用户管理:Linux的安全模型
用户和组相关文件
用户和组管理命令权限管理:理解并设置文件权限
默认权限
特殊权限
文件访问控制列表
1.linux安全模型
资源分派:
Authentication:认证,验证用户身份
Authorization:授权,不同的用户设置不同权限
Accouting|Audition:审计(黑匣子记录事件)当用户登录成功时,系统会自动分配令牌 token,包括:用户标识(用户UID)和组成员等信息(登入获取就不变了)
1.1 用户
Linux中每个用户是通过 User Id (UID)来唯一标识的
#id -u root(查看用户id号)
1.管理员:root, 0
2.普通用户:1-60000 自动分配
系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)(预留给软件服务用的)
对守护进程获取资源进行权限分配
登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)
给用户进行交互式登录使用
1.2 用户组
用户 -- 员工
组--工作职位 运维工程师
用户必须属于某个组,属于多个组
CEO CTO
组 CEO 主要组,必须,只有一个
组 CTO 辅助组,不是必须的,可有可无,有多个
1.3 用户和组的关系
用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建
和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
[root@centos8 ~]#id postfix
uid=89(postfix) gid=89(postfix) groups=89(postfix),12(mail)
1.4 安全上下文
Linux安全上下文Context:运行中的程序,即进程 (process),以进程发起者的身份运行,进程所能够访问资源的权限取决于进程的运行者的身份
比如:分别以root 和wang 的身份运行 /bin/cat /etc/shadow ,得到的结果是不同的,资源能否能
被访问,是由运行者的身份决定,非程序本身
2.用户和组的配置文件
2.1用户和组的主要配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/shadow:用户密码及其相关属性
/etc/group:组及其属性信息 #cat /etc/group(查看group信息,用户名可以和组名相同,
/etc/gshadow:组密码及其相关属性
2.2 passwd文件格式
login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释 home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
2.3 shadow文件格式
shadow (放密码的文件,普通用户看不了。)
登录用名:
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
man 5 shadow (打开文件,看属性)
#cat /etc/shadow (查看文件
#date(外部命令,看时间帮助用--help),#date +%S(今天现在到1970 创建时候的秒数)回车显示xxxxxxx,在转化为天#echo 'date +%s'/3600/24|bc,回车显示天数。
2.4 group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
2.5 gshdow文件格式
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
想看怎么用 #man
2.6 文件操作
vipw和vigr(建议不用这个改)
pwck和grpck(检查文件格式)
3 用户和组管理命令
用户管理命令
useradd(加用户)
usermod(修改用户)
userdel(删除用户)
组帐号维护命令
groupadd
groupmod
groupdel
3.1 用户创建
useradd 命令可以创建新的Linux,用户格式:useradd [options] LOGIN
-u UID
-o 配合-u 选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS 6之前: ID<500,CentOS7 以后: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
-p 指定加密的密码
#useradd --help(外部命令查看具体用法)
#[root@rocky8 ~]#rpm -q --scripts postfix
回车显示preinstall scriptlet (using /bin/sh):
# Add user and groups if necessary
/usr/sbin/groupadd -g 90 -r postdrop 2>/dev/null
/usr/sbin/groupadd -g 89 -r postfix 2>/dev/null
/usr/sbin/groupadd -g 12 -r mail 2>/dev/null
/usr/sbin/useradd -d /var/spool/postfix -s /sbin/nologin -g postfix -G mail -M -
r -u 89 postfix 2>/dev/null
#getent group =#cat /etc/group (可以直接看 group 后的文件夹)
useradd 命令默认值设定由/etc/default/useradd定义 [root@centos8 ~]#cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1 #对应/etc/shadow文件第7列,即用户密码过期后的帐号锁定的宽限期,-1表示不锁定
EXPIRE= #对应/etc/shadow文件第8列,即用户帐号的有效期
SHELL=/bin/bash
SKEL=/etc/skel #用于生成新建用户家目录的模版文件
CREATE_MAIL_SPOOL=yes
写脚本要兼容 ,有些rocky、Ubuntu;不兼容。
生成好的家目录会有些隐藏的配置文件,#ls /home/xxxxx -a,(自动建家目录),Ubuntu中#useradd -m -s /bin/bash xxx,#ll home ,生成了xxx的家目录,会自动生成写有内容的文件,在#ls -/etc/skel -a(这个是我们新建家目录的模板目录)。
3.2 用户属性修改
usermod 命令可以修改用户属性 ,格式:usermod [OPTION] login
常见选项: -u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限,即宽限期
#usermod -L XXX,(将xxx账号锁定),#gentent shadow xxx, 显示:xxx:后有!,#usermod -XXX(解锁xxx账户),
