《网络安全自学教程》- Linux安全标识符、身份鉴别、访问控制

于 2024-08-14 15:49:45 发布
阅读量542 收藏 16
点赞数 10
分类专栏: 《网络安全快速入门》 文章标签: 安全 web安全 linux 网络安全 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/141182703
版权
《网络安全自学教程》

在这里插入图片描述

操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:

  1. 标识系统中的用户和进行身份鉴别。
  2. 依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。
  3. 审计系统运行的安全性。
  4. 保证系统自身的安全性和完整性。

Linux系统使用「安全标识符」「身份鉴别」「访问控制」这三个安全机制实现前两个需求。

在这里插入图片描述

Linux

1、Linux系统标识

Linux使用 UID 来标识安全主体。

UID 是一个0~65535之间的整数,用来唯一标识用户身份,用户身份有三种。

  • 超级用户(UID=0):超级管理员,默认只有root,拥有最高权限,完全控制系统。
  • 内置用户(UID=1~499):系统保留的特殊服务,用来运行系统服务或进程。
  • 普通用户(UID=500~65535):权限受限,usermod -u 0 username 可以通过修改用户UID的方式将普通用户提升为管理员权限,但这并不是完整的root权限,需要做其他配置和授权才能完全控制系统。

id 用户名 可以查看指定用户的UID。

cat /etc/passwd | grep :0 查看具有管理员权限的用户。

在这里插入图片描述

UID是单向自增的,我们可以使用 usermod -u [新UID] 用户名 修改用户的UID,但不能重复使用,即使那个UID已经没人用了。

从上一张图可以看到,新建的两个用户,UID分别是1000、1001,是自增的,这时候1001之前的UID都被用过了。

从下一张图可以看到,999这个UID已经用过了,无法设置给用户;1002这个UID还没用过,可以设置给用户。

在这里插入图片描述

2、Linux 身份鉴别

Linux使用文件来管理用户信息,也就是把用户信息保存在一个文件里,毕竟Linux的核心理念就是"一切结文件"。

Linux的用户账号保存在 /etc/passwd,密码加密后保存在/etc/shadow

cat /etc/passwd 查看用户账号信息,这个文件对所有用户可读,一行对应一个用户,用冒号分割字段。

在这里插入图片描述
字段从左到右依次是:

  1. root:用户名,大小写字母或数字组成,不超过位。
  2. x:密码,加密后放到/etc/shadow
  3. 0:用户标识(UID)。
  4. 0:用户组标识(GID)。
  5. root:注释,用来描述用户信息。
  6. /root:主目录(用户家目录),用户登录后默认进入主目录。
  7. /bini/bash:登录的shell。

cat /etc/shadow 查看用户密码信息,只有root可以查看,字段从左到右依次是:

  1. 用户名,与/etc/passwd一 一对应。
  2. 密码,使用DES+MD5加密后保存。如果为空,登录就不需要密码;*表示账号被锁定;!!表示密码过期;$6$开头,表示SHA-512加密;$1$开头,表示MD5加密;$2$开头,表示Blowfish加密;$5$开头,表示SHA-256加密。
  3. 最后一次修改时间,距离1970年1月1日有多少天。
  4. 最小时间间隔,两次修改密码之间的最小天数,0表示没有限制。
  5. 最大时间间隔,密码有效期,过期后需要修改密码,空或99999表示没有限制。
  6. 警告时间,密码过期提前多少天提醒,0表示没有限制。
  7. 账号闲置时间,密码过期后,仍然可以使用该密码登录的天数,空字段表示不强制过期。
  8. 失效时间,失效后锁定用户,禁止登录。
  9. 标志,一般不用。

扩展:设置/修改密码时,密码加密后,先由pwunconv将加密后的密码写到/etc/passwd,再由pwconv从/etc/passwd转换到/etc/shadow中。

3、Linux访问控制

Linux用 UGO 管理机制做访问控制。

UGO 是User、Group、0ther首字母的简写,它把文件的操作者分为三种

  1. U:文件属主权限
  2. G:文件属组权限
  3. O:其他组用户的权限

每种操作者拥有三种权限:读(r)、写(w)、执行(x)。

三种操作者的9种权限共同组成一个文件的完整权限。

ls 可以查看文件的属性,属性左边第二列显示文件的权限

在这里插入图片描述

在权限lrwxr-xr-x中,从左到右;

  • 第一位,表示文件类型
  • 第二三四位,表示属主的权限,这里的rwx表示文件属主有读写执行权限。
  • 第伍六七位,表示属组的权限,这里的r-x表示文件属组有读和执行权限。
  • 第八九十位,表示其他组用户权限,这里的r-x表示其他组对文件有读和执行权限。

