Linux 用户管理及用户权限设置

Linux 系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。

用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。

每个用户账号都拥有一个惟一的用户名和各自的口令。

用户在登录时键入正确的用户名和口令后，就能够进入系统和自己的主目录。

实现用户账号的管理，要完成的工作主要有如下几个方面：

1. 用户账号的添加、删除与修改。

2. 用户口令的管理。

3. 用户组的管理。

注：此说明适用于Debian、Redhat、suse、Ubuntu、Fedora等众多linux系统，并对多少位没有区别。

用户分类：

1. 超级用户 UID=0 root
2. 普通用户 UID500起。由超级用户或者具有超级用户权限的用户创建的用户
3. 虚拟用户 UID 1-499 存在满足文件或服务启动的需要。一般不能登录系统，只是傀儡
4. 用户关联的四个文件：/etc/passwd /etc/shadow /etc/group /etc/gshadow

一、管理用户命令汇总：

命令	说明
useradd	同adduser命令，执行此命令可在系统中添加用户
userdel	删除用户及相关用户的配置文件
passwd	为用户设置密码。更改/etc/shadow
chage	修改用户密码有效期限。管理/etc/shadow
usermod	修改用户命令，可以通过usermod来修改登录名，用户的家目录等等
id	查看用户的UID , GID及所归属的用户组
su	用户角色切换命令
sudo	sudo是通过另一个用户来执行命令，su是用户来切换用户，然后通过切换到的用户来完成相应的任务，但sudo能在命令后面直接接命令执行，如：sudo ls /root，不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限；这个权限需要通过visudo命令或编辑/etc/sudoers来实现
visudo	visudo配置sudo权限的编辑命令；也可以不用这个命令，直接用vi来编辑/etc/sudoers实现。但推荐用visudo来操作（会自动检查语法）

其它与用户管理相关的命令，可了解，但不要深入研究！掌握重点即可！

二、/etc/skel 目录

root@ubuntu:/# ll -a /etc/skel
    total 40
    drwxr-xr-x   2 root root  4096 Dec  1 10:13 ./
    drwxr-xr-x 142 root root 12288 Jan 25 16:19 ../
    -rw-r--r--   1 root root   220 Sep  1  2015 .bash_logout
    -rw-r--r--   1 root root  3771 Sep  1  2015 .bashrc
    -rw-r--r--   1 root root  8980 Apr 20  2016 examples.desktop
    -rw-r--r--   1 root root   655 May 16  2017 .profile

作用：/etc/skel 目录是用来存放新用户配置文件的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户的家目录下；默认情况下/etc/skel 目录下的所有文件都是隐藏文件（以点开头的文件）；通过修改，添加，删除/etc/skel目录下的文件，我们可为新创建的用户提供统一的，标准的，初始化用户环境。

企业面试题：当新建了一个用户，该用户登录时出现如下提示：请问是什么原因？如何解决？

[root@gin ~]# su - gin
    -bash-4.1$
    -bash-4.1$

解答：出现这种情况的原因是环境变量有问题，解决方案就是拷贝/etc/skel目录下以bash开头的文件到当前用户的家目录即可！

[root@centos home]# mkdir /home/gin
[root@centos home]# cp -a /etc/skel/.bash* ./gin
[root@centos home]# chmod -R 700 gin
[root@centos home]# chown gin:gin -R gin

三、/etc/login.defs配置文件

/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。

如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs

# *REQUIRED* required
#  Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail
#创建用户时，要在目录/var/spool/mail中创建一个用户mail文件
#MAIL_FILE      .mail
 
# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
#密码最大有效期
PASS_MIN_DAYS   0
#两次修改密码的最小间隔时间
PASS_MIN_LEN    5
#密码最小长度，对于root无效
PASS_WARN_AGE   7
#密码过期前多少天开始提示
#
# Min/max values for automatic uid selection in useradd
#创建用户时不指定UID的话自动UID的范围
UID_MIN                   500
#用户ID的最小值
UID_MAX                 60000
#用户ID的最大值
#
# Min/max values for automatic gid selection in groupadd
#自动组ID的范围
GID_MIN                   500
#组ID的最小值
GID_MAX                 60000
#组ID的最大值
 
