用户权限-Linux系统用户管理

• 用户基本概述
• 用户相关的命令
• 用户创建的原理
• 用户密码管理
• 组的基本管理
• 用户身份切换
• 用户身份提权
• 日志相关审计

---

用户基本概述

Linux用户属于多用户操作系统,在windows中，可以创建多个用户，但不允许同一时间多个用户进行系统登陆，但是Linux可以同时支持多个用户同时登陆操作系统，登陆后互相之间并不影响。

用户和组存在的意义

• 1.系统上的每一个进程(运行的程序)都需要特定的用户运行
• 2.每一个文件都有特定的用户拥有
• 3.访问一个文件或目录受到用户的限制
• 4.进程能够以何种方式访问某一个文件或目录, 与进程所关联的用户有关

查看当前登录的用户信息

[root@liza ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

用户分类

0 超级管理员(拥有最高权限)
1-200 系统用户，由系统分配给系统进程使用
201-999 系统用户，用来运行服务账户，不需要登陆系统(动态分配)
1000+ 常规普通用户
注意: 在CentOS7系统之前, UID1-499用于系统用户, 而UID 500+则用于普通用户。

组的类别

1、基本组 优先使用基本组, 用户只能属于一个基本组, 用户默认基本组
2、附加组 基本组不能满足授权要求, 创建附加组, 用户可以属于多个附加组
3、私有组 私有组, 创建用户时如果没有指定基本组, 系统会创建和用户同名的组

用户相关配置文件

用户的信息存放在/etc/passwd

用户的密码都保存在/etc/shadow

这两个文件是linux系统中最重要的文件之一，如果没有这两个文件或者这两个文件出问题，会导致无法正常登录linux系统

/etc/passwd 账户文件

[root@liza ~]# head -1 /etc/passwd
root:x:0:0:root:/root:/bin/bash

/etc/passwd由 ‘:’ 为分割符, 分为7个字段，每个字段的具体含义如下:
字段名称 注释说明
1.用户名称 //用户的账号名称
2.密码占位符 //存放账户的口令,暂用x表示,密码保存在/etc/shadow
3.用户的UID //用户标识号
4.用户基本组GID //组标识号
5.用户注释 //用户详细信息
6.用户家目录 //root家目录是/root普通用户家目录存在/home/username(可自定义)
7.用户登录Shell //用户登录Linux使用的shell #cat /etc/shells

/etc/shadow 用户密码文件

[root@liza ~]# tail -1 /etc/shadow
edc:$6$9H0TfHHa6P1uljAo$ZRZnq9hcIFTY/vTv6A3pdD4/13U6J25XDvSJz8JmOXkI5Dk.HAGaQ3EfRAo6HFpYCm7mImtn6zFAJE54f4KX61::0:99999:7:::

/etc/shadow由 ‘:’ 为分割符, 分为9个字段，每个字段的具体含义如下:
字段名称 注释说明
1.用户登陆名 //用户的账号名称
2.加密后的密码 //用户密码,这是加密过的口令(未设密码时为!!)
3.最近一次密码更改时间 //从1970年到最近一次更改密码时间之间过了多少天
4.密码最少使用几天 //密码最少使用几天才可以更改密码(0表示无限制)
5.密码最长使用几天 //密码使用多少天需要修改密码(默认99999永不过期)
6.密码到期前警告期限 //密码过期前多少天提醒用户更改密码(默认过期提前7天警告)
7.密码到期后保持活动的天数 //在此期限内, 用户依然可以登陆系统并更改密码, 指定天数过后, 账户被锁定
8.账户到期时间 //从1970年起,账户在这个日期前可使用，到期后失效。
9.标志 //保留

按照图配置用户相关属性

使用chage更改用户密码密码使用情况

-d //设置最近一次更改密码时间, 0下次登陆系统强制修改密码
-m //设置用户两次改变密码之间使用"最小天数"
-M //设置用户两次改变密码之间使用"最大天数"
-W //设置密码更改警告时间 将过期警告天数设为“警告天数”
-I //设置密码过期天数后, 密码为失效状态
-E //设置用户过期时间, 账户失效后无法登陆
-l //显示用户信息
修改时间为2014年08月31日,和图中时间匹配,方便后续验证
[root@liza ~]# date -s '20140831'
Sun Aug 31 00:00:00 CST 2014
[root@liza ~]# date
Sun Aug 31 00:00:01 CST 2014
[root@liza ~]# useradd xxx
[root@liza ~]# echo "123" | passwd --stdin xxx 
[root@liza ~]# tail -1 /etc/shadow
xxx:!!:16312:0:99999:7:::

---设置最近一次修改密码时间
[root@liza ~]# chage -d "2014-09-01" xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:0:99999:7:::

---设置最短使用密码时间
[root@liza ~]# chage -m 2 xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:99999:7:::


---设置密码最长使用时间
[root@liza ~]# chage -M 15 xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:15:7:::

---设置密码警告时间
[root@liza ~]# chage -W 6 xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:15:6:::
[root@liza ~]# chage -W 7 xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:15:7:::

---设置密码过期时间
[root@liza ~]# chage -I 5 xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:15:7:5::

---设置用户过期时间
[root@liza ~]# chage -E "2015-08-31" xxx
[root@liza ~]# tail -n1 /etc/shadow
xxx:!!:16314:2:15:7:5:16678:

[root@liza ~]# chage -l xxx
Last password change			    : Sep 01, 2014      ---最近一次更改密码时间
Password expires					: Sep 16, 2014      ---密码过期时间
Password inactive					: Sep 21, 2014      ---密码失效时间
Account expires						: Aug 31, 2015      ---用户失效时间
Minimum number of days between password change		: 2     ---密码最短使用时间
Maximum number of days between password change		: 15    ---密码最长使用时间
Number of days of warning before password expires	: 7     ---密码过期前警告天数

---如何验证,只调整时间为如下进行验证:
1.验证普通用户是否能修改密码, 不需要调整时间。
2.普通用户登陆系统后, 会提示警告密码还剩多少天过期
[root@liza ~]# date -s "2014-09-12"
3.普通用户登陆系统后, 强制要求修改密码
[root@liza ~]# date -s "2014-09-18"
4.普通用户登陆系统后, 提示账户已过期
[root@liza ~]# date -s "2014-09-23"

1、用户相关的命令

• 添加用户前需要确定
• 确定用户的默认组是否有特殊要求
• 确定用户是否允许登陆
• 确定用户的密码策略
• 确定用户的有效期