Linux安全模型总结

最新推荐文章于 2024-07-20 09:08:34 发布
最新推荐文章于 2024-07-20 09:08:34 发布
阅读量36 收藏
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69077694/article/details/134060677
版权

1、资源分派:俗称3A

  • Authentication:认证,验证用户身份
  • Authorization:授权,不同的用户设置不同权限
  • Accouting|Audition:审计

   当用户登录成功时,系统会自动分配令牌 token,包括:用户标识和组成员等信息。

1.1、用户

Linux中每个用户是通过User Id (UID)来唯一标识的

是一个纯数字,系统自动分配的,Linux中只靠UID来判断用户而不是用户名

  • 管理员:root, 0

  • 普通用户:1-60000 自动分配

    • 系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)对守护进程获取资源进行权限分配

    • 登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)给用户进行交互式登录使用

用户账号id有两种用途:

  • 给人用:数字1000及以上的id编号,id编号为1000的是第一个创建的用户账号

  • 给程序用: 当一个程序在执行,需要指定用户身份,用数字1-999的id编号

#查看root用户的id(root用户的id默认为0)

[10:31:52 root@rocky8 ~]#id -u root

0

#查看zhu用户的id

[10:22:04 root@rocky8 ~]#id -u zhu

1000

#查自己的id直接用id -u ,后面不用跟用户名

[10:32:41 root@rocky8 ~]#id -u

0

 1.2、用户组:

Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID(GID) 来唯一标识的。
  • 管理员组:root, 0
  • 普通组:
    • 系统组:1-499(CentOS 6以前), 1-999(CentOS7以后), 对守护进程获取资源进行权限分配
    • 普通组:500+(CentOS 6以前), 1000+(CentOS7以后), 给用户使用

1.3、用户和组的关系:

  • 用户的主要组(primary group): 用户必须属于一个且只有一个主组,默认创建用户时会自动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组

  • 用户的附加组(supplementary group):一个用户可以属于零个或多个辅助组,附属组

 [10:49:58 root@rocky8 ~]#id zhu

uid=1000(zhu) gid=1000(zhu) groups=1000(zhu)    (用户zhu只属于一个组)
[11:03:38 root@rocky8 ~]#id postfix
uid=89(postfix) gid=89(postfix) groups=89(postfix),12(mail) (postfix有主要组和辅助组)

1.4、安全上下文

Linux安全上下文Context: 运行中的程序,即进程(process),以进程发起者的身份运行,进程所能够访问资源的权限取决于进程的运行者的身份。

比如: 分别以root和zhu的身份运行  /etc/shadow,得到的结果是不同的,资源能否能被访问,是由运行者的身份决定,非程序本身

#root用户登录系统可以访问
[11:03:51 root@rocky8 ~]#cat /etc/shadow
root:$6$OAqYZv0.Jo2R23p2$TBJG3R4G8L43WikKHPNaqdBRA9lEHjZ03g8KtbQv92N5qvKO9VCSFchqAyM5P9DENbE4SkWIVccki9skJ6v0A.::0:99999:7:::
bin:*:19326:0:99999:7:::
daemon:*:19326:0:99999:7:::
adm:*:19326:0:99999:7:::
lp:*:19326:0:99999:7:::
#zhu用户登录系统提示无权限
[11:18:21 zhu@rocky8 ~]$cat /etc/shadow
cat: /etc/shadow: Permission denied

 

