成功不易,加倍努力!
1 Linux安全模型
资源分派: 3A
- Authentication: 认证,验证用户身份
- Authorization:授权,不同的用户设置不同权限
- Accouting|Audition:审计
当用户登录成功时,系统会自动分配令牌token,包括用户标识和组成员等信息
1.1 用户
Linux中每个用户是通过User Id (UID)来唯一标识的。
管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499 (CentOS 6以前), 1-999 (CentOS7以后)
对守护进程获取资源进行权限分配
登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)
给用户进行交互式登录使用
1.2 用户组
Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID(GID) 来唯一标识的。
管理员组:root, 0
普通组:
- 系统组:1-499(CentOS 6以前), 1-999(CentOS7以后), 对守护进程获取资源进行权限分配
- 普通组:500+(CentOS 6以前), 1000+(CentOS7以后), 给用户使用
1.3 用户和组的关系
- 用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
- 用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
1.4 安全上下文
Linux安全上下文Context:运行中的程序,即进程 (process),以进程发起者的身份运行,进程所能访问资源的权限取决于进程的运行者的身份
比如:分别以root和cui的 身份运行/bin/cat /etc/shadow,得到的结果是不同的,shadow能否能被访问是由运行者的身份决定,非程序本身
2 用户和组的配置文件
2.1 用户和组的主要配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/shadow:用户密码及其相关属性
/etc/group:组及其属性信息
/etc/gshadow:组密码及其相关属性
2.2 passwd文件格式
login name:登录用名(cui)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/cui)
shell:用户默认使用shell (/bin/bash)
2.3 shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
密码的安全策略
- 足够长
- 使用数字、大写字母、小写字母及特殊字符中至少3种
- 使用随机密码
- 定期更换,不要使用最近曾经使用过的密码
2.4 group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
2.5 gshdow文件格式
群组名称:就是群的名称
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
3 用户和组管理命令
用户管理命令
useradd
usermod
userdel
组帐号维护命令
groupadd
groupmod
groupdel
3.1 用户创建
useradd 命令可以创建新的Linux用户
常见选项:
-u UID
-o 配合-u 选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS 6之前: ID<500,CentOS 7以后: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
3.2 用户属性修改
usermod 命令可以修改用户属性
常见选项:
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
3.3 删除用户
userdel 可删除Linux 用户
-f 强制删除
3.4 查看用户相关的ID信息
id 命令可以查看用户的UID,GID等信息
3.5 切换用户或以其他用户身份执行命令
常见选项:
-l --login su -l UserName 相当于 su -UserName
-c --command <command> ,临时性切换用户执行单个命令且退回
su: 即switch user,命令可以切换用户身份,并且以指定用户的身份执行命令
切换用户的方式:
- su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录。即不完全切换
- su - UserName:登录式切换,会读取目标用户的配置文件,切换至自己的家目录,完全切换
说明:root su至其他用户无须密码;非root用户切换时需要密码
注意:su切换新用户后,使用exit退回到旧用户,不要使用su退回
范例:
[root@centos7-E ~]#getent passwd #列出所有用户
root@ubuntu1804:~# cat /etc/shadow
root:!:18335:0:99999:7::: #不能登陆的原因,第二列!表示加锁
false类型的shell
[root@centos7-E date]#ll /bin/false
-rwxr-xr-x. 1 root root 28928 Aug 20 2019 /bin/false
[root@centos7-E date]#usermod -s /bin/false liuyuan #永久更改,su -s是临时更改
[root@centos7-E date]#getent passwd liuyuan
liuyuan:x:1001:1001::/home/liuyuan:/bin/false
[root@centos7-E date]#su - liuyuan
[root@centos7-E date]#whoami
root
[root@centos7-E date]#usermod -s /bin/bash liuyuan
[root@centos7-E date]#getent passwd liuyuan
liuyuan:x:1001:1001::/home/liuyuan:/bin/bash
3.6 设置密码
passwd 可以修改用户密码
常用选项:
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码,用得较多,ubuntu无此选项
3.7 修改用户密码策略
chage 可以修改用户密码策略
常见选项:
-d LAST_DAY
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE 密码过期后的宽限期
-E --expiredate EXPIRE_DATE 用户的有效期
-l 显示密码策略
范例:显示密码策略并更改有效期
[root@centos7-E ~]#chage -l cui
Last password change : Mar 28, 2020
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
[root@centos7-E ~]#chage -m 3 -M 42 cui
[root@centos7-E ~]#chage -l cui
Last password change : Mar 28, 2020
Password expires : May 09, 2020
Password inactive : never
Account expires : never
Minimum number of days between password change : 3
Maximum number of days between password change : 42
Number of days of warning before password expires : 7
范例:生成随机密码的两种办法
[root@centos7-E ~]#tr -dc '[:alnum:]' < /dev/urandom | head -c 12
pvdExvmg3Srg
[root@centos7-E ~]#openssl rand -base64 12
lyN6XGyBjPuoxUMk
3.8 用户相关的其它命令
chfn 指定个人信息
chsh 指定shell
finger 可看用户个人信息
范例:永久更改shell类型
[root@centos7-E ~]# getent passwd www
www:x:1004:1007::/home/www:/bin/bash
[root@centos7-E ~]#chsh -s /bin/false www
Changing shell for www.
chsh: Warning: "/bin/false" is not listed in /etc/shells.