权限的设置,可以参考我的另一篇文章 Linux修改文件权限

扩展:目录的权限与文件的权限含义有些不同:r 是可以查看目录中的内容,w 是可以增删目录中的内容,x 是可以进入目录。

除了rwx这三个常用权限位,Linux还有几个「特殊权限」 s(suid)、s (sgit)、t(Sticky Bit)。
比如 passwd 文件属主的第三个权限是s(suid),这表示其他用户在执行该文件时具有属主的权限。这样的好处是,普通用户没有修改shadow文件的权限,当普通用户用执行passwd命令修改密码时,具有了属主root的权限,就能修改shadow文件了。sgid也是同样的效果。

:~$ ls -l /usr/bin/passwd 
-rwsr-xr-x 1 root root  /usr/bin/passwd
:~$ ls -l /etc/shadow
-rw-r----- 1 root shadow  /etc/shadow

新建文件或目录的默认权限,由系统掩码umask决定。「掩码」的相关资料,可以参考我的另一篇文章 Linux修改文件默认访问权限

士别三日wyx
关注
  • 10
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
网络安全自学教程》- Windows安全标识符身份鉴别访问控制
wangyuxiang946的博客
04-23 2785
这篇文章详细介绍Windows和Linux如何标识用户,如何根据标识验证用户身份,如何根据用户身份访问控制
Linux网络:远程访问及控制
Riky12的博客
05-23 2249
是对通信双方的数据传输进行了加密处理,包括用户的口令,具有很好的安全性。ssh的默认端口号是22,传输协议是TCP协议。
网络安全自学笔记05 - 网络协议基础与攻击
imphoon的博客
05-12 1453
internet control message protocol,控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户的数据传递起着重要的作用ICMP协议属于网络层协议,封装在传输层与网络层之间传输层提供了主机应用程序之间的端到端的服务数据传输之前必须先建立链接,数据传输完成之后,必须释放连接。
网络安全必修课:20个核心知识点大揭秘
baimao__Ch的博客
07-18 616
攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。
网络安全攻防教程-仅仅用于学习安全知识,不可用于非法用途
11-19
网络安全攻防教程-仅仅用于学习安全知识,不可用于非法用途内含安全工具的使用以及路线教程
网络安全精品】7-云环境下的身份管理及访问控制1.5(1).rar
04-23
网络安全精品】7-云环境下的身份管理及访问控制1.5(1).rar 是一个针对此问题的专业解决方案文档,它提供了一系列的策略、技术和最佳实践,旨在帮助企业保护其云资源并确保数据安全。该资料详尽地探讨了多租户架构...
metasploitable-linux-2.0.0.zip
09-01
总的来说,Metasploitable Linux 2.0.0是一个宝贵的学习资源,它使得网络安全专业人士和初学者能够在不危害实际网络的情况下,深入理解和实践网络安全技术。通过这个环境,你可以提升自己的安全意识,理解网络攻击的...
《计算机网络安全教程》-2版-石志国
05-28
讲计算机网络安全,第2版。参考学习还是不错的!免积分供大家下载
网络安全-实验二探测网络结构 Linux.docm
11-10
仅仅为了大家更好的学习!
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
最新发布
洛秋的博客
08-13 593
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 1938
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 346
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 322
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 570
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
自学黑客(网络安全
热门推荐
2301_77160226的博客
08-05 2万+
自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
访问网站显示不安全打不开怎么办如何处理
playis的博客
08-09 430
当访问网站时浏览器提示“不安全”,这通常是由于多种原因造成的。
安全基础学习-RC4加密算法
小夭的博客
08-13 598
密钥调度算法 (KSA):用密钥打乱一个初始数组。伪随机数生成算法 (PRGA):使用打乱后的数组生成伪随机字节流。加密/解密:将明文与伪随机字节流异或生成密文,反过来也是一样的。RC4因其简单性和高效性被广泛使用,但其安全性在现代已经不再被推荐,尤其是当密钥长度不足或者使用不当时,可能会导致加密被破解。
加密软件有哪些常见的安全特性
shunyou0526的博客
08-07 389
核心功能:加密软件的核心在于对数据进行加密处理,通过复杂的加密算法(如AES、RSA等)将明文数据转换为密文,确保数据在存储和传输过程中的安全性。透明加密:部分加密软件支持透明加密功能,即用户在保存文件时数据会自动加密,打开文件时自动解密,无需用户手动操作,提高了使用的便捷性。灵活配置:加密软件通常提供多种加密模式供用户选择,如透明加密、智能加密、只解密不加密等,以满足不同场景下的加密需求。身份认证:在访问加密数据前,用户需要进行身份认证,如输入密码、使用生物识别技术等,以验证用户的身份和权限。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值