本次小学期我们完整学习了Linux系统安全核心逻辑,系统的权限管控依托用户账户、用户分组与文件权限三层机制实现,所有资源访问限制都依靠UID、GID搭配rwx权限规则完成,课堂上结合Xshell实操把各类管理命令完整跑通,梳理清楚整套实操流程与底层原理。Linux安全体系的根基是用户账号,每一位可登录系统的使用者都会分配独有的UID,系统管理员root固定UID为0,各类后台服务运行使用系统伪用户,UID数值普遍低于500,普通新建用户UID从1000区间开始分配,用户基础信息统一存放在/etc/passwd文件,文件以冒号分隔七个字段,依次记录用户名、密码占位符、UID、GID、备注信息、家目录路径与默认登录shell,加密后的真实密码单独存放于/etc/shadow,这份文件权限严格限制,仅root账号能够读取,普通用户必须搭配sudo指令才能查看内容,shadow文件分为九段信息,涵盖密码修改周期、账户过期管控等安全配置,切换root账号可以使用su -命令,输入root密码后获取完整管理员权限,执行exit就能退回普通用户身份。
创建用户有两种常用工具useradd和adduser,useradd属于纯命令行工具,不加-m参数生成三无用户,没有家目录、初始化配置文件与可登录shell,搭配-m参数会自动读取/etc/skel内的模板文件生成用户家目录,同时支持-c、-d、-G、-e等参数自定义备注、家目录路径、附加用户组与账号失效时间,执行useradd需要管理员权限,命令前必须添加sudo;adduser是交互式创建工具,运行后会弹窗引导输入密码、个人备注信息,自动生成同名用户组与完整家目录,无需手动补充参数,操作门槛更低。用户创建完成后需要使用passwd设置登录密码,root可以直接修改任意用户密码,普通用户仅能修改自身密码,搭配-e参数可以强制用户下次登录重置密码,批量修改多用户密码可以借助chpasswd管道指令完成。
用户信息修改依靠usermod工具,能够调整备注、登录组、附加组、用户名,还可以锁定、解锁账户避免他人登录,另外chsh可以更换用户登录shell,chfn修改passwd内的个人备注内容,chage统一管控账户密码有效期与过期策略;删除用户使用userdel,直接执行仅清除passwd内用户记录,添加-r参数会同步删除用户家目录与邮件文件,删除前需要确认目录内无重要资料。用户组用于批量管理同类使用者,配置文件/etc/group以四段内容记录组名、组密码、GID与组内全部用户,groupadd新建用户组,groupmod支持修改组名与GID,usermod -G能够把指定用户加入目标附加组,同组用户可根据文件权限互相访问资源,搭建多人共享环境。
文件权限通过ls -l指令查看,首字符区分文件、目录、软链接、硬件设备,后续三段rwx分别对应文件所有者、所属组、其他全部用户的读写执行权限,r代表读取、w代表写入、x代表执行,无权限则标记为横杠,权限可以换算成八进制数字,r为4、w为2、x为1,组合计算得出0-7的权限数值。umask控制新建文件与目录的默认权限,文件原始最大权限666、目录777,减去umask掩码数值得到最终默认权限,掩码配置存放在系统启动配置文件中,直接输入umask可以临时修改默认权限规则。
调整文件权限使用chmod,分为八进制直接赋值与符号模式增减权限两种写法,追加-R参数能够递归修改目录内所有子文件子目录权限;chown用来变更文件所有者与所属用户组,单独修改属主、仅修改属组、同时修改两者都有对应写法,这条命令仅root账号有权限执行。搭建多人共享目录的核心思路是创建公共用户组,把所有需要协作的用户加入该组,使用chown统一目录文件的属组,再通过chmod放开组内读写执行权限,限制外部其他用户访问,同组人员就能自由读写共享目录内所有内容。
整套Linux用户与权限操作围绕账号生命周期管理、分组批量管控、文件访问限制三个核心展开,实操过程中频繁出现权限不足、命令参数缺失、密码输入无显示等问题,慢慢熟悉sudo提权、完整输入命令、密码盲输等操作细节,把useradd、usermod、groupadd、chmod、chown等高频命令完整实操验证,理解每个参数实际作用,完整完成课程布置的七道实操练习题,从新建用户分组、配置共享目录到最后清理测试账号,完整走完一套真实服务器账号权限管理流程,理清Linux安全管控底层逻辑,熟练掌握日常运维必备的权限管理操作。