PHP之Linux(四) 使用者組與訪問許可權
使用者使用者組
概述
Linux系統是一個多使用者多工的分時作業系統,任何一個要使用系統資源的使用者,都必須首先向系統管理員申請一個賬號,然後以這個賬號的身份進入系統。
使用者的賬號一方面可以幫助系統管理員對使用系統的使用者進行跟蹤,並控制他們對系統資源的訪問;另一方面也可以幫助使用者組織檔案,併為使用者提供安全性保護。
每個使用者賬號都擁有一個惟一的使用者名稱和各自的口令。
使用者在登入時鍵入正確的使用者名稱和口令後,就能夠進入系統和自己的主目錄。
實現使用者賬號的管理,要完成的工作主要有如下幾個方面:
- 使用者賬號的新增、刪除與修改。
- 使用者口令的管理。
- 使用者組的管理。
Linux系統使用者賬號的管理
使用者賬號的管理工作主要涉及到使用者賬號的新增、修改和刪除。
新增使用者賬號就是在系統中建立一個新賬號,然後為新賬號分配使用者號、使用者組、主目錄和登入Shell等資源。剛新增的賬號是被鎖定的,無法使用。
新增使用者
新增新的使用者賬號使用useradd命令,其語法如下:
useradd 選項 使用者名稱
引數說明:
選項:
-c comment 指定一段註釋性描述。
-d 目錄 指定使用者主目錄,如果此目錄不存在,則同時使用-m選項,可以建立主目錄。
-g 使用者組 指定使用者所屬的使用者組。
-G 使用者組,使用者組 指定使用者所屬的附加組。
-s Shell檔案 指定使用者的登入Shell。
-u 使用者號 指定使用者的使用者號,如果同時有-o選項,則可以重複使用其他使用者的標識號。
使用者名稱:
指定新賬號的登入名。
例項1
# useradd –d /usr/sam -m sam
此命令建立了一個使用者sam,其中-d和-m選項用來為登入名sam產生一個主目錄/usr/sam(/usr為預設的使用者主目錄所在的父目錄)。
例項2
# useradd -s /bin/sh -g group –G adm,root gem
此命令新建了一個使用者gem,該使用者的登入Shell是 /bin/sh,它屬於group使用者組,同時又屬於adm和root使用者組,其中group使用者組是其主組。
這裡可能新建組:#groupadd group及groupadd adm
增加使用者賬號就是在/etc/passwd檔案中為新使用者增加一條記錄,同時更新其他系統檔案如/etc/shadow, /etc/group等。
Linux提供了整合的系統管理工具userconf,它可以用來對使用者賬號進行統一管理。
刪除帳號
如果一個使用者的賬號不再使用,可以從系統中刪除。刪除使用者賬號就是要將/etc/passwd等系統檔案中的該使用者記錄刪除,必要時還刪除使用者的主目錄。
刪除一個已有的使用者賬號使用userdel命令,其格式如下:
userdel 選項 使用者名稱
常用的選項是-r,它的作用是把使用者的主目錄一起刪除。
例如:
# userdel sam
此命令刪除使用者sam在系統檔案中(主要是/etc/passwd, /etc/shadow, /etc/group等)的記錄,同時刪除使用者的主目錄。
修改帳號
修改使用者賬號就是根據實際情況更改使用者的有關屬性,如使用者號、主目錄、使用者組、登入Shell等。
修改已有使用者的資訊使用usermod命令,其格式如下:
usermod 選項 使用者名稱
常用的選項包括-c, -d, -m, -g, -G, -s, -u以及-o等,這些選項的意義與useradd命令中的選項一樣,可以為使用者指定新的資源值。
另外,有些系統可以使用選項:-l 新使用者名稱
這個選項指定一個新的賬號,即將原來的使用者名稱改為新的使用者名稱。
例如:
# usermod -s /bin/ksh -d /home/z –g developer sam
此命令將使用者sam的登入Shell修改為ksh,主目錄改為/home/z,使用者組改為developer。
使用者口令的管理
使用者管理的一項重要內容是使用者口令的管理。使用者賬號剛建立時沒有口令,但是被系統鎖定,無法使用,必須為其指定口令後才可以使用,即使是指定空口令。
指定和修改使用者口令的Shell命令是passwd。超級使用者可以為自己和其他使用者指定口令,普通使用者只能用它修改自己的口令。命令的格式為:
passwd 選項 使用者名稱
可使用的選項:
-l 鎖定口令,即禁用賬號。
-u 口令解鎖。
-d 使賬號無口令。
-f 強迫使用者下次登入時修改口令。
如果預設使用者名稱,則修改當前使用者的口令。
例如,假設當前使用者是sam,則下面的命令修改該使用者自己的口令:
$ passwd
Old password:******
New password:*******
Re-enter new password:*******
如果是超級使用者,可以用下列形式指定任何使用者的口令:
# passwd sam
New password:*******
Re-enter new password:*******
普通使用者修改自己的口令時,passwd命令會先詢問原口令,驗證後再要求使用者輸入兩遍新口令,如果兩次輸入的口令一致,則將這個口令指定給使用者;而超級使用者為使用者指定口令時,就不需要知道原口令。
為了系統安全起見,使用者應該選擇比較複雜的口令,例如最好使用8位長的口令,口令中包含有大寫、小寫字母和數字,並且應該與姓名、生日等不相同。
為使用者指定空口令時,執行下列形式的命令:
# passwd -d sam
此命令將使用者sam的口令刪除,這樣使用者sam下一次登入時,系統就不再詢問口令。
passwd命令還可以用-l(lock)選項鎖定某一使用者,使其不能登入,例如:
# passwd -l sam
Linux系統使用者組的管理
每個使用者都有一個使用者組,系統可以對一個使用者組中的所有使用者進行集中管理。不同Linux 系統對使用者組的規定有所不同,如Linux下的使用者屬於與它同名的使用者組,這個使用者組在建立使用者時同時建立。
使用者組的管理涉及使用者組的新增、刪除和修改。組的增加、刪除和修改實際上就是對/etc/group檔案的更新。
增加使用者組
增加一個新的使用者組使用groupadd命令。其格式如下:
groupadd 選項 使用者組
可以使用的選項有:
-g GID 指定新使用者組的組標識號(GID)。
-o 一般與-g選項同時使用,表示新使用者組的GID可以與系統已有使用者組的GID相同。
例項1:
# groupadd group1
此命令向系統中增加了一個新組group1,新組的組標識號是在當前已有的最大組標識號的基礎上加1。
例項2:
# groupadd -g 101 group2
此命令向系統中增加了一個新組group2,同時指定新組的組標識號是101。
刪除使用者組
如果要刪除一個已有的使用者組,使用groupdel命令,其格式如下:
groupdel 使用者組
例如:
# groupdel group1
此命令從系統中刪除組group1。
修改使用者組
修改使用者組的屬性使用groupmod命令。其語法如下:
groupmod 選項 使用者組
常用的選項有:
-g GID 為使用者組指定新的組標識號。
-o 與-g選項同時使用,使用者組的新GID可以與系統已有使用者組的GID相同。
-n新使用者組 將使用者組的名字改為新名字
例項1:
# groupmod -g 102 group2
此命令將組group2的組標識號修改為102。
例項2:
# groupmod –g 10000 -n group3 group2
此命令將組group2的標識號改為10000,組名修改為group3。
使用者組切換
如果一個使用者同時屬於多個使用者組,那麼使用者可以在使用者組之間切換,以便具有其他使用者組的許可權。
使用者可以在登入後,使用命令newgrp切換到其他使用者組,這個命令的引數就是目的使用者組。例如:
$ newgrp root
這條命令將當前使用者切換到root使用者組,前提條件是root使用者組確實是該使用者的主組或附加組。類似於使用者賬號的管理,使用者組的管理也可以通過整合的系統管理工具來完成。
與使用者賬號有關的系統檔案
完成使用者管理的工作有許多種方法,但是每一種方法實際上都是對有關的系統檔案進行修改。
與使用者和使用者組相關的資訊都存放在一些系統檔案中,這些檔案包括/etc/passwd, /etc/shadow, /etc/group等。
下面分別介紹這些檔案的內容。
/etc/passwd檔案
/etc/passwd檔案 是使用者管理工作涉及的最重要的一個檔案。
Linux系統中的每個使用者都在/etc/passwd檔案中有一個對應的記錄行,它記錄了這個使用者的一些基本屬性。
這個檔案對所有使用者都是可讀的。它的內容類似下面的例子:
# cat /etc/passwd
root:x:0:0:Superuser:/:
daemon:x:1:1:System daemons:/etc:
bin:x:2:2:Owner of system commands:/bin:
sys:x:3:3:Owner of system files:/usr/sys:
