grupos de usuarios y permisos de gestión de Linux

Others 2020-03-30 09:07:19 views: null

Usuarios, grupos y permisos

1 Modelo de seguridad de Linux

La asignación de recursos:

  • Autenticación: Autenticación, verificar la identidad del usuario
  • Autorización: Autorización, diferentes usuarios para establecer permisos diferentes
  • Accouting | Audition: auditoría
    cuando el usuario inicia sesión con éxito, el sistema asignará automáticamente el símbolo símbolo, incluyendo: información de identificación del usuario y los miembros del grupo, etc.

1.1 Usuarios

Linux cada usuario se identifica de forma única por Id de usuario (UID)

  • Administrador: raíz, 0
  • usuario media: 1-60000 automáticas de distribución de
    los usuarios del sistema: 1-499 (CentOS 6 antes), 1-999 (después de CentOS 7)
    acceso a los recursos para los permisos daemon asignar
    para registrar usuarios: 500+ (CentOS 6 antes), 1000 + ( CentOS 7 más adelante)
    para el usuario de forma interactiva inicio de sesión utilizando

1.2 User Group

En un Linux o más usuarios pueden añadirse al grupo de usuarios, grupos de usuarios se identifican de manera única por ID de grupo (GID) de

  • Administrador: raíz, 0
  • Media de los usuarios:
    Grupo System: 1-499 (CentOS 6 antes), 1-999 (después de CentOS 7)
    acceso a los recursos para el permisos daemon Asignar
    grupo ordinario: 500+ (CentOS 6 antes), 1,000 + (después de CentOS 7) a usuario

La relación entre los usuarios y los grupos 1.3

  • el grupo principal del usuario (grupo primario): El usuario debe pertenecer a uno y sólo un grupo principal, los nombres predeterminados de los grupos y de usuarios se crean automáticamente cuando se crea un usuario del mismo nombre, como el grupo principal del usuario, ya que este grupo es sólo un usuario, también conocido como grupo privado
  • grupos adicionales de usuarios (grupo complementario): Un usuario puede pertenecer a cero o más grupos auxiliares, grupo afiliado

1.4 Contexto de Seguridad

Linux Contexto contexto de seguridad: Permisos programas en ejecución, ese proceso (proceso), se ejecutan como el iniciador del proceso, el proceso puede tener acceso a los recursos depende de la identidad de la persona que ejecuta el proceso

2 perfiles de usuario y de grupo

2.1 usuario y de grupo perfiles de las principales

  • / Etc / passwd: los usuarios y su información de atributos (nombre, UID, ID de grupo primario, etc.)
  • / etc / shadow: contraseñas de usuario y sus propiedades asociadas
  • / Etc / grupo: Grupo de información de atributos y
  • / Etc / gshadow: contraseña de grupo y sus propiedades asociadas

2.2 Formato de archivo passwd

nombre de inicio de sesión: el usuario
passwd: contraseña
UID: número de identificación de usuario
GID: número de grupo, donde los inicio de sesión predeterminadas
GECOS: Notas nombre o completo de usuario
Inicio guía: el directorio personal del usuario
del shell: shell por defecto del usuario

formato de archivo 2.3 sombra

Entrar Nombre de Usuario
Contraseña: cifrado sha512 se utiliza generalmente
desde el 1 de enero de 1970 a jugar última vez que la contraseña se cambia la
contraseña de unos días se pueden cambiar (0 indica que en cualquier momento se puede cambiar)
contraseña debe cambiarse en pocos días (99999 medios no caducan)
antes de que caduque la contraseña de un sistema de pocos días para alertar al usuario (el que está Semanal por defecto)
cuenta será bloqueada después de la contraseña caduca a los pocos días
del 1 de enero, 1970 fecha, el número de días que la cuenta de fallar
para cambiar el algoritmo de cifrado de la contraseña:
authconfig --passalgo=sha256 --update
contraseña política de seguridad

