红帽全球峰会第 10 章 管理用户和组
防止未经授权访问文件和流程需要准确的用户和组管理。如果您没有集中管理帐户,或者您只需要特定系统上的用户帐户或组,您可以在主机上本地创建它们。
10.1. 管理用户和组帐户简介
用户和组群的控制是 Red Hat Enterprise Linux(RHEL)系统管理的核心元素。每个 RHEL 用户都有不同的登录凭证,并可分配给不同的组以自定义其系统权限。
10.1.1. 用户和组介绍
创建文件的用户是该文件的拥有者以及该文件的组所有者。这个文件会单独为拥有者、组和组以外的成员分配读、写和执行权限。文件所有者只能由 root 用户更改。root 用户和文件拥有者都可以更改对该文件的访问权限。常规用户可以将他们拥有的文件的组群所有权改为他们所属的组。
每个用户都与一个唯一数字身份号关联,称为 user ID (UID)。每个组都与一个 group ID (GID)关联。组群中的用户共享相同的读取、写入和执行该组所拥有的文件的权限。
10.1.2. 配置保留的用户和组群 ID
默认情况下,RHEL 为系统用户和组保留在 1000 以下的用户和组群 ID。您可以在 setup 软件包中找到保留的用户和组群 ID。在更改 UID_MIN 和 GID_MIN 值前创建的用户和组的 UID 和 GID 不会改变。保留的用户和组群 ID 记录在:
/usr/share/doc/setup/uidgid
要将 ID 分配给从 5000 开始的新用户和组,因为保留范围将来可能会增加。
修改 /etc/login.defs 文件中的 UID_MIN 和 GID_MIN 参数,以定义默认值(1000)以外的启动 ID。
不要通过更改 SYS_UID_MAX 来提高系统 1000 以上保留的 ID,以避免与保留 1000 限制的系统冲突。
流程
-
在编辑器中打开
/etc/login.defs文件。 设置
UID_MIN变量,例如:# Min/max values for automatic uid selection in useradd # UID_MIN 5000设置
GID_MIN变量,例如:# Min/max values for automatic gid selection in groupadd # GID_MIN 5000常规用户动态分配的 UID 和 GID 现在从 5000 开始。
10.1.3. 用户私人组群
RHEL 使用用户私有组(UPG)系统配置,这有助于管理 Linux 组。无论何时在系统中添加新用户,都会创建一个用户私人组群。用户私人组群的名称与为其创建的用户的名称相同,该用户是该用户私人组群中的唯一成员。
UPG 简化了多个用户之间在项目上的协作。此外,UPG 系统配置可以安全地为新创建的文件或目录设置默认权限,因为它允许该用户和此用户所属的组对文件或目录进行修改。
所有本地组的列表都存储在 /etc/group 配置文件中。