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD    /usr/sbin/userdel_local
#当删除用户的时候执行的脚本
 
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME     yes
#使用useradd的时候是够创建用户目录
 
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK           077
 
# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
#用MD5加密密码

为什么新建用户时会从该目录下拷贝文件到用户家目录呢？
因为有/etc/default/useradd文件的存在！~

四、/etc/default/useradd 文件

/etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件，可以使用“useradd -D”参数，这样的命令格式来修改文件里的内容。该文件的内容如下：

[root@gin gin]# cat /etc/default/useradd
# useradd defaults file
GROUP=100                   ## 表示 用户组ID （依赖于/etc/login.defs的USERGROUPS_ENAB参数，如果为no，则由此处控制）
HOME=/home                  ## 把用户家目录建在/home中
INACTIVE=-1                 ## 是否启用账号过期停权，-1表示不启用
EXPIRE=                     ## 账号是否启用过期设置    无表示不启用
SHELL=/bin/bash                 ## 账号使用shell种类
SKEL=/etc/skel                  ## 配置新用户目录的默认文件存放路径
CREATE_MAIL_SPOOL=yes               ## 是否创建邮箱缓存  yes表示创建

如：修改EXPIRE的值为2015/06/10：

[root@Gin scripts]# useradd -D -e 2015/06/10
[root@Gin scripts]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=2015/06/10
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

五、Linux系统用户账号的管理

用户账号的管理工作主要涉及到用户账号的添加、修改和删除。添加用户账号就是在系统中创建一个新账号，然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的，无法使用。

useradd命令修改的文件：/etc/passwd , /etc/shadow , /etc/group , /etc/gshadow

控制useradd命令默认行为的文件：/etc/default/useradd , /etc/login.defs

添加新的用户账号

当使用useradd命令不加参数选项，后面直接跟所添加的用户名时，系统首先会读取配置文件/etc/login.defs and /etc/default/useradd中的定义的参数或规则，根据设置的规则添加用户，同时会向/etc/passwd and /etc/group文件添加新建用户和用户组记录。

当然/etc/passwd and /etc/group的加密资讯文件/etc/shadow and /etc/gshadow也会同步生成记录，同时系统还会根据/etc/default/useradd文件中所配置的信息建立用户的家目录，并复制/etc/skel中的所有文件（包括隐藏的环境配置文件）到新用户的家目录中。

添加新用户帐号使用useradd命令，其语法及选项如下：

useradd 选项 用户名

-c comment 指定一段注释性描述。
-d 目录 指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组，用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。
-e expire_date 账号终止日期，日期的指定格式为 MM/DD/YY
-f inactive_days 账号过期几日后永久停权。当值为0时账号则立刻停权。为-1时则关闭此功能，预设值为-1
-m 自动建立用户的登入目录。
-M 不要自动建立用户的登入目录。
-n 取消建立以用户名称为名的群组。
-r 创建系统账户

例1：-d , -m参数的使用

useradd –d /home/olcs -m sam

此命令创建了一个用户sam，
其中-d和-m选项用来为登录名sam产生一个主目录/home/olcs（/home为默认的用户主目录所在的父目录）。

例2：-s , -G参数的使用

useradd -s /bin/bash -g olcs –G olcs,root gem

此命令新建了一个用户gem，该用户的登录Shell是/bin/bash，它属于olcs用户组，同时又属于root用户组，其中olcs用户组是其主组。

例3：-e参数的使用 （指定账户什么时候过期）

[root@Andy andy]# date -s 01/18/2012            #修改系统时间
[root@Andy andy]# useradd tmpuser1 -e 01/19/12      #增加一个tmpuser1用户，并指定2012年1月19号过期
[root@Andy andy]# date -s 01/21/12
Sat Jan 21 00:00:00 CST 2012

#系统更改时间为2012年1月21号，而上面建立的用户过期时间是2012年1月19号，此时切换到tmpuser1用户，发现还是可以登录

[root@Andy andy]# chage -l tmpuser1
Last password change                                    : Jan 17, 2012
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Jan 19, 2012   #过期时间的确是19号，设置没错
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

