linux中的权限管理,Linux中的用户和权限管理-CSDN博客

Linux是多用户，多任务操作系统：多用户是指多个用户可以同时使用系统资源，而多任务指同时运行多个进程。

用户是能够获取系统资源的权限的集合,Linux通过用户实现资源分隔。

用户组是具有相同特征用户的逻辑集合，是用户的容器。

1.用户：

(1)用户类别

管理员：root

普通用户：

系统用户：仅仅用于用于启动服务进程。

登录用户：用于使用者交互使用，是系统资源的使用者

(2)用户在操作系统中用UID来标识：

UID是16bits的二进制数字,如此范围为：0-65535。Linux 系统对用户UID做出了规定：

管理员：0

普通用户：1-65635

系统用户：1-499(CentOS 5,6), 1-999(CentOS7)

登录用户：500-60000(CentOS 5, 6), 1000-60000(CentOS7)

操作系统和使用者用不同的方法标记系统资源，两者需要通过名称解析相互识别，也就是名称转换。Linux 中通过/etc/passwd 文件作为解析库来转换；

2.Linux 组概念中在同样组概念中运用的相同的理念：

(1)GID标识组

(2)用文件作为组和GID解析库：/etc/group作为组名和GID的解析库。

(3)组从不同角度来划分类别：

1.从角色上去分为：管理员组和普通用户组，普通用户组内又包含系统用户组和普通用户组。

2.从用户角度来看：Linux 为用户设置了基本组，和附加组。Linux 在用户创建时设置基本组名称与用户名相同。

3.从组内成员成分区分为：私有组：与对应用户组相同，组内仅仅有该用户一个用户；公共组为多人组，组内用户具有重合的权限集合。

Linux 通过认证，授权，统计管理用户，用户主要通过/etc/shadow来认证认证。

资源权限机制：

用户的安全上下文：

进程：以某个用户的身份运行，进程对资源的操作权限取决于它代表的用户；

操作系统中的文件权限模型

属主：owner

属组：group

其他人：others

权限模型生效的机制：

进程的运行者：是否与发文件的属主相同，如果是则以文件的属主的身份来访问此文件，否则是否属于文件的属组，如果是则以文件属组的身份来访问此文件，否则一文件的其他用户的身份来访问此文件。如下图所示：

用户和组的管理：

Linux 中主要以命令进行：

组：groupadd,groupdel,groupmod

用户：useradd,userdel,userdel

认证：passwd，gpasswd

组权限管理命令：

1.groupadd：添加组

groupadd [选项] group_name

OPTIONS：

-g GID：指定GID； # 默认是上一个组的GID+1；

-r: 创建系统组；

例如： ~] #groupadd -r -g 336 testgrp

~] #tail -1 /etc/group

testgrp:x:336:

说明：/etc/group文件格式:

GroupNmme:gpasswd:GID:user1,user2,user3...

其中user1,user2,user3...:为组内其他用户列表，以“，”分隔；

2.groupmod

groupmod [选项] GROUP

-g GID：修改GID；

-n new_name：修改组名；

3.groupdel命令：删除组

groupdel [选项] GROUP

用户管理

1.useradd命令：创建用户

useradd [选项] 登录名

-u, --uid UID：指定UID；

-g, --gid GROUP：指定基本组ID，此组得事先存在；

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：指明用户所属的附加组，多个组之间用逗号分隔；

-c, --comment COMMENT：指明注释信息；

-d, --home HOME_DIR：以指定的路径为用户的家目录；通过复制/etc/skel此目录并重命名实现；指定的家目录路径如果事先存在，则不会为用户复制环境配置文件；

-s, --shell SHELL：指定用户的默认shell，可用的所有shell列表存储在/etc/shells文件中；

-r, --system：创建系统用户；

注意：创建用户时的诸多默认设定配置文件为/etc/login.defs，其中定义用户添加的默认定义

利用 useradd -D 选项可以显示或修改创建用户的默认配置；

useradd -D [DOPTION]

例如：useradd -D -s /bin/tcsh # 修改的结果保存于/etc/default/useradd 2.usermod [选项] 用户

-u, --uid UID：修改用户的ID为此处指定的新UID；

-g, --gid GROUP：修改用户所属的基本组；

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：修改用户所属的附加组；原来的附加组会被覆盖；

-a, --append：与-G一同使用，用于为用户追加新的附加组；

-c, --comment COMMENT：修改注释信息；

-d, --home HOME_DIR：修改用户的家目录；用户原有的文件不会被转移至新位置；

-m, --move-home：只能与-d选项一同使用，用于将原来的家目录移动为新的家目录；

-l, --login NEW_LOGIN：修改用户名；

-s, --shell SHELL：修改用户的默认shell；

注意：登录用户，为其自定义的shell程序必须在/etc/shells中，否则不能登录。

-L, --lock：锁定用户密码；即在用户原来的密码字符串之前添加一个"!"；

-U, --unlock：解锁用户的密码；

-e, --expiredate EXPIRE_DATE:用与设置用户密码过期时间。

-f,--inactive INACTIVE:密码过期后，不活动时间。

3.userdel命令：删除用户

userdel [选项] 登录

-r：删除用户时一并删除其家目录；

说明1. /etc/passwd 解析库字段，解析库每行为一条记录，信息栏以“：”分隔：

以新添加的用户storm用户的解析库条目为例：

storm:x:5001:5001::/home/storm:/bin/bash

各字段意义如下；

name:passwd:UID:GID:comment:Home_directory::shell

说明2./etc/shadow 密码库解析库字段，解析库每行为一条记录，信息栏以“：”分隔：

以新添加的用户storm用户解析的库条目为例：

storm:!!:16867:0:99999:7:::

login_name:登录名

encripted_password:加密的密码

date of last password change：上次跟新密码时间(这里时间都是用距离1970-01-01的天数)；

minimum password age：最小密码更换周期天数，不到期，想更换密码也更换不了；

maximum password age：最长密码更换周期天数，到期不改，会有措施；

password warning period：密码过期警告日期，在到期之前会提示改密码警告；

password inactivity period：密码到期后宽限时间，在宽限时间内只能重新设置密码后，才能使用系统；

account expiration date：硬性规定的过期时间，到期就会不能登录；

reserved field：保留他用

说明3：用户密码是用md5，sha64,sha248,sha512等单向加密算法加密的，为了防止试探，每个加密串都添加的salt以防止试出密码，salt为随机字符串，linux中的随机设备为/dev/randow(随机树，默认使用硬盘熵数，耗尽则阻塞，不再输出)和/dev/urandom(伪随机数，默认使用硬盘熵数，耗尽则用软件模拟再输出)

说明4：密码过期机制：

4.passwd命令：

passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]

(1)passwd：修改用户自己的密码；

普通用户(1)要求输入老密码(2)符合密码复杂度

密码复杂度：不能少于8位，复杂度要使用4类中的三类以上，不能近似旧密码等等

(2)passwd USERNAME：修改指定用户的密码，仅root有此权限；

-l, -u：锁定和解锁用户；

-d：清除用户密码串；

-e DATE: 过期期限，日期；

-i DAYS：非活动期限；

-n DAYS：密码的最短使用期限；