Part1 Linux系统账号和权限管理

useradd

/etc/passwd 用户名：密码占位符：UID：GID：注释信息：家目录：默认shell

定制用户属性

/etc/group 用户名：x：GID：以此组为额外组的用户列表：

/etc/shadow登录名：加密密码：最近以此密码修改的时间：密码最短使用期限：密码最长使用期限：密码到期警告天数：账号的非活动天数：账号过期期限：预留段

从1970年1月1日开始至上次修改密码时的天数

-u UID，有效范围0-65535 例：useradd -u UID Ubuntu

-g GID，有效范围已有的GID

-c COMMENT

-d /path/to/somewhere

-r 创建系统用户，ID范围1-499之间的用户

-M 不为用户创建家目录

-m 必须为用户创建家目录

usermod：

-u UID

-g GID

-a -G GID -a保留原来的额外组，增加新增的额外组 -G修改额外组会覆盖原有的额外组 append，追加

-c COMMENT

-s /PATH/TO/SHELL

-l New_NAME：修改用户登录名称

-m -d /path/to/somewhere -d只修改家目录指向，同时使用-m选项可实现将原来家目录移动为新的目录

groupadd

-g GID

-r 创建系统组

密码管理

passwd：修改自己的密码

-l:锁定用户账号

-u 解锁用户账号

shadow 用户名：密码

密码安全策略：

    足够复杂： 

           1、密码长度至少5位： 

           2、包含大小写、数字和特殊字符至少三类 

           3、定期更换：不要重复只用此前用过的密码 

groupmod 修改属性

-g GID

-n NEW_NAME

加密方法：

对称加密：加密和解密使用同一个密钥：3DES，AES（Advanced Encrption Standard）：密钥管理及分发功能很差

公钥加密：也叫非对称加密：私钥/公钥（s/p），公钥可以从私钥中提取得到：加密速度慢：通常用于密钥分发：RSA, DSA

单项加密：只能加密不能解密，提取数据特征码，特性

1、无论输入是多大，其输出是定长的：

2、如果输入的数据一样，其结果一定一样；反之，输入数据的微小改变，将引起结果的巨大改变，雪崩效应

3、算法：md5（message digest），SHA（Secure Hash Algorithm），SHA1

Md5:128bits，sha1:160bits, sha-256:256bits, sha-512:512bits

openssl passwd -1 -salt 12345678 pa55word

密钥属性的修改：

passwd

-e

-n: 密码最短使用天数

-x: 最长使用天数

-w: 警告天数

-I:非活动时长

chage

-d:修改密码的最近一次修改时间

-m: 密码最短使用期限

-M: 密码最长使用期限

-W:警告天数

-I：非活动天数

-E：过期时间

chmod

-e YYYY-MM-DD

-f 0过期 -1表示永不过期

gpasswd:为组设定密码

newgrp GROUP：临时设定指定的组为自己的基本组

权限：

r：read，4

w：write，2

x：execute，1文件可发起的进程，目录表示可ls，-l，cd

文件系统安全模型：

属主，属组，其他人

改变文件权限（mode）

chmod：change mode

chmod [选项] 权限 文件

权限定义方式：

 1.同时修改三类用户的权限：8进制数字方式 

 2.修改某一类或某些用户的权限：u，g，o , a 

3.只操作某类用户的某位或某些位权限：u，g , o ,a 

选项：

-R：递归修改权限：

--reference=/path/to/somefile

例：chmod --reference=/etc cups/

修改文件的属主和属组：

chown[选项] 用户 文件

chgrp [选项] 组 文件

chown mongodb a.txt

chgrp mongodb a.txt

chown 用户：组 文件

chown 用户.组 文件

只更改文件组 chown ：redis a.txt

chown --reference=b.txt a.txt

删除用户

userdel USERNAME

-r 删除家目录

删除组

group GROUPNAME

管理员和普通用户创建文件或目录的默认权限:

umask:遮罩码

创建文件：666-umask

文件默认不能有执行权限

创建目录：777-umask

设定umask

umask 002 仅对当前shell生效退出后还原

shell环境设定：

shell也是应用程序，工作于用户模式；运行为进程：

shell进程用户提供命令行界面；提供一些列工作特性，有些特性可以自行设定：

/etc/shells: tcsh, dash,

/sbin/nologin: 不能登录

useradd -s /sbin/nologin mongodb