为什么还是可以切换到tmpuser1用户呢？
1）通过-e设置后无法远程SSH连接，但是可以用 su 切换，账户并未被锁定
2）账户过期时间和系统时间，需要相差2天(该测试是在CentOS5.x版本，CentOS6版本不相差2天)
再次测试：

[root@Andy andy]# useradd tmpuser2 -e 01/22/12
[root@Andy andy]# passwd tmpuser2

我们在SSH客户端用tmpuser2登录，不要用su进行切换！为了让账户过期，我们再次修改系统时间

[root@Andy andy]# date -s 01/23/12
[root@Andy andy]# clock -w          #重新读取系统时间
[root@Andy andy]# date +%F
2012-01-23

当tmpuser2账户退出登录后，再次登录时，就会提示：

Your account has expired; please contact your system administrator

用户的过期时间当然也可以使用usermod命令来修改：

[root@gin gin]# usermod -e "216/10/10" zhangsansan

指定用户过期时间

例4：useradd -c -u -G -s -d 多个参数组合例子

自定义用户的家目录，shell类型，所归属的用户组等：添加用户poe6，并设置其用户注释信息为HandsomeBoy，UID指定为806，归属为用户组root , poe , sa成员，其shell类型为/bin/sh，设置家目录为/poe6

[root@gin gin]# useradd -c “HandsomeBoy” -u 806 -G root,poe,sa -s /bin/sh -d /poe6 poe6

这三个组必须要先存在

增加用户账号就是在/etc/passwd文件中为新用户增加一条记录，同时更新其他系统文件如/etc/shadow, /etc/group等。

Linux提供了集成的系统管理工具userconf，它可以用来对用户账号进行统一管理。

生产场景中创建用户的完整命令：

[root@Andy andy]# groupadd -g 801 sa
[root@Andy andy]# useradd -g sa -u 901 ett
[root@Andy andy]# echo "who123"|passwd --stdin ett
Changing password for user ett.
passwd: all authentication tokens updated successfully.
[root@Andy andy]# visudo -c
[root@Andy andy]# history -c

删除帐号

如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除，必要时还删除用户的主目录。删除一个已有的用户账号使用userdel命令，其格式如下：

userdel 选项 用户名

常用的选项是-r，它的作用是把用户的主目录一起删除。

例如：

userdel -r olcs

此命令删除用户olcs在系统文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的记录，同时删除用户的主目录。

修改帐号

修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。

修改已有用户的信息使用usermod命令，其格式如下：

usermod 选项 用户名

常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等，这些选项的意义与useradd命令中的选项一样，可以为用户指定新的资源值。

另外，有些系统可以使用如下选项：

usermod参数选项	注释说明
-c comment	增加用户账号/etc/passwd中的注解说明栏（第5栏）
-d home_dir	更新用户新的家目录，组合-m选项，用户旧的家目录会搬到新的家目录去，如旧的家目录不存在则创建新的家目录
-e expire_date	加上用户账号停止日期。格式为MM/DD/YY
-f inactive_days	账号过期几日后永久停权。当值为0时账号则立刻被停权。而当值为-1时则关闭此功能。预设值为-1
-g initial_group	更新用户的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组，用户组ID预设值为1
-G group.[..]	定义用户为一堆groups的成员，每个用户组使用逗号分隔
-l login_name	修改用户login时的名称为login_name，其余信息不变
-s shell	指定登录shell
-u uid	指定用户UID值。除非接-o参数（usermode -u 505 -o andy），否则ID值必须是唯一的数字（不能为负数）
-L	冻结用户的密码。实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上！号，即表示冻结。这个冻结密码的功能和usermod -e , useradd -e , chage -E , passwd -l 等命令参数都有类似的功效，那就是让用户无法正常登陆
-U	取消冻结的密码，使之恢复登陆，实际同样是修改/etc/shadow的密码栏，在密码栏的开头取消“！ ”号，即表示恢复

实例1：usermod -c修改/etc/passwd中用户的说明栏

[root@bruce bruce]# tail -1 /etc/passwd         #-->为了进行对比，在修改前进行查看
andy:x:802:803::/home/andy:/bin/bash
[root@centos andy]# usermod -c "AndyLaw" andy
[root@bruce bruce]# tail -1 /etc/passwd
andy:x:802:803:AndyLaw:/home/andy:/bin/bash

