RHCSA入门精讲之目录结构与身份- 用户账户管理详解

# 1. 引言

- RHCSA认证介绍
- 目录结构与身份管理的重要性

RHCSA（Red Hat Certified System Administrator）认证是一项针对Linux系统管理员的专业认证，由红帽公司提供。通过RHCSA认证考试，可以证明个人具备在使用Red Hat Enterprise Linux操作系统上执行核心系统管理任务的能力。

在Linux系统管理中，正确的目录结构和有效的身份管理是至关重要的。了解Linux系统的目录结构可以帮助管理员快速定位文件和程序，提高工作效率；而有效的身份管理则可以确保系统安全，避免权限混乱和数据泄露。

在接下来的章节中，我们将深入探讨Linux系统目录结构、用户账户管理、用户组管理、访问控制与权限管理等关键主题，帮助读者全面了解RHCSA认证所涉及的知识点，为实践和学习Linux系统管理打下坚实基础。

# 2. Linux文件系统目录结构

在Linux系统中，文件系统目录结构是非常重要的，它是整个系统的基础，对于系统管理员来说，了解和掌握文件系统目录结构是至关重要的。本章将介绍Linux文件系统目录结构的基本概念、常见目录解释以及目录树状结构示例，让读者对Linux系统的文件组织有一个清晰的认识。

### 根目录结构

Linux的根目录为`/`目录，所有其他目录和文件都是从根目录开始构建的。根目录是整个文件系统的起点，类似于Windows中的`C:\`盘符。

### 常见目录解释

1. **`/bin`目录：** 存放系统必需的用户命令（binary binaries），如`ls`、`cp`、`mv`等。
2. **`/etc`目录：** 存放系统配置文件，如`/etc/passwd`存放用户账户信息。
3. **`/home`目录：** 存放用户的家目录，每个用户都有一个对应的子目录，如`/home/user1`。
4. **`/var`目录：** 存放经常变化的文件，如日志文件等。
5. **`/tmp`目录：** 用于存放临时文件。

### 目录树状结构图示

下面是一个简单的Linux文件系统目录树状结构示例:

/
├── bin
├── boot
├── dev
├── etc
├── home
│   ├── user1
│   └── user2
├── lib
├── media
├── opt
├── proc
├── root
├── sbin
├── srv
├── sys
├── tmp
├── usr
└── var

在实际操作中，了解常见目录的作用及根目录结构能够帮助管理员更好地管理系统文件与目录。

# 3. 理解Linux用户账户管理

在Linux系统中，用户账户管理是非常重要的一环，它涉及到系统安全和权限控制等核心问题。本章将详细介绍用户账户的概念、新建用户账户、用户账户信息管理以及相关命令的详细解释。

1. **用户账户的概念与重要性**
在Linux系统中，每个用户都有一个唯一的用户名（User Name）和用户ID（User ID），用于标识用户在系统中的身份。用户账户可以控制用户对文件和系统资源的访问权限，实现对系统安全的管理和控制。

2. **新建用户账户**

在Linux系统中，我们可以使用`useradd`命令来创建新的用户账户。以下是一个示例：

   sudo useradd -m -s /bin/bash newUser

- `useradd`: 创建用户账户的命令
- `-m`: 创建用户的家目录
- `-s /bin/bash`: 指定用户的登录shell为bash
- `newUser`: 新用户的用户名

3. **用户账户信息管理**

- **修改用户密码**

可以使用`passwd`命令来为用户修改密码：

     sudo passwd newUser

- **删除用户账户**

使用`userdel`命令可以删除用户账户：

     sudo userdel -r oldUser

`-r`: 同时删除用户的家目录

4. **用户账户相关命令详解**

- `id`: 查看当前用户的UID（User ID）和GID（Group ID）

     id

- `whoami`: 查看当前登录的用户名

     whoami

- `groups`: 查看当前用户所属的用户组

     groups

通过学习以上内容，读者能够深入了解Linux系统中用户账户管理的重要性，以及如何创建、管理用户账户，为日常的系统管理工作奠定基础。

# 4. Linux用户组管理

在Linux系统中，用户组是将一组用户集中在一起进行管理的机制，可以更加灵活地控制用户对系统资源的访问权限。通过用户组管理，系统管理员可以更方便地对用户进行分类和授权，提高系统安全性和管理效率。

#### 用户组的作用与管理

用户组主要有以下几个作用和优点：
1. 组织管理：将具有相似职责或权限需求的用户归纳到同一组内，便于统一管理。
2. 权限控制：通过用户组将权限赋予组内所有用户，简化权限管理。
3. 继承模式：用户组与权限设置可以继承给组内的所有用户。
4. 提高安全性：通过适当的组织用户，可以降低系统遭受未经授权访问的风险。

#### 新建用户组

在Linux系统中，我们可以使用`groupadd`命令来新建用户组。下面是创建一个名为`testgroup`的用户组的示例：

sudo groupadd testgroup

#### 用户账户与用户组关联

要将用户添加到用户组中，可以使用`usermod`命令，具体示例如下：

sudo usermod -a -G testgroup username

上述命令中，`-a`选项表示追加，`-G`选项后指定用户组名称，`username`为要添加到组中的用户名。

通过合理管理用户组，管理员可以更好地管理系统用户及其权限，提高系统安全性和管理效率。

# 5. 访问控制与权限管理

在Linux系统中，访问控制与权限管理是非常重要的一部分，可以通过设置文件和目录的权限来控制用户对系统资源的访问。本章将详细介绍Linux文件权限的理解与设置，以及特殊权限的概念和用法。

