1、概述:
1)、用户:是每个使用者用用户来标识
密码是认证手段
2)、认证:——Authentication——>将使用某种识别技术将用户标识关联起来
3)、授权:Authorization
4)、权限执行审查:Account(Audition)
5)、2、3、4就是3A认证,完成3A认证才能使用某用户的功能
6)、属主、属组:——>对文件而言
属主:此文件是该用户的拥有者——>own
属组:group,需要统一某权限时将用户拉入此组以获得权限
6)、日志:用户在登录系统后的所有操作会记录在其中
日志就是以后用于审计的凭证
2、组:
用户组:用户的容器;将多个用户合并形成一个逻辑概念
例:当要让多个用户对同一文件进行授权时,就可以将多个用户并入同一个组,将组授权后用户即有权利管理此文件
3、用户类别:
1)、管理用户
2)、普通用户:
系统用户
登录用户
3)、每个用户都有其对应的用户标识:User ID(UID是由16位二进制数表示)
管理员标识(UID)=0
普通用户表示(UID)=1~65635(一般普通用户只用1~6000)
系统用户:UID=1~499(cs6) 1~999(cs7)
登录用户:UID=500~6000(cs6)1000~6000(cs7)
4)、名称解析:(名称转换)——即UID和username之间的转换
5)、如何解析:根据名称解析库来进行(解析库用于保存用户名和UID之间的对应关系)
位于 /etc/passwd中
4、组类别:
1)、管理员组:GID范围同UID
普通用户组:
系统组:GID范围同UID
登录组:GID范围同UID
2)、组标识——>Group ID——>GID
3)、组名称解析:同样据解析库进行解析;位于/etc/group中
4)、组类别:用户主组
用户附加组
5)、组类别:
私有组:组名与用户名相同,且只包含该用户一个组
公共组:组内包含多个用户
5、认证信息:
1)、通过比对事先存储的信息,与登录时提供的信息是否一致
如保存的passwd——>用户密码储存于/etc/shadow 文件夹中
组密码储存于/etc/gshadow文件夹中
2)、密码:
A、使用策略:
使用随机密码
最短长度不低于8位
应使用大写、小写、数字、标点四类字符中的至少三类
定期更换
B、加密算法:
a、对称加密:加密和解密使用同一密钥
明文:plain text
密文:cipher text
b、非对称加密:加密和解密使用的一对密钥
公钥:public key
密钥:private key
c、单向加密:只能加密不能解密——提取数据特征码
定长输出
有雪崩效应
C、常见算法
MD5:massage digest——定长输出128bits
sha1:secure hash algorithm(安全的哈希算法)——定长——160bits
sha224:定长224bits
sha256
sha384
sha512
在计算之初加入随机数(salt),添加随机数
6、信息库储存格式
1)、用户信息库——/etc/passwd
例:hu:x:1000:1000:hu:/home/hu:/bin/bash
1 2 3 4 5 6 7
1、表示用户名
2、口号——加密符
3、用户标识——UID
4、组标识——GID——主组
5、注释性描述
6、主目录——家目录
7、登录的shell——用户默认shell程序
2)、用户密码——/etc/shadow
例:root:x:0:0:root:/root:/bin/bash: :
1 2 3 4 5 6 7 8 9
1、用户登录名
2、密码:!!——表示没有设置密码的用户被锁定无法登陆(密码:$6$中间的6此傲视以上算法的第几种)
3、从1970-01-01到最近一次密码修改经过的时间
4、经过多少天可以修改密码,0—表示可以立即修改
5、密码最长使用期限
6、距离达到最长使用时间,多少时间提示密码需要修改
7、到达最大期限后多少天还可以登陆。但是那时必须修改密码
8、密码禁用时间
9、保留字段
3)、组的信息库——/etc/group
例:hu:x:1000:hu
1 2 3 4
1、用户组名
2、用户组密码
3、GID
4、用户列表:每个用户用 , 逗号分隔;本字段也可为空——若该字段为空表示以此组为附加组的用户没有
用户和组管理命令
1、groupadd命令:- create a new group
groupadd命令用于创建一个新的用户组
(1)使用格式
groupadd [options] group
(2)option
groupadd -g:(gid)指定GID——默认是上一个组的GID+1
groupadd -r:指定创建系统组
补充:
(1)、运行中的系统:就是在后台运行了很多的进程,kenel和许多线程,服务管理进程
(2)、后台进程:即开机启动的程序
(3)、对文件的访问:都是在该用户权限下,后台进程对文件的访问
(4)、命令发起的权限一定是在该用户的权限之内
(5)、开机启动程序以谁的权限进行启动?