实例2：测试 -c , -u , -G , -s , -d等参数！要求添加用户andy6，并设置用户注释为HandsomeBoy，UID指定为806，归属为用户组root，andy , sa成员，其shell类型为/bin/sh，设置家目录为/andy6

[root@bruce bruce]# useradd -c HandsomeBoy -u 806 -s /bin/sh -G root,andy,sa -d /andy6 andy6
[root@bruce bruce]# grep andy6 /etc/passwd
andy6:x:806:806:HandsomeBoy:/andy6:/bin/sh
[root@bruce bruce]# id andy6
uid=806(andy6) gid=806(andy6) groups=806(andy6),0(root),803(andy),804(sa)

提示：在添加新用户时，如果不使用-n参数，系统会自动创建一个与用户同名的用户组，如本例就自动生成了一个andy6的用户组

下面使用usermod命令进行修改 : 要求注释改为uptowngirl，UID修改为1806，归属修改为用户组root , sa成员，其shell类型修改为/bin/tcsh，设置家目录为/tmp/andy6：

[root@bruce bruce]# usermod -c uptowngirl -u 1806 -G root,sa -s /bin/tcsh -d /tmp/andy6

实例3：使用户在2016-11-15后过期 usermod -e

[root@bruce bruce]# usermod -e 2016-11-26 andy6
[root@bruce bruce]# chage -l andy6
Last password change                                    : Nov 24, 2016
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Nov 26, 2016
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

实例4：冻结andy6用户的密码 usermod -L

[root@bruce bruce]# grep andy6 /etc/shadow
andy6:$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -L andy6
[root@bruce bruce]# grep andy6 /etc/shadow
andy6:!$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -U andy6

用户口令的管理

用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令，但是被系统锁定，无法使用，必须为其指定口令后才可以使用，即使是指定空口令。

指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令，普通用户只能用它修改自己的口令。命令的格式为：

passwd 选项 用户名

可使用的选项：

-l , --lock 锁定口令，即禁用账号。
-u , --unlock 口令解锁。
-d , --delete 使账号无口令。
-f , --force 强迫用户下次登录时修改口令。
--stdin 从stdin读入密码 (root only) , 如果默认用户名，则修改当前用户的口令。
-n , --minimun=DAYS 两次密码修改的最小天数，后面接数字，仅root权限操作
-x , --maximun=DAYS     两次密码修改的最大天数，后面接数字，仅root权限操作
-w , --warning=DAYS     在距多少天提醒用户修改密码，仅root权限操作
-i ，--inactive=DASY 在密码过期后多少天，用户被禁掉，仅root权限操作
-S , --status               查询用户的密码状态，仅root权限操作

实例1：我们用-l参数来锁定andy用户，使之不能修改密码，然后再用-u参数来解除锁定

[root@bruce bruce]# passwd -S andy              #锁定前查看andy账户的状态
andy PS 2016-11-24 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@bruce bruce]# grep andy /etc/shadow       #查看andy账户的密码状态
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
[root@bruce bruce]# passwd -l andy
Locking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow       #再次查看密码状态，发现密码前多了两个!!号
andy:!!$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::

#锁定之后，用andy账户登录系统，再修改密码会提示：

[andy@bruce ~]$ passwd
passwd: Authentication token manipulation error

#解除锁定

[root@bruce bruce]# passwd -u andy
Unlocking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow       #解除锁定后，/etc/shadow文件中密码字段前面两个！！号消失
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::

实例2：举一个组合参数-x -n -w -i控制密码时效的例子。要求andy用户7天内不能更改密码，60天以后必须修改密码，过期前10天通知andy用户，过期后30天后禁止用户登陆

[root@bruce bruce]# passwd -n 7 -x 60 -w 10 -i 30 andy
Adjusting aging data for user andy.
passwd: Success

