【Linux | Shell】Linux 安全系统 —— 用户、组、文件权限 - 阅读笔记

已于 2023-07-12 09:02:51 修改
阅读量2.1k 收藏 22
点赞数 17
分类专栏: linux系统 文章标签: linux 安全 笔记 bash
于 2023-07-09 21:03:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wkd_007/article/details/131622859
版权

目录

在这里插入图片描述

一、Linux 的安全性

Linux 安全系统的核心是用户账户
用户权限是通过创建用户时分配的用户 ID( user ID, UID)来跟踪的。 UID 是个数值,每个用户都有一个唯一的 UID。
用户在登录系统时是使用登录名( login name)来代替 UID 登录的。
下面介绍 Linux 系统使用哪些 特定文件和工具 来跟踪及管理系统的用户账户。

1.1 /etc/passwd 文件

Linux 系统使用一个专门的文件 /etc/passwd 来匹配登录名与对应的 UID 值,下面是我的Ubuntu系统的 /etc/passwd 做了部分删减的文件示例,

$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
sshd:x:116:65534::/var/run/sshd:/usr/sbin/nologin
statd:x:117:65534::/var/lib/nfs:/bin/false
wkd:x:1000:1000:,,,:/home/wkd:/bin/bash
aaa:x:1001:1001::/var/www/html/aaa:
tftp:x:118:125:tftp daemon,,,:/var/lib/tftpboot:/bin/false
$

/etc/passwd 文件各个字段的含义如下:

  • 登录用户名
  • 用户密码
  • 用户账户的 UID(数字形式)
  • 用户账户的组 ID(数字形式)
  • 用户账户的文本描述(称为备注字段)
  • 用户$HOME 目录的位置
  • 用户的默认 shell

文件解析:

  • root 用户账户是 Linux 系统的管理员,为其固定分配的UID 是 0;
  • Linux 系统会为各种各样的功能创建 系统用户,是系统中运行的各种服务进程访问资源使用的特殊账户。例如,上面的daemon用户、bin用户。
  • Linux 会为系统账户预留了UID,Ubuntu系统预留了1000个ID,所以创建普通用户时使用的UID会从1000。例如,上面的wkd用户。
  • /etc/passwd 文件中的密码字段都被设置为 x,并不是说所有的用户账户都使用相同的密码。而是因为绝大多数 Linux 系统将用户密码保存在单独的文件(称为 shadow 文件,位于/etc/shadow)中。只有特定的程序(比如登录程序)才能访问该文件。
  • /etc/passwd 是一个标准的文本文件,可直接使用文本编辑器修改内容,但不建议修改,如果/etc/passwd 文件受损,系统无法读取文件内容,则会导致用户(即便是 root 用户)无法正常登录

1.2 /etc/shadow 文件

/etc/shadow文件对 Linux系统密码管理提供了更多的控制。只有 root 用户才能访问 /etc/shadow 文件,这使其与 /etc/passwd 相比要安全许多。
下面是wkd用户在 ``/etc/shadow` 文件的记录:

wkd:$1$jNrWJ3eQ$4ONPjdkvFngn5j7R09g90/:17704:0:99999:7:::

/etc/shadow 文件中的每条记录共包含 9 个字段。

  • 登录名,对应于/etc/passwd 文件中的登录名。
  • 加密后的密码。
  • 自上次修改密码后已经过去的天数(从 1970 年 1 月 1 日开始计算)。
  • 多少天后才能更改密码。
  • 多少天后必须更改密码。
  • 密码过期前提前多少天提醒用户更改密码。
  • 密码过期后多少天禁用用户账户。
  • 用户账户被禁用的日期(以从 1970 年 1 月 1 日到当时的天数表示)。
  • 预留给以后使用的字段

有了 shadow 密码系统, Linux 系统就可以更好地控制用户密码了,比如控制用户多久更改一次密码,以及如果密码未更新的话,什么时候禁用该账户。

1.3 添加新用户 —— useradd

useradd命令可以一次性轻松创建新用户账户并设置用户的$HOME 目录结构。
-D 选项,查看useradd 命令所使用的默认值:

wkd@ubuntu:~$ useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/sh
SKEL=/etc/skel
CREATE_MAIL_SPOOL=no
wkd@ubuntu:~$

上面默认值解析:

