linux指南之五

最新推荐文章于 2024-05-15 19:11:34 发布

晟沚

最新推荐文章于 2024-05-15 19:11:34 发布

阅读量423

点赞数

分类专栏： linux 文章标签： linux 命令

本文链接：https://blog.csdn.net/zhuzhupozhuzhuxia/article/details/71246638

版权

linux 专栏收录该内容

6 篇文章 0 订阅

订阅专栏

安全管理及开发基础技术

文件安全设置
owner、group、other

suid能够让在二进制文件上有执行权限的用户
suid在文件权限上表现为:属主的执行权限位由x变成了s

chmod

U:所有者 G：组 O：其它 A：所有用户

Umask

文件夹的基本码是rwxrwxrwx(777)，文件的基本码是rw-rw-rw-(666).
umask 022
新建文件夹或文件的权限是由所谓基本码减去称之为umask的屏蔽位
新建文件夹是777-022=755(rwxr-xr-x),新建文件是666-022= 644(rw-r–r–)
用户管理、组管理

smit security AIX 安全管理菜单
smit users 用户管理菜单
smit mkuser 增加一个用户
smit chuser 改变用户属性
rmuser –p team01 删除用户

rm –r /home/team01

不会删除用户主目录，手动删除

sync
强制把内存中数据写回硬盘，防止数据丢失，linux系统关机不能直接把电源
UID
区分用户的角色，每个用户的UID的值是唯一的
root的UID是0，拥有系统最高权限

虚拟用户bin daemon adm ftp mail：不具备登录系统能力,系统自身拥有，而非后来添加，也可以添加
root用户：
普通真实用户：只能操作自己目录内容

用户与用户组对应关系
一对一多对一一对多多对多

用户配置文件：
/etc/passwd /etc/shadow
用户组配置文件：
/etc/group /etc/gshadow

useradd user001 添加用户
passwd user001 为用户设置密码
usermod 修改用户登录名目录命令
ls –ld /home/user001/
more /etc/passwd | grep user001 more 来读取 /etc/passwd 文件，并且通过grep 来抽取 user001字段
useradd –D –s /bin/tcsh
more /etc/default/useradd 添加用户时的默认SHELL /bin/bash 改为 /bin/tcsh
passwd
作为普通用户和超级权限用户都可以运行，但作为普通用户只能更改自己的用户密码，但前提是没有被root用户锁定；如果root用户运行passwd ，可以设置或修改任何用户的密码

passwd –l user001 锁定用户密码
su user001 切换到user001
passwd user001 更改密码
passwd –d user001 清除用户密码，清除后无需密码可登录
passwd –S user001 查询用户密码状态
userdel
名称删除

userdel –r 名称删除用户家目录本地邮件存储目录、文件
Pwunconv ：
是pwcov 的逆向操作，它可以将/etc/shadow产生的shadow密码译码，然后回写到/etc/passwd中，同时也将/etc/shadow文件中的密码字段删除，来取消shadow password的功能；
Pwcov ：同步用户从/etc/passwd 到/etc/shadow
/etc/skel
存放用户启动文件的目录
添加用户时，这个目录下的文件自动复制到新添加的用户的家目录下
文件都是隐藏文件
来为用户提供一个统一、标准的、默认的用户环境
/etc/login.defs
文件是当创建用户时的一些规划
是否需要家目录
UID和GID的范围；
用户的期限等等

QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail 注：创建用户时，要在目录/var/spool/mail中创建一个用户mail文件；
PASS_MAX_DAYS 99999 注：用户的密码不过期最多的天数；
PASS_MIN_DAYS 0 注：密码修改之间最小的天数；
PASS_MIN_LEN 5 注：密码最小长度；
PASS_WARN_AGE 7 注：
UID_MIN 500 注：最小UID为500 ，也就是说添加用户时，UID 是从500开始的；
UID_MAX 60000 注：最大UID为60000；
GID_MIN 500 注：GID 是从500开始；
GID_MAX 60000
CREATE_HOME yes 注：是否创用户家目录，要求创建；
/etc/passwd
以user001 这个账号登录时
系统首先会查阅 /etc/passwd 文件，看是否有user001 这个账号，
然后确定user001的UID，通过UID 来确认用户和身份，
如果存在则读取/etc/shadow 影子文件中所对应的user001的密码；
如果密码核实无误则登录系统，读取用户的配置文件；
user001:x:500:500:user001 sun:/home/user001:/bin/bash
第一字段：用户名（也被称为登录名）；在上面的例子中，我们看到这两个用户的用户名分别是 user001 和linuxsir；
第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；
第三字段：UID ；
第四字段：GID；
第五字段：用户名全称，这是可选的，可以不设置，在user001这个用户中，用户的全称是user001 sun ；而linuxsir 这个用户是没有设置全称；
第六字段：用户的家目录所在位置；user001 这个用户是/home/user001 ，而linuxsir 这个用户是/home/linuxsir ；
第七字段：用户所用SHELL 的类型，user001和linuxsir 都用的是 bash ；所以设置为/bin/bash ；
/etc/shadow
文件是/etc/passwd 的影子文件
这两个文件是应该是对应互补的；
shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息，比如用户的有效期限等
只有root权限可以读取和操作
-r——– 1 root root 1.5K 10月 16 09:49 /etc/shadow
例子：
user001: $1$ VE.Mq2Xf $2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7::: linuxsir:$ 1 $IPDvUhXP$ 8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:
第一字段：用户名（也被称为登录名），在/etc/shadow中，用户名和/etc/passwd 是相同的，这样就把passwd 和shadow中用的用户记录联系在一起；这个字段是非空的；
第二字段：密码（已被加密），如果是有些用户在这段是x，表示这个用户不能登录到系统；这个字段是非空的；
第三字段：上次修改口令的时间；这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔（天数），您可以通过passwd 来修改用户的密码，然后查看/etc/shadow中此字段的变化；
第四字段：两次修改口令间隔最少的天数；如果设置为0,则禁用此功能；也就是说用户必须经过多少天才能修改其口令；此项功能用处不是太大；默认值是通过/etc/login.defs文件定义中获取，PASS_MIN_DAYS 中有定义；
第五字段：两次修改口令间隔最多的天数；这个能增强管理员管理用户口令的时效性，应该说在增强了系统的安全性；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_MAX_DAYS 中定义；
第六字段：提前多少天警告用户口令将过期；当用户登录系统后，系统登录程序提醒用户口令将要作废；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_WARN_AGE 中定义；
第七字段：在口令过期之后多少天禁用此用户；此字段表示用户口令作废多少天后，系统会禁用此用户，也就是说系统会不能再让此用户登录，也不会提示用户过期，是完全禁用；
第八字段：用户过期日期；此字段指定了用户作废的天数（从1970年的1月1日开始的天数），如果这个字段的值为空，帐号永久可用；
第九字段：保留字段，目前为空，以备将来Linux发展之用；
Linux下批量生成用户
（1）先编辑一个文本用户文件，每一列按照/etc/passwd密码文件的格式书写，要注意每个用户的用户名、UID、宿主目录都不可以相同，其中密码栏可以留做空白或输入x号。一个范例文件user.txt内容如下：
user001::600:100:user:/home/user001:/bin/bash
user002::601:100:user:/home/user002:/bin/bash
user003::602:100:user:/home/user003:/bin/bash
（2）以root身份执行命令/usr/sbin/newusers，从刚创建的用户文件user.txt中导入数据，创建用户：
# /usr/sbin/newusers < user.txt
　然后可以执行命令vi /etc/passwd检查/etc/passwd文件是否已经出现这些用户的数据，并且用户的宿主目录是否已经创建。
（3）执行命令/usr/sbin/pwunconv，将/etc/shadow产生的shadow密码解码，然后回写到/etc/passwd中，并将/etc/shadow的shadow密码栏删掉。这是为了方便下一步的密码转换工作，即先取消shadow password功能。
　　# pwunconv
（4）编辑每个用户的密码对照文件，范例文件passwd.txt内容如下：
　　user001:密码
　　user002:密码
　　user003:密码
（5）以root身份执行命令/usr/sbin/chpasswd，创建用户密码，chpasswd会将经过/usr/bin/passwd命令编码过的密码写入/etc/passwd的密码栏。
　　# chpasswd < passwd.txt
（6）确定密码经编码写入/etc/passwd的密码栏后，执行命令/usr/sbin/pwconv
将密码编码为shadow password，并将结果写入/etc/shadow。
　　# pwconv
批量生成用户列表
```
!/bin/bash
COUNTER=1
ID=701
while [ ! $COUNTER -gt 150 ]
do
   if [ $COUNTER -lt 10 ]
   then
      echo "stu00$COUNTER::$ID:$ID::/home/stu00$COUNTER:/bin/bash"
   else
      if [ $COUNTER -lt 100 ]
      then
         echo "stu0$COUNTER::$ID:$ID::/home/stu0$COUNTER:/bin/bash"
      else
         echo "stu$COUNTER::$ID:$ID::/home/stu$COUNTER:/bin/bash"
      fi
   fi
   COUNTER=$[COUNTER+1]  # 或者 let COUNTER=$[COUNTER]+1
   ID=$[ID+1]
Done
```
生成密码
```
!/bin/bash
COUNTER=1
ID=701
while [ ! $COUNTER -gt 150 ]
do
   if [ $COUNTER -lt 10 ]
   then
      echo "stu00$COUNTER:a0b0c0d0"
   else
      if [ $COUNTER -lt 100 ]
      then
         echo "stu0$COUNTER:a0b0c0d0"
      else
         echo "stu$COUNTER:a0b0c0d0"
      fi
   fi
   COUNTER=$[COUNTER+1]
   ID=$[ID+1]
done
```
与安全相关的文件

