目录
Linux基于用户身份对资源访问进行控制
用户帐号 超级用户、普通用户、程序用户(不是给人用的) 组帐号 基本组(私有组) 附加组(公共组) UID和GID UID (UserIDentity,用户标识号) GID(Group IDentify,组标识号)
Linux安全模型
Authentication: 认证,验证用户身份用户名和密码 Authorization: 授权,不同的用户设置不同权限
Accouting|Audition: 审计
当用户登录成功时,系统会自动分配令牌
token,包括: 用户标识和组成员等信息
双因子验证
用户账号和组账号概述
用户帐号类型
用户的 (uid) 身份证 linux中每个用户是通过Userld (UID)来唯一标识的新建普通用户1-60000动分配
超级管理员: root,0
程序用户: 1-499 (Centos 6以前),1-999 (Centos 7以后)不登录的用户系统默认的情况 是给程序使用的对守护进程获取资源进行权限分配 普通用户: 500+ (CentOS6以前),1000-60000(CentO7以后)
/sbin/nologin 禁止登陆
基本组:有且唯一
附加组:可有可无 可有多个
useradd
-s修改默认shell类型 /bin/bash /sbin/nologin
-u: 指定用户的 UID 号,要求该 UID 号码未被其他用户使用
-d: 指定用户的宿主目录位置 (当与-M 一起使用时,不生效) -e: 指定用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式 -g: 指定用户的基本组名 (或使用 GID 号) -G: 指定用户的附加组名 (或使用 GID 号) -M: 不建立宿主目录,即使/etc/login.defs 系统配置中已设定要建立宿主目录
-r 随机生成 系统用户
创建系统用户CentOS 6之前: ID<500,CentOs7 以后: ID<1000 系统用户 = 程序用户
-c: 备注信息 新建用户的默认设置
useradd用户名-u 2000 -M -s /sbin/nologin
usermod 对已有用户进行属性修改
-l:改名
-L:锁定用户
-U:解锁
passwd 修改密码
-d:清空指定用户的密码,仅使用用户名即可登录系统,不需要使用密码登录
-l: 锁定用户账户
-S(大):查看用户账户的状态 (是否被锁定)
-u:解锁用户账户
/etc/passwd用户信息 /etc/shadow密码文件
用户账号的初始配置文件
文件来源
新建用户账号时,从/etc/skel目录中复制而来
cat /etc/default/useradd
主要的用户初始配置文件
~/.bash_profile
~/.bashrc
开机时运行
~/.bash_logout
关机时运行
添加组账号groupadd
gpasswd -a 用户 组
-a 将用户加入组
-d 将用户删除出组
-M 批量加减
查询账号信息
finger命令
查询用户帐号的详细信息 需要安装
finger [用户名]
w、who、users命令 查询已登录到主机的用户信息
设置文件和目录的权限chmod
chmod 修改文件权限
1执行
2写
4读
chmod 777 文件名
-R 递归 修改权限
chown 属主 属组 文件名
R 递归 修改属主 属组
umask 文件落地的权限
三种特殊权限
suid
作用:让普通用户临时拥有该文件的属主的执行权限,suid权限只能应用在二进制可执行文件(命令)上,而且suid权限只能设置在属主位置上。
guid
作用:sgid权限一般应用在目录上,当一个目录拥有sgid权限时,任何用户在该目录下创建的文件的属组都会继承该目录的属组。
sticky
作用:sticky权限一般针对目录来设置,作用是只允该目录下的文件的创建者删除自己的创建的文件,不允许其他人删除文件。(root用户除外,因为root用户是超级管理员),而且sticky权限只能设置在other位置上。
/tmp
文件夹的作用:
所有用户的临时文件都存在这
权限加了t:
除了属主和超级管理员之外,其他人都不能删除,只能对文件夹有用
访问控制列表:ACL
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
vim /etc/sysconfig/network-scripts/ifcfg-ens33
BOOTPROTO=static none dhcp
#地址的获取方式静态动态
ONBOOT=yes
#开机自启动
IPADDR=192.168.91.100
#ip地址
NETMASK=255255.255.0
#子网掩码
GATEWAY=192.168.91.2
#网关
DNS1=218.2.135.1
#dns服务器1地址
DNS2=8.8.8.8
#dns服务器2地址