Linux用户与权限管理：从入门到精通的实战手册

掌握了核心理论后，真正的技能提升在于动手实践。本指南将用户管理、组管理及权限设置等关键操作，通过清晰的命令分解与步骤演示，帮助你从理论认知跨越到熟练应用。跟随本教程操作一遍，你就能扎实掌握Linux系统管理的核心技能。

一、操作前的关键准备

需要明确一个核心前提：绝大多数涉及用户、用户组及文件权限的修改操作，都需要超级管理员（root）权限才能执行。普通用户账户不具备这些权限。

通常有两种方式获取所需权限：

一是直接切换到 root 用户身份：执行命令 su -；二是更安全、更推荐的方式，使用 sudo 命令进行临时权限提升：sudo [具体命令]。

请注意，本文演示的所有命令在 Anolis OS、CentOS、RHEL、Ubuntu 等主流Linux发行版上均通用。

二、用户管理实战命令详解

1. 创建新用户：useradd 命令

使用 useradd 创建新用户时，系统会自动执行一系列操作：分配一个唯一的用户标识符（UID，普通用户通常从1000开始递增，具体规则定义在/etc/login.defs配置文件中）、创建一个与用户同名的基本组作为其主组，并在 /home 目录下为其创建专属的家目录。

# 创建名为 zhangsan 的用户
useradd zhangsan
# 创建用户并指定家目录路径（通常无需指定，使用默认位置即可）
useradd -d /home/zhangsan zhangsan

2. 设置或更改用户密码：passwd 命令

请注意，在Linux系统中，仅创建用户账户是不够的，必须为其设置密码后，该用户才能成功登录系统。

# 为 zhangsan 用户设置登录密码
passwd zhangsan

执行上述命令后，根据终端提示输入两次密码即可（输入过程中密码字符不会显示，属于正常的安全机制）。

3. 删除用户账户：userdel 命令

# 删除用户账户，但保留其家目录及邮件文件
userdel zhangsan
# 彻底删除用户账户，同时删除其家目录和邮件存储（操作前请确认）
userdel -r zhangsan

4. 查看用户相关信息

# 显示当前登录并执行命令的用户名
whoami
# 查看指定用户的UID、主组ID（GID）及所属的所有组
id zhangsan
# 查看系统中所有用户账户的配置信息
cat /etc/passwd
# 通常，普通用户的UID大于等于1000

5. 切换用户身份：su 命令

# 切换到 zhangsan 用户身份（不改变当前工作环境变量）
su zhangsan
# 完全切换到 zhangsan 用户（推荐，会加载该用户的完整登录环境）
su - zhangsan
# 切换回 root 超级用户
su -

三、用户组管理实战操作

(1) 创建新用户组：groupadd

# 创建一个名为 dev 的用户组
groupadd dev

(2) 删除用户组：groupdel

# 删除 dev 用户组（需确保组内无任何用户）
groupdel dev

(3) 将用户添加到附加组（核心操作！）

# 将用户 zhangsan 添加到 dev 组作为其附加组
usermod -aG dev zhangsan

参数解析至关重要：-a 参数表示“追加”，确保不删除用户原有的其他附加组；-G 参数用于指定要加入的附加组名称。

(4) 查看用户所属的所有组

# 列出 zhangsan 用户所属的全部组
groups zhangsan

(5) 查看系统所有组信息

# 显示 /etc/group 文件内容，查看所有组定义
cat /etc/group

四、文件与目录权限修改实战（核心：chmod命令）

chmod（change mode）命令专门用于修改文件或目录的读（r）、写（w）、执行（x）权限。它有两种主流且实用的方法：数字表示法（最常用）和符号表示法。

1. 数字权限表示法（必须掌握）

规则简明：读（r）权限对应数字4，写（w）对应2，执行（x）对应1。将所有者（user）、所属组（group）、其他用户（others）三者的权限数值分别相加，组合成一个三位数。

以下是一些必须熟记的常用权限数字组合：

644 → 普通文件的标准权限（所有者可读写，其他人只读）
755 → 目录或可执行脚本的标准权限（所有者完全控制，其他人可读可执行）
700 → 私有目录权限，仅所有者可访问
600 → 敏感文件权限（如SSH私钥、密码文件），仅所有者可读写
777 → 极度宽松的权限（所有者、组、其他人均可读写执行），生产环境严禁使用

具体应用示例如下：

# 将文件 test.txt 的权限设置为 644
chmod 644 test.txt
# 将目录 project/ 的权限设置为 755
chmod 755 project/
# 将目录 mydir/ 设置为私有权限（700），仅自己可用
chmod 700 mydir/