#当然使用chage命令也可以实现同样的效果只是参数略有不同：chage -m 7 -M 60 -W 10 -I 30 andy

在root账户下修改andy的密码，然后回到andy账户，再次修改密码出现如下提示：

passwd: Authentication token manipulation error

例如，假设当前用户是olcs，则下面的命令修改该用户自己的口令：

$ passwd
Old password:******
New password:*******
Re-enter new password:*******

如果是超级用户，可以用下列形式指定任何用户的口令：

# passwd olcs
New password:*******
Re-enter new password:*******

普通用户修改自己的口令时，passwd命令会先询问原口令，验证后再要求用户输入两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而超级用户为用户指定口令时，就不需要知道原口令。

为了系统安全起见，用户应该选择比较复杂的口令，例如最好使用8位长的口令，口令中包含有大写、小写字母和数字，并且应该与姓名、生日等不相同。

为用户指定空口令时，执行下列形式的命令：

# passwd -d sam

此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。
passwd命令还可以用-l(lock)选项锁定某一用户，使其不能登录，例如：

# passwd -l olcs

–stdin方式修改设置密码

[root@gin gin]# echo 123456|passwd --stdin gin
Changing password for user gin.
passwd: all authentication tokens updated successfully.
[root@gin gin]# echo 123 > p.log
[root@gin gin]# passwd --stdin gin < p.log
Changing password for user gin.
passwd: all authentication tokens updated successfully.

备注：/usr/bin/passwd 是修改用户密码的程序 密码记录在 /etc/shadow

/etc/passwd是用户数据库，其中的域给出了用户名、加密口令和用户的其他信息. /etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件。影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中，而后者只对超级用户( r o o t )可读。

Linux /etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。

口令时效

口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：

chage [option] username 

下面列出了chage命令的选项说明：

-m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。
-M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。
-d days： 指定从1970年1月1日起，口令被改变的天数。
-E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。
-W days： 指定口令过期前要警告用户的天数。
-I --inactive： 在密码过期后多少天，用户被禁掉，仅能以root操作
-l --list ：显示账户年龄信息

该命令记住两个参数-E , -l即可，其它的选项可以使用passwd来替代！

例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，口令过期前5天通知用户

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用户user1当前的口令时效信息：chage -l user1

提示：

1）可以使用chage 进入交互模式修改用户的口令时效。

2）修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

Linux系统用户组的管理

每个用户都有一个用户组，系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同，如Linux下的用户属于与它同名的用户组，这个用户组在创建用户时同时创建。用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。

参数选项	注释说明
-g	指定用户组GID值。除非接-o参数（如：groupadd -g 1234 -o andy），否则ID值必须是唯一的数字（不能为负数）。如果不指定-g参数，则预设值会从500开始。
-r	建立系统用户组。GID值会比/etc/login.defs中定义的UID_MIN值小。如：groupadd -r ett;grep ett /etc/group #–>分号分隔两个命令 ett:x:105: #–>GID为105，小于500了
-f	新增一个账户，强制覆盖一个已经存在的用户组账号。

增加一个新的用户组

增加一个新的用户组使用groupadd命令，其格式如下：

groupadd 选项 用户组

可以使用的选项有：

-g GID 指定新用户组的组标识号（GID）。
-o 一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。

例1：

# groupadd olcs

此命令向系统中增加了一个新组olcs，新组的组标识号是在当前已有的最大组标识号的基础上加1。

例2：

#groupadd -g 101 group1

此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。

删除已有用户组

如果要删除一个已有的用户组，使用groupdel命令，其格式如下：

groupdel 用户组

例如：

#groupdel group1

此命令从系统中删除组group1。

修改用户组的属性

修改用户组的属性使用groupmod命令。其语法如下：

groupmod 选项 用户组

常用的选项有：

-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。
-n新用户组 将用户组的名字改为新名字

例1：

# groupmod -g 102 group1

此命令将组group1的组标识号修改为102。

例2：

# groupmod –g 10000 -n group2 group1

此命令将组group1的标识号改为10000，组名修改为group2。

用户在用户组间切换

如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。例如：

$ newgrp root

这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。让Linux系统中的普通用户也有超级用户的权限

目录权限管理

3种基本权限

在Linux中，将使用系统资源的人员分为4类：超级用户、文件或目录的属主、属主的同组人和其他人员。超级用户拥有对Linux系统一切操作权限，对于其他3类用户都要指定对文件和目录的访问权限。

