Linux用户、权限管理
=============================================
一、如何实现"用户管理"1.什么是用户 "User" : 是一个使用者获取系统资源的凭证,是权限的结合,为了识别界定每一个用户所能访问的资源及其服务的。只是一种凭证。会有一个表示数字,计算机会首先跟这个数字相匹配。ID号。一般来讲用户名是公开的。还要有个一个验证机制,来验证用户就是那个它所声称的那个人。(密码其实是最不可靠的方法)2.什么是组 "Group": 一个组,可以识别是一个权限的集合,而且任何加入这个组的人都自动拥有这个组的权限。计算机靠GID(组ID)来识别.一个用户组也是有密码的。一般的用户不能随便加入某个组中,需要用管理员协助。密码的作用是让一个没有管理权限的用户临时的加入某组
组分成两种组:(linux下任何一个用户必然会属于某一个组,即便没有分组,系统也会给你分一个跟你同名的组) 2.1.私有组:这个里面只有一个用户,而且这个用户名跟组名同名。也叫用户的基本组 2.2.公共组 : 也叫共有组。也叫用户的额外组,或者附加组。一个用户可以同时拥有多个组。
UID,GID:其实是保存为无符号十进制数,用十六位二进制表示,0~65535UID, GID和UID的编号相同管理员的ID号,永远为 0 (root)#id 命令+ 用户 ,可以查看用户的id以及组。
#groups + 用户名,可查询某个用户帐号所属的组
#finger [ -l ] +用户帐号、查询用户账号的详细信息,列出用户登录名、终端、登录时间以及个人信息等
1-499 :属于系统用户,让某个程序运行的时候能以某个用户的身份运行。500-65534:普通用户65535:Nobody特殊用户(也有可能是65536则,溢出,则为-1,相当于Guest,来宾账号)
二、用户相关配置文件:
/etc/passwd:由以下部分组成:
root : x : 0 : 0 :root :/root :/bin/bash
用户名:密码占位符:UID:私有组ID:描述信息Finger:家目录:默认shell
/etc/shadow:密码存放文件:
| 1 2 3 4 | [root@station23 ~] # more /etc/shadow root:$6$KncS /2rL $YfiB10z02noObxa1x7WNRAo6lYOfkfw47v8jyfbEDPNKckaen 数字6表示用的是SHA512加密 数字1表示用的是MD5加密 |
/etc/skel,/etc/default/useradd 两个文件包含了默认创建用户时复制所需的文件。
三、创建用户、创建组:#useradd/adduser UserName -u:指定UID(不可重复) -g:指定GID,即指定用户的基本组前提GID要事先存在 -G:指定用户的额外组,组要事先存在 -d:指定家目录的存放位置(该目录事先可不存在) -c:"描述信息" -s:指定默认Shell,应该指定/etc/shells文件中出现的shell -m:创建用户时,强制给用户创建家目录 -M:创建用户,但不创建家目录 -D:default,为useradd命令创建的拥挤指定新的默认值 -r:创建系统用户#groupadd GrpName -g GID:创建组并为其指定GID
/etc/group:格式:
组名:组密码:GID:组内成员列表(成员间用逗号分隔)
四、删除用户和组:
删除用户,默认会保留家目录#userdel UserName
-r:一并删除家目录#groupdel GrpName
五、修改用户账户信息:
修改用户的属性定义:#chsh UserName->修改用户默认shell#chfn UserName->修改用户的备注信息#usermod UserName
-u:修改UID(不可重复) -g:修改GID,即指定用户的基本组前提GID要事先存在 -G:默认覆盖原有的附加组;如果是添加,则同时使用-a选项 -d:默认不会迁移用户的家目录,如果要要迁移,则同时使用-m -c:"描述信息" -s:指定新shell -l:新登录名 -e:可以指定用户的过期时间。-f: -U:解锁 ---->#passwd -l UserName -L:锁定用户账号 ---->#passwd -u UserName
