1. 设置用户权限的考量
- 其它用户的访问权限
- 文件和资源访问者的数量
- 是否要限制特定时间或特定的区域才能访问
- 帐户和密码的期限,是否设定定期变更密码
- 硬盘空间或CPU的限制
是否指定CPU及内存
是否打开磁盘配额
2. 用户数据库 /etc/passwd
每个帐户用6个冒号分隔出7栏
finger 查看用户的注释信息
chfn 编辑用户描述信息
/etc/passwd权限必须是 rw-r--r--
3. 增加用户
useradd username
使用useradd系统自动更改/etc/passwd , /etc/shadow, /etc/group
批量生成用户帐号:
- vi newusers 按/etc/passwd文件格式编辑文件,密码使用明文。
- newusers newusers
4. Group Administration
/etc/group
- groupadd
- groupmod
- groupdel
5. 修改或删除帐号
id username 显示使用者帐号的基本资料。
增加帐号:
- 手动修改/etc/passwd
- 也可以使用usermod 命令
- usermod -d 在用户者资料库加入家目录,但不生成家目录,须生动生成,并使用:
- chown user:group /home/username 设定这个目录的权限。
- 将指定用户加入指定组:usermod -G groupname username
- usermod -g group user 变更用户gid
- usermod -L 锁帐号
- usermod -U 解锁
删除帐号:
- 方法一:手动删除 /etc/passwd, /etc/shadow, /etc/group, /var/spool/mail/username 中的信息
- 方法二:userdel -r username
6. 设密码的期限
- 方法一: 编辑 /etc/login.defs
- 方法二:chage [option] username
- -l 查看密码变更历史
- -d 改变上次变更密码的日期,日期格式:YYYY-MM-DD
- -m 最少使用几天才可以变更密码
- -M 每隔几天必须改密码
- - I 密码过期后的几天未改密码便锁定帐号
- -E 指定帐号到期时间
7. 用户登录时执行的脚本
- 先 /etc/profile (作用:设定环境变量的值)
- /etc/profile.d/*.sh
- 后 ~/.bash_profile
- ~/.bashrc
- /etc/bashrc
- ~/.bashrc
而Non Login shell只执行
- ~/.bashrc
- /etc/bashrc
- /etc/profile.d/*.sh
- /etc/bashrc
8. sudo :让普通用户能执行root使用的命令
/etc/sudoers 中定义特定的使用者帐号要执行的命令
visudo 编辑/etc/sudoers命令
9.验证身份 (NIS, LDAP)
- authconfig
- system-config-authentication --nox
10. 可执行文件上设定 SUID / SGID
ps -aux 查看系统中正在执行的程序
- SUID: 目录不能加suid ; 用户以文件所有人的身份执行文件,命令:chmod u+s 或 chmod 4755, s表示可执行权限,S表示无权限。
- SGID:以所属组身份运行文件,目录中如果设置有SGID,目录的所有文件属于这个群组,命令: chmod g+s 或 chmod 2751,同上
- sticky:不能在可执行文件上设置,目录设有sticky,目录中的文件只有拥有者才可删除。命令:chmod o+s or chmod 1777, t 所有用户都可执行,并把文件存到该目录,但只有文件拥有者才能删除,T无运行文件权限。
在默认情况,使用者会用自己的uid和gid身份来执行程序,但在一个可执行文件上设定有suid或sgid权限时,使用者就以可执行文件的所有人或所属群组身份执行文件。
11. Access contrl lists (ACLs) 存取控制清单
1. 针对特定的用户或群组设置对文件或目录的存取权限
vi /etc/fstab
LABEL=/ / ext3 defualt,acl 1 1 #设置每当开机挂载根目录就启用ACL
2.设置目录acl权限给某使用者: setfacl -m u:user:r-x /directory
查看目录acl权限: getfacl
扫一扫
8048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