adm:x:4:4:System accounting:/usr/adm:
uucp:x:5:5:UUCP administrator:/usr/lib/uucp:
auth:x:7:21:Authentication administrator:/tcb/files/auth:
cron:x:9:16:Cron daemon:/usr/spool/cron:
listen:x:37:4:Network daemon:/usr/net/nls:
lp:x:71:18:Printer administrator:/usr/spool/lp:
sam:x:200:50:Sam san:/usr/sam:/bin/sh
從上面的例子我們可以看到,/etc/passwd中一行記錄對應著一個使用者,每行記錄又被冒號(:)分隔為7個欄位,其格式和具體含義如下:
使用者名稱:口令:使用者標識號:組標識號:註釋性描述:主目錄:登入Shell
- 1)”使用者名稱”是代表使用者賬號的字串。
通常長度不超過8個字元,並且由大小寫字母和/或數字組成。登入名中不能有冒號(:),因為冒號在這裡是分隔符。
為了相容起見,登入名中最好不要包含點字元(.),並且不使用連字元(-)和加號(+)打頭。
- 2)“口令”一些系統中,存放著加密後的使用者口令字。
雖然這個欄位存放的只是使用者口令的加密串,不是明文,但是由於/etc/passwd檔案對所有使用者都可讀,所以這仍是一個安全隱患。因此,現在許多Linux 系統(如SVR4)都使用了shadow技術,把真正的加密後的使用者口令字存放到/etc/shadow檔案中,而在/etc/passwd檔案的口令欄位中只存放一個特殊的字元,例如“x”或者“*”。
- 3)“使用者標識號”是一個整數,系統內部用它來標識使用者。
一般情況下它與使用者名稱是一一對應的。如果幾個使用者名稱對應的使用者標識號是一樣的,系統內部將把它們視為同一個使用者,但是它們可以有不同的口令、不同的主目錄以及不同的登入Shell等。
通常使用者標識號的取值範圍是0~65 535。0是超級使用者root的標識號,1~99由系統保留,作為管理賬號,普通使用者的標識號從100開始。在Linux系統中,這個界限是500。
- 4)“組標識號”欄位記錄的是使用者所屬的使用者組。
它對應著/etc/group檔案中的一條記錄。
- 5)“註釋性描述”欄位記錄著使用者的一些個人情況。
例如使用者的真實姓名、電話、地址等,這個欄位並沒有什麼實際的用途。在不同的Linux 系統中,這個欄位的格式並沒有統一。在許多Linux系統中,這個欄位存放的是一段任意的註釋性描述文字,用做finger命令的輸出。
- 6)“主目錄”,也就是使用者的起始工作目錄。
它是使用者在登入到系統之後所處的目錄。在大多數系統中,各使用者的主目錄都被組織在同一個特定的目錄下,而使用者主目錄的名稱就是該使用者的登入名。各使用者對自己的主目錄有讀、寫、執行(搜尋)許可權,其他使用者對此目錄的訪問許可權則根據具體情況設定。
- 7)使用者登入後,要啟動一個程序,負責將使用者的操作傳給核心,這個程序是使用者登入到系統後執行的命令直譯器或某個特定的程式,即Shell。
Shell是使用者與Linux系統之間的介面。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。
系統管理員可以根據系統情況和使用者習慣為使用者指定某個Shell。如果不指定Shell,那麼系統使用sh為預設的登入Shell,即這個欄位的值為/bin/sh。
使用者的登入Shell也可以指定為某個特定的程式(此程式不是一個命令直譯器)。
利用這一特點,我們可以限制使用者只能執行指定的應用程式,在該應用程式執行結束後,使用者就自動退出了系統。有些Linux 系統要求只有那些在系統中登記了的程式才能出現在這個欄位中。
- 8)系統中有一類使用者稱為偽使用者(psuedo users)。
這些使用者在/etc/passwd檔案中也佔有一條記錄,但是不能登入,因為它們的登入Shell為空。它們的存在主要是方便系統管理,滿足相應的系統程序對檔案屬主的要求。
常見的偽使用者如下所示:
偽 用 戶 含 義
bin 擁有可執行的使用者命令檔案
sys 擁有系統檔案
adm 擁有帳戶檔案
uucp UUCP使用
lp lp或lpd子系統使用
nobody NFS使用
擁有帳戶檔案
1、除了上面列出的偽使用者外,還有許多標準的偽使用者,例如:audit, cron, mail, usenet等,它們也都各自為相關的程序和檔案所需要。