#usermod -l wangwu lisi (把李四改名为王五)。
3.3 删除用户
userdel 可删除Linux 用户, 格式:userdel [OPTION]... Login ,(正在登录的账号不能正常删,可以强删。)
常见选项: -f, --force 强制
-r, --remove 删除用户家目录和邮箱
#ll /var/spool/mail(显示xxx的邮箱),
范例: 强制删除用户和数据:
[root@centos8 ~]#useradd test
[root@centos8 ~]#id test
uid=1001(test) gid=1001(test) groups=1001(test)
#在另一终端用test登录
[root@centos8 ~]#su - test
[test@centos8 ~]$
#删除正在登录的用户失败
[root@centos8 ~]#userdel -r test
userdel: user test is currently used by process 29909
[root@centos8 ~]#id test
uid=1001(test) gid=1001(test) groups=1001(test)
#强制删除用户
[root@centos8 ~]#userdel -rf test
userdel: user test is currently used by process 29909
[root@centos8 ~]#id test
id: ‘test’: no such user
3.4 查看用户相关的ID信息
id 命令可以查看用户的UID,GID等信息, 格式:id [OPTION]... [USER]
常见选项: -u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
3.5 切换用户或以其他用户身份执行命令
su: 即 switch user,命令可以切换用户身份,并且以指定用户的身份执行命令
格式:su [options...] [-] [user [args...]]
常见选项:-l --login su -l UserName 相当于 su - UserName
-c, --command <command> pass a single command to the shell with -c
#su xxx ,#id ,(不完全切换,会保留原来的信息)
#su -xxx,(相当重新登入,)#pwd,显示/home/xxx, #echo $PATH (显示xxx目录)
切换用户的方式:
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完
全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
说明:root su至其他用户无须密码;非root用户切换时需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
su [-] UserName -c 'COMMAND'(以xxx执行命令后会继续在root账号下)
范例:
[root@centos8 ~]#su -s /sbin/nologin wang(这个shell 下账户是切户不过去的)
This account is currently not available.
[root@centos8 ~]#whoami
root
[root@centos8 ~]#su -s /bin/false wang(这个shell 下账户是切户不过去的,错的)
[root@centos8 ~]#whoami root
3.6 设置密码
passwd 可以修改用户密码, 格式:passwd [OPTIONS] UserName
常用选项: -d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码,Ubuntu无此选项
范例:非交互式修改用户密码
[root@centos8 ~]#echo -e '123456\n123456' | passwd mage
Changing password for user mage.
New password: BAD PASSWORD: The password is shorter than 8 characters
Retype new password: passwd: all authentication tokens updated successfully.
3.7 修改用户密码策略
chage 可以修改用户密码策略 ,格式:chage [OPTION]... LOGIN
常见选项: -d LAST_DAY #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPIRE_DATE #用户的有效期
-l 显示密码策略
groupadd实现创建组,格式#groupadd [OPTION]... group_name
常见选项: -g GID 指明GID号;[GID_MIN, GID_MAX]
-r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
groupmod 组属性修改,格式:groupmod [OPTION]... group
常见选项: -n group_name: 新名字
-g GID: 新的GID
groupdel 可以删除组,格式:groupdel [options] GROUP
常见选项:
-f, --force 强制删除,即使是用户的主组也强制删除组,但会导致无主组的用户不可用无法登录
gpasswd命令,可以更改组密码,也可以修改附加组的成员关系,格式:gpasswd [OPTION] GROUP
常见选项: -a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
groupmems 可以管理附加组的成员关系,格式:groupmems [options] [action]
常见选项: -g, --group groupname #更改为指定组 (只有root)
-a, --add username #指定用户加入组
-d, --delete username #从组中删除用户
-p, --purge #从组中清除所有成员
-l, --list #显示组成员列表
groups 可查看用户组关系,格式:#查看用户所属组列表
groups [OPTION].[USERNAME]...
4 文件权限管理
程序访问文件时的权限,取决于此程序的发起者
进程的发起者,同文件的属主:则应用文件属主权限
进程的发起者,属于文件属组;则应用文件属组权限
应用文件“其它”权限
4.1.1 设置文件的所有者chown(change owner)
chown 命令可以修改文件的属主,也可以修改文件属组,格式:
chown [OPTION]... [OWNER][:[GROUP]] FILE...,chown [OPTION]... --reference=RFILE FILE...
