linux用户和组相关配置文件

安全3A
AAA：分别为Authentication、Authorization、Accounting
认证(Authentication)：验证用户的身份与可使用的网络服务；
授权(Authorization)：依据认证结果开放网络服务给用户；
计帐(Accounting)|审计(Audition)：记录用户对各种网络服务的用量，并提供给计费系统。或对授权用户的操作进行审计

用户user
令牌token,identity
Linux用户：Username/UID
管理员：root, 0
普通用户：1-65535
系统用户：1-499, 1-999 （CentOS7）可以在/etc/login.defs 下修改

对守护进程获取资源进行权限分配
登录用户:500+, 1000+（CentOS7）可以在/etc/login.defs 下修改

组group
Linux组：Groupname/GID
管理员组：root, 0
普通组：
系统组：1-499, 1-999（CENTOS7）可以在/etc/login.defs 下修改

普通组：500+, 1000+（CENTOS7）可以在/etc/login.defs 下修改

运行中的程序：进程 (process)
进程所能够访问资源的权限取决于进程的运行者的身份

Linux组的类别
用户的主要组(primary group)
用户必须属于一个且只有一个主组，且该组里有主成员时无法删除该组
组名同用户名，且仅包含一个用户，私有组
用户的附加组(supplementary group)
一个用户可以属于零个或多个辅助组

用户和组的配置文件
Linux用户和组的主要配置文件：
/etc/passwd：用户及其属性信息(名称、UID、主组ID等)，可以用vipw=vi /etc/passwd进行修改信息 通过pwck验证
/etc/group：组及其属性信息，同样可以通过vigr = vi /etc/group 进行修改信息 通过grpck验证
/etc/shadow：用户密码及其相关属性
/etc/gshadow：组密码及其相关属性

/etc/passwd文件格式 一共七列
1、login name：登录用名（wang）
2、passwd：密码 (x) 在早期版本这里存的的确是密码目前已经变成占位符x,真正的密码文件已经移动到/etc/shodow下
3、UID：用户身份编号 (1000)
4、GID：登录默认所在组编号 (1000)
5、GECOS：用户全名或注释
6、home directory：用户主目录 (/home/wang)
7、shell：用户默认使用shell (/bin/bash)

/etc/shadow文件格式 一共有八列
1、登录用名
2、用户密码:一般用sha512加密
3、从1970年1月1日起到密码最近一次被更改的时间
4、密码再过几天可以被变更（0表示随时可被变更）
5、密码再过几天必须被变更（99999表示永不过期）
6、密码过期前几天系统提醒用户（默认为一周）
7、密码过期几天后帐号会被锁定
8、从1970年1月1日算起，多少天后帐号失效

/etc/group文件格式 一共分为4列
1、群组名称：就是群组名称
2、群组密码：通常不需要设定，密码是被记录在 /etc/gshadow
3、GID：就是群组的 ID
4、以当前组为附加组的用户列表(分隔符为逗号)

/etc/gshdow文件格式 一共分为4列
1、群组名称：就是群组名称
2、群组密码：
3、组管理员列表：组管理员的列表，更改组密码和成员
4、以当前组为附加组的用户列表：(分隔符为逗号)

密码加密
加密机制：
加密：明文--> 密文
解密：密文--> 明文
单向加密：哈希算法，原文不同，密文必不同
相同算法定长输出，获得密文不可逆推出原始数据
雪崩效应：初始条件的微小改变，引起结果的巨大改变
md5: message digest, 128bits
sha1: secure hash algorithm, 160bits
sha224: 224bits
sha256: 256bits
sha384: 384bits
sha512: 512bits
更改加密算法 authconfig --passalgo=sha256 --update
密码的复杂性策略 可以在/etc/pam.d/passwd 配置策略 也可以通过chage进行配置 最好保证密码策略包含以下几点
1、使用数字、大写字母、小写字母及特殊字符中至少3种
2、足够长 (最少8位以上)
3、使用随机密码  (密码没有连续性)
4、定期更换,不要使用最近曾经使用过的密码 (默认是90天)