用户身份与文件权限
用户身份与能力;
学习时使用ROOT管理员权限;在Linux的学习过程中如果使用普通用户进行操作,则在配置服务之后出现错误时很难判断是系统自身的问题还是因为权限不足导致的;设置一次快照,即便系统彻底崩溃了,也可快速还原出一台全新的系统,而不用担心数据丢失;
UID User IDentification
UID具有唯一性,不能冲突;
系统管理员UID为0:系统的管理员用户;
系统用户UID为1-999:Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序有独立的系统用户负责运行,进而有效控制被破坏范围;
普通用户UID从1000开始:是由管理员创建的用于日常工作的用户;
GID Group IDentification
用户组的概念:可以把多个用户加入到同一个组中,从而方便为组中的用户统一规划权限或指定任务。
在Linux系统中创建每一个用户时,将自动创建一个与其同名的基本用户组,而且这个基本用户组只有该用户一个人,如果该用户以后被归纳入其他用户组,则这个其他用户组称之为扩展用户组,一个用户只有一个基本用户组,但是可以有多个扩展用户组;
useradd -h man useradd
useradd -d /home/linux -u 88 -s /sbin/nologin linuxprobe
Id linuxprobe
useradd linuxcool
useradd -M -s /sbin/nologin linuxcool
useradd -u 999 -s /bin/sh -G root,cool linuxprobe
useradd -e “2021/0101” -f 2 -d /tmp/linuxprobe linuxprobe
groupadd usermod passwd userdel
文件权限与归属;
在linux系统中,每一个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件拥有的可读、可写、可执行等权限。尽管在linux系统中一切都是文件,但是每一个文件的类型不尽相同。
- :普通文件
d :目录文件
l : 链接文件
b : 块设备文件
c : 字符设备文件
p : 管道文件
对一般文件来说
可读:表示能够读取文件的实际内容
可写:表示能够编辑、新增、修改、删除文件的实际内容
可执行:表示能够运行一个脚本程序;
对目录文件来说:
可读表示能够读取目录内的文件列表
可写表示能够在目录文件内新增、删除、重命名文件
可执行则表示能够进入该目录
文件所有者 文件所属组 其他用户
ls -l film.name
文件类型 访问权限 属主 属组 占用的磁盘大小 修改时间和文件名称等信息
文件的特殊权限;
在复杂多变的生产环境中,单纯设置文件的rwx权限无法满足我们对安全和灵活性的需求;SUID SGID SBIT 这是对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。
SUID 对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效);这只是一种有条件的、临时的特殊权限授权方法。
用户密码保存在 /etc/shadow文件中
ls -l /etc/shadow
ls -l /bin/passwd
SGID
让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置)
在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)
/dev/kmem 字符设备文件
Chmod命令是一个非常实用的命令,能够用来设置文件或目录的权限,
Chown命令可以设置文件的所有者和所属组
man chmod chmod --help
man chown chown --help
SBIT Sticky Bit 确保用户只能删除自己的文件
ls -ald /tmp
文件能否被删除并不取决于自身的权限,而是看其所在目录是否有写入权限
mkdir linux
chmod -R o+t linux/
ls -ld linux/
文件的隐藏权限; 这种“奇怪”的文件保障了linux系统的安全性。
默认情况下不能直接被用户发觉;权限充足却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋。
Chattr命令用于设置文件的隐藏权限
lsattr命令用于显示文件的隐藏权限
文件访问控制列表;
文件的ACL提供的是在所有者、所属组、其他人的读、写、执行权限之外的特殊权限控制,
setfacl命令用于管理文件的ACL规则。
可以针对单一用户或用户组、单一文件或目录来进行读、写、执行权限的控制,针对目录文件需要使用-R递归参数;针对普通文件则使用-m参数;如果想要删除某个文件的ACL,则可以使用-b参数。
setfacl -Rm u:linuxprobe:rwx /root
ls -ld /root
getfacl命令用于显示文件设置上的ACL规则
getfacl /root
su命令与sudo服务;
在实验环境中很少遇到安全问题 避免因权限因素导致配置服务失败
不要用root管理员去做所有事情。
su命令可以解决切换用户身份的需求,普通用户可以完全切换到root管理员身份来完成相应工作,会暴露root管理员的密码
sudo命令把特定命令的执行权限赋予给指定用户,这样既可保证普通用户能够完成特定的工作,也可以避免泄露root管理员密码。
sudo命令具有如下功能:
限制用户执行指定的命令;
记录用户执行的每一条命令;
配置文件(/etc/sudoers) 提供集中的用户管理、权限与主机等参数;
验证密码的后5分钟内无须用户再次验证密码;
Visudo
root ALL=(ALL) ALL
user ALL=(ALL) ALL
小结
- 生产环境中不允许某个普通用户拥有整个系统中的所有命令的最高执行权;因此只能赋予普通用户具体的命令以满足工作需求,这也受到了必要的权限约束。让某用户只能使用root管理员的身份执行指定的命令
- 权限赋予原则:尽可能少地赋予权限
- Linux是一个多用户、多任务的操作系统,具有很好的稳定性与安全性。
- 在RHEL7系统中,root管理员是UID为0的用户,默认是root管理员;
- 添加和删除用户的命令分别是useradd与userdel;
- 希望用户执行某命令时临时拥有该命令所有者的权限,应该设置特殊权限中的SUID;
- 若对文件设置了隐藏权限+i,则意味着无法对文件进行修改;若对目录设置了该参数,则仅能修改其中的子文件内容而不能新建或删除文件。
- 使用访问控制列表(ACL)来限制linuxprobe用户组,使得该组中的所有成员不得在/tmp目录中写入内容 setlacl -Rm g:linuxprobe:r-x /tmp
- 普通用户使用sudo命令时系统在默认情况下需要验证当前登录用户的密码,若不想验证,可添加NOPASSWD参数;