开机启动程序程序就是以一般普通用户身份进行启动
(6)、系统用户:不用登陆系统;仅仅只是开启一些开机启动程序(以非管理员全线运行)
(7)、安全上下文:
进程以其发起者身份运行
进程对文件的访问权限,取决于发起此进程的用户权限
2、groupmod命令:- modify a group definition on the system
groupmod命令用于修改组的属性
(1)使用格式
groupmod [options] GROUP
(2)option
groupmod -g:修改组的GID——不要与现有的组GID相同
[root@hu /]# cat /etc/group
test1:x:5006:
[root@hu /]# groupmod -g 5001 test1
test1:x:5001:
groupmod -n:修改组的名字
[root@hu /]# cat /etc/group
test1:x:5001:
[root@hu /]# groupmod -n te test1
[root@hu /]# cat /etc/group
te:x:5001:
3、groupdel命令:- delete a group
groupdel命令用于删除用户组
(1)使用格式
groupdel [options] GROUP
(2)option
注意:若为某用户的附加组则删除此组会使该组对应的用户失去组
4、useradd命令:- create a new user or update default new user information
useradd命令用于创建一个新的用户或更新默认新用户信息
(1)使用格式
A、useradd [options] LOGIN
B、useradd -D
C、useradd -D [options]
(2)option
A、格式下的使用
useradd -u:指定用户的UID
[root@hu /]# useradd -u 100 tt
tt:x:100:5002::/home/tt:/bin/bash
useradd -g:指定用户的基本组ID——但此组事先必须存在
[root@hu /]# useradd -u 5008 -g 5002 teb
teb:x:5008:5002::/home/teb:/bin/bash
useradd -G:指明用户所属的附加组,多个组之间用逗号分隔
[root@hu /]# useradd -u 5005 -g 5002 -G test1 test
test1:x:5002:test
useradd -c:指明注释信息
[root@hu /]# useradd -c "sodjgwiejg" tt
tt:x:5006:5006:sodjgwiejg:/home/tt:/bin/bash
useradd -d:用指定的路径为用户的家目录——最好是指定不存家目录
补充:
通过复制/etc/shel此目录并重命名实现环境变量配置;若指定的家目录事先存在则不会为用户复制环境变量配置文件
useradd -s:指定用户默认shell,可用的所有shell列表为—/etc/shells文件中
[root@hu ~]# useradd -u 5004 -g 5002 -c "cl-13312342345" -s /bin/csh test1
test1:x:5004:5002:cl-13312342345:/home/test1:/bin/csh
useradd -r:创建系统用户
useradd -m:若用户家目录不存在则创建新的用户家目录,骨架目录中的文件会复制到主目录中。
useradd -M:不创建用户家目录即使系统设定了也不创建
useradd -f:密码过期后,账户彻底禁用之前的天数——0-表示立即禁用;-1 表示禁用此功能
B、格式下使用
useradd -D:表示创建用户时默认信息
[root@hu ~]# useradd -D
GROUP=100 ==>表示与用户同名的组
HOME=/home ==>创建家目录的起始位置,在此位置下创建一个与用户名相同的目录
INACTIVE=-1 ==>非活动期限为永不过期
EXPIRE= ==>
SHELL=/bin/bash ==>默认shell
SKEL=/etc/skel ==>用户环境信息复制地址
CREATE_MAIL_SPOOL=yes ==>是否创建邮筒——yes表示自动创建
C、格式下使用
useradd -D option:用于修改和更改默认值
[-b][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-s <shell>]
==注意:
/etc/login.defs:创建用户时默认设置保存的文件夹
/etc/default/useradd:保存修改的结果
5、usermod命令:- modify a user account
useradd命令用于修改用户的属性
(1)使用格式
usermod [options] LOGIN
(2)option
usermod -u:修改用户的UID
test1:x:5004:5002:cl-13312342345:/home/test1:/bin/csh ==>修改前
[root@hu ~]# usermod -u 5006 test1
[root@hu ~]# cat /etc/passwd
test1:x:5006:5002:cl-13312342345:/home/test1:/bin/csh ==>修改后
usermod -g:修改用户所属的基本组
