通过3A的方式实现
Authentication:认证,验证用户身份
Authorization:授权,不同的用户设置不同权限
Accouting:审计
当用户登录成功时,系统会自动分配令牌token,包括:用户成员和组成员信息等信息
token:
·用户
Linux中每个用户时通过User ID(UID)来唯一标识的
管理员:root,0
普通用户:1-60000自动分配
系统用户:早期(CentOS6及以前)1-499,当前1-999
其作用是对daemon进程获取资源进行权限分配
登录用户:早期(CentOS6及以前)500+,1000+(CentOS7以后)
用户交互式登录时使用
用户组
Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID来唯一表示的
·管理员组:root,0
·普通组:
系统组:1-499(旧),1-999(新),对守护进程获取资源进行权限分配
普通组:500+(旧),1000+(新),给普通用户使用
用户和组的关系
用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
用户附加组(supplementartgroup):一个用户可以属于零个或多个辅助组,附属组
安全上下文
Linux安全上下文Context:运行中的程序,即进程(process),以进程发起者的身份运行,进程所能够访问资源的权限取决于进程的运行者的身份
比如:分别以root和fublp的身份运行/bin/cat,/etc/shadow,得到的结果时不同的,资源能否能被访问,是由运行者的身份(EUID)决定,非程序本身
RUID(实际用户ID)、实际组ID:登录的用户实际是谁
EUID(有效用户ID)、有效组ID、附属组ID:从系统角度,实际运行进程的用户ID,用于文件访问权限检查