  • 新用户会被添加到 GID 为 100 的公共组。
  • 新用户的主目录会位于/home/登录名
  • 新用户账户密码在过期后不会被禁用。
  • 新用户账户不设置过期日期。
  • 新用户账户将 /bin/sh 作为默认 shell。
  • 系统会将/etc/skel 目录的内容复制到用户的$HOME 目录。
  • 系统不会为该用户账户在 mail 目录下创建一个用于接收邮件的文件。

在Ubuntu下,/etc/skel/ 目录下有下面文件,创建新用户时会被复制到新用户的主目录。

wkd@ubuntu:~$ ls /etc/skel/ -la
total 40
drwxr-xr-x   2 root root  4096 Jun 14 18:50 .
drwxr-xr-x 133 root root 12288 Jun 15 02:59 ..
-rw-r--r--   1 root root   220 Apr  9  2014 .bash_logout
-rw-r--r--   1 root root  3637 Apr  9  2014 .bashrc
-rw-r--r--   1 root root  8980 Oct  4  2013 examples.desktop
-rw-r--r--   1 root root   675 Jun 14 18:50 .profile
wkd@ubuntu:~$

useradd 命令行选项:

选 项描 述
-c comment给新用户添加备注
-d home_dir为主目录指定一个名字(如果不想用登录名作为主目录名的话)
-e expire_date用 YYYY-MM-DD 格式指定账户过期日期
-f inactive_days指定账户密码过期多少天后禁用该账户; 0 表示密码一过期就立即禁用, -1 表示不使用这个功能
-g initial_group指定用户登录组的 GID 或组名
-G group …指定除登录组之外用户所属的一个或多个附加组
-k必须和-m 一起使用,将/etc/skel 目录的内容复制到用户的$HOME 目录
-m创建用户的$HOME 目录
-M不创建用户的$HOME 目录,即便默认设置里要求创建
-n创建一个与用户登录名同名的新组
-r创建系统账户
-p passwd为用户账户指定默认密码
-s shell指定默认的登录 shell
-u uid为账户指定一个唯一的 UID

useradd 修改系统默认新用户设置值

选 项描 述
-b default_home修改用户$HOME 目录默认创建的位置
-e expiration_date修改新账户的默认过期日期
-f inactive修改从密码过期到账户被禁用的默认天数
-g group修改默认的组名称或 GID
-s shell修改默认的登录 shell

例如:useradd -D -s /bin/tsch

1.4 删除用户 —— userdel

在默认情况下, userdel 命令只删除 /etc/passwd 和 /etc/shadow 文件中的用户信息,属于该账户的文件会被保留。
加入 -r 选项,则 userdel 会删除用户的 $HOME 目录以及邮件目录。

1.5 修改用户 —— usermod、passwd、chpasswd

usermod 修改用户账户字段,还可以指定主要组( primary group)以及辅助组( secondary group)的所属关系。
提供了修改 /etc/passwd 文件中大部分字段的相关选项,只需指定相应的选项即可。

  • -c用于修改备注字段,
  • -e 用于修改过期日期,
  • -g 用于修改默认的登录组
  • -l:修改用户账户的登录名
  • -L:锁定账户,禁止用户登录。
  • -p:修改账户密码。
  • -U:解除锁定,恢复用户登录。

-L 选项尤为实用。该选项可以锁定账户,使用户无法登录,无须删除账户和用户数据。要恢复账户,只需使用-U 选项即可。

passwd 命令可以方便地修改用户密码:passwd 用户名
-e 选项可以强制用户下次登录时修改密码;

chpasswd 命令能从标准输入自动读取一系列以冒号分隔的登录名和密码对偶;

chsh 命令可以快速修改默认的用户登录 shell。使用时必须用 shell 的 全路径名 作为参数:chsh -s /bin/csh test

chage 命令可用于帮助管理用户账户的有效期:

选 项描 述
-d设置自上次修改密码后的天数
-E设置密码过期日期
-I设置密码过期多少天后锁定账户
-m设置更改密码的最小间隔天数
-M设置密码的最大有效天数
-W设置密码过期前多久开始出现提醒信息