test1:x:5006:5002:cl-13312342345:/home/test1:/bin/csh ==>修改前
[root@hu ~]# usermod -g 1000 test1
test1:x:5006:1000:cl-13312342345:/home/test1:/bin/csh ==>修改后
usermod -G:修改用户所属的附加组,若原用户有附加组则用新的组覆盖原附加组
jack:x:5003: ==>修改之前
[root@hu ~]# usermod -G jack test1
jack:x:5003:test1 ==>修改后添加到了Jack组
usermod -a:与-G一同使用,用于用户追加新的附加组
jack2:x:5004:
[root@hu ~]# usermod -a -G jack2 test1
jack2:x:5004:test1
usermod -c:修改注释信息
test1:x:5006:1000:cl-13312342345:/home/test1:/bin/csh
[root@hu ~]# usermod -c "cl 13315824456" test1
test1:x:5006:1000:cl 13315824456:/home/test1:/bin/csh
usermod -d:修改用户家目录,但文件并不会转移到修改的路径下
test1:x:5006:1000:cl 13315824456:/home/test1:/bin/csh
[root@hu ~]# usermod -d /recover test1
test1:x:5006:1000:cl 13315824456:/recover:/bin/csh
ls: cannot access /recover/test1: No such file or directory
[root@hu ~]# ls /recover ==>仅仅是更改了家目录路径并没有将文件移动到此目录
cptest io
usermod -m:只能与-d一同使用;用于将原来的家目录移到新的路径下
usermod -l:修改用户名
test1:x:5006:5003:cl 13315241379:/recover/test1:/bin/csh
[root@hu ~]# usermod -l test2 test1
test2:x:5006:5003:cl 13315241379:/recover/test1:/bin/csh
usermod -s:修改用户默认shell
test2:x:5006:5003:cl 13315241379:/recover/test1:/bin/csh
[root@hu ~]# usermod -s /bin/bash test2
test2:x:5006:5003:cl 13315241379:/recover/test1:/bin/bash
usermod -L:锁定用户密码,禁止登陆——即在原密码字符串前面添加一个“!”
[root@hu ~]# usermod -L test2
test2:!$6$qKLAjX5V$E
usermod -U:解锁用户的密码
[root@hu ~]# usermod -U test2
test2:$6$qKLAjX5V$E
6、userdel命令:- delete a user account and related files
userdel命令用于删除用户
(1)使用格式
userdel [options] LOGIN
(2)option
userdel -r:表示删除用户同时删除用户家目录
[root@hu ~]# ll /home
total 8
drwx------. 14 hu hu 4096 Oct 24 19:53 hu
drwx------. 3 test2 jack 4096 Nov 28 22:33 test1
[root@hu ~]# userdel -r test1
[root@hu ~]# ls /home
hu
7、passwd命令:- update user’s authentication tokens
passwd命令用于修改用户的密码
(1)使用格式
passwd :表示不带参数是修改自己的密码
passwd username:有用户名表示修改指定用户的密码——默认root用户才有此权限
(2)option
passwd -l:表示用于锁定用户
[root@hu ~]# passwd -l test1
Locking password for user test1.
passwd: Success
passwd -u:表示用于解锁用户
[root@hu ~]# passwd -u test1
Unlocking password for user test1.
passwd: Success
passwd -d:清除用户密码
passwd -e:密码过期期限的日期
passwd -i:非活动期限
passwd -n:密码最短使用期限
passwd -x:密码最常使用期限
passwd -w:警告期限
[root@hu ~]# passwd -i 800
:17864:30:900:10:800::
passwd --stdin:通过标准输入或文件中的文字设置为密码
[root@hu ~]# echo "test1"|passwd --stdin test1
Changing password for user test1.
passwd: all authentication tokens updated successfully.
