户登录使用的shell；usermod -g 1000 username修改用户的GID是1000(主组)；id username确认用户相关信息；

《例》：

usermod -l newusername oldusername #修改用户名；

usermod -G addgroupname username #为用户指定附加组；

4、语法：gpasswd [选项]，添加删除附加组信息；选项：-a username给用户添加附加组，-d username给用户删除附加组；

《例》：gpasswd -d username groupname；

5、语法：userdel [选项] username，删除用户；选项：-r删除用户的同时删除用户的主目录；

6、语法：groupadd [选项] groupname，创建用户组；选项：-g设置GID；

7、语法：groupmod [选项] groupname，修改组信息；选项：-g设置自定义一个GID，-n设置新的组名；

《例》：groupmod -n newgroupname oldgroupname修改组名；

8、语法：groupdel groupname，删除用户组；

三、文件权限管理

linux中将文档存/取访问身份分为3个级别，owner拥有者、group所属组(拥有者所属的主)、other其他用户(拥有者和所属组内用户以外的用户)、root用户，指超级管理员拥有最高权限的用户，设置文档权限不必考虑root用户；三种身份各有read(dir:ls;file:cat,less),write(dir:touch,mkdir,move;file:edit)，execute(dir:cd;file:run)的权限；文件的读写可执行权限(r,w,x)分别对应的数字是，r:4,w:2,x:1；若要有w权限就必须得有r的权限；实际工作中不要设置单独2,3的权限；

-/---/---/---：文件类型(-普通文件，d目录，l软连接，b块设备，c字符设备)/拥有者的权限/所属组的权限/其他人的权限；

1、语法：chmod [选项] 权限模式(ugoa+-=rwx) filename(文件或文件夹)，修改文档的权限；选项：-R文档类型为文件夹的时候递归设置权限；给文档设置权限的操作者必须是root或文档的拥有者；设置权限时没有指定身份，默认给所有身份设置；同时设置多个身份权限时，每个身份之间通过，号分开；chmod [选项] nnn filename，数字权限形式；r-4/w-2/x-1/无权限-0；-R文档类型为文件夹的时候递归设置权限；

《例》：把文件夹picture的所属组添加w权限；

chmod -R g+w picture

ls -d 目录名 -l，查看指定目录的权限信息；

四、所有者和所属组管理

1、语法：chown [选项] 所有者[:所属组] filename(文件或目录名)，修改文件或目录的所有者和所属组；选项：-R递归设置权限，为目录中的子目录及所有文件设置权限；普通用户不能修改文件的所有者，即使自己是这个文件的所有者也不行；

2、语法：chgrp [选项] 所属组 filename(文件或目录名)，修改文件的所属组；选项：-R递归设置权限；

3、umask遮罩码

语法：umask默认权限；表示文档权限的反向掩码，遮罩码；

umask显示umask权限0022，即可获取新建文件和目录的默认权限；新建文件的默认权限644；新建目录的默认权限755；

4、说明

对文件来讲，新建文件的默认最大权限是666，没有执行权限。因为执行权限(x)对文件来讲比较危险，不能在新建文件的时候默认赋予，而必须通过用户手工赋予。

对目录来讲，新建目录的默认最大权限是777，因为对目录而言，执行权限(x)仅仅代表进入目录，所以即使建立目录时直接就默认赋予也没有危险。