在这里插入图片描述

二、使用 Linux 组

为了解决共享资源的一组用户的安全性问题,Linux 系统采用了另一个安全概念——组。
组权限允许多个用户对系统对象(比如文件、目录或设备等)共享一组权限。
每个组都有唯一的 GID,和 UID 类似,该值在系统中是唯一的。除了 GID,每个组还有一个唯一的组名。
这节将介绍 Linux 系统中用于创建和管理组的 组工具

2.1 /etc/group 文件

/etc/group 文件包含系统中每个组的信息,下面是/etc/group的内容,有删减。

wkd@ubuntu:~$ cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,lu
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
users:x:100:
nogroup:x:65534:
sambashare:x:124:lu
wkd:x:1000:
aaa:x:1001:
tftp:x:125:
wkd@ubuntu:~$

/etc/group 文件有 4 个字段。

  • 组名
  • 组密码
  • GID
  • 属于该组的用户列表

组密码允许非组内成员使用密码临时性地成为该组成员。

2.2 创建新组 —— groupadd

groupadd 命令可用于创建新组:groupadd 组名

groupadd shared

在创建新组时,默认不为其分配任何用户,groupadd 命令没有提供向组中添加用户的选项,但可以用 usermod 命令来解决,下面语句将用户rich添加到shared组:

usermod -G shared rich

2.3 修改组 —— groupmod

groupmod 命令可以修改已有组的 GID(使用-g 选项)或组名(使用-n 选项):groupmod -n sharing shared语句将 shared 组改名为 sharing。

在这里插入图片描述

三、理解文件权限

3.1 文件权限解释

使用ls -l命令时,第一列的符号就表示了文件权限,它由四部分组成:文件类型、属主权限、属组权限、其他用户权限;

wkd@ubuntu:~$ ls test.sh -l
-rwxrw-r-- 1 wkd wkd 73 Jul  9 22:30 test.sh
wkd@ubuntu:~$

例如上面这个文件的权限-rwxrw-r--
①表示它是一个普通文件;
②它属于的用户拥有可读、可写、可执行的权限;
③它所属于的组的用户拥有可读、可写权限、不可执行;
④其他用户可读、不可写、不可执行。

在这里插入图片描述

其他文件类型:

  • -代表文件
  • d 代表目录
  • l 代表链接
  • c 代表字符设备
  • b 代表块设备
  • p 代表具名管道
  • s 代表网络套接字

3.2 默认文件权限

从上小节可知,文件权限由文件类型 和 三组权限值(rwx)组成,每组权限值可以看出是 3 bit 的二进制值,r--最高位为1(100)表示可读、-w-次高位为1(010)表示可写、--x最低位为1(001)表示可执行。每组总共有8种情况,如下表:

权 限二进制值八进制值描 述
---0000没有任何权限
--x0011只有执行权限
-w-0102只有写入权限
-wx0113有写入和执行权限
r--1004只有读取权限
r-x1015有读取和执行权限
rw-1106有读取和写入权限
rwx1117有全部权限(读取、写入和执行)

以上小节的权限-rwxrw-r--为例,
①第一组权限rwx的二进制就是111,转成八进制就是7
②第二组权限rw-的二进制就是110,转成八进制就是6
③第三组权限rw-的二进制就是100,转成八进制就是4
所以其文件权限是764;

清楚了权限怎样转换成二进制值和八进制值之后,再来看看Linux系统怎样设置文件默认权限。答案是通过umask命令,直接执行umask,就可以看到当前的掩码:

wkd@ubuntu:~$ umask
0022
wkd@ubuntu:~$

默认的文件权限就是:全权权限 减去 umask值。
对文件而言,全权权限是 666(所有用户都有读取和写入的权限);
对目录而言,全权限值是 777(所有用户都有读取、写入和执行权限)。

wkd@ubuntu:~$ touch test_mask
wkd@ubuntu:~$ mkdir dir_mask
wkd@ubuntu:~$ ls -l 
drwxr-xr-x 2 wkd wkd 4096 Jul 11 20:06 dir_mask
-rw-r--r-- 1 wkd wkd    0 Jul 11 20:01 test_mask

由以上输出,dir_mask 目录权限为 777-022=755,转成二进制就是111 101 101,对应权限为rwx r-x r-x
test_mask 文件权限为 666-022=644,转成二进制就是110 100 100,对应权限为rw- r-- r--

