一、简述
资源分派的3A:Authentication(认证)、Authorization(授权)、Accouting(审计)。
安全上下文:进程所能够访问的所有资源的权限取决于进程的发起者的身份。
运行中的程序:进程(process),其以进程的发起者身份运行。
主组:用户的基本组,组名同用户名,且仅包含一个用户,即私有组。
额外组:用户的附加组。
机制:加密(明文-->密文),解密(密文-->明文)。
单项加密特性:雪崩效应、蝴蝶效应(初始条件的微小改变,结果将会发生巨变)。
二、 用户及用户组
1.限制
分类 | 用户名 | OS | id | 意义 |
---|---|---|---|---|
管理员 | root | CentOS | 0 | 系统管理员,最高权限的用户 |
普通用户 | CentOS | 1-65535 | 所有非系统管理员用户,管理员创建的用户和服务用户的总称 | |
系统用户 | CentOS 6 | 1-499 | 对守护进程获取资源进行权限分配 | |
系统用户 | CentOS 7 | 1-999 | 对守护进程获取资源进行权限分配 | |
登录用户 | CentOS 6 | 500+ | 交互式登录的用户 | |
登录用户 | CentOS 7 | 1000+ | 交互式登录的用户 |
2.用户和组相关配置文件
文件 | 格式 | 释义 | 意义 |
/etc/passwd | name:passwd:UID:GID:GECOS:directory:shell | 用户名:密码:UID:GID:GECOS:家目录/默认shell | 用户及其属性信息 |
/etc/group | group_name:passwd:GID:user_list | 组名:密码:GID:以当前组为附加组的用户列表(逗号分隔) | 组及其属性信息 |
/etc/shadow | user_name:$6$IQe.cyuSq8CnUlj...q9ayX1::0:99999:7::: | 用户名:加密后的密码:最后一次更改密码的日期:密码注销使用期限:最大密码使用期限:密码警告时间段:密码禁用期:账户过期日期:保留字段 | 用户密码及其相关属性 |
/etc/gshadow | group_name:!:: | 类似同上 | 组密码及其相关属性 |
3.部分管理命令
1)用户管理
创建(useradd)
-N, --no-user-group 不要创建同名组,而是将用户添加到 -g 选项指定的组,或根据 /etc/default/useradd 中的 GROUP 变量。如果没有指定 -g, -N 和 -U 选项,默认行为由 /etc/login.defs 中的 USERGROUPS_ENAB 变量指定。
删除(userdel)
-f, --force 此选项强制删除用户账户,甚至用户仍然在登录状态。它也强制 userdel
-r, --remove 用户主目录中的文件将随用户主目录和用户邮箱一起删除
修改(usermod)
-u, --uidUID 用户新的ID值
-L, --lock 锁定用户的密码
-U, --unlock 解锁用户的密码
2)组管理
创建(groupadd)
-g, --gidGID 指定GID号
-r, --system 创建一个系统组
删除(groupdel)
不能移除现有用户的主组,在移除此组之前,必须先移除此用户。
修改(groupmod)
-g, --gidGID 新的组ID值
-n, --new-nameNEW_GROUP新的组名称
三、补充
密码复杂性策略
使用数字、大小写字母、特殊字符等至少3中组合;
长度足够长;
随机密码;
定期更换密码,不使用近期使用过的密码。