1、资源分派:俗称3A
- Authentication:认证,验证用户身份
- Authorization:授权,不同的用户设置不同权限
- Accouting|Audition:审计
当用户登录成功时,系统会自动分配令牌 token,包括:用户标识和组成员等信息。
1.1、用户
Linux中每个用户是通过User Id (UID)来唯一标识的
是一个纯数字,系统自动分配的,Linux中只靠UID来判断用户而不是用户名
-
管理员:root, 0
-
普通用户:1-60000 自动分配
-
系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)对守护进程获取资源进行权限分配
-
登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)给用户进行交互式登录使用
-
用户账号id有两种用途:
-
给人用:数字1000及以上的id编号,id编号为1000的是第一个创建的用户账号
-
给程序用: 当一个程序在执行,需要指定用户身份,用数字1-999的id编号
#查看root用户的id(root用户的id默认为0)
[10:31:52 root@rocky8 ~]#id -u root
0
#查看zhu用户的id
[10:22:04 root@rocky8 ~]#id -u zhu
1000
#查自己的id直接用id -u ,后面不用跟用户名
[10:32:41 root@rocky8 ~]#id -u
0
1.2、用户组:
-
管理员组:root, 0
-
普通组:
-
系统组:1-499(CentOS 6以前), 1-999(CentOS7以后), 对守护进程获取资源进行权限分配
-
普通组:500+(CentOS 6以前), 1000+(CentOS7以后), 给用户使用
-
1.3、用户和组的关系:
-
用户的主要组(primary group): 用户必须属于一个且只有一个主组,默认创建用户时会自动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
-
用户的附加组(supplementary group):一个用户可以属于零个或多个辅助组,附属组
[10:49:58 root@rocky8 ~]#id zhu
uid=1000(zhu) gid=1000(zhu) groups=1000(zhu) (用户zhu只属于一个组)[11:03:38 root@rocky8 ~]#id postfixuid=89(postfix) gid=89(postfix) groups=89(postfix),12(mail) (postfix有主要组和辅助组)
1.4、安全上下文
Linux安全上下文Context: 运行中的程序,即进程(process),以进程发起者的身份运行,进程所能够访问资源的权限取决于进程的运行者的身份。
比如: 分别以root和zhu的身份运行 /etc/shadow,得到的结果是不同的,资源能否能被访问,是由运行者的身份决定,非程序本身
#root用户登录系统可以访问[11:03:51 root@rocky8 ~]#cat /etc/shadowroot:$6$OAqYZv0.Jo2R23p2$TBJG3R4G8L43WikKHPNaqdBRA9lEHjZ03g8KtbQv92N5qvKO9VCSFchqAyM5P9DENbE4SkWIVccki9skJ6v0A.::0:99999:7:::bin:*:19326:0:99999:7:::daemon:*:19326:0:99999:7:::adm:*:19326:0:99999:7:::lp:*:19326:0:99999:7:::#zhu用户登录系统提示无权限[11:18:21 zhu@rocky8 ~]$cat /etc/shadowcat: /etc/shadow: Permission denied