代表字符	对应数值	权限	对文件的含义	对目录的含义
r	4	读	可以读文件的内容	可以列出目录中的文件列表
w	2	写	可以修改该文件	可以在目录中创建删除文件
x	1	可执行	可以执行该文件	可以使用cd命令进入该目录
-	0	无

查看文件和目录的权限

可以使用带l参数的ls命令查看文件或目录的权限

[root@Gin scripts]# ll /gin
total 12
drwxr-xr-x 2 root root 4096 Jan 28 23:15 python
drwxr-xr-x 2 root root 4096 Feb  1 13:11 scripts
drwxr-xr-x 5 root root 4096 Jan 25 18:01 tools

每一行显示一个文件或目录的信息，这些信息包括文件的类型、文件的权限、文件的属主和文件的所属组，还有文件的大小以及创建时间和文件名。输出列表中每 一行第一列的第一个字母指示了该文件的类型。各种文件类型及代表字符如下：

• -：普通文件
• b：块文件设备，是特殊的文件类型
• d：目录文件 ，事实上在ext2fs中，目录是一个特殊的文件
• c：字符文件设备 ，是特殊的文件类型
• l：符号链接文件，实际上它指向另一个文件
• s、p：管道文件，这些文件关系到系统的数据结构和管道，通常很少见到

第一列的其余9个字母可分为三组，3个字母一组，这3组分别代表：文件属主的权限、文件所属组的权限和其他用户的权限。每组中的3个栏位分别表示读、 写、执行权限。

第2～10个字符当中的每3个为一组，左边三个字符表示所有者权限，中间3个字符表示与所有者同一组的用户的权限，右边3个字符是其他用户的权限。这三个一组共9个字符，代表的意义如下：

r(Read，读取)：对文件而言，具有读取文件内容的权限；对目录来说，具有浏览目录的权限。

w(Write,写入)：对文件而言，具有新增、修改文件内容的权限；对目录来说，具有删除、移动目录内文件的权限。

x(eXecute，执行)：对文件而言，具有执行文件的权限；对目录了来说该用户具有进入目录的权限。

－：表示不具有该项权限。

更改操作权限（chmod/chown）

系统管理员和文件属主可以根据需要来设置文件的权限，有两种设置方法：文字设定法和数值设定法。

文字设定法

chomd的文字设定法的格式为：

chmod [ugoa][+-=][rwxugo]

第1个选项表示要赋予权限的用户，具体说明如下：
u：属主 g：所属组用户 o：其他用户 a：所有用户
第2个选项表示要进行的操作，具体说明如下：
+：增加权限 -：删除权限 =：分配权限，同时将原有权限删除
第3个选项是要分配的权限，具体说明如下：
r/x/w：允许读取/写入/执行 u/g/o：和属主/所属组用户/其他用户的权限相同
例如：

chmod go -r users      //取消组用户和其他用户对文件users的读取权限
chmod u+x users      //对文件users的属主增加招待权限
chmod u+x,go-r users      //对文件users的属主添加执行权限，同时取消组用户和其他用户对文件的读取权限

数值设定法

chmod的数值设定法的格式为：chmod n1n2n3
其中n1、n2、n3分别代表属主的权限、组用户的权限和其他用户的权限，这三个选项都是八进制数字。

例如：

chmod 755 adduser      //对文件adduser的属设置可读、写和执行的权限，所属组和其他用户只设置读和执行权限，没有写权限
chmod 600 user1         //取消组用户和其他用户对文件user1的一切权限（原权限为-rw-rCrC）

备注：如想一次修改某个目录下所有文件的权限，包括子目录中的文件权限也要修改，要使用参数－R表示启动递归处理。

网站搬家特别是从虚拟空间或windows上搬到linux VPS上会出现文件权限问题，通常目录都是755权限，文件是644权限。
首先cd到你要修改的网站目录，然后运行如下两个命令即可快速批量修改权限。

find -type d|xargs chmod 755
find -type f|xargs chmod 644

更改属组或同组人

改变文件的属主和组可以用chown命令，命令格式为：chown [-R] 。

例如：

chown osmond user1      //将文件user1的属主改为osmond
chown osmond.osmond user1      //将文件user1的属主和组都改成osmond
chown -R osmond.osmond mydir      //将mydir目录及其子目录下的所有文件或目录的属主和组都改成osmond