## 理解Linux文件权限

在Linux系统中，每个文件和目录都有权限属性，用来决定谁可以对其进行读取、写入和执行操作。文件权限共分为三种角色：所有者（文件或目录的所有者）、用户组（文件或目录的所属用户组）、其他用户。权限属性包括读（r）、写（w）和执行（x）。

## 文件与目录权限设置

使用`ls -l`命令可以查看文件和目录的权限属性，如下所示：

$ ls -l
-rw-r--r-- 1 user1 usergroup1 23 Oct 10 09:05 myfile.txt
drwxr-xr-x 2 user2 usergroup2 4096 Oct 10 10:12 mydir

上面的例子中，`-rw-r--r--`代表文件`myfile.txt`的权限属性，而`drwxr-xr-x`代表目录`mydir`的权限属性。其中，`-`表示文件，`d`表示目录，接下来的字符每三个一组，分别表示所有者、用户组和其他用户的权限设置。

使用`chmod`命令可以修改文件和目录的权限设置，例如：

$ chmod u+w myfile.txt  # 给文件所有者添加写权限
$ chmod g-r mydir       # 删除目录所属用户组的读权限
$ chmod o+x myfile.txt  # 给其他用户添加执行权限

## 特殊权限：SUID, SGID, Sticky Bit

除了普通的读、写、执行权限外，还有三种特殊权限：SUID（Set User ID）、SGID（Set Group ID）和Sticky Bit。这些特殊权限可以在一定程度上提升文件和目录的安全性和灵活性。

- SUID：当一个可执行文件被设置了SUID权限时，它将以文件所有者的权限来执行，而不是以执行者的权限。
- SGID：当一个目录被设置了SGID权限时，在该目录下创建的文件将继承该目录的所属用户组。
- Sticky Bit：当一个目录被设置了Sticky Bit权限时，只有文件所有者、目录所有者或者root用户可以删除该目录下的文件。

要设置这些特殊权限，可以使用`chmod`命令，并在普通权限位前加上对应的数字代表特殊权限。

$ chmod u+s myfile.txt  # 设置SUID权限
$ chmod g+s mydir       # 设置SGID权限
$ chmod +t mydir        # 设置Sticky Bit权限

通过本章的学习，读者可以全面了解Linux文件权限、权限设置方法以及特殊权限的作用，对于系统安全性和访问控制具有重要意义。

# 6. 用户身份切换与权限委派

在Linux系统管理中，用户身份切换和权限委派是非常重要的概念，可以帮助管理员合理分配权限，确保系统安全可控。本章将详细介绍sudo权限控制、切换用户身份以及权限委派与访问控制策略。

#### sudo权限控制

sudo是一种让普通用户以超级用户的身份执行命令的工具。通过sudo，管理员可以精确控制哪些用户可以以超级用户的身份执行哪些命令，以及可以执行命令的频率和方式。下面通过示例演示sudo的使用。

# 首先，确保当前用户在sudoers文件中拥有sudo权限
# 使用visudo编辑sudoers文件
visudo

# 在文件中添加一行，允许用户myuser执行ifconfig命令
myuser    ALL=(ALL:ALL) ALL, !/usr/sbin/ifconfig

# 保存并退出sudoers文件

# 现在，myuser可以使用sudo执行允许的命令
sudo ls

# 尝试执行被禁止的ifconfig命令
sudo ifconfig

##### 代码总结

上述示例中，通过编辑sudoers文件，我们允许用户myuser以sudo执行所有命令，但禁止其执行ifconfig命令。这展示了sudo可以灵活控制用户的权限。

##### 结果说明

通过sudo的配置，可以精确控制用户能够以超级用户身份执行的命令，加强了系统安全性。

#### 切换用户身份：su、sudo

在Linux系统中，除了使用sudo以超级用户身份执行命令，还可以通过su命令切换到其他用户的身份。su命令需要输入目标用户的密码，而sudo则要求当前用户自己的密码。下面通过示例演示su和sudo命令的使用方法。

# 使用su命令切换到user2用户
su - user2
# 输入user2的密码

# 执行一些命令

# 退出user2用户身份，返回到原用户
exit

# 使用sudo命令以root身份执行命令
sudo systemctl restart apache2

##### 代码总结

通过su和sudo命令，用户可以在不同的身份间切换，并执行相应的操作。

##### 结果说明

su命令可以让用户直接切换到其他用户的身份，而sudo命令则是以超级用户身份执行特定的命令，两者可以根据实际需求灵活选择使用。

#### 权限委派与访问控制策略

除了使用sudo、su进行用户身份切换外，还可以通过权限委派与访问控制策略来精细地控制用户权限。例如，可以通过文件的权限设置、ACL（访问控制列表）、selinux等来限制特定用户对文件和目录的访问权限。

# 设置文件夹/dataroom权限，只有组成员和root可以读写
sudo chmod 770 /dataroom
sudo chown root:mygroup /dataroom
# 创建ACL，给用户alice读写权限
sudo setfacl -m u:alice:rw /dataroom
# 查看ACL设置
getfacl /dataroom

##### 代码总结

上述示例通过chmod设置了文件夹的基本权限，然后使用setfacl设置了ACL，精细地控制了用户对文件夹的权限。

##### 结果说明

通过权限委派与访问控制策略，管理员可以更加细致地控制用户对文件和目录的访问权限，实现权限的委派和精细化管理。

通过本章的学习，读者可以深入了解sudo权限控制、用户身份切换以及权限委派与访问控制策略的相关知识，为进一步学习和实践Linux系统管理打下坚实基础。