linux权限999 777,Linux用户及权限管理

用户和组管理 :

注 : 实现资源分配的机制

Authentication : 认证,验证用户身份是否合法或者验证用户是否有权使用资源,但并不能具体确定用户可以使用那些资源以及可以使用多少资源

Authorization : 授权,Linux中一切皆文件,而正是通过文件上某些元数据的修改,以实现对用户的授权

Audition/Accounting : 审计,审核用户权利的使用是否合理

属主(owner) : 即文件归谁所有

属组(group) : 为linux上一组相似用户建组,并以组为单位进行授权

1,将属组所拥有的权限与属组内的用户建立关联

2,为数组添加新的用户

Linux用户(Username)

UID : linux以数字标识和追踪用户身份

管理员用户 : root,0

普通用户 : 1-65535

系统用户 : CentOS 6 : 1-499;CentOS 7 : 1-999,对守护进程获取资源进行的权限分配

普通用户 : CentOS 6 : 500+;CentOS 7 : 1000+,交互式登陆

linux的安全上下文 :

进程 : process,运行中的程序

注 : 某个进程是在以发起者的身份在运行,因此发起者的身份决定了进程所能够访问的资源的权限,进程作为发起者的动作,其本身并没有任何区别,区别在于发起者的身份

决定了动作能否执行以及执行的程度

linux组的类别 :

用户的基本组(主组) : 即用户的基本或主要身份,用户拥有的大部分或主要权限都集中在在这个组中

用户的额外组(附加组) : 用户的额外身份,主要集中了用户的少有的特殊权限

私有组 : 组名同用户名,且组中只有一个用户,创建新用户时,未指定用户的基本组,均默认为用户创建私有组

linux用户和组的相关配置文件 :

/etc/passwd : 用户及其属性信息

文件组织格式 :

name : password : UID : GID : GECOS : directory : shell

用户名 : 密码 : UID : GID : 用户的完整信息(如家庭住址,电话号码等,信息多元时,以","分隔) : 用户的家目录 : 为用户指定的默认shell

注: 密码字段中,并未真正存储用户密码,而仅仅只是以一个占位符占位而已

/etc/group : 组及组属性信息

文件组织格式 :

group_name : password : GID : user_list

组名 : 组密码 : GID : 以该组为附加组的用户列表(用户多元时,以","分隔)

注 : 组密码字段中,并未真正存储密码,仅仅只是以一个占位符占位而已

/etc/shadow : 用户密码及其相关属性信息

文件组织格式 :

用户名 : 加密后的密码 : 最近一次更改密码的时间 : 密码的最小使用期限 : 密码的最大使用期限 : 密码的警告时间段 : 密码的禁用期 : 账号的过期日期 : 保留字段

加密机制 :

加密 : 明文 -> 密文

解密 : 密文 -> 明文

单向加密 : 提取数据指纹,数据与数据指纹之间一一对应,数据不变,数据指纹就不会变,但无法根据数据指纹还原数据

加密算法 :

md5 : message digest(摘要),128bits

sha1 : secure hash algorithm,160bits

sha224 : 224bits

sha384 : 384bits

sha256 : 256bits

sha512 : 512bits

雪崩效应: 明文的微小改变,就会导致密文的巨幅改变,目的在于防止根据密文的相似度逆推明文的相似度

定长输出 : 只要加密算法一样,最终输出的密文长度就不会改变

注 : 为避免多个用户输入的密码相同,导致一个用户可以根据自己的密文推出其他用户的密码,因此系统会自动在用户密码的后面加入一串随机数,联合用户密码生成密文

每次在用户登陆时,都会在用户密码后,加入该随机数,完成用户的认证

密码结构 : $加密方法及版本$杂质$密码密文

密码的复杂性原则 :

1,至少要使用数字,小写字母,大写字母,特殊字符中的三种

2,要足够长

3,使用随机密码

4,定期更换,不要使用最近使用过的密码

=======================================================================================================================================================================

用户和组相关的管理命令 ：

用户创建 ： useradd

useradd login_name

-u UID : 指定用户UID，[UID_MIN,UID_MAX],定义在/etc/login.defs文件中，默认创建的用户UID为最近一次创建的用户UID加一

-g GID/group_name : 指定用户所属的基本组，可为基本组的组名，也可为基本组的GID，但组必须事先存在

-G GID : 为用户指定附加组，组多元时，以都“,”隔开

-c,--comment “COMMENT” : 为用户指定详细信息，信息多元时，以“,”，分隔

-d /path/to/home_dir : 指定用户家目录

-s SHELL : 为用户指定默认shell,/etc/shells:保存有可用shell列表

-r : 创建系统用户，CentOS 6 : 1-499,CentOS 7 ： 1-999

useradd -D : 配合上述选项使用，修改不给任何选项，创建用户时的默认设置，仅对当前shell进程，当前会话有效

组创建 ：groupadd

groupadd group_name

-g GID ： 指定组ID，[GID_MIN,GID_MAX],定义在/etc/login/defs文件中

-r : 创建系统组，CentOS 6:1-499;CentOS : 1-999

=====================================================================================================================================

id : 显示用户的id信息

-u ： 仅显示用户UID

-g : 仅显示基本组GID

-G ： 显示用户基本组和附加组信息

-n ： name,显示用户及组名，而非组或用户id

=========================================================================================================================================

su : 以另一个用户身份执行命令或实现用户之间切换

切换用户的方式 ：

不完全切换 ： 即暂时获得其他用户权限，但同时用户当前用户的权限,并不会读取目标用户的配置文件

su user_name

完全切换 ：即彻底变成另外一个用户，取得另外一个用户的权限，但仅拥有另一个用户的权限，不再拥有当前用户的权限，会读取目标用户的权限

su - user_name

注 : root用户切换到其他用户不需要密码，但普通用户切换到其他用户需要密码

以其他用户身份执行命令 ：

su [-] -c 'COMMAND'