Finger ：

查看用户信息工具

finger -s

注解：不加任何参数，也没有指定查询哪个用户，finger 会以默认以短格-s 来输出登录本机的所有用户的用户名

id

查看用户的UID、GID及所归属的用户组
id 用户名
查看对应用户

chfn ：

更改用户信息工具

Su ：用户切换工具

su 在不加任何参数，默认为切换到root用户，但没有转到root用户家目录下
su 加参数 - ，表示默认切换到root用户，并且改变到root用户的环境；

sudo

把某些超级权限有针对性的下放, 把某些超级权限有针对性的下放
当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户.
前提是要通过sudo的配置文件/etc/sudoers来进行授权

/etc/sudoers

文件中每行为一个规则，
前面带有#号可以当作是说明的内容，并不执行；
如果规则很长，一行列不下时，可以用\号来续行
规则可分为两类；
一类是别名定义: User_Alias,Host_Alias,Runas_Alias,Cmnd_Alias，分别是用户别名，主机别名，运行用户别名，命令别名
方法 Alias_Type alias_name = name1, name2, name3，例如：
User_Alias User1 = user001, user002, user003。
另一类是授权规则:
授权用户主机=命令动作

user001 ALL=/bin/chown, /bin/chmod

如果我们在/etc/sudoers 中添加这一行，表示user001 可以在任何可能出现的主机名的系统中，可以切换到root用户下执行 /bin/chown 和/bin/chmod 命令，
通过sudo -l 来查看user001 在这台主机上允许和禁止运行的命令；
值得注意的是，在这里省略了指定切换到哪个用户下执行/bin/shown 和/bin/chmod命令；在省略的情况下默认为是切换到root用户下执行；同时也省略了是不是需要user001用户输入验证密码，如果省略了，默认为是需要验证密码。

user001 ALL=(root) NOPASSWD: /bin/chown, /bin/chmod

表示的是user001 可以在任何可能出现的主机名的主机中，
可以切换到root下执行 /bin/chown ，不需要输入user001用户的密码；
并且可以切换到任何用户下执行/bin/chmod 命令，但执行chmod时需要user001输入自己的密码
别名定义并不是必须的，但授权规则是必须的
PAM框架
将应用程序与具体的认证机制分离，使得系统改变认证机制时，不再需要修改采用认证机制的应用程序，而只要由管理员配置应用程序的认证服务模块，极大地提高了认证机制的通用性与灵活性。
使用PAM，具体应用程序唯一需要做的事情是咨询PAM，了解用户是否被授权使用该程序，然后由PAM给出结果。
PAM提供了对所有服务进行认证的中央机制，适用于login，远程登录, su等应用程序
配置文件一般存放/etc/pam.d/目录下

ldd which cmd | grep libpam :

查看某个程序是否支持PAM

/usr/bin/ldd /bin/login |grep libpam :

检查login程序是否支持PAM
account required pam_time.so: 在auth的定义之后，加入account的一条验证
vi /etc/security/time.conf
Login;*user001;!Th2100-2300 : pam_time.so这个模块需要定义另外一个配置文件/etc/security/time.conf, 需要在其中定义限制的具体用户和时间, //作用程序是login，对用户user001产生影响，允许登录时间是周四2100-2300之外
关于木马程序的一个简单例子

$# 是传给脚本的参数个数
$0 是脚本本身的名字
$1 是传递给该shell脚本的第一个参数
$2 是传递给该shell脚本的第二个参数
$@ 是传给脚本的所有参数的列表
$* 是以一个单字符串显示所有向脚本传递的参数，与位置变量不同，参数可超过9个
$$ 是脚本运行的当前进程ID号
$? 是显示最后命令的退出状态，0表示没有错误，其他表示有错误

touch variable
vi variable

脚本内容如下：
```
#!/bin/sh

echo "number:$#"
echo "scname:$0"
echo "first :$1"
echo "second:$2"
echo "argume:$@"
echo "show parm list:$*"
echo "show process id:$$"
echo "show precomm stat: $?"
保存退出
赋予脚本执行权限

# chmod +x variable

执行脚本

# ./variable aa bb
```
number:2
scname:./variable
first:aa
second:bb
argume:aa bb
show parm list:aa bb
show process id:24544
show precomm stat:0

晟沚

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
linux指南之五

安全管理及开发基础技术文件安全设置 owner、group、othersuid能够让在二进制文件上有执行权限的用户 suid在文件权限上表现为:属主的执行权限位由x变成了s chmod U:所有者 G：组 O：其它 A：所有用户 Umask文件夹的基本码是rwxrwxrwx(777)，文件的基本码是rw-rw-rw-(666). umask 022 新建文件夹
复制链接

扫一扫

专栏目录