2. 符号权限表示法（适合精细调整）

此方法更直观易懂，基本格式为：chmod [用户类别][操作符][权限] 文件名。

u=所有者(user) g=所属组(group) o=其他用户(others) a=所有用户(all)
+表示添加权限 -表示移除权限 =表示精确设置权限

通过实例快速理解：

# 为文件所有者添加执行(x)权限
chmod u+x test.sh
# 从文件所属组中移除写(w)权限
chmod g-w test.txt
# 为所有用户（所有者、组、其他）添加读(r)权限
chmod a+r readme.txt

3. 递归修改目录权限（批量操作必备）

如果需要修改一个目录及其内部所有子目录和文件的权限，使用 -R（递归）参数即可一键完成。

# 递归地将 /data/project/ 目录及其下所有内容的权限设置为 755
chmod -R 755 /data/project/

五、修改文件所有者与所属组：chown 命令

chown（change owner）命令用于变更文件或目录的所有权，包括所有者和所属组。

(1) 修改文件所有者

# 将文件 test.txt 的所有者更改为 zhangsan
chown zhangsan test.txt

(2) 同时修改文件的所有者和所属组

# 将文件 test.txt 的所有者改为 zhangsan，所属组改为 dev
chown zhangsan:dev test.txt

(3) 递归修改目录的所有权

# 递归地将 /data/project/ 目录下所有内容的所有者改为 zhangsan，所属组改为 dev
chown -R zhangsan:dev /data/project/

六、综合实战演练（新手必做）

实践是检验真理的唯一标准。完成下面这套完整的操作流程，你将掌握本章90%的核心技能。

任务目标：

1. 创建新用户 wangwu
2. 创建新用户组 test
3. 将用户 wangwu 加入 test 组
4. 创建目录 /data/testdir
5. 将该目录权限设置为 775（允许组内成员协作）
6. 将目录所有者改为 root，所属组改为 test

完整命令序列（可复制执行）：

# 1. 创建用户并设置密码
useradd wangwu
passwd wangwu
# 2. 创建用户组
groupadd test
# 3. 将用户加入组（使用-aG参数避免覆盖原有组）
usermod -aG test wangwu
# 4. 创建目录（-p参数确保父目录不存在时自动创建）
mkdir -p /data/testdir
# 5. 设置目录权限为775：所有者rwx，组rwx，其他r-x
chmod 775 /data/testdir
# 6. 变更目录的所有者和所属组
chown -R root:test /data/testdir

操作完成后，权限结构一目了然：root用户拥有最高控制权；test组的成员（例如wangwu）可以在目录内自由创建、修改和删除文件；而其他用户仅拥有读取和执行权限，无法进行写入操作。

七、常见误区与避坑指南

前人踩过的坑，正是你前进的路标。以下要点请务必牢记：

• 目录的“进入权”：用户必须对目录拥有执行（x）权限，才能进入（cd）该目录。仅有读（r）权限是无法进入的。
• 删除文件的真正条件：用户能否删除一个文件，取决于其对该文件所在目录是否拥有写（w）权限，而与文件本身的权限无关。即使文件是只读的，只要目录可写，文件就能被删除。
• 警惕危险的777：切勿在生产服务器上随意使用 chmod 777 命令。这等同于放弃所有权限控制，会带来严重的安全风险。
• 系统目录是禁区：绝对不要递归修改 /（根目录）、/etc、/bin、/sbin 等系统核心目录的权限，这极易导致系统无法启动或运行异常。
• 添加附加组的正确方法：使用 usermod 为用户添加附加组时，务必结合 -a（追加）和 -G 参数。若单独使用 -G，会覆盖用户原有的所有附加组。

正确命令：usermod -aG dev zhangsan  # 将zhangsan追加到dev组
错误命令：usermod -G dev zhangsan    # 此操作会清空zhangsan原有的所有附加组！

八、Linux用户与权限命令速查表（建议收藏）

为方便日常查阅与复习，特整理以下核心命令速查表：

useradd          创建新用户
passwd           设置或修改用户密码
userdel          删除用户账户
su               切换用户身份
id               查看用户UID、GID及所属组
groups           查看指定用户所属的所有组
groupadd         创建新用户组
groupdel         删除用户组
usermod -aG      将用户添加到附加组（推荐方式）
chmod            修改文件或目录权限
chown            修改文件或目录的所有者和所属组
chmod -R         递归修改权限（用于目录）
chown -R         递归修改所有权（用于目录）