05 Linux系统下的用户以及用户权限管理（权限管理介绍、用户管理、常见命令介绍）

　　这一节我们介绍Linux的用户以及权限管理的前半段，包括：1、权限管理介绍；　　2、用户管理；　　3、常见命令

权限管理介绍

　　权限管理：

　　为了访问计算机资源，我们需要对其进行授权才能访问，根据什么东西来进行授权呢？这样就有了用户的概念；一般情况下我们都是基于用户来进行计算机资源的授权，而为了更好的管理这些用户，具有同一属性的用户我们归为同一组，这就是用户组；对于一个文件而言，它有自己的属主（也就是某一个用户），也有它自己的属组（也就是该用户所在的用户组），也有即不是他的属主也不是属组的其他用户的权限，这段权限我们统称为其他用户；

　　属主、属组和其他用户就是我们Linux系统下文件的三个权限段；

　　而用户与用户组的概念则是为了方便人类识别而取名的，对于计算机而言，则是查看用户与用户组对应的UID以及GID来识别用户与用户组；

　　安全上下文关系（secure context）：

　　进程启动是依托于用户的！！！每个进程启动是要借助于这个用户，而这个用户启动的这个进程的权限也来源于这个用户的权限！！！；

　　而对应进程调用的文件而言，文件又有它自己本身的权限，这个权限；

　　整个任务是否能完成，就取决于两点：（对上）启动该进程用户的权限，（对下）程序调用的文件的权限。而这两点就是我们所说的安全上下文关系（secure context）；

　　权限：

　　到底什么是权限呢？常见的权限有rwx，读写执行（还有一些特殊权限位在之后介绍）；

　　rwx对于文件而言：可读，代表可以使用类似于cat等命令查看文件内容；可写，代表可以通过vi或者echo编辑以及rm删除此文件；可执行，exacutable，表示可以将该文件当做命令提交给kernel执行；

　　rwx对于目录而言：可读，代表可以对此目录执行ls来列出内部的所有文件；可写，代表可以在此目录下创建子目录；可执行，表示可以使用cd来切换进此目录，也可以使用ls -l查看文件内部子目录以及子文件的详细信息；

　　文件权限分为三段：在介绍ls命令的时候我们提到过，如上图：查看a这个目录的权限--rwx代表属主，中间r-x代表属组，最后r-x代表其他用户；

　　其中，这些权限位可以通过8进制表示显示显示出来：

000	0	---	无权限
001	1	--x	仅能执行
010	2	-w-	仅能写
011	3	-wx	可写可执行
100	4	r--	仅能读
101	5	r-x	读执行权限
110	6	rw-	读写权限
111	7	rwx	读写执行权限

　　上图中a的权限则为：对于属主有读写执行权限，对于属组有读和执行权限，对于其他用户也是读和执行权限；

用户管理

用户

　　用户分为两类：管理员与普通用户，管理员则是root用户，而普通用户又分为系统用户和一般用户，root这里我们不用过多介绍，只需要知道root的UID为0不能修改，它具有最大的权限即可，我们重点介绍普通用户；

　　1、系统用户：系统用户的UID一般为1-499(linux6到了7版本为1-999)，这些用户时系统后台进程运行的时候所需要的用户，这类用户不用来登录系统，所以我们看到的shell程序定义为了/bin/nologin；

　　2、一般用户：这类用户的UID一般为500-60000，这类用户就是用来做系统管理，做计算机资源的分配；

用户组

　　用户一般属于用户组！而每一个用户都会属于一个组或者多个组，而这些组对于用户而言，则分为基本组和额外组（额外组也叫做附加组），一般创建用户的时候，如果没有指定组，则会自动为这个用户创建一个同名的组，我们叫这个组为私有组；

常见文件

　　/etc/passwd、/etc/group、/etc/shadow、/etc/gshadow

　　/etc/passwd：用来存放用户的相关信息；:为分割符（cut -d指定分割符）

　　　　第一列：用户名

　　　　第二列：密码，而这里用x代替，这里叫做填充符，真正的密码存放于/etc/shadow文件中

　　　　第三列：UID，用户ID号（0为root用户，1-499为系统用户，500-60000为一般用户）

　　　　第四列：GID，组ID号

　　　　第五列：描述，如果一个用户又多个描述内容，用 “，”隔开

　　　　第六列：用户的家目录

　　　　第七列：用户使用的shell程序，一般为/bin/bash，如果是/sbin/nologin，则这个用户时不能登录的

　　/etc/shadow：“影子文件”，用来存放密码相关内容，重点为密码本身以及密码的过期时间的定义，它同样是以“：”作为分割符；同时，通过man shadow文件可以查看相关文档说明；

　　　　第一列：用户名

　　　　第二列：密码，密码列又以$符号做为分割，分为几个内容（以hive用户为例）

　　　　　　这里的6代表md5的hash方式

　　　　　　/toyUKZI　　则为随机产生的“盐”，用来使相同的密码在做hash后能得到不同的128位字符；

　　　　　　最后一段乱码为“密码+盐”进行md5 hash后的结果存放在这里；

　　　　　　md5sum 文件名　　#生成一段MD5的hash码

　　　　（从第三列开始则是对密码一系列的时间定义）

　　　　第三列：(date of last password change)从系统元年（1970-01-01）到最近一次修改密码的时间；

　　　　第四列：(minimum password age)密码的最短使用期限，让你的密码先用两天才能去改；

　　　　第五列：(maximum password age)密码使用的最长期限，这个密码用了多少天以后必须修改；

　　　　第六列：(password warning period)密码过期警告时间，还有多少天密码就要过期了，警告用户需要修改密码了；

　　　　第七列：(password inactivity period)在密码过期以后，还宽限几天，而这几天以登录就必须修改密码，无法做其他的操作；

　　　　第八列：(account expiration date)从1970-01-01开始算起，到达目标时间以后就直接过期，不能再使用；

　　　　其中99999表示永不过期；

　　　　【reserved field，在文件的最后还有一列保留位】

　　

　　/etc/group：组文件，里面存放了Linux系统下组信息；包括组名、组密码（占位符）、GID、和存放在这个组中的用户（如果对于用户而言，这个组时它的私有组，则不会显示在这里，只有是附加组的时候才会显示）；

　　/etc/gshadow：组密码文件，在用户需要临时组权限的时候，这时，我们就需要切换组（newgrp 组名），这时就需要为组设置密码；

常见命令

用户管理：useradd、userdel、usermod、passwd、chsh、chfn、finger、id、chage

组管理：groupadd、groupdel、groupmod、gpasswd

权限管理：chown、chgrp、chmod、umask