  • El tiempo suficiente
  • Números, letras mayúsculas, minúsculas y caracteres especiales en por lo menos tres
  • Uso de contraseñas al azar
  • reemplazo regular, no lo utilices contraseñas usadas recientemente

formato de archivo 2.4 grupo

Nombre del grupo:
contraseña del grupo: por lo general no hay necesidad de establecer la contraseña se registra en el directorio / etc / gshadow
el GID: ID de grupo es
la lista de grupos de usuarios actual de los grupos adicionales (separadores de coma)

2.5 Formato de archivo gshdow

Grupo Nombre
Grupo de contraseñas
lista administrador del grupo: lista para cambiar la contraseña de grupo y los administradores de grupos miembros de
los grupos actuales grupos adicionales de la lista de usuarios: entre varios usuarios separados por comas

2.6 Operaciones con archivos

  • vipw y vigr
  • pwck y grpck

3 comandos de gestión de usuarios y grupos

Comandos de gestión de usuarios

  • useradd
  • usermod
  • userdel
    comandos de mantenimiento de cuentas de grupo
  • groupadd
  • groupmod
  • groupdel

3.1 los usuarios crear

comando useradd para crear un nuevo usuario de Linux
formato:
useradd [options] LOGIN
Las opciones comunes:

-u UID
-o 配合-u选项,不检查UID的唯一性
-g GID  指明用户所属基本组,可为组名,也可以GID
-c "COMMENT"    用户的注释信息
-d HOME_DIR 以指定的路径为家目录
-s SHELL  指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...]   为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户CentOS 6之前:ID<500,CentOS 7以后:ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户

useradd especifica / userAdd definido los valores por defecto / etc / default
pantalla o cambiar la configuración predeterminada

useradd -D
useradd -D -s SHELL
useradd -D -b BASE_DIR
useradd -D -g GROUP

Nueva documentos del usuario

  • / Etc / default / useradd
  • / Etc / skel / “*”
  • /etc/login.defs
    lotes crear usuario
    newsusers passwd 格式文件
    lotes modificar la contraseña de usuario
    echo username:passwd | chpasswd

3.2 Modificar las propiedades del usuario

comando usermod para modificar los atributos de usuario
Formato:
usermod [OPTION] login
Las opciones comunes:

-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 ! 
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限,即宽限期

3.3 Borrar usuario

userdel eliminar usuario de Linux
formato:
userdel [OPTION]... Login
Las opciones comunes:

-f --force       强制
-r --remove      删除用户家目录和邮箱

3.4 Ver información del ID de usuario relacionada

comando ID para ver UID, GID y otra información del usuario
id [OPTION]... [USER]
opciones comunes:

-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用

3.5 Cambiar de usuario o ejecutar comandos como otro usuario

Do: Ese cambio de usuario, comando para cambiar de usuario, y ejecutar comandos como el usuario especificado
Formato:
su [options...] [-] [user [args...]]
Las opciones comunes:

-l --login   su -l UserName     相当于 su - UserName
-c, --command <command>         pass a single command to the shell with -c

manera de conmutación del usuario:

  • Su Nombre de Usuario: conmutador de tipo sin inicio de sesión que no lee el perfil de usuario de destino, no cambia el directorio de trabajo actual, que es incompleta
    conmutación completa
  • do - Nombre de usuario: Interruptor Tipo de registro, se lee en el perfil de usuario de destino, cambie a su propio directorio, que está completamente desconectado
    Descripción: su root a otro usuario sin contraseña, la contraseña es necesaria para que el usuario no root interruptores
    Nota: Interruptor su a un usuario nuevo después de usar la salida para volver a la edad del usuario, y no utilizar su para cambiar a la edad del usuario, de lo contrario se generará una gran cantidad de entorno de proceso hijo fiesta puede ser confuso.
    Un cambio en la identidad del comando:
    su [-] UserName -c 'COMMAND'

