安全3A
认证:认证
授权:授权
会计学|劲舞团:审计
用户用户
令牌令牌,身份
Linux的用户:用户名/ UID
管理员:根,0(玉玺)
普通用户:1-65535
系统用户:1-499,1-999(centos7)(通关文牒)
对守护进程获取资源进行权限分配
登录用户:500 +,1000 +(centos7)(虎符)
交互式登录
组组
Linux的组:组名/ GID
Linux的新建用户时会默认创建一个和用户同名的组(允许用户名和组名同名)
组的类别
一个用户可以加到多个组里,一个组里可以添加多个用户,权限是累加权限
用户必须属于一个且只有一个主组
用户和组的配置文件
/ etc / passwd中:用户及其属性信息(名称,UID,主组ID等)
的/ etc /组:组及其属性信息
的/ etc /阴影:用户密码及其相关属性
的/ etc / gshadow中组密码及其相关属性
/etc/login.defs#用户口令shadow及UID相关信息配置文件
/ etc / default / useradd#新建用户相关的继承信息
/ etc / skel#新建用户的模板目录
mount -o rw,remount /#在root权限受损无法登陆系统的情况下,把根读取的权限重新挂载一下(在单用户模式下)
chfn用户名#给用户添加描述信息,等同于useradd -c
手指用户名#查看该用户的备注信息
更改用户的家目录需要在更改后的家目录中配置的.bashrc和.bash_profile文件等相关配置文件
chsh -s [shell类型]用户名#更改指定用户的shell类型(/ sbin / nologin不可交互登录系统)
加密机制:
加密:明文 - >密文
解密:密文 - >明文
加密算法:
MD5
SHA1
SHA224
SHA256
SHA384
SHA512
pwconv#在passwd配置文档中隐藏口令密文
pwunconv#在passwd配置文档中显示口令密文
单项加密:哈希算法,原文不同,密文必不同
更改加密算法:authconfig -passalgo = 256 -update
lll:!! :17623:0:99999:7 :::#!!表示没有密码不可登录,删除后可以直接登录; 17623表示从1970年1月(Linux系统出现时)到更改密码的时间(天); 0密码还有几天可以变更(0表示随时可以); 99999密码过期时间; 7过期提前提醒时间;密码过期几天后账号会被锁定;从1970年1月1日算起还有多少天账号失效
passwd -e用户名#登录该用户时立即更改密码且符合复杂性等同于chage -d 0用户名
chage -l用户名#查看用户口令详细信息
创建用户时不创建主组时用户是该用户的默认主组
newgrp组名#把当前用户临时加入该组
useradd的等同于adduser的
vipw等同于vi / etc / passwd区别在于vipw可以自动识别语法错误
vigr同上(组)
使用pwck和grpck检测语法错误
getent passwd用户名#只看该用户的passwd文件
newusers #passwd文件格式批量创建用户
chpasswd#批量修改用户口令
scp文件名目标主机IP:/存放目录#远程复制文件
id用户名#查看用户属主,属组信息
-u #UID
-g #GID
-G#显示用户所属组的ID
-n#显示名称,配合ugG使用
su [用户名]#非登录式切换用户,不会读取目标用户的配置文件,不改变当前工作目录
su - [用户名]#登录式切换,会读取目标用户配置,切换至家目录,完全切换
su - root -c命令#切换到root下执行该命令带参数有空格的用引号引起来
回声“密码”| passwd -stdin USERNAME#一次性修改密码
groupmems#更改和查看组成员
文件权限
R:读权限4
女:写权限2
x:执行权限1
chown#设置文件的所有者
chgrp#设置文件的属组信息
chmod#设置用户权限
chmod谁选择每个文件
谁(对谁操作):U所有者;克所属组;○路人;一个所有人
选择(做什么操作):+加权限; - 减权限; =覆盖权限
每(跟什么权限):R读4; W写2; X 1执行
FAT格式文件系统不支持权限设置,更改所属组所属主
读写权限对根没有什么限制
根没有执行权限,也不能执行文件
目录权限
R:列出目录文件列表
瓦特:可以在目录中创建或删除文件(需要x)的目录权限大于文件权限(打狗要看主人面)
x:cd查看目录文件内容,查看目录中文件的详细内容
通常X权限只给目录加,一般文件不加,文件只给可执行二进制文件加X权限
重置#恢复乱码
普通用户不能更改文件的所有者
普通用户可修改主组,但是要求该文件必须在该组中
根用户不受读写权限控制,普通用户受到权限的严格控制
二进制文件的读写权限
目录没有执行权限,意味着不能进入到目录,不能查看目录里文件的详细信息
chmod -reference = f1 f2 f3
chmod -R 77 / *(从删库到跑路系列第二步)#把所有目录和文件设置所有权
chown -R wang / *(从删库到跑路系列第三步)#把所有目录和文件的属主和属组都设置为wang
chgrp#设置文件属组-R递归
umask#设置用户的默认权限
umask + default =文件
最大权限 - 默认权限=用户权限(奇数1)
例如:666-251 = 415(奇数1)426
umaks + default = dir
最大权限=默认权限+用户权限
例如:777-251 = 526
umask -p >> .bashrc#把更改后的umask写到.bashrc
SUID(4):继承二进制程序所有者的权限,SUID只适合附加在在二进制可执行程序上
chmod u + s / bin / user / nano(chmod 4755 / bin / user / nano)//给nano加上suid权限
SGID(2):继承二进制程序所有者的权限,作用于目录,此目录新建的文件将自动继承目录的所属组
粘(1):作用于目录,此目录的文件只能被所有者删除;粘滞位
chattr#设定文件特定属性
+ i#不能删除,改名,更改
+ a#只能追加
+ A#锁定atime
lsattr#显示特定属性
acl#访问控制列表
ACL优先于其他权限
setfacl#设置控制列表
-m#修改
-M#批量设置
-x#删除
-X#批量删除
setfacl -m mask :: r f1#可限制除所有者和其他的最高权限,最终有效权限为r(限高)
setfacl -d f1#清空f1文件的访问控制列表
getfacl#查看控制列表
cl的优先级:先匹配所有者,在看([自定义的用户权限,再匹配自定义组权限]受mask影响)及其他