安全3A:
Authentication:认证 验明身份—计算机普遍用户名、密码。手机指纹、面部识别、图形认证。
Authorization:授权
Accouting|Audition:审计
用户提供账户名、密码进入验证中心进行验证,验证通过后验证中心给予用户令牌(token)。
用户登陆成功后根据令牌(token),发给资源库,资源库识别令牌内的UID给予用户令牌对应权限。
Linux用户:管理员:root, 0
用户user
令牌token,identity
Linux用户:Username/UID
管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499, 1-999 (CentOS7) 对守护进程获取资源进行权限分配
登录用户:500+, 1000+(CentOS7) 交互式登录
组group
linux创建用户会自动创建同名的组。
Linux组:Groupname/GID
管理员组:root, 0
普通组: 系统组:1-499, 1-999(CENTOS7)
普通组:500+, 1000+(CENTOS7)
安全上下文
Linux安全上下文
运行中的程序:进程 (process)
以进程发起者的身份运行:
root: /bin/cat
mage: /bin/cat
进程所能够访问资源的权限取决于进程的运行者的身份组的类别
Linux组的类别
-
用户的主要组(primary group)
用户必须属于一个且只有一个主组 组名同用户名,且仅包含一个用户,私有组
-
用户的附加组(supplementary group)
一个用户可以属于零个或多个辅助组
查看用户ID相关信息:id
[12:00:24 root@bogon ~]#id
uid=0(root) gid(主组)=0(root) groups(其他组)=0(root)
[12:45:15 root@bogon ~]#id wangd
uid=1000(wangd) gid=1000(wangd) groups=1000(wangd)
用户和组的配置文件
Linux用户和组的主要配置文件:(都是普通文本文件)
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
wangd(用户名):x(密码):1000(UID):1000(主组ID):wangd(描述):/home/wangd(家目录):/bin/bash(shell类型)
/etc/group:组及其属性信息
wangd(组名):x(组的口令,即密码):1000(组ID,即GID):wangd(附加组的成员与/etc/gshadow要同时更改,手动更改不合理应该用专门工具更改)
/etc/shadow:用户密码及其相关属性
root:$6$mS6Cr5/C$LXpi7jqvyroBIEo3xjL45TWX.xKRMaVvz34/T4AkbvOSACpWVx2C.ozEPYbL74MdOhBLWc5ZCBjTQ7YKRWtPv0:18381:0:99999:7:5:88888:
$6:加密算法类型,sha512
18381:从1970年1月1日起到密码最近一次被更改的时间
0:最小口令有效期,即最短几天可以更改一次密码
99999:口令最长有效期
7:口令到期提醒时间(提前7天)
5:密码更新修改最大宽限时间
88888:账户有效期,以1970计算
更改shadow属性
[14:33:24 root@bogon ~]#chage wangd
Changing the aging information for wangd
Enter the new value, or press ENTER for the default
Minimum Password Age [0]: 3
Maximum Password Age [99999]: 30
Last Password Change (YYYY-MM-DD) [-1]: 2020-04-29
Password Expiration Warning [7]:
Password Inactive [-1]: 0
Account Expiration Date (YYYY-MM-DD) [-1]: 2021-04-29
[14:36:46 root@bogon ~]#getent shadow wangd
wangd:$6$kUp3BKKqunUtgqzZ$CiP69mIpF9Vi8ioxnIItozpgGl8d.Kahrqfv7drkjkVDi5Ec1xEdM7tt/zItLbHVnx7bFHwfgBgr2rYE/oQ6A0:18381:3:30:7:0:18746:
getent shadow wangd=cat /etc/shadow
getent passwd wangd=/etc/passwd
getent group wangd=/etc/group
getent gshadow wangd=/etc/gshadow
getent gshadow wangd root zhang li ...
/etc/gshadow:组密码及其相关属性
wangd(组名称):!!(组口令,!!禁用):(组内的管理员,默认为空):wangd(附加组成员,与/etc/group要同时更改,手动更改不合理应该用专门工具更改)
文件操作
vi