3.6 contraseña

passwd puede cambiar la contraseña de usuario
Formato:
passwd [OPTIONS] UserName
Las opciones comunes:

-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码,Ubuntu无此选项

3.7 modificar la directiva de contraseñas de usuario

chage puede modificar la directiva de contraseñas de usuario
Formato:
chage [OPTION]... LOGIN
Las opciones comunes:

-d LAST_DAY               #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPIRE_DATE #用户的有效期
-l 显示密码策略

Otros comandos relacionados con el usuario 3.8

  • chfn especificar información personal
  • chsh especificar la cáscara, la usermod equivalente -s
  • dedo para ver la información personal del usuario

3.9 Crear Grupo

Crear grupo groupadd lograr
Formato:
groupadd [OPTION]... group_name
Las opciones comunes:
-g número GID GID especificado; [GID_MIN, GID_MAX]
-R & lt crea un grupo de sistemas, antes de CentOS 6: ID <500, después de CentOS 7: ID <1,000

3.10 Modificar grupo

Grupo groupmod Propiedades Modificar
Formato:
groupmod [OPTION]... group
Las opciones comunes:
nombre_de_grupo -n: nuevo nombre
-g GID: nuevo GID

3.11 Eliminar grupo

groupdel puede eliminar un grupo de
formato:
groupdel [options] GROUP
Las opciones comunes:
-f, --force fuerza eliminado, incluso si el grupo principal del usuario también eliminar la fuerza a un grupo de

3.11 Cambio de Contraseña de grupo

gpasswd de comandos, puede cambiar la contraseña del grupo, se puede modificar el grupo de miembros adicionales
de formato:
gpasswd [OPTION] GROUP
Las opciones comunes:

-a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表

3.12 grupo interruptor principal Temporal

comando newgrp puede cambiar temporalmente el grupo principal, si el usuario no pertenece a este grupo, la contraseña de grupo se requiere
formato:
newgrp [-] [group]
Si - opción, el usuario puede inicializar el entorno

3.13 a los miembros del grupo y ver su cambio

groupmems pueden gestionar en Grupos adicionales
formatos:
groupmems [options] [action]
Las opciones comunes:

-g, --group groupname       #更改为指定组 (只有root)
-a, --add username          #指定用户加入组
-d, --delete username       #从组中删除用户
-p, --purge                 #从组中清除所有成员
-l,  --list                 #显示组成员列表

grupos pueden ver la relación usuario-grupo
formato:

#查看用户所属组列表
groups [OPTION].[USERNAME]...

4 gestión de permisos de archivo

4.1 es el propietario de un archivo y grupo de atributos operación

Propietario chown archivo de configuración 4.1.1

chown comando para modificar el propietario del archivo, el propietario del fichero puede modificar el grupo de
formato:

chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...

instrucciones:

OWNER                #只修改所有者
OWNER:GROUP          #同时修改所有者和属组
:GROUP               #只修改属组,冒号也可用 . 替换
--reference=RFILE    #参考指定的的属性,来修改   
-R                   #递归,此选项慎用,非常危险!

Es un conjunto de información chgrp archivo de configuración 4.1.2

modifica comando chgrp solamente pertenecen al archivo de grupo
de formato:

 chgrp [OPTION]... GROUP FILE...
 chgrp [OPTION]... --reference=RFILE FILE...