用法说明:
OWNER #只修改所有者
OWNER:GROUP #同时修改所有者和属组
:GROUP #只修改属组,冒号也可用 . 替换
--reference=RFILE #参考指定的的属性,来修改
-R #递归,此选项慎用,非常危险
[root@centos8 data]#cp /etc/fstab f1.txt
[root@centos8 data]#pwd
/data
[root@centos8 data]#ll
total 4
-rw-r--r-- 1 root root 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown wang f1.txt
[root@centos8 data]#ll
total 4
-rw-r--r-- 1 wang root 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown :admins f1.txt
[root@centos8 data]#ll f1.txt
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
4.1.2 设置文件的属组信息chgrp
chgrp 命令可以只修改文件的属组,格式
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
4.2 文件权限
4.2.1 文件权限说明
文件的权限主要针对三类对象进行定义
owner 属主, u
group 属组, g
other 其他, o
每个文件针对每类访问者都定义了三种常用权限
每个文件针对每类访问者都定义了三种权限
r Readable 4(读)
w Writable 2(写)
x eXcutable 1(执行,程序)
对文件的权限:
r 可使用文件查看类工具,比如:cat,可以获取其内容
w 可修改其内容,文件的是否被删除和文件的权限无关
x 可以把此文件提请内核启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行)
文件权限常见组合
--- 0
r-- 4
r-x 5
rw- 6
rwx 7
对目录的权限:
r 可以使用ls查看此目录中文件名列表,但无法看到文件的属性meta信息,包括inode号,不能查 看文件的内容
w 可在此目录中创建文件,也可删除此目录中的文件,而和此被删除的文件的权限无关
x 可以cd进入此目录,可以使用ls -l file或stat file 查看此目录中指定文件的元数据,当预先知
道文件名称时,也可以查看文件的内容,属于目录的可访问的最小权限
X 分配给目录或有部分x权限的文件的x权限,对无任意x权限的文件则不会分配x权限
目录权限常见组合
- 不能访问目录
r-x 只读目录
rwx 可读也可写目录
文件所有者,文件所属组成员,路人。
4.2.2 修改文件权限chmod
模式法格式:chmod who opt per file
who:u,g,o,a opt:+,-,=
数字法:u:rwx, g:rw, o:- ,rwx rw- --- 111 110 000, 7 6 0 ,chmod 760,
--- 0, --x 1, -w- 2, r-- 4.
777 (rwxrwxrwx),--------- 000,rw- 6, r-- 4, r-x 5 , --- 0
范例: 设置 X 权限
[root@centos8 data]#ll dir
total 8
-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt
-rwxr--r-- 1 root root 709 Dec 18 11:09 f2.txt
drw-r--r-- 2 root root 6 Dec 18 11:15 subdir
[root@centos8 data]#ll -d dir
drwxr-xr-- 3 root root 48 Dec 18 11:15 dir
[root@centos8 data]#chmod -R a+X dir
[root@centos8 data]#ll -d dir
drwxr-xr-x 3 root root 48 Dec 18 11:15 dir
[root@centos8 data]#ll dir
total 8
-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt
-rwxr-xr-x 1 root root 709 Dec 18 11:09 f2.txt
drwxr-xr-x 2 root root 6 Dec 18 11:15 subdir范例:面试题
执行 cp /etc/issue /data/dir/ 所需要的最小权限?
