五、chown、chgrp命令
从名字就可以推测他们是干嘛的,但是这两个命令需要root权限。
chown命令的格式为:chown user:group file 中间的user : group三项可以根据需要省略某部分。比如现在有个文件file属于用户bob,bob的权限是rwx,而bob属于组group1,group1的权限是r。有另外一个用户jack属于group2。
chown jack file
这就把file的woner从bob改成了jack,但是file所属的群组仍然是group1。其实一开始我也觉得很混乱,这特么什么情况?权限要怎分配?但是使用“ls
-l”命令确实显示的是owner为jack,group为group1。查了一些资料后,我觉得可以这么理解:文件初创的时候,创建者拥有的权限由umask决定;本例中bob是创建者,但是当owner由bob改成jack的时候,jack直接继承bob的所有权限,无论bob后来对file的权限进行了怎样的修改,这一点我亲自敲命令验证过了。
而至于file的群组仍然是group1,意思是说,group1里面的所有成员包括原来的bob,仍然具有当初对file的权限,在本例中就是r权限。需要注意的是,此时jack并不属于group1,而仍属于group2。chown只是改变文件本身的从属,但是不改变用户与群组的从属关系,如本例中chown把file的owner改成了jack,但是并没有同时把jack拉入group1。
chown jack:group2 file
这样除了能达成上面那个命令的改变owner的效果之外,还把file的所属群组改成了group2。但是根据我们前面的分析,这里的group2并非是绑定的,即我们也可以随便改成group3。总结:user和group可以不是从属关系。然后权限的分配是:jack继承bob的所有权限,group2里的成员继承group1其他成员(除了bob以外的人)对file的所有权限。
chown jack: file
显然这里省略了groupname,那么根据惯例会有一个默认的上场,是哪个呢?根据资料显示,是login group of user jack,关于这个群组,此处省略一千字,后面会分析,我们可以粗浅的认为是jack的目前绑定的那个群组。
chown :group2 file
这个就更简单了,owner不变,但是所属群组改成了group2,意思是改组的成员继承了group1其他成员的权限。
看到这里,我发现chown已经把chgrp的活儿都干了,其实chown以前的版本是不允许改变群组的,这是chgrp存在的意义。但是现在chown升级了,chgrp就变得可有可无。它的语法跟chown是一样的,只是不能改变user而已。如,chgrp root
file,这里的root会被默认为root群组而非root用户。
六、增删用户相关指令
先说一下几个相关的设定文档,最重要的两个档案是/etc/passwd和/etc/shadow,前一个主要涉及账户名称和对应id,后者主要涉及密码。先分别查看一下他们长什么样。
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
这两行是截取的passwd的内容,以冒号作为分隔符,分成了七段:第一段是账户名称,说白了,这是给人类看的,方便记忆,而电脑却是用数字id作为索引的,passwd的作用就是把二者对应起来,像一个函数;第二段的x表示加密的密码,转移到shadow中; 第三段和第四段分别是uid和gid,即用户id和群组id;第五段是注释或描述,用来说明这个账户是干什么的;第六段是该账户的家目录所在地;第七段就是用户使用的shell程序,默认为/bin/bash,也可以设定成zsh等其他工具。
root:!:16254:0:99999:7:::
daemon:*:15994:0:99999:7:::
这是截取的shadow的内容,每行被冒号分成九段。第一段就是用户名,必须先在passwd中存在;第二段是经加密过的用特殊符号表示出来的密码;第三段表示最近那次更改密码的日期,但它的表示方法却是从1970 年 1 月 1 日起至今的天数;第四段是mindays,即保持密码稳定不变的最小天数,今当超过此限才能修改密码,故此值要不小于0;第五段为maxdays,即保持密码有效的最大天数,超过此限必须更改密码,否则账户会暂时失效,当然可以设一个很大的数字,表示密码不需要改动;第六段是warn,即密码有效期到期之前多少天向用户发出警告;第七段是inactive,指的是密码到期后还可以保持这个账户信息的天数,超过此限将会封锁账户;第八段是expire,即账号失效日期,用从1970
年 1 月 1 日算起的天数表示,超出这个天数该账户就会失效,一般用于收费系统中;第九段是reserve,即保留字段,是待开发的字段,目前没有什么用。
需要注意一下第二个字段,若密码的第一个字符是叹号或星号,则表示暂时这个账号无法登陆或不用登陆linux,一般刚加入的用户这里都是叹号,而系统服务账号则一般是星号。我们看到我的root账户对应的密码字段竟然也是叹号,这其实正好印证了前面关于ubuntu系统root账户奇葩设定的说法。
下面说说useradd命令,基本用法很简单,就是简单的 useradd name,然后就会发现在/home目录下出现了一个以name命名的文件夹,这表示这个用户的家目录等相关信息资料已然建立了,但是暂时还不能登陆,需要用passwd命令设定它的密码之后才可以登陆到linux系统。
除了这种傻瓜式的操作外,useradd还提供了一系列参数以便精细化控制用户账号的建立过程,这些参数就对应了/etc/passwd文档每行被冒号分隔的七个字段。我们分别介绍。
-u 后面跟一个uid,这个表示uid的数字还是不能乱写的,有一些讲究:首先是范围问题,有效的uid号码是从0到65535,在ubuntu中应该是到65533,因为我查看/etc/passwd时发现这么一行——nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin,我猜这最后一个已经被系统预设成了65534,所以不能超过这个数了。另外,在ubuntu中,前一千位即0~999是留给系统用户的,普通用户只能从1000开始,如装机时建立的账户信息就是这样:m:x:1000:1000:m,,,:/home/m:/bin/bash。最后就是使用的uid必须是没有被其他已经存在的账户占用的。如果不加这个参数,默认就是直接从已存在的uid中找到最大的那个加1就好。
-g 后面的参数是已经存在的群组名或其id,ubuntu默认为新建一个与username同名的群组
-c 后面跟的就是注释说明内容
-d 指定家目录所在,ubuntu默认为在/home目录下
-s 指定所使用的shell,ubuntu默认为/bin/bash
除了这些基本的参数之外,还有一些比较高级的,感兴趣的可以自己man useradd,我就不多说了。
usermod命令
这个命令是用来修改账户相关信息的,一般来讲,一旦某个用户建立,尽量不要再去修改用户名和用户id,但是其他的却是可以改的。改的方式有两种,一是直接修改两个设定档的相应的字段,二就是使用usermod命令。该命令的基本参数跟useradd一样,因为该改改去无非就是那几个字段,不过除此之外还有一些高级的。
-l 修改用户名,如usermod -l bob jack 这就把jack这个用户的名字改成了bob
-u/g/c/d/s,看名字就知道修改哪个字段了,基本上除了不能改密码,usermod把用户账户能改的信息全改了。
-L 暂时将使用者的密码冻结,让他无法登入。其实仅改 /etc/shadow 的密码栏。
-U -L的逆操作,就是解冻账号。
-G 后跟已存在的群组名或群组id,表示增加该用户的群组。我们知道一个用户可以属于多个群组的。
-e 后面接日期,格式是 YYYY-MM-DD 也就是在 /etc/shadow 内的第八个字段数据——失效日期。
-m 新建一个家目录或覆盖原来的家目录,usermod的-d参数仅仅是修改了passwd的内容,并没有实际建立家目录。
userdel命令,即删除某个用户账号,加上-r参数则表示连家目录一起删除,如 userdel -r bob 。
Ubuntu下的用户和权限(二)