由於/etc/passwd檔案是所有使用者都可讀的,如果使用者的密碼太簡單或規律比較明顯的話,一臺普通的計算機就能夠很容易地將它破解,因此對安全性要求較高的Linux系統都把加密後的口令字分離出來,單獨存放在一個檔案中,這個檔案是/etc/shadow檔案。 有超級使用者才擁有該檔案讀許可權,這就保證了使用者密碼的安全性。
2、/etc/shadow中的記錄行與/etc/passwd中的一一對應,它由pwconv命令根據/etc/passwd中的資料自動產生
它的檔案格式與/etc/passwd類似,由若干個欄位組成,欄位之間用”:”隔開。這些欄位是:
登入名:加密口令:最後一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標誌
“登入名”是與/etc/passwd檔案中的登入名相一致的使用者賬號
“口令”欄位存放的是加密後的使用者口令字,長度為13個字元。如果為空,則對應使用者沒有口令,登入時不需要口令;如果含有不屬於集合 { ./0-9A-Za-z }中的字元,則對應的使用者不能登入。
“最後一次修改時間”表示的是從某個時刻起,到使用者最後一次修改口令時的天數。時間起點對不同的系統可能不一樣。例如在SCO Linux 中,這個時間起點是1970年1月1日。
“最小時間間隔”指的是兩次修改口令之間所需的最小天數。
“最大時間間隔”指的是口令保持有效的最大天數。
“警告時間”欄位表示的是從系統開始警告使用者到使用者密碼正式失效之間的天數。
“不活動時間”表示的是使用者沒有登入活動但賬號仍能保持有效的最大天數。
“失效時間”欄位給出的是一個絕對的天數,如果使用了這個欄位,那麼就給出相應賬號的生存期。期滿後,該賬號就不再是一個合法的賬號,也就不能再用來登入了。
下面是/etc/shadow的一個例子:
# cat /etc/shadow
root:Dnakfw28zf38w:8764:0:168:7:::
daemon:*::0:0::::
bin:*::0:0::::
sys:*::0:0::::
adm:*::0:0::::
uucp:*::0:0::::
nuucp:*::0:0::::
auth:*::0:0::::
cron:*::0:0::::
listen:*::0:0::::
lp:*::0:0::::
sam:EkdiSECLWPdSa:9740:0:0::::
/etc/group檔案
3、使用者組的所有資訊都存放在/etc/group檔案中。
將使用者分組是Linux 系統中對使用者進行管理及控制訪問許可權的一種手段。
每個使用者都屬於某個使用者組;一個組中可以有多個使用者,一個使用者也可以屬於不同的組。
當一個使用者同時是多個組中的成員時,在/etc/passwd檔案中記錄的是使用者所屬的主組,也就是登入時所屬的預設組,而其他組稱為附加組。
使用者要訪問屬於附加組的檔案時,必須首先使用newgrp命令使自己成為所要訪問的組中的成員。
使用者組的所有資訊都存放在/etc/group檔案中。此檔案的格式也類似於/etc/passwd檔案,由冒號(:)隔開若干個欄位,這些欄位有:
組名:口令:組標識號:組內使用者列表
“組名”是使用者組的名稱,由字母或數字構成。與/etc/passwd中的登入名一樣,組名不應重複。
“口令”欄位存放的是使用者組加密後的口令字。一般Linux 系統的使用者組都沒有口令,即這個欄位一般為空,或者是*。
“組標識號”與使用者標識號類似,也是一個整數,被系統內部用來標識組。
“組內使用者列表”是屬於這個組的所有使用者的列表/b],不同使用者之間用逗號(,)分隔。這個使用者組可能是使用者的主組,也可能是附加組。
/etc/group檔案的一個例子如下:
root::0:root
bin::2:root,bin
sys::3:root,uucp
adm::4:root,adm
daemon::5:root,daemon
lp::7:root,lp
users::20:root,sam
新增批量使用者
新增和刪除使用者對每位Linux系統管理員都是輕而易舉的事,比較棘手的是如果要新增幾十個、上百個甚至上千個使用者時,我們不太可能還使用useradd一個一個地新增,必然要找一種簡便的建立大量使用者的方法。Linux系統提供了建立大量使用者的工具,可以讓您立即建立大量使用者,方法如下:
(1)先編輯一個文字使用者檔案。
每一列按照/etc/passwd密碼檔案的格式書寫,要注意每個使用者的使用者名稱、UID、宿主目錄都不可以相同,其中密碼欄可以留做空白或輸入x號。一個範例檔案user.txt內容如下:
user001::600:100:user:/home/user001:/bin/bash
user002::601:100:user:/home/user002:/bin/bash
user003::602:100:user:/home/user003:/bin/bash
user004::603:100:user:/home/user004:/bin/bash
user005::604:100:user:/home/user005:/bin/bash
user006::605:100:user:/home/user006:/bin/bash
(2)以root身份執行命令 /usr/sbin/newusers,從剛建立的使用者檔案user.txt中匯入資料,建立使用者:
# newusers < user.txt
然後可以執行命令 vipw 或 vi /etc/passwd 檢查 /etc/passwd 檔案是否已經出現這些使用者的資料,並且使用者的宿主目錄是否已經建立。
(3)執行命令/usr/sbin/pwunconv。
將 /etc/shadow 產生的 shadow 密碼解碼,然後回寫到 /etc/passwd 中,並將/etc/shadow的shadow密碼欄刪掉。這是為了方便下一步的密碼轉換工作,即先取消 shadow password 功能。
# pwunconv
(4)編輯每個使用者的密碼對照檔案。
範例檔案 passwd.txt 內容如下:
user001:密碼
user002:密碼
user003:密碼
user004:密碼
user005:密碼
user006:密碼
(5)以root身份執行命令 /usr/sbin/chpasswd。
建立使用者密碼,chpasswd 會將經過 /usr/bin/passwd 命令編碼過的密碼寫入 /etc/passwd 的密碼欄。
# chpasswd < passwd.txt
(6)確定密碼經編碼寫入/etc/passwd的密碼欄後。
執行命令 /usr/sbin/pwconv 將密碼編碼為 shadow password,並將結果寫入 /etc/shadow。
# pwconv
這樣就完成了大量使用者的建立了,之後您可以到/home下檢查這些使用者宿主目錄的許可權設定是否都正確,並登入驗證使用者密碼是否正確。
使用者切換相關命令
who
Linux who命令用於顯示系統中有哪些使用者正在上面,顯示的資料包含了使用者 ID、使用的終端機、從哪邊連上來的、上線時間、呆滯時間、CPU 使用量、動作等等。
使用許可權:所有使用者都可使用。
語法
who - [husfV] [user]
引數說明:
- -h : 不要顯示標題列
- -u : 不要顯示使用者的動作/工作
- -s : 使用簡短的格式來顯示
- -f : 不要顯示使用者的上線位置
- -V : 顯示程式版本
例項
顯示當前登入系統的使用者
# who //顯示當前登入系統的使用者
root tty7 2014-05-13 12:12 (:0)
root pts/0 2014-05-14 17:09 (:0.0)
root pts/1 2014-05-14 18:51 (192.168.1.17)
root pts/2 2014-05-14 19:48 (192.168.1.17)
顯示標題欄
# who -H
NAME LINE TIME COMMENT
root tty7 2014-05-13 12:12 (:0)
root pts/0 2014-05-14 17:09 (:0.0)
root pts/1 2014-05-14 18:51 (192.168.1.17)
root pts/2 2014-05-14 19:48 (192.168.1.17)
顯示使用者登入來源
# who -l -H
NAME LINE TIME IDLE PID COMMENT
LOGIN tty4 2014-05-13 12:11 852 id=4
LOGIN tty5 2014-05-13 12:11 855 id=5
LOGIN tty2 2014-05-13 12:11 862 id=2
LOGIN tty3 2014-05-13 12:11 864 id=3
LOGIN tty6 2014-05-13 12:11 867 id=6
LOGIN tty1 2014-05-13 12:11 1021 id=1
顯示終端屬性
# who -T -H
NAME LINE TIME COMMENT
root + tty7 2014-05-13 12:12 (:0)
root + pts/0 2014-05-14 17:09 (:0.0)