设置文件和目录的生成掩码

用户可以使用umask命令设置文件夹的默认生成掩码。默认的生成掩码告诉系统当创建一个文件或目录时不应该赋予哪些权限。如果用户将umask命令放在环境文件（.bash_profile）中，就可以控制所有的新建文件或目录的访问权限。其命令格式为：umask [u1u2u3]其中，u1、u2、u3分别表示的是不允许属主有的权限、不允许同组人有的权限和不允许其他人有的权限。

例如：

umask 022      //设置不允许同组用户和其他用户有写权限 umask            //显示当前的默认生成掩码

用法非常简单，只需执行umask 777 命令，便代表屏蔽所有的权限，因而之后建立的文件或目录，其权限都变成000，依次类推。通常root帐号搭配umask命令的数值为022、027和077，普通用户则是采用002，这样所产生的权限依次为755、750、700、775。

用户登录系统时，用户环境就会自动执行rmask命令来决定文件、目录的默认权限。

特殊权限设置

SUID、SGID和sticky-bit

除了上述的基本权限之外，还有所谓的特殊权限存在。由于特殊权限会拥有一些“特权”，因而用户若无特殊需要，不应该去打开这些权限，避免安全方面出现严重漏洞，甚至摧毁系统。下面列出了3个特殊权限的说明：

SUID：当一个设置了SUID位的可执行文件被执行时，该文件以所有者的身份运行，也就是说无论谁来执行这个文件，他都拥有文件所有者的特权，可以任意存取该文件拥有者能使用的全部系统资源。如果所有者是root，那么执行人就有超级用户的特权了。

SGID：当一个设置了SGID位的可执行文件被执行时，该文件将具有所属组的特权，任意存取整个组所能使用的系统资源；若一个目录设置了SGID，则所有被复制到这个目录下的文件，其所属的组都会被重设为和这个目录一样，除非在复制文件时加上-p（preserve，保留文件属性）参数，才能保留原来 所属的群组设置。

sticky-bit：对一个文件设置了sticky-bit之后，尽管其他用户有写权限，也必须由属主执行删除、移动等操作，对一个目录设置了 sticky-bit之后，存放在该目录下的文件仅允许其属主执行删除、移动等操作。

一个设置了SUID的典型例子是passwd程序，它允许普通用户改变自己的口令，这是通过改变/etc/shadow文件的口令字段来实现的。然而系 统管理员决不允许普通用户拥有直接改变/etc/shadow文件的权限。解决方法是将passwd程序设置SUID，当passwd被执行时将拥有超级用户的权限，而passwd程序运行结束又回到普通用户的权限，下面是显示passwd程序的权限：

[root@Gin scripts]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd

一个设置了sticky-bit的典型例子是系统临时文件目录/tmp，这避免了不守法的用户存心搞鬼，恣意乱删其他用户存放的文件。下面显示/tmp 目录的权限：

[root@Gin scripts]# ll -d /tmp
drwxrwxrwt. 8 root root 4096 Feb  1 18:04 /tmp

SUID、SGID和sticky-bit的表示

从上面的显示可以看出，SUID是占用属主的x位置为表示的；SGID是占用组的x位置来表示的；sticky-bit是占用其他人的x位置来表示 的。在表示上有大小定之分，假若同时设置执行权限和SUID、SGID和sticky-bit，权限标识字符是小写的；倘若关闭执行权限，则标识字符会变成大写。

设置特殊权限

使用chmod命令设置特殊权限，仍然有字符设定法和数值设定法之分。使用字符设定法时，可以使用s和t权限字符，

例如：

chmod u+s /usr/bin/myapp      //为程序/usr/bin/myapp添加SUID权限
chmod g+s /home/groupspace      //为目录/home/groupspace添加SGID权限
chmod o+t /home/share      //为目录/home/share添加sticky-bit权限

使用chmod的数值设定法时，要使用4位八进制数值，其中第一位八进制数用于设置特殊权限，后三位八进制数用于设置基本权限。

例如：

chmod 4755 /usr/bin/myapp      //设置SUID
chmod 2755 /home/groupspace      //设置SGID
chmod 1755 /home/share     //设置sticky-bit