4.2 permisos de archivo

4.2.1 Permisos de descripción del archivo

Los principales permisos de archivos definidos por tres tipos de objetos

owner 属主, u
group 属组, g
other 其他, o

Nota: Los derechos definitivos de los usuarios, de izquierda a fin coincidencia de la derecha, es decir, el propietario, el grupo propietario, otros, una vez que los derechos que coinciden con efecto inmediato, ya no lo ven los permisos correctos
para cada archivo se definen para cada visitante de clase tres permisos comunes
para cada archivo para cada clase define tres visitantes tienen permiso

r Readable
w Writable
x eXcutable

Permisos para el archivo:

r 可使用文件查看类工具,比如:cat,可以获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行)

El acceso a un directorio:

r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件,而和此被删除的文件的权限无关
x 可以cd进入此目录,可以使用ls -l查看此目录中文件元数据(须配合r权限),属于目录的可访问的最小权限
X 只给目录x权限,不给无执行权限的文件x权限

Permisos de ley matemática

entradas de permisos Tipo de archivo Leer Comentario ejecución Leer Comentario ejecución Leer Comentario ejecución
representación de caracteres (D / l / c / s / p) (R) (W) (X) (R) (W) (X) (R) (W) (X)
representación digital 4 2 1 4 2 1 4 2 1
Asignación de derechos propietario del archivo Archivo pertenece a un grupo de usuarios otros usuarios

4.2.2 permisos de archivo de forzado chmod ****
formato:

chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限,将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...

Descripción:

MODE:who opt permission
who:u,g,o,a 
opt:+,-,=
permission:r,w,x

修改指定一类用户的所有权限
u= g= o= ug= a= u=,g=

修改指定一类用户某个或某个权限
u+ u- g+ g- o+ o- a+ a- + -

-R: 递归修改权限

4.3 Los nuevos permisos por defecto para archivos y directorios

valor de umask puede ser usado para crear el archivo de permisos permanecen en la
aplicación:

  • Nuevo archivo de permisos por defecto: 666-máscara U, si los resultados obtenidos por la presencia de la autoridad de ejecución (impar), es +1 derechos, incluso
    el número tal cual
  • Los permisos predeterminados para nuevos directorios: 777-máscara de usuario
    no privilegiado por defecto de umask usuario es 002
    raíz del default 022 umask
    ver umask
umask
#模式方式显示
umask –S 
#输出可被调用
umask –p

Modificar UMASK
umask #
persisten umask

  • Configuración global: / etc / bashrc
  • Ajustes de usuario: ~ / .bashrc

permisos especiales en el sistema de archivos de Linux 4.4

Introdujeron frente a tres derechos comunes: r, w, x, hay tres privilegios especiales: SUID, SGID, Sticky

4.4.1 permisos especiales SUID

Requisito previo: Por supuesto, hay un grupo de propietarios pertenecen; archivos tienen el propietario y el grupo
1. Cualquier archivo ejecutable no se puede iniciar para el proceso, el iniciador del programa depende de si el archivo tiene permiso de ejecución
2. Comenzar a proceso después de su proceso el grupo es dueño de un grupo es el iniciador, el iniciador del proceso pertenece
permisos 3. el proceso de acceso a un archivo, el iniciador del proceso depende en
el iniciador (a) del proceso, con el propietario del archivo: los atributos de archivo de aplicación autorización maestro
iniciador (b) del proceso, es un grupo que pertenece al archivo; los permisos de archivo de aplicación es un grupo
(c) archivo de aplicación "otros" permisos
sobre los binarios permisos de archivo ejecutable incluye SUID:

  • Cualquier archivo ejecutable no se puede iniciar para el proceso: el iniciador del programa depende de si el archivo tiene permiso de ejecución
  • Después de comenzar como un proceso, que es el principal proceso de propietario del archivo original
  • SUID es válida sólo para el programa ejecutable binario
  • SUID conjunto de sentido en un directorio de
    permisos SUID:
chmod u+s FILE...
chmod 6xxx FILE
chmod u-s FILE...

4.4.2 SGID permiso especial

SGID binarios permisos de archivos ejecutables incluyen:

  • Cualquier archivo ejecutable no se puede iniciar para el proceso: el iniciador del programa depende de si el archivo tiene permiso de ejecución
  • Después de comenzar como un proceso, es un grupo que es un proceso de grupo para el programa original de los archivos
    permisos SGID:
chmod g+s FILE... 
chmod 2xxx FILE
chmod g-s FILE...

