|
在 Linux 系统中管理用户组并不费力,但相关命令可能比你所知的更为灵活。
在 Linux 系统中用户组起着重要作用。用户组提供了一种简单方法供一组用户互相共享文件。用户组也允许系统管理员更加有效地管理用户权限,因为管理员可以将权限分配给用户组而不是逐一分配给单个用户。
尽管通常只要在系统中添加用户账户就会创建用户组,关于用户组如何工作以及如何运用用户组还有很多需要了解的。
一个用户一个用户组?
Linux 系统中多数用户账户被设为用户名与用户组名相同。用户 jdoe 会被赋予一个名为 jdoe 的用户组,且成为该新建用户组的唯一成员。如本例所示,该用户的登录名,用户 id 和用户组 id 在新建账户时会被添加到 /etc/passwd 和 /etc/group 文件中:
$ sudo useradd jdoe$ grep jdoe /etc/passwdjdoe:x:1066:1066:Jane Doe:/home/jdoe:/bin/sh$ grep jdoe /etc/groupjdoe:x:1066:
这些文件中的配置使系统得以在文本(jdoe)和数字(1066)这两种用户 id 形式之间互相转换—— jdoe 就是 1006,且 1006 就是 jdoe。
分配给每个用户的 UID(用户 id)和 GID(用户组 id)通常是一样的,并且顺序递增。若上例中 Jane Doe 是最近添加的用户,分配给下一个新用户的用户 id 和用户组 id 很可能都是 1067。
GID = UID?
UID 和 GID 可能不一致。例如,如果你用 groupadd 命令添加一个用户组而不指定用户组 id,系统会分配下一个可用的用户组 id(在本例中为 1067)。下一个添加到系统中的用户其 UID 会是 1067 而 GID 则为 1068。
你可以避免这个问题,方法是添加用户组的时候指定一个较小的用户组 id 而不是接受默认值。在下面的命令中我们添加一个用户组并提供一个 GID,这个 GID 小于用于用户账户的 GID 取值范围。
$ sudo groupadd -g 500 devops
创建账户时你可以指定一个共享用户组,如果这样对你更合适的话。例如你可能想把新来的开发人员加入同一个 DevOps 用户组而不是一人一个用户组。
$ sudo useradd -g staff bennyg$ grep bennyg /etc/passwdbennyg:x:1064:50::/home/bennyg:/bin/sh
主要用户组和次要用户组
用户组实际上有两种:主要用户组和次要用户组。
主要用户组是保存在 /etc/passwd 文件中的用户组,该用户组在账户创建时配置。当用户创建一个文件时,用户的主要用户组与此文件关联。
$ whoamijdoe$ grep jdoe /etc/passwdjdoe:x:1066:1066:John Doe:/home/jdoe:/bin/bash ^ | +-------- 主要用户组$ touch newfile$ ls -l newfile-rw-rw-r-- 1 jdoe jdoe 0 Jul 16 15:22 newfile ^ | +-------- 主要用户组
用户一旦拥有账户之后被加入的那些用户组是次要用户组。次要用户组成员关系在 /etc/group 文件中显示。
$ grep devops /etc/groupdevops:x:500:shs,jadep ^ | +-------- shs 和 jadep 的次要用户组
/etc/group 文件给用户组分配组名称(例如 500 = devops)并记录次要用户组成员。
首选的准则
每个用户是他自己的主要用户组成员,并可以成为任意多个次要用户组成员,这样的一种准则允许用户更加容易地将个人文件和需要与同事分享的文件分开。当用户创建一个文件时,用户所属的不同用户组的成员不一定有访问权限。用户必须用 chgrp 命令将文件和次要用户组关联起来。
哪里也不如自己的家目录
添加新账户时一个重要的细节是 useradd 命令并不一定为新用户添加一个家目录家目录。若你只有某些时候想为用户添加家目录,你可以在 useradd 命令中加入 -m 选项(可以把它想象成“安家”选项)。
$ sudo useradd -m -g devops -c "John Doe" jdoe2
(编辑:ASP站长网)
|
新win11系统能否建议
在windows环境下部署n
Windows 10的任务管理
盘点阿里巴巴 33 个开
消息称 Chrome 正开发