或者
[root@hu recover]# cat test.txt | passwd --stdin test1
Changing password for user test1.
passwd: all authentication tokens updated successfully.
8、gpasswd命令:- administer /etc/group and /etc/gshadow
gpasswd命令用于管理组、管理组密码和修改组密码
(1)使用格式
gpasswd [option] group
(2)option
gpasswd groupname:修改指定组的密码
[root@hu hu]# gpasswd jack
Changing the password for group jack
New Password:
gpasswd -a:向组中添加用户
[root@hu hu]# gpasswd -a test1 jack2
Adding user test1 to group jack2
gpasswd -d:从组中移除用户
[root@hu hu]# gpasswd -d test1 jack2
Removing user test1 from group jack2
9、newgrp命令: - log in to a new group
newgrp命令用于切换用户所在用户组命令 登入另一个群组
说明:如果一个用户同时隶属于两个或两个以上分组,需要切换到其它用户组来执行一些操作,就用到了newgrp命令切换当前登陆所在组
(1)使用格式
newgrp [-] [group]
例:
[root@hu hu]# newgrp - jack2
欢迎进入Linux世界,尽情期待!
[root@hu ~]#
补充:
若加 “—”则模拟用户重新登录以后再进入到临时指定的基本组,若不加则直接切换到临时指定的基本组中。
10、chage命令:- change user password expiry information
chage命令用于修改用户密码和密码到期信息
(1)使用格式
chage [options] LOGIN
(2)option
11、id命令:- print real and effective user and group IDs
id命令用于打印真实有效的用户和组id
(1)使用格式
id [OPTION]... [USER]
(2)option
id -u:仅显示有效的ID
id -g:仅显示GID
id -G:显示所有组的组ID
id -n:显示名称
[root@hu hu]# id -G -n test1 ==>显示所属组的组名称
jack jack2
12、su命令:- run a command with substitute user and group ID
su命令用于切换用户
补充:
1)、有两种切换方式
登录时切换——完全切换:会通过重新读取用户配置文件来重新初始化
非登录式切换——半切换:不会读取目标用户配置文件进行初始化
注意:若要完全切换工作目标用户环境下应使用登录切换
2)、两种登陆如何实现
登录式:su - username
su -l username
非登录式:su username
注意:管理员可以无密码切换到其他任意用户;非管理员切换至目标用户必须使用目标用户密码——否则无法切换
(1)使用格式
su - username
su username
(2)option
su - user -c ‘command’:仅利用指定用户身份运行此处指定的命令
[hu@hu ~]$ su - root -c 'cat /recover/test.txt'
Password:
123456
13、chsh命令:- change your login shell
chsh命令用于修改当前用户或指定用户的shell(仅在root用户下)
(1)使用格式
chsh [-s shell] [-l] [-u] [-v] [username]
14、chfn命令:- change your finger information
chfn命令用于修改finger信息
(1)使用格式
chfn [-f full-name] [-o office] ,RB [ -p office-phone] [-h home-phone] -u] [-v] [username]
15、finger命令:
finger命令用于用户信息查询的工具
16、whoami命令:- print effective userid
whoami命令用于打印当前登陆的用户
(1)使用格式
whoami [OPTION]...