选项：

-l : 登录式切换，即完全切换

============================================================================================================================================

usermod : 修改用户属性

usermod [option]... user_name

-u UID : 新的UID

-g GID : 新的基本组

-G GROUP,... : 新的附加组，用户原有的附加组将会覆盖，如果要保留原有附加组，可符合选项-a一起使用

-s SHELL : 新的默认shell

-c 'COMMENT' : 新的用户基本信息

-d DIRECTORY : 新的用户家目录，但仅使用该选项，系统并不会将用户原目录下的文件移至新的家目录下，也不会为用户创建新的家目录，但若要将用户原本家目录下的

文件移至新的家目录下，需配合-m选项一起使用

-e : 指定用户账户的过期日期

-f : 指定用户密码的非活动期限

-l : 修改用户登录名

-L ： 锁定指定用户

-U ： 解锁指定用户

===================================================================================================================================================

为指定用户添加或修改密码 ： passwd

passwd user_name : 修改指定用户的密码，仅root权限

passwd : 修改用户自己的密码，不允许前提是用户有密码，否则用户添加密码或修改密码

-l : 锁定指定用户

-u : 解锁指定用户

-n MIN_DAYS : 指定密码的最小使用期限

-x MAX_DAYS ； 指定密码的最大使用期限

-w WARN_DAYS : 指定密码的警告期限

-i INACTIVE_DAYS : 指定密码的非活动期限

--stdin : 从标准输入接受用户密码，如echo 'passwd' | passwd --stdin user_name

======================================================================================================================================================

删除用户 ： userdel

userdel [option]... user_name

-r : 删除用户家目录

===========================================================================================================================================================

组属性修改 ： groupmod

groupmod [option]... group_name

-n : 指定新组名

-g GID : 执行新的组ID

======================================================================================================================================================

组删除 ： groupdel

groupdel GROUP

===========================================================================================================================================================

组密码添加 ：gpasswd

组密码作用 ： 当本用户既非某组的基本组用户，又非某组的附加组用户，但有需要取得该组的权限时，此时需要组密码，临时成为该组用户

gpasswd GROUP : 添加或修改组密码

-a USER : 将user添加至指定组

-d user : 从该组中删除指定用户

-A user1,user2,.... : 添加具有管理权限的用户列表

============================================================================================================================================

newgrp : 为用户临时切换基本组

注 ： 如果但前用户不属于该组，则需要组密码

=============================================================================================================================================

pwck : 检查密码文件的完整性，即检查用户及其认证信息的完整性，检查/etc/passwd,/etc/shadow格式是否正确，数据是否有效

==========================================================================================================================================

修改用户属性 ： chage

chage [option]... login_name

-d last_day : 修改用户最近一次修改密码的时间

-E expire_date : 修改用户账户过期日期

-I inactive : 修改用户密码禁用期

-m min_days : 修改用户密码的最小使用期限

-M max_days : 修改用户密码的最大使用期限

-W warn_days ： 修改用户密码的提醒警告期

=================================================================================================================================================

其他命令 ：

chfn ; 修改用户的详细信息(即家庭住址，电话号码等信息)

finger ： 查看用户的详细信息

chsh ; 修改用户的默认shell

=================================================================================================================================================

权限管理：

文件的权限主要针对三类用户：

属主 ： owner,u

属组 ： group,g

其他 ： others,o

每个文件对每个用户都定义了三种权限 ：

r : readable

w : writable

x : excutable

文件 ：

r : 可使用文件查看类工具查看文件内容

w ; 可修改文件内容

x : 可将文件提交内核启动为一个进程，但为避免文件被恶意利用，任何文件在创建时，都默认没有执行权限

文件夹 ：

r : 可使用ls命令查看此目录中的文件列表

w : 可在此目录中创建文件，也可在此目录中删除文件

x : 可使用ls -l查看此目录中的文件列表，也可使用cd命令进入此目录,默认创建目录时，均有此权限

权限的另外表示方法 ： r---w---x -> 100010001 -> 421

修改文件权限 ： chmod

chmod [option]... OCTAL_MODE(八进制) FILE...

-R : 递归修改权限，当修改目录权限时，目录中文件的权限也会跟着一起改变

chmod [option]... mode,... FILE...

mode :

修改某一类用户的权限 ：

u=r

ug=rw

u=r,g=w

注：没有写出的权限，均默认没有该权限

修改某一类用户的某一位权限 ：

u+r

ug+r

u+r,g+r

增加某用户在某一位的权限

u-r

ug-w

u-x,g-x

去除某类用户在某一位的权限

chmod [option]... --reference=RFILE FILE...

参考RFILE文件的权限，将FILE文件的权限修改的和RFILE文件的权限一模一样

=================================================================================================================================================

修改文件的属主和属组，仅root用户权限

chown [option][:[GROUP]] FILE...

注： 命令中的“：”可用“.”替代

-R ：递归修改文件的属主

chown [option]... --reference=RFILE FILE,.....

参看RFILE修改FILE的属主

===========================================================================================================================================

修改文件的属组 ：chgrp

chgrp [option]... GROUP FILE...

chgrp [option]... --reference=RFILE FILE...

-R : 递归修改文件的属组

=======================================================================================================================================

文件或目录创建时的遮罩码 ： umask

注 ： 遮罩码用户创建文件或文件夹时，为文件或文件夹指定默认权限

FILE : 666 - umask

注 ： 当某类用户创建文件时，权限减得的结果中包含x权限，则结果加一，直至无x权限

DIR : 777 - umask

umask : 查看umask的值

umask # : 修改umask的值，仅对当前用户有效