Shell changed.
[root@centos7-E ~]# getent passwd www
www:x:1004:1007::/home/www:/bin/false
# 另一种办法如下
[root@centos7-E ~]#usermod -s /bin/bash www
[root@centos7-E ~]# getent passwd www
www:x:1004:1007::/home/www:/bin/bash
3.9 创建组
groupadd实现创建组
常见选项:
-g GID 指明GID号;[GID_MIN, GID_MAX]
-r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
3.10 修改组
组属性修改:groupmod
常见选项:
-n group_name: 新名字
-g GID: 新的GID
3.11 组删除
groupdel 可以删除组
常见选项:
-f, --force 强制删除,即使是用户的主组也强制删除组
3.12 更改组密码
组密码:gpasswd ,可以修改附加组成员关系
设置有管理权限的用户列表
常见选项:
-a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,...
范例:
#增加组成员
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan)
[root@centos7-E ~]#gpasswd -a yuan g1
Adding user yuan to group g1
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan),1004(g1)
#删除组成员
[root@centos7-E ~]#gpasswd -d yuan g1
Removing user yuan from group g1
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan)
[root@centos7-E ~]#gpasswd -d yuan yuan
Removing user yuan from group yuan
gpasswd: user 'yuan' is not a member of 'yuan'
#注意:只能删除附加组
#另一种方法管理组成员
[root@centos7-E ~]#usermod -G g1 yuan
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan),1004(g1)
[root@centos7-E ~]#usermod -G g2 yuan
[root@centos7-E ~]#id yuan #选项只有G时,附加组会被替代
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan),1005(g2)
[root@centos7-E ~]#usermod -aG g1 yuan # 加上a选项追加
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan),1004(g1),1005(g2)
3.13 临时切换主组
newgrp命令可以临时切换主组, 如果用户本不属于此组,则需要组密码
格式: newgrp [-] [group]
如果使用 - 选项,可以初始化用户环境
3.14 更改和查看组成员
groupmems可以管理组成员关系
groups 可查看用户组关系
格式 groupmems [options] [action]
常见选项:
-g, --group groupname 更改为指定组 (只有root)
actions:
-a, --add username 指定用户加入组
-d, --delete username 从组中删除用户
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表
范例:管理附加组成员关系
[root@centos7-E ~]#groupmems -l -g g1
cui yuan
[root@centos7-E ~]#id yuan
uid=1005(yuan) gid=1008(yuan) groups=1008(yuan),1004(g1),1005(g2)
[root@centos7-E ~]#groupmems -a www -g g1
[root@centos7-E ~]#id www
uid=1004(www) gid=1007(zzz) groups=1007(zzz),1004(g1)
[root@centos7-E ~]#groupmems -l -g g1
cui yuan www
范例:查看用户组关系
[root@centos7-E ~]#groups yuan
yuan : yuan g1 g2
[root@centos7-E ~]#groups yuan cui root
yuan : yuan g1 g2
cui : cui g1 g2
root : root
4 文件权限管理
4.1 文件所有者和属组属性操作
4.1.1 设置文件的所有者chown
chown命令可以修改文件的属主,也可以修改文件属组
格式:
chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
用法说明:
OWNER #只修改所有者
OWNER:GROUP #同时修改所有者和属组
:GROUP #只修改属组,冒号也可用 . 替换
-R: #递归,此选项非常危险!
--reference=RFILE FILE #参考RFILE的属性,来修改FILE
范例:设置/home/app/run/apache目录及其子目录主属组为apache
[root@centos7-E ~]#mkdir -p /home/app/run/apache/{log,htdoc,conf}
[root@centos7-E ~]#chown -R apache:apache /home/app/run/apache
[root@centos7-E ~]#ll /home/app/run/apache
total 0
drwxr-xr-x. 2 apache apache 6 Mar 25 22:23 conf
drwxr-xr-x. 2 apache apache 6 Mar 25 22:23 htdoc
drwxr-xr-x. 2 apache apache 6 Mar 25 22:23 log
[root@centos7-E ~]#ll /home/app/run/
total 0
drwxr-xr-x. 5 apache apache 42 Mar 25 22:23 apache
4.1.2 设置文件的属组信息chgrp
chgrp 命令可以只修改文件的属组
可以用chown .group 代替
范例:
[root@centos7-E date]#ll f1.log
-rw-r--r--. 1 root root 1 Mar 26 13:54 f1.log
[root@centos7-E date]#chgrp admins f1.log
[root@centos7-E date]#ll f1.log
-rw-r--r--. 1 root admins 1 Mar 26 13:54 f1.log
4.2 文件权限
4.2.1 文件权限说明
文件的权限主要针对三类对象进行定义
owner 属主, u
group 属组, g
other 其他, o
注意:用户的最终权限是,从左到右进行顺序匹配,即所有者,所属组,其他人,一旦匹配权限立即生效,不再向右查看其权限
每个文件针对每类访问者都定义了三种权限
r Readable
w Writable
x eXcutable
对文件的权限:
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行的)
对目录的权限:
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件,而和此被删除的文件的权限无关(开除你不是你说了算,是公司说了算)
x 可以使用ls -l查看此目录中文件元数据(须配合r),属于目录的可访问的最小权限
X 只给目录x权限,不给无执行权限的文件x权限
数学法的权限
八进制数字
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
4.2.2 修改文件权限chmod
格式 :
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限,将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...