root - pts/1 2014-05-14 18:51 (192.168.1.17)
root - pts/2 2014-05-14 19:48 (192.168.1.17)
只顯示當前使用者
# who -m -H
NAME LINE TIME COMMENT
root pts/1 2014-05-14 18:51 (192.168.1.17)
精簡模式顯示
# who -q
root root root root
# users=4
w
w命令用於顯示目前登入系統的使用者資訊。
執行這項指令可得知目前登入系統的使用者有哪些人,以及他們正在執行的程式。
單獨執行 w 指令會顯示所有的使用者,您也可指定使用者名稱稱,僅顯示某位使用者的相關資訊。
語法
w [-fhlsuV][使用者名稱稱]
引數說明:
- -f 開啟或關閉顯示使用者從何處登入系統。
- -h 不顯示各欄位的標題資訊列。
- -l 使用詳細格式列表,此為預設值。
- -s 使用簡潔格式列表,不顯示使用者登入時間,終端機階段作業和程式所耗費的CPU時間。
- -u 忽略執行程式的名稱,以及該程式耗費CPU時間的資訊。
- -V 顯示版本資訊。
例項
顯示當前使用者
w //顯示當前使用者,不顯示登入位置
19:50:14 up 9:27, 4 users, load average: 0.31, 0.26, 0.18
USER TTY FROM [email protected] IDLE JCPU PCPU WHAT
root tty7 :0 Thu12 31:39m 10:10 0.60s gnome-session
root pts/0 :0.0 17:09 2:18m 15.26s 0.15s bash
root pts/1 192.168.1.17 18:51 1.00s 1.24s 0.14s -bash
root pts/2 192.168.1.17 19:48 60.00s 0.05s 0.05s -bash
不顯示登入位置
w -f
19:53:59 up 9:31, 4 users, load average: 0.05, 0.16, 0.15
USER TTY [email protected] IDLE JCPU PCPU WHAT
root tty7 Thu12 31:43m 10:10 0.60s gnome-session
root pts/0 17:09 2:21m 15.26s 0.15s bash
root pts/1 18:51 0.00s 1.04s 0.14s -bash
root pts/2 19:48 4:45 0.05s 0.05s -bash
以精簡模式顯示
w -s
19:54:37 up 9:31, 4 users, load average: 0.24, 0.19, 0.16
USER TTY FROM IDLE WHAT
root tty7 :0 31:43m gnome-session
root pts/0 :0.0 2:22m bash
root pts/1 192.168.1.17 0.00s -bash
root pts/2 192.168.1.17 5:23 -bash
不顯示標題
w -h
root tty7 :0 Thu12 31:44m 10:10 0.60s gnome-session
root pts/0 :0.0 17:09 2:23m 15.26s 0.15s bash
root pts/1 192.168.1.17 18:51 0.00s 1.05s 0.14s -bash
root pts/2 192.168.1.17 19:48 5:54 0.05s 0.05s -bash
su
su命令用於變更為其他使用者的身份,除 root 外,需要鍵入該使用者的密碼。
使用許可權:所有使用者。
語法
su [-fmp] [-c command] [-s shell] [--help] [--version] [-] [USER [ARG]]
引數說明:
- -f 或 –fast 不必讀啟動檔(如 csh.cshrc 等),僅用於 csh 或 tcsh
- -m -p 或 –preserve-environment 執行 su 時不改變環境變數
- -c command 或 –command=command 變更為帳號為 USER 的使用者並執行指令(command)後再變回原來使用者
- -s shell 或 –shell=shell 指定要執行的 shell (bash csh tcsh 等),預設值為 /etc/passwd 內的該使用者(USER) shell