笑哈哈666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2351
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
Linux进程模型总结
张勤一
03-20 3793
一个进程在CPU上运行可以有两种运行模式(进程状态):用户模式和内核模式。如果当前运行的是用户程序(用户代码),那么对应进程就处于用户模式(用户态),如果出现系统调用或者发生中断,那么对应进程就处于内核模式(核心态)。 Linux进程通过一个task_struct结构体描述,在linux/sched.h中定义,通过理解该结构,可更清楚的理解linux进程模型
Linux编程技术总结
yunfan
12-25 1364
前言 所谓Linux编程技术就是在Linux操作系统环境下进行软件开发时所使用的各种编程技术。 一 常见的Linux系统发行版 在介绍常见的 Linux 系统版本之前,首先需要区分 Linux 系统内核与 Linux 发行版系统的不同。 ➢ Linux 系统内核 指的是一个由 Linus Torvalds 负责维护,提供硬件抽象层、硬盘及文件系统控制及多任务功能的系统核心程序。 ➢ Linux 发行版系统 是我们常说的 Linux 操作系统,也即是由 Linux 内核与各种常用软件的集合产品。 全球
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 5921
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux系统安全安全技术和防火墙
Riky12的博客
06-09 3230
传输层端口防火墙网络层IP路由器三层数据链路层MAC交换机按保护范围划分:主机防火墙: 服务范围为当前一台主机网络防火墙: 服务范围为防火墙一侧的局域网。按实现方式划分:硬件防火墙: 在专用硬件级别实现部分功能的防火墙:另一个部分功能基于软件实现,如: 华为,山石hillstone,天融信,启明星辰,绿盟,深信服,PaloAlto,(Juniper2004年40亿美元收购) 等fortinet.。
Linux IO模型/epoll
04-24
总结来说,Linux的epoll模型是为了解决高并发I/O问题而设计的,通过线程池配合epoll,可以在多核CPU环境下有效地管理网络连接,优化系统资源的使用,提升服务器性能。在选择模型时,需要根据具体应用场景和需求来...
基于LINUX的操作系统安全模型.pdf
09-07
《基于Linux的操作系统安全模型...总结起来,这篇论文提出了一个融合多种安全模型的新型Linux安全架构,旨在提供更高效、更安全的系统管理,特别是在权限分配和信息流动控制方面,对系统开发和维护具有重要的指导价值。
Linux系统权限总结1
08-03
本文主要总结Linux权限的基本概念、特殊权限、权限管理原则以及如何通过ACL(Access Control List)和sudo进行权限控制。 首先,我们要理解Linux文件系统的权限模型。在Linux中,每个文件和目录都有三个基本权限...
linux网络编程总结.zip
10-26
TCP/IP模型的四层(应用层、传输层、网络层和链路层)在Linux网络编程中都有对应的接口。 三、地址和端口 网络通信涉及IP地址和端口号。IPv4地址是一个32位数字,通常以点分十进制表示;IPv6则是128位,使用冒号...
linux学习总结
04-06
理解Linux的用户权限模型,了解`sudoers`文件配置。`ufw`或`iptables`用于防火墙规则设置,确保系统安全。 以上是Linux学习的基本框架,每个主题下都包含丰富的细节和实践操作。不断练习和应用这些知识,将使你在...
Linux -软件安装
z2331198564653的博客
07-18 881
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 565
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
最新发布
gzx233的博客
07-20 857
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 971
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux 权限
includemainprinf的博客
07-18 676
Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1123
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 385
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统中创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 771
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
Linux上的系统服务——DNS、WEB、NFS 和 AutoFS 服务的详细配置步骤
qq_68600196的博客
07-17 725
现有主机 node01 和 node02,完成如下需求:1、在 node01 主机上提供 DNS 和 WEB 服务2、dns 服务提供本实验所有主机名解析3、web服务提供 www.rhce.com 虚拟主机4、该虚拟主机的documentroot目录在 /nfs/rhce 目录5、该目录由 node02 主机提供的NFS服务共享6、该目录可以通过autofs服务实现自动挂载7、所有服务应该在重启之后依然可以正常使用。
linux系统安装实验总结
03-16
作为AI语言模型,我无法亲身进行实验,但我可以为您提供一些关于Linux系统安装实验的总结: 1. 在安装Linux系统前,需要先了解自己的计算机硬件配置,选择合适的Linux发行版和版本。 2. 在安装过程中,需要注意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

笑哈哈666

您的鼓励是我创作的源泉

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值