说明:
-R: 递归修改权限
MODE:
修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + -
范例:面试题
执行 cp /etc/issue /data/dir 所需要的最小权限?
/bin/cp 需要x权限
/etc/ 需要x权限
/etc/issue 需要r 权限
/data 需要x权限
/data/dir 需要w,x 权限
4.3 新建文件和目录的默认权限
umask的值可以用来保留在创建文件权限
实现方式:
- 新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变
- 新建目录的默认权限: 777-umask
非特权用户umask默认是 002
root的umask 默认是 022
持久保存umask
- 全局设置: /etc/bashrc
- 用户设置:~/.bashrc
范例:
[root@centos7-E date]#umask -S #模式方法显示
u=rwx,g=rx,o=rx
[root@centos7-E date]#umask -p #输出可被调用
umask 0022
范例:临时执行umask
[root@centos7-E date]#umask
0022
[root@centos7-E date]#( umask 666; touch /date/f1.txt )
[root@centos7-E date]#umask
0022
[root@centos7-E date]#ll /date/f1.txt
----------. 1 root root 0 Mar 28 16:04 /date/f1.txt
4.4 Linux文件系统上的特殊权限
前面介绍了三种常见的权限:r, w, x 还有三种特殊权限:SUID, SGID, Sticky
4.4.1 特殊权限SUID
安全上下文
前提:进程有属主和属组;文件有属主和属组
- 1.任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限
- 2.启动为进程之后,其进程的属主为发起者,进程的属组为发起者所属的组
- 3.进程访问文件时的权限,取决于进程的发起者
(a) 进程的发起者,同文件的属主:则应用文件属主权限
(b) 进程的发起者,属于文件属组;则应用文件属组权限
(c ) 应用文件“其它”权限
二进制的可执行文件上SUID权限功能:
- 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
- 启动为进程之后,其进程的属主为原程序文件的属主
- SUID只对二进制可执行程序有效
- SUID设置在目录上无意义
4.4.2 特殊权限SGID
二进制的可执行文件上SGID权限功能:
- 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
- 启动为进程之后,其进程的属组为原程序文件的属组
SGID权限设定:
chmod u+s FILE...
chmod 6xxx FILE
chmod u-s FILE...
目录上的SGID权限功能:
默认情况下,用户创建文件时,其属组为此用户所属的主组,一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组,通常用于创建一个协作目录
4.4.3 特殊权限 Sticky 位
具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权
在目录设置Sticky 位,只有文件的所有者或root可以删除该文件
sticky 设置在文件上无意义
Sticky权限设定:
chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...
4.4.4 特殊权限数字法
SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
范例:chmod 4777 /tmp/a.txt
权限位映射
SUID: user,占据属主的执行权限位
s:属主拥有x权限
S:属主没有x权限
SGID: group,占据属组的执行权限位
s: group拥有x权限
S:group没有x权限
Sticky: other,占据other的执行权限位
t:other拥有x权限
T:other没有x权限
suid:作用于二进制可执行程序,当用户执行此程序时,将会临时继承此程序所有者的权限
sgid:
- 1)作用于二进制可执行程序,当用户执行此程序时,将会临时继承此程序所属组的权限
- 2)作用于目录(文件夹),当用户在此目录下创建新文件时,文件的所属组会自动继承父目录的所属组
stikcy:作用于目录,用户只能删除自已的文件
4.5 设定文件特殊属性chattr
设置文件的特殊属性,可以访问root 用户误操作删除或修改文件
不能删除,改名,更改
chattr +i
只能追加内容
chattr +a
显示特定属性
lsattr
注意:工作中可能会用到,面试题
4.6 访问控制列表
4.6.1 ACL权限功能
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
ACL生效顺序:
所有者,自定义用户,所属组|自定义组,其他人
4.6.2 ACL相关命令
setfacl 可以设置ACL权限
getfacl 可查看设置的ACL权限
会加会设置就行
mask 权限
- mask只影响除所有者和other的之外的人和组的最大权限
- mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)
- 用户或组的设置必须存在于mask权限设定范围内才会生效
4.6.3 备份和还原ACL
主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不
会保留目录和文件的ACL信息