- -l 或 –login 這個引數加了之後,就好像是重新 login 為該使用者一樣,大部份環境變數(HOME SHELL USER等等)都是以該使用者(USER)為主,並且工作目錄也會改變,如果沒有指定 USER ,內定是 root
- USER 欲變更的使用者帳號
- ARG 傳入新的 shell 引數
例項
變更帳號為 root 並在執行 ls 指令後退出變回原使用者
su -c ls root
變更帳號為 root 並傳入 -f 引數給新執行的 shell
su root -f
變更帳號為 clsung 並改變工作目錄至 clsung 的家目錄(home dir)
su - clsung
切換使用者
hnlinux@w3cschool.cc:~$ whoami //顯示當前使用者
hnlinux
hnlinux@w3cschool.cc:~$ pwd //顯示當前目錄
/home/hnlinux
hnlinux@w3cschool.cc:~$ su root //切換到root使用者
密碼:
root@w3cschool.cc:/home/hnlinux# whoami
root
root@w3cschool.cc:/home/hnlinux# pwd
/home/hnlinux
切換使用者,改變環境變數
hnlinux@w3cschool.cc:~$ whoami //顯示當前使用者
hnlinux
hnlinux@w3cschool.cc:~$ pwd //顯示當前目錄
/home/hnlinux
hnlinux@w3cschool.cc:~$ su - root //切換到root使用者
密碼:
root@w3cschool.cc:/home/hnlinux# whoami
root
root@w3cschool.cc:/home/hnlinux# pwd //顯示當前目錄
/root
sudo
sudo命令以系統管理者的身份執行指令,也就是說,經由 sudo 所執行的指令就好像是 root 親自執行。
使用許可權:在 /etc/sudoers 中有出現的使用者。
語法
sudo -V
sudo -h
sudo -l
sudo -v
sudo -k
sudo -s
sudo -H
sudo [ -b ] [ -p prompt ] [ -u username/#uid] -s
sudo command
引數說明:
- -V 顯示版本編號
- -h 會顯示版本編號及指令的使用方式說明
- -l 顯示出自己(執行 sudo 的使用者)的許可權
- -v 因為 sudo 在第一次執行時或是在 N 分鐘內沒有執行(N 預設為五)會問密碼,這個引數是重新做一次確認,如果超過 N 分鐘,也會問密碼
- -k 將會強迫使用者在下一次執行 sudo 時問密碼(不論有沒有超過 N 分鐘)
- -b 將要執行的指令放在背景執行
- -p prompt 可以更改問密碼的提示語,其中 %u 會代換為使用者的帳號名稱, %h 會顯示主機名稱
- -u username/#uid 不加此引數,代表要以 root 的身份執行指令,而加了此引數,可以以 username 的身份執行指令(#uid 為該 username 的使用者號碼)
- -s 執行環境變數中的 SHELL 所指定的 shell ,或是 /etc/passwd 裡所指定的 shell
- -H 將環境變數中的 HOME (家目錄)指定為要變更身份的使用者家目錄(如不加 -u 引數就是系統管理者 root )
- command 要以系統管理者身份(或以 -u 更改為其他人)執行的指令
例項
sudo命令使用
$ sudo ls
[sudo] password for hnlinux:
hnlinux is not in the sudoers file. This incident will be reported.
指定使用者執行命令
# sudo -u userb ls -l
顯示sudo設定
$ sudo -L //顯示sudo設定
Available options in a sudoers ``Defaults'' line:
syslog: Syslog facility if syslog is being used for logging
syslog_goodpri: Syslog priority to use when user authenticates successfully
...
以root許可權執行上一條命令
$ sudo !!