在这里插入图片描述

四、更改安全设置

在这里插入图片描述

五、共享文件

在这里插入图片描述
如果文章有帮助的话,点赞👍、收藏⭐,支持一波,谢谢 😁😁😁

wkd_007
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 28
    评论
专栏目录
openldap_ssh:Dockerfile 和其他相关文件,用于创建安装了 openldap 并可通过 SSH 访问的 CentOS docker
06-23
openldap-ssh-docker Dockerfile 和其他所需文件,用于构建和运行安装了 OpenLDAP 和 sshd 的 CentOS 7 docker。 适用于需要 LDAP 的开发和测试目的。 安装 sshd 的目的是启用从主机使用 ssh 访问 docker 并在 LDAP 中添加/修改用户记录。 此外,它还说明了使用主管在 docker 中运行多个服务的技术(如果必须的话)。 #Dockerhub 使用此 Dockerfile 的 docker 已经发布到 dockerhub: 建造 要使用此存储库中的 Dockerfile 构建您的 docker: 一世。 将这些文件复制到本地机器:Dockerfile、initldap.sh、root.ldif、org.ldif、users.ldif 和 supervisord.conf。 ii. 确保文件initlda
Linux 用户管理与文件权限
热门推荐
王清欢的博客
05-02 1万+
Linux 是一个多用户系统,它允许多个用户同时登陆主机,并为他们分配不同的资源和工作环境进行使用。当然,不同的用户都有文件的私有需求,所以设置不同用户文件权限管理十分重要。
LinuxShell命令运行原理和权限详解
最新发布
weixin_75128035的博客
03-05 1183
因此,当一个目录被设置为"粘滞位"(chmod +t),则该目录下的文件只能由(1)超级管理员删除(2)该目录的所有者删除(3)该文件的所有者删除好了,今天的分享就到这里了我的主页还有其他文章,欢迎学习指点。关注我,让我们一起学习,一起成长吧!
linux基本命令(九)配置网络地址和ssh访问
liuliuliut的博客
10-15 2581
一、配置网络地址 1、图形配置网络地址 输入命令 选择以太网 设置地址名称,手动获取,ip地址和子网掩码 设置成功 2、文本设置ip 输入nmtui命令 显示以下界面,设置方法和图形设置方法相同 3、通过nmcli 命令设置:需要设置type网络类型,con-name连接名称,ifname网卡名称,ip4/6 ,网络地址/子网掩
Linux学习笔记-Ubuntu系统下配置ssh免密访问,创建多用户免密访问
向往的是:佛祖堂前的鱼,静静听禅。
08-27 3772
Ubuntu是linux系统,虽然他是支持界面化操作的,一般用来做服务器用,所以配置ssh可以比较安全的进行访问,也方便在其他地方访问服务器,轻松省事。一般服务器是被访问的,所以只要安装openssh-server即可,如果要安装客户端,将安装的内容改成openssh-client即可。若要配置git访问服务器,此处密钥对可使用rsa格式的,git for windows默认识别rsa密钥。切换到.ssh文件夹中,然后将公钥添加到公钥管理文件中。通常一般要访问的客户端保存私钥,服务端保存公钥。
【运维】Linux文件权限文件所属组别,用户组访问文件权限设置,将用户加入某个组,创建用户
q742971636的博客
07-10 1467
添加一个组:使用groupadd命令可以添加一个新的组。
Linux 用户用户组、权限
D32618666604的博客
07-12 1468
Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。在Linux系统对于权限的设定非常的敏感,如果某个用户执行一个操作时,提示权限不足,那么根据Linux系统权限设定的思想(没有权限绝对不会睁一只眼闭一只眼),就能够判断出该用户不具备此文件的执行权限。book2:所有者和属组为root用户和A组,权限为root用户可读可写可执行,A组的可读可执行不可写,其他人没有权限。sudo可以限制用户执行部分root的权限
Linuxshell命令与文件权限
gangaue的博客
10-27 3560
目录🌈前言🌆 shell命令以及运行原理🌷Linux权限的概念🌷1、文件访问者的分类(人)🌸2、文件类型和访问权限(事物属性)🌹3、文件权限值的表示方法🍀4、文件访问权限的相关设置方法🍁4.1、chmod指令🍂4.2、chown指令🍃4.3、chgrp指令🍄5、目录的权限 🌈前言 本篇文章进行Linux权限的学习!!! 🌆 shell命令以及运行原理 Linux严格意义上说的是一个操作系统,我们称之为“核心(kernel)“ ,但我们一般用户,不能直接使用kernel。而是通过kernel的“外壳”程序
系统安全与应用
m0_56509725的博客
06-26 83
