Linux用戶和用戶組基本概念

一、Linux用戶基本概念

1、 3A認證機制

計算機如何區分不同的使用者呢 ？ ---> 用戶標識（用戶名、GID）、密碼；

認證信息：通過比對事先存儲的，與登錄時提供的信息是否一致

• Authentication: 認證機制,通過某種方案來確認用戶是其聲稱的用戶，如密碼、生物識別等
• Authorization: 授權機制， 資源使用級別(Linux只有管理員和普通用戶兩級分配機制，權限)
• Audition: 審計機制，監督權限的使用 ，log審計憑據---額外審計功能SELinuse

2、 用戶分類

用戶標識： UserID, UID, 16bits 二進制數表示，也就是： 0 - 65535

Linux內核（2.6.x）已經可以支持到2^32 - 1 個標識符。

• root : 0
• 普通用戶： 1 - 65535
• 系統用戶： 1-499（CentOS 6） ; 1-999（CentOS 7）
• 登錄用戶： 500 - 60000（CentOS 6） ； 1000 - 60000 （CentOS 7）

3、 用戶配置文件

（1） 用戶信息庫: /etc/passwd
格式(七段):account：password：UID：GID：GECOS：directory：shell
account: 用戶名
password：占位符x；
UID：用戶的ID號
GID：用戶所屬的主組的ID號；
GECOS：注釋信息
directory：用戶的家目錄；
shell：用戶的默認shell，登錄時默認shell程序；

（2）密碼存儲位置： /etc/shadow
格式(九段):用戶名:加密的密碼：最近一次修改密碼的時間：最短使用期限：最長使用期限：警告期段：過期寬限時間：賬號失效日期：保留字段

• login name：用戶名
• encrypted password：經過編碼的密碼
• date of last password change：密碼最近一次修改密碼的時間
• minimum password age：密碼最短使用期限
• maximum password age：密碼最長使用期限：表示兩次修改密碼的最長間隔。
• password warning period：警告時間：表示在密碼快要過期之前的多少天開始警告用戶修改密碼。
• password inactivity period：過期寬限時間：表示在密碼過期以後，還允許用戶登錄的時間，只不過在這段時間裡登錄系統以後就必須要修改密碼才能使用系統。
• account expiration date：賬號失效日期，該賬號被禁用
• reserved field：保留字段

（3）創建新用戶默認屬性： /etc/default/useradd
# useradd defaults file
GROUP=100 # 創建組
HOME=/home # 默認家目錄
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash # 默認shell
SKEL=/etc/skel # 默認家目錄的文件
CREATE_MAIL_SPOOL=yes # 自動創建mail

二、用戶組
1. 用戶組(用戶容器)的分類
組標識：GroupID, GID
16bits二進制數字：0-65535
(1)系統視角：管理員用戶組&普通用戶組
管理員組：0
普通用戶組：1-65635
系統用戶組：1-499(CentOS6), 1-999(CentOS7)
登錄用戶組：500-60000(CentOS6), 1000-60000(CentOS7)
(2)用戶視角：基本組&附加組
用戶的基本組：用戶本身所屬組
用戶的附加組：用戶額外所支持的組

有效組：
## 查看用戶所屬的組，第一個為有效用戶組
# groups

##切換有效組為其他輔組
# newgrp GROUP

其實這個命令導致創建了一個子shell。