用户及组管理:
资源分配:
authentication:认证,
authorization授权
accounting审计(audition)
linux用户:username/UID
管理员:ROOT:0
普通用户:一般为1-65535
系统用户:1-499
守护类进程获取资源进行权限分配
登陆用户:500+
交互式登陆
Linux组:Groupname/GID
管理员组:root,0
普通组:
系统组:1-499(centos7可能是1-999)
普通组:500+(1000+)
Linux安全上下文:
运行的程序:进程(process)
以进程发起者的身份运行:
进程能访问的所有资源的权限取决于进程的发起者的身份
Linux组的类别:
用户的基本组(主组)
组名同用户名,且只包含该用户:私有组
用户的附加组(额外组)
linux用户和组相关的配置文件
/etc/passwd:用户及其属性信息(名称、UID、基本组ID等等)
/etc/group:组及其属性信息
/etc/shadow用户密码及其相关属性
/etc/gshadow组密码及其相关属性
/etc/passwd
account:password:UID:GID:GECOS:directory:shell
用户名:密码有无:UID:GID:描述:主目录:默认shell
/etc/group:
group_name:passwd:GID:user_list
组名字:密码占位符:GID:以当前组为附加组的用户列表(分隔为逗号)
/etc/shadow:
登录名:加密了的密码:最后一次更改密码的日期:密码的最小年龄:密码的最大使用期限:警告时间段:密码禁用期:账户的过期日期:保留字段
加密机制:单向加密(唯一特征码)(CRC)md5:128位,sha1:160位,sha224,sha256,sha384,sha512,雪崩效应,定长输出(以$分隔)
密码的复杂性策略:
数字+大小写+特殊字符(至少3中)
足够长
不要使用也猜测的密码
定期更换,不要使用最近使用的密码
用户核组相关的管理命令
用户创建:useradd(linux禁用空密码用户登录)
useradd [选项] 登录
-u 指定UID(定义在/etc/login.defs)或最近创建的用户UID+1
-g GID,指定用户的所属组,可以是GID,也可是组名
-G附属组的GID,组与组之间用逗号隔开
-c任何字符串,描述/注释
-d 指定用户的家目录,如果及目录存在,创建不成功
-s 指定用户的默认shell,列表在/etc/shells
-D修改默认值,以后创建用户使用的默认值会改变(useradd–D–s /etc/csh)
-r创建系统用户
组的创建:groupadd
-g指定GID号,
-r创建系统组
查看用户的UID和组id的:id
以另外的用户身份执行命令:su
Su – 用户 su 用户 (只有root用户切换不要密码)
Su – username command 只用该用户执行命令
-s 切换用户,使用指定的shell
属性修改:
usermod 选项 用户
-u:UID
-g:新的基本组GID
-G:新的附属组,原来的附加组会覆盖,若要保留加-a
-c:新的注释信息
-d 新的家目录,原有的家目录文件不会移动到新的家目录,若要移动使用-m!
-l 新的名字
-L锁定用户
-U:unlock解锁指定用户
-e 指定账号过期时间
-f设定非活动期限
给用户添加修改密码:passwd
Passwd 用户 修改指定用户的密码
-l 锁定指定用户
-u解锁
1970linux的元年
-n指定最短使用期限
-x最大使用期限
-w提前多少天警告密码过期
-i非活动期限
--stdin 从标准输入接收用户密码 echo “*” | paaswd –stdin username
黑洞设备:/dev/null 输出为零的/dev/zero
删除用户:userdel 选项 username
-r删除用户家目录
组属性修改:groupmod 参数 组
-n group_name 新名字
-g GID新的gid
组删除:groupdel 组名
组密码添加:gpasswd 选项 组名
没有参数直接修改密码
-a user 向组内添加用户
-d user 删除一个用户的附加组
-A user1 user2…设置有管理权限的用户列表
nvgrp临时改变当前用户的基本组
如果不属于此组,则需要密码
pwck检查密码文件的完整性
用于安全审计
修改用户的属性:chage 参数 用户
-d 最近一次修改密码时间
-E账号的过期期限
-I非活动期限
-m密码最小使用天数
-M密码的最大使用天数
-W警告期限
其他命令:
chfn 修改用户的注释信息
finger 用户 查看用户信息
chsh 修改用户的shell
权限管理:
文件权限主要针对三类对象进行定义:
Owner:属主u
Group:属组g
Other:其他o
每一个文件针对每一个访问者都定义了三种权限:
R:readable:
W:writable
X:eXcutable
文件:R可以查看类工具
W可以修改其内容
X可以把文件提入内核启动一个进程
目录:R:可以ls查看目录文件列表
W:可在此目录中创建文件,也可以删除文件
X:可以使用ls-l 查看文件列表,可以cd进入此目录
--- 000 0
--x 001 1
-w-010 2
r—100 4
修改文件权限:chmod +-= 权限 文件
-R 将目录及其子文件的权限也做修改
--reference=RFILE FILE 参考RFLIE文件权限,修改FILR权限
修改文件的属主核属组:仅root可用
修改属主:chown 属主:属组 文件
chown 属主: 文件 都会改
chown :属组 文件 只改属组
命令中的冒号可以用点号替换
-R递归修改
-- reference=RFILE FILE 参考Rfile所属修改FILE
修改文件属组:chgrp 属组 文件
-R
--reference
文件或目录创建时的遮罩码:umask
FILE:666-umask
如果某类的用户的权限减得的结果存在x权限,则将其权限+1
DIR:777-umask
umask查看
umask #:设定(仅在当前生效)