有一个限制条件:sudo 可以和管理员一样,执行root管理员命令,必须要加入wheel组中,有一个条件,wheel默认为空,需要手动添加,会进行限制,只能使用指定的一些命令。配置文件-------su模块是否启动--------用户uid在不在wheel-------不在-------不允许切换。required:一票否决,表示只有认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完,才会给用户回馈。(只能针对新建用户,已有用户不在此范围之内)
登录shell与非登录shell、交互式与非交互式shell的知识点详细总结
digitalkee的博客
12-24 1878
登录shell与非登录shell、交互式与非交互式shell的知识点总结
[原创] Shell脚本遍历文件夹中的所有目录获取所属组的成员信息
CCH2024的专栏
12-07 773
Shell脚本遍历文件夹中的所有目录,获取所有目录的所属组中的成员信息。
linux下保留文件系统下剩余指定数目文件shell脚本
01-20
本节内容:保留文件系统下剩余指定数目的文件 例子: 代码如下:#!/bin/bash #——————————- #Description: Back up your files#site:...limit_num=15 fileBackup() { set -x #备份文件#cp -r $1 $2/shell-`dat
Linux系统设计-Linux系统shell编程 整理笔记
01-10
Linux系统是一个免费使用和自由传播的类Unix操作系统,基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统Linux是许多企业...
Linux系统学习——Shell基础
01-09
shell是一个命令行解释器,为用户提供了一个向Linux内核发送请求以便运行程序的界面系统级程序。还是一个功能强大的编程语言,是解释执行的脚本语言,在Shell中可以直接调用Linux系统命令。 shell的分类 Shell两种...
J-Linux&Shell-W14Linux权限练习
01-09
J-Linux&Shell-W14 Linux权限练习(共10分) 一、 判断题(共4题,每题0.25分) 数字权限设定法7770为将对象设置为最高权限。(×) chgrp命令仅由root用户可以执行。(×) 字符权限设定法u+w的意思是将属主的的...
shell脚本实现linux系统文件完整性检测
01-10
今天发现个可以检测系统文件完整性的shell脚本,自己试了下还可以吧,介绍给大家。 系统:centos 5.x 脚本内容: 代码如下: cat my_filecheck.sh #!/bin/bash # # 变量首先声明才能使用 shopt -s -o nounset   # ...
linux xshell5 ssh 证书远程登录配置、添加用户ssh配置
hins
06-04 7140
//查看系统版本 [root@localhost cat /etc/redhat-release //修改ssh配置  增加一个ssh端口 [root@localhost ssh]# vi sshd_config 修改sshd_config配置文件 vi /etc/ssh/sshd_config  PubkeyAuthentication yes    #启用公
添加SSH账户并设置权限
caotuo_csdn的博客
07-16 5789
Ubuntu安装完毕后,一般只有ssh客户端,使用 ps -ef |grep ssh 也可以发现只有ssh相关的进程。而我们需要用xshell终端通过SSH登录到安装好的Ubuntu时,就需要Ubuntu支持SSH服务端(sshd),并开启sshd服务。所以首先下载并安装ssh服务端(sshd)。 通过apt-cache search可查询到sshd包含在 openssh-server 软件包中,因此我们只需要安装openssh-server 即可。 xxxx@~$ apt-cache search .
SSH远程访问及控制
weixin_69148277的博客
03-10 490
SSH远程访问及控制
Linux系统中,哪个配置文件可以查到用户的默认Shell环境
06-12
Linux系统中,用户的默认Shell环境是通过/etc/passwd文件中的记录来设置的。每个用户都有一条记录,包含了该用户的基本信息,其中包括用户的登录名、用户ID、组ID、用户主目录、默认Shell等信息。 要查看用户的默认Shell环境,可以使用以下命令: ``` grep username /etc/passwd ``` 其中,username为要查看的用户名。执行该命令后,会输出该用户的记录信息,其中第七个字段就是该用户的默认Shell环境。例如,"username:x:1000:1000:username,,,:/home/username:/bin/bash"表示该用户的默认Shell环境是bash。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wkd_007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值