Permisos SGID en la función de directorio:
De manera predeterminada, cuando un usuario crea un archivo, es un grupo primario para este grupo pertenece el usuario, una vez que un directorio es SGID, entonces este directorio tiene acceso de escritura a los usuarios creados en este directorio grupo pertenece el archivo con este fin es un conjunto de directorios, por lo general utilizados para crear un directorio de colaboración
permisos SGID:

chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...

4.4.3 permisos especiales poco pegajosa

Directorio es por lo general el usuario tiene permiso de escritura pueden eliminar los archivos en ese directorio, independientemente de los permisos de archivo o la propiedad
del directorio se establece pegajosa poco, sólo el propietario o el archivo root pueden borrar el archivo de
configuración pegajosas sin sentido en el archivo
los derechos pegajosos Marco:

chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...

4.4.4 Ley de la Autoridad digital especial

SUID SGID PEGAJOSOS

000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7

El permiso de mapa de bits
SUID: usuario, ocupando propietario ejecución permiso bits
s: propietario tiene el privilegio x
S: Propietario de NO x permiso
SGID: grupo, ocupando ejecutar bits de permiso pertenecen al grupo
s: Grupo tiene el privilegio x
S: Grupo n x permisos
Adherido: otro, ocupar otra bits de permiso de ejecución
t: otro permiso para tener x
T: otros x ninguna autoridad

atributos de archivos de configuración especiales 4.5

archivo de configuración de propiedad especial, puede acceder el usuario root accidentalmente borrar o modificar los archivos
no se pueden eliminar, renombrado, cambiando
chattr +i
sólo el contenido adicional que no se pueden eliminar, renombrar
chattr +a
propiedades específicas de visualización
lsattr

4.6 Listas de Control de Acceso

característica 4.6.1 ACL permisos

ACL: Lista de control de acceso, gestión de derechos flexibles
, además del propietario, grupo propietario, entre otros documentos, más usuarios pueden establecer permisos
CentOS7 predeterminado XFS y sistema de archivos ext4 se crea con ACL presenta
antes de la versión CentOS7, crear manualmente el valor por defecto el sistema de archivos ext4 sin ACL, es necesario aumentar manualmente

tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test

ACL secuencia tengan efecto:
propietario, usuario personalizada, grupo propietario | grupo a medida,

4.6.2 comandos relacionados con LCA

setfacl puede establecer permisos de ACL
ACL permisos getfacl puede ver la configuración de
permisos de máscara

  • máscara afecta sólo es el mayor grupo de derechos humanos, además del propietario y otra
  • Después de que la máscara tiene que ser una operación lógica AND con el permiso del usuario para llegar a ser limitados permisos (permiso efectivo)
  • Conjunto de usuario o grupo debe existir en la máscara para tener efecto dentro del alcance de la autoridad establecer
    un ejemplo:
    setfacl -m mask::rx file
    opción -set eliminará todas las entradas ACL existentes, con una nueva alternativa, tener en cuenta que hay que incluir los ajustes UGO, no como -m como se puede simplemente añadir ACL
    ejemplo:
    setfacl --set u::rw,u:wang:rw,g::r,o::- file1

4.6.3 seguridad y restauración de ACL

La manipulación de archivos principal de los comandos cp y mv soporta ACL, comando cp sólo tiene que añadir el parámetro -p. Pero herramienta de copia de seguridad común, tales como el alquitrán información de ACL no se conserva directorios y archivos
Ejemplo:

#备份ACL
getfacl -R /tmp/dir > acl.txt
#消除ACL权限
setfacl -R -b /tmp/dir
#还原ACL权限
setfacl -R  --set-file=acl.txt /tmp/dir
#还原ACL权限
setfacl --restore acl.txt
#查看ACL权限
getfacl -R /tmp/dir

Supongo que te gusta

Origin www.cnblogs.com/dadadezhang/p/12596415.html
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com