/bin/cp 需要x权限
/etc/ 需要x权限
/etc/issue 需要r权限
/data 需要x权限
/data/dir 需要w,x权限
4.3 新建文件和目录的默认权限
新建文件夹 755 新建文件644 (默认权限)
umask 变相修改默认权限(0022)
umask 的值可以用来保留在创建文件权限
实现方式:
新建文件的默认权限: 666-(减去)umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变
新建目录文件夹的默认权限: 777-(减去)umask
非特权用户umask默认是 002
root的umask 默认是 022
查看umask:
umask
#模式方式显示
umask –s u=xxx,g=xxx,o=xxx
#输出可被调用
umask –p
修改umask:umask #
范例:umask 002 ,umask u=rw,g=r,o=
持久保存umask:全局设置: /etc/bashrc , 用户设置:~/.bashrc
范例:
[root@centos8 ~]#umask
0022
[root@centos8 ~]#umask -S
u=rwx,g=rx,o=rx
[root@centos8 ~]#umask -p
umask 0022范例:
[root@centos8 ~]#umask
0022
[root@centos8 ~]#( umask 666; touch /data/f1.txt )
[root@centos8 ~]#umask
0022
[root@centos8 ~]#ll /data/f1.txt
---------- 1 root root 0 Mar 27 14:55 /data/f1.txt
4.4 Linux文件系统上的特殊权限
前面介绍了三种常见的权限:r, w, x 还有三种特殊权限:SUID, SGID, Sticky
特殊权限
SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限
SGID
作用于二进制可执行文件上,用户将继承此程序所有组的权限
作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承
STICKY 作用于目录上,此目录中的文件只能由所有者自已来删除
4.4.1 特殊权限SUID(文件)1.是个可执行的2进制程序,
suid (当一个用户执行此权限的二进制程序时,会继承此文件所有者的权限)
SUID权限设定:
chmod u+s FILE...(加file文件的特殊权限)
chmod 4xxx FILE
chmod u-s FILE...(去除file文件的特殊权限)
4.4.2 特殊权限SGID(组)
当一个用户执行此权限的二进制程序时,会继承此文件所属组的权限
当一个用户具有此权限的目录下创建新文件,新文件将自动继承目录的所属组
SGID权限设定:
chmod g+s FILE...
chmod 2xxx FILE
chmod g-s FILE...
目录上的SGID权限功能:
默认情况下,用户创建文件时,其属组为此用户所属的主组,一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组,通常用于创建一个协作目录
SGID权限设定:
chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...
后面新建的文件会自动加入建的组里面。
4.4.3 特殊权限 Sticky 位
显示在最后一位为t,可以建文件,删除自己的文件,不能删除别人的文件。
具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权
在目录设置Sticky 位,只有文件的所有者或root可以删除该文件sticky 设置在文件上无意义
Sticky权限设定:
chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...
范例:
[root@centos8 ~]#ll -d /tmp
drwxrwxrwt. 15 root root 4096 Dec 12 20:16 /tmp
4.4.4 特殊权限数字法
suid 4 , sgid 2 , sticky 1
范例: chmod 4777 /tmp/a.txt
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
权限位映射
SUID: user,占据属主的执行权限位
s:属主拥有x权限
S:属主没有x权限
SGID: group,占据属组的执行权限位
s: group拥有x权限
S:group没有x权限
Sticky: other,占据other的执行权限位
t:other拥有x权限
T:other没有x权限
4.5 设定文件特殊属性
设置文件的特殊属性,可以访问 root 用户误操作删除或修改文件,不能删除,改名,更改
chattr +i file
chattr -i file
只能追加内容,不能删除,改名
chattr +a file
显示特定属性:lsattr
范例:
[root@centos8 data]#chattr +i dir
[root@centos8 data]#lsattr dir
------------------ dir/fstab
------------------ dir/f1.txt
[root@centos8 data]#lsattr *
------------------ dir/fstab
------------------ dir/f1.txt
------------------ f11.txt
------------------ f22.txt
[root@centos8 data]#ll
total 8
drwxr-xr-x 2 root root 33 Dec 18 14:32 dir
-rw-r--r-- 1 root root 719 Dec 18 14:30 f11.txt
-rw-r--r-- 1 root root 6 Dec 18 14:30 f22.txt
[root@centos8 data]#rm -rf dir
rm: cannot remove 'dir/fstab': Operation not permitted
rm: cannot remove 'dir/f1.txt': Operation not permitted
[root@centos8 data]#lsattr
------------------ ./f11.txt
------------------ ./f22.txt
----i------------- ./dir
[root@centos8 data]#chattr -i dir
[root@centos8 data]#lsattr
------------------ ./f11.txt
------------------ ./f22.txt
------------------ ./dir
4.6 访问控制列表 ACL
4.6.1 ACL权限功能
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
ACL生效顺序:
所有者,自定义用户,所属组|自定义组,其他人
4.6.2 ACL相关命令
setfacl 可设置ACL权限
getfacl 可查看设置的ACL权限
范例:
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rwgroup::r--
other::r--
[root@centos8 data]#setfacl -m u:wang:0 f1.txt
[root@centos8 data]#setfacl -m g:admins:w f1.txt
[root@centos8 data]#ll f1.txt
-rw-rw-r--+ 1 root root 718 Dec 18 14:44 f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rwuser:wang:---
group::r--
group:admins:-wmask::rwother::r--