以特定使用者身份進行編輯文字
$ sudo -u uggc vi ~www/index.html
//以 uggc 使用者身份編輯 home 目錄下www目錄中的 index.html 檔案
列出目前的許可權
sudo -l
列出 sudo 的版本資訊
sudo -V
訪問許可權
檔案基本屬性
Linux系統是一種典型的多使用者系統,不同的使用者處於不同的地位,擁有不同的許可權。為了保護系統的安全性,Linux系統對不同的使用者訪問同一檔案(包括目錄檔案)的許可權做了不同的規定。
在Linux中我們可以使用ll或者ls –l命令來顯示一個檔案的屬性以及檔案所屬的使用者和組,如:
[root@www /]# ls -l
total 64
dr-xr-xr-x 2 root root 4096 Dec 14 2012 bin
dr-xr-xr-x 4 root root 4096 Apr 19 2012 boot
……
例項中,bin檔案的第一個屬性用”d”表示。”d”在Linux中代表該檔案是一個目錄檔案。
在Linux中第一個字元代表這個檔案是目錄、檔案或連結檔案等等。
- 當為[ d ]則是目錄
- 當為[ - ]則是檔案;
- 若是[ l ]則表示為連結文件(link file);
- 若是[ b ]則表示為裝置檔案裡面的可供儲存的介面裝置(可隨機存取裝置);
- 若是[ c ]則表示為裝置檔案裡面的串列埠裝置,例如鍵盤、滑鼠(一次性讀取裝置)。
接下來的字元中,以三個為一組,且均為『rwx』 的三個引數的組合。其中,[ r ]代表可讀(read)、[ w ]代表可寫(write)、[ x ]代表可執行(execute)。 要注意的是,這三個許可權的位置不會改變,如果沒有許可權,就會出現減號[ - ]而已。
每個檔案的屬性由左邊第一部分的10個字元來確定(如下圖)。
從左至右用0-9這些數字來表示。
第0位確定檔案型別,第1-3位確定屬主(該檔案的所有者)擁有該檔案的許可權。
第4-6位確定屬組(所有者的同組使用者)擁有該檔案的許可權,第7-9位確定其他使用者擁有該檔案的許可權。
其中,第1、4、7位表示讀許可權,如果用”r”字元表示,則有讀許可權,如果用”-“字元表示,則沒有讀許可權;
第2、5、8位表示寫許可權,如果用”w”字元表示,則有寫許可權,如果用”-“字元表示沒有寫許可權;第3、6、9位表示可執行許可權,如果用”x”字元表示,則有執行許可權,如果用”-“字元表示,則沒有執行許可權。
Linux檔案屬主和屬組
[root@www /]# ls -l
total 64
drwxr-xr-x 2 root root 4096 Feb 15 14:46 cron
drwxr-xr-x 3 mysql mysql 4096 Apr 21 2014 mysql
……
對於檔案來說,它都有一個特定的所有者,也就是對該檔案具有所有權的使用者。
同時,在Linux系統中,使用者是按組分類的,一個使用者屬於一個或多個組。
檔案所有者以外的使用者又可以分為檔案所有者的同組使用者和其他使用者。
因此,Linux系統按檔案所有者、檔案所有者同組使用者和其他使用者來規定了不同的檔案訪問許可權。
在以上例項中,mysql 檔案是一個目錄檔案,屬主和屬組都為 mysql,屬主有可讀、可寫、可執行的許可權;與屬主同組的其他使用者有可讀和可執行的許可權;其他使用者也有可讀和可執行的許可權。
對於 root 使用者來說,一般情況下,檔案的許可權對其不起作用。
chgrp:更改檔案屬組
chgrp命令用於變更檔案或目錄的所屬群組。可以使用chgrp指令去變更檔案與目錄的所屬群組,設定方式採用群組名稱或群組識別碼皆可。
語法:
chgrp [-cfhRv][--help][--version][所屬群組][檔案或目錄...] 或 chgrp [-cfhRv][--help][--reference=<參考檔案或目錄>][--version][檔案或目錄...]
引數選項
-c或--changes 效果類似"-v"引數,但僅回報更改的部分。
-f或--quiet或--silent 不顯示錯誤資訊。
-h或--no-dereference 只對符號連線的檔案作修改,而不更動其他任何相關檔案。
-R或--recursive 遞迴處理,將指定目錄下的所有檔案及子目錄一併處理。
-v或--verbose 顯示指令執行過程。
例項1:改變檔案的群組屬性:
chgrp -v bin log2012.log
輸出:
[root@localhost test]# ll
---xrw-r-- 1 root root 302108 11-13 06:03 log2012.log
[root@localhost test]# chgrp -v bin log2012.log
“log2012.log” 的所屬組已更改為 bin
[root@localhost test]# ll
---xrw-r-- 1 root bin 302108 11-13 06:03 log2012.log
說明: 將log2012.log檔案由root群組改為bin群組
例項2:根據指定檔案改變檔案的群組屬性
chgrp --reference=log2012.log log2013.