17、pwck命令:- verify integrity of password files
pwck命令用于验证密码的完整性——即检查用户存在哪些问题
(1)使用格式
pwck [options] [passwd [ shadow ]]
[root@hu hu]# pwck
user 'ftp': directory '/var/ftp' does not exist
user 'saslauth': directory '/run/saslauthd' does not exist
user 'avahi-autoipd': directory '/var/lib/avahi-autoipd' does not exist
user 'pulse': directory '/var/run/pulse' does not exist
user 'gnome-initial-setup': directory '/run/gnome-initial-setup/' does not exist
pwck: no changes
18、grpck命令:- verify integrity of group files
grpck命令用于验证组文件完整性
(1)使用格式
grpck [options] [group [ shadow ]]
Linux中权限管理
1、简介
1)、使用ls -l查询后有三部分权限
rwx rwx rwx
A B C
A、定义user——owner权限
B、定义group的权限
C、定义other的权限
2)、进程安全上下文
进程对文件访问权限的应用模型
进程属主与文件属主是否相同——若相同则应用属主权
否则,检查进程的属主是否属于文件属组,若是则应用属组权限
否则,就只能应用other权限
3)、权限
A、r——red:读取
B、w——writ:写
C、x——excute:执行
4)、文件——普通文件一般默认是没有x执行权限
A、r——可获取文件的数据(即用tail、cat、less、more所获取的内容)
B、w——可修改文件数据(vim)
C、x——可将此文件发起运行为进程(文本内容是二进制或脚本)
5)、目录
A、r——可使用ls命令获取其下的所有文件列表
B、w——可修改此目录下的文件列表(创建或删除文件)
C、x——可cd至此目录中,且可以使用ls -l 获取所有文件详细信息
6)、文件权限模型
A、mode类——rwxrwxrwx
B、ownership——从属关系(usergroup)
7)、权限组合机制(符号与二进制之间的转换)
A、- - - ——>0 0 0
B、- - x ——>0 0 1
C、- w - ——>0 1 0
D、.......
E、.......
F、.......
G、r w x ——>1 1 1
2、chmod命令:- change file mode bits
chmod命令用于更改文件的权限
(1)使用格式
chmod [OPTION]... MODE[,MODE]... FILE...
a、修改文件以指定权限定义,三类用户用逗号隔开——每一个文件都定义了三类权限
b、三类用户:
u——>属主
g——>属组
o——>其他
a——>所有—all
c、模式表示方法
赋权表示法——直接操作一类用户的所有权限位
如:u=rwx;g=rw;o=r;ug=rx;ugo=rw等后面的rwx自定义
例:
[root@hu recover]# ll
-rw-r--r--. 1 root root 7 Nov 29 01:12 test.txt ==>修改前
[root@hu recover]# chmod ogu=x test.txt
---x--x--x. 1 root root 7 Nov 29 01:12 test.txt ==>修改后
授权表示法——直接操作一类用户的一个权限位
如:u+(rwx):表示额外多一位权限
g和o同样;a+(rwx)可以直接写成+(rwx)
例:
[root@hu recover]# chmod ogu=x test.txt
---x--x--x. 1 root root 7 Nov 29 01:12 test.txt ==>修改前
[root@hu recover]# chmod u+rw test.txt
[root@hu recover]# chmod g+r test.txt
[root@hu recover]# ll
-rwxr-x--x. 1 root root 7 Nov 29 01:12 test.txt ==>修改后
注意:chmod +w test.txt此时仅对属组更改生效
chmod [OPTION]... OCTAL-MODE FILE...
使用八进制一并修改权限
例:
[root@hu recover]# ll
-rwxr-x--x. 1 root root 7 Nov 29 01:12 test.txt ==>修改前
[root@hu recover]# chmod 624 test.txt
[root@hu recover]# ll
-rw--w-r--. 1 root root 7 Nov 29 01:12 test.txt
chmod [OPTION]... --reference=RFILE FILE...
