linux帳号管理和acl權限設定

linux的帳号與使用者組

使用者辨別符：uid和gid

在/etc/passwd 可以看到每個賬戶都有一個uid和gid

/etc/shadow 檔案結構

帳号名稱/密碼/最近修改密碼的日期/密碼不可被改動的天數/密碼要重新修改的天數/密碼修改前的警告天數/密碼過期帳号寬限時間/帳号失效日期/保留

最近修改密碼的天數是從1970年的1月1日開始

具體的算法：echo $(($(date --date="2014/05/21" +%s) / 86400 + 1))

建立使用者 :useradd   建立密碼：passwd

useradd 參數

-c 描述

-d 指定家目錄

-u 使用者uid

-g 初始使用者組

-G 次要使用者組

-s /sbin/nologin  或/bin/bash

使用者帳号和密碼參數的檔案：/etc/passwd ,/etc/shadow

使用者組的檔案：/etc/group,/etc/gshadow

使用者家目錄：/home/使用者名

修改使用者資訊：usermod

删除使用者：userdel   -r 家目錄一起删除 删除組：groupdel

新增與删除使用者組

groupadd -g gid -r 使用者名 

修改組資訊：groupmod 這個和usermod一樣

-g gid  -n 使用者組祖名

groupmod -g gid -n newgroup  oldgroup

删除組：groupdel

修改密碼passwd

password除了可以修改密碼以外，還可以通過參數來修改/etc/shadow中的配置

具體參數

-l 也就是lock的意思，會在shadow檔案的密碼列前加上！ 意思就是目前使用者被鎖定 密碼失效

-u 與-l 相反 就是解鎖的意思

-n shadow的第4段 密碼多久後才可以修改

-x shadow的第5段 密碼必須在多久後修改

-w shadow的第6段 密碼過期前的警告天數

-i 就是第7段 密碼失效的日期

除了passwd以外，我們也可以用chage同樣來實作這個效果具體參數：

-d 最後一次修改密碼的時間  

-E 帳号的失效期

-I 密碼過期時間

-m 密碼多久才可以修改

-M 密碼必須在多久後修改

-W 就是過期告警

-l 密碼詳細參數

gpasswd 使用者管理者功能

如果我想給臨時使用者加入到所屬主中，有不想讓他長期的在所屬組中，就可以用到這個指令。

也就是給組設定一個臨時的密碼

       gpasswd group 設定組密碼

       gpasswd -a user group 将某個使用者添加到使用者組中

       gpasswd -d user group 将使用者删除出這個組

       gpasswd -R group 将組名的密碼失效

       gpasswd -r group  删除組密碼

       gpasswd [-A user,...] [-M user,...] group

newgrp 設定主組和次主的優先級别

newgrp - 組名 使用者

ACL的使用

access contorl list  主要對使用者owner group other 的r w x 進行設定

dumpe2fs -h /dev/sda來檢視default mount options：user_xattr acl  是否啟動acl

或者 mount -o remount ,acl /

開機自動啟動：vim /etc/fstab

LABEL=/1 / ext3 defaults,acl 1 1

acl的設定：getfacl setfacl

getfacl:取得某個檔案/目錄的acl設定項目

setfacl:設定某個目錄/檔案的acl規定

setfacl:

-m 設定後續的acl參數給檔案使用 不能和-x一起用

-x 删除後續的acl參數 

-b 删除acl所有的設定參數

-k 删除預設的acl參數

-R 遞歸設定acl 也包括子目錄

-d 設定預設的acl參數 隻對目錄有效，在目錄建立資料時引用

setfacl  

針對使用者名

u:使用者:權限 來設定  比如：setfacl -m u:alca:rw filename

然後檢視：getfacl filename

你會發現設定了acl的權限多了個+号

針對使用者組

g:組名:權限

針對mask  mask也就是使用者組和使用者的權限必須要存在與mask的範圍之中才能生效

m：權限 filename

比如：使用者史r+w  mask是r   那麽 使用者的權限僅僅隻能是r

繼承權限：setfacl -m d:u:使用者:權限 filename

本文轉自歲月丶傾城部落格51CTO部落格，原文連結http://blog.51cto.com/alca0126/1414340如需轉載請自行聯系原作者

laihuadongcto