#groupmod 命令,用于修改组的信息-g : 修改GID-n : 修改组名
#gpasswd
gpasswd -a 用户帐户(号)组名(号) ->添加单个组成员
gpasswd -M 用户帐户1(号)......组名(号) ->批量添加多个成员到组
gpasswd -d 用户帐户(号)组名(号) ->删除组成员
gpasswd -A 用户帐户(号)组名(号) ->指定组管理员
gpasswd 组名 ->设置组密码
gpasswd -r 组名 ->删除组密码
gpasswd -R 组名 ->禁止用户切换到指定的组
#newgroup 组名 ->切换组
六、查看用户的相关信息 #id UserName -u:只显示UID,与-n一起使用则显示用户名 -g:只显示GID,与-n一起使用则显示基本组名 -G:只显示所有组组,与-n一起使用则显示所有组名
七、#passwd命令: 给用户加密-l : 用于锁定用户账号-u : 解锁用户账号–stdin : (把标准输入改为别的输入)为用户添加密码的时候用非标准输入进行创建密码-x : 设定密码最长使用期限-n : 设定密码最短使用期限
密码安全性策略:足够复杂、够长、交叉应用数字、大小写字母和特殊中的至少三种尽量避免使用易猜测的密码;定期更换
如果将/etc/shadow中的某个用户密码删除,不是不能登录系统,而是不需要密码即可登录
加密的方式:对称加密公钥加密单项加密 (主要目的在于提取数据的特征值,拿到一段数据可以提取这个数据的特征码。)特点有:1.单项2.雪崩效应(不管密码有多长,只要初始条件有一点点改动,结果将有巨大的变化)3.定长输出(无论你输入有多长,而加密有的结果都是一样的。)经常用的单项加密是MD5(128bit定长输出) , sha1(160bit定长输出)用户密码为“!!”指没有密码“ $1$8kkXoZno$naC13rWnhoKfcMyiZr5qy9/ ”(1代表是MD5算法)$杂质(盐)$内容
数字6表示用的是SHA512加密
八、修改帐号日期属性#chage [Option] [Login]
-E:指定账号被锁定的日期<YYYY-MM-DD> -I -m:指定用户改变密码所间隔的最小天数 -M:指定密码有效的最大天数-d:指定自从1997年1月1日起密码被改变的天数
-w:指定密码过期前要向用户发出警报的天数
=============================================
权限管理
=============================================
Linux权限管理:属主---属组---其他 权限:read,write,execute r w x 文件: r:可以使用内容查看类的命令来显示其相关内容; w:可以使用编辑器修改其内容; x:可以将其发起一个进程;
目录: r:可以使用ls命令查看目录内容的文件信息; w:可以创建、删除文件l; x:可以使用ls -l命令查看目录内容的文件信息,并且可以使用cd命令切换此目录为工作目录; 用户不拥有某位权限,则使用"-"占位; 如: r-x:可读、可执行;r--:只读修改文件的属主、属组;仅有管理员可执行:chown,chgrp该文件权限: chmod
000: --- , 0001: --x ,1010: -w- ,2011: -wx ,3100: r-- ,4101: r-x ,5110: rw- ,6111: rwx ,7通过2进制转换为8进制#chmod命令: (1)操作3类用户的权限,使用8进制形式; #chmod [-R] OCTAL-MODE file... -R:递归更改目录及其内部文件权限 (2)操作指定类别用户的权限:使用u,g,o,a来赋权,基于=或+/-来进行; #chmod [u|g|o|a] [=|-|+] u:属主 g:属组 o:其他 a:所有 =:操作制定类别用户的权限 +/-:操作指定类别用户的单个权限 +x:省略前面的u,g,o即表示所有a (3)参照其他文件的权限为当文件的赋权. #chmod [-R] --reference=参照文件 需要修改文件修改文件的属主或属组:chown,chgrp: -R:递归 --reference= #chown [option] UserName file --->更改