使用参考文件权限修改当前文件权限使之与参考文件权限相同
例:
[root@hu recover]# ll
----------. 1 root root 0 Nov 29 07:12 cp.txt ==>被修改文件修改前
-rw--w-r--. 1 root root 7 Nov 29 01:12 test.txt ==>权限参考文件
[root@hu recover]# chmod --reference=./test.txt cp.txt
参考文件 被修改文件
[root@hu recover]# ll
-rw--w-r--. 1 root root 0 Nov 29 07:12 cp.txt ==>被修改文件修改后
-rw--w-r--. 1 root root 7 Nov 29 01:12 test.txt ==>权限参考文件
(2)option
chmod -R:递归修改权限——此option仅在授权表示法中实用
[root@hu recover]# ll
drwxr-xr-x. 2 root root 4096 Nov 28 05:07 io ==>递归修改前
[root@hu recover]# chmod -R 754 io
[root@hu recover]# ll
drwxr-xr--. 2 root root 4096 Nov 28 05:07 io ==>递归修改后
[root@hu recover]# ll io
-rwxr-xr--. 1 root root 0 Nov 28 05:13 test1.txt ==>递归修改后子文件权限
-rwxr-xr--. 1 root root 12 Nov 28 05:13 test.txt
注意:用户只能修改属主为自己的文件的那些权限
3、chown命令:- change file owner and group
chown命令用于修改文件的属主和属组
(1)使用格式
chown [OPTION]... [OWNER][:[GROUP]] FILE... :此条格式可以仅用来修改属主或属组
chown [OPTION]... --reference=RFILE FILE... :使用参考文件来更改文件属主和属组
(2)option
chown -R :递归修改
-rw--w-r--. 1 root root 0 Nov 29 07:12 cp.txt ==>修改前
[root@hu recover]# chown hu:jack cp.txt ==>修改文件的属主和属组
[root@hu recover]# ll
-rw--w-r--. 1 hu jack 0 Nov 29 07:12 cp.txt
[root@hu recover]# chown hu cp.txt
[root@hu recover]# ll
-rw--w-r--. 1 hu root 0 Nov 29 07:12 cp.txt ==>仅修改属主
[root@hu recover]# chown :hu cp.txt
[root@hu recover]# ll
-rw--w-r--. 1 root hu 0 Nov 29 07:12 cp.txt ==>仅修改属组
4、chgrp命令:- change group ownership
chgrp命令可采用群组名称或群组识别码的方式改变文件或目录的所属群组。使用权限是超级用户。——要被改变的组名必须要在/etc/group文件内存在才行
(1)使用格式
两种格式用法同chown命令
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
注意:当用户对目录有写权限时,但对目录下文件没有写权限时,不能修改文件中内容,但是可以删除文件。
5、umask命令:
umask命令用来设置限制新建文件权限的发向掩码——遮罩码
A、生成文件时默认权限:666 - umask
B、生成目录时默认权限:777 - umask
注:文件因为默认就没有执行权限,所以运用666 - umask时;若要减得的结果中有执行权限则需要+1
例:
[root@hu recover]# umask ==>查询本机的掩码
0022
文件权限=666-022(umask)=644——>无执行权限
644+1=645——>有执行权限
C、修改umask
例:
[root@hu recover]# umask 0024
[root@hu recover]# umask
0024
注意:用命令设置的仅对当前shell有效
仅管理员能修改文件的属主和属组
8、Linux系统上的特殊权限
1、特殊权限:SUID、SGID、STICK
2、安全上下文
1)、进程以某用户身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作。
2)、权限匹配模型:
A、首先判断进程的属主是否为被访问的文件属主,若是则应用属主的权限,否则进入到第二步
B、判断进程的属组是否属于被访问的文件的属组,若是则应用属组权限,否则进入第三步
C、应用other权限
3、SUID权限仅对二进制可执行文件有效
A、默认情况下:当一个用户发起一个进程去访问一个文件,那么该进程就是以发起这个进程的用户的身份运行的,同样也是以该用户的权限完成操作的。
B、SUID的作用:用户运行某程序时,如果此程序文件拥有SUID,那么该进程将以此文件属主的身份运行程序,而非发起者。
C、管理文件的SUID:
格式:chmod u+|-s FILE...
展示位置:属主的执行权限位
如果属主原有执行权限,则显示为小写s;
否则,为大写S;
4、SGID:权限仅对目录有效
A、默认情况下,用户在一个目录下创建文件的属组为用户的私有组或者基本组;
B、SGID的功能:用户在具有SGID目录下创建的文件或目录的属组为该目录的属组;
C、 管理文件的SGID权限:
chmod g+|-s FILE...
展示位置:属组的执行权限位
如果属组原有执行权限,则显示为小写s;
否则,为大写S;
5、STICK:权限仅对文件有效
A、默认情况下,当一个目录属组具有写权限时,如果用户的属组为该目录属组,那么该用户就可以删除在该目录下的所有文件;
B、Sticky的功用:同组用户或系统上的所有用户在具有Sticky权限的目录下只能删除属主为自身的文件,不能删除同属组的其他文件;
C、管理文件的SUID权限:
chmod o+|-t FILE…
展示位置:其他用户的执行权限位
如果其他用户原本有执行权限,显示为小写t;
否则,为大写T;
注意:系统上/tmp和/var/tmp目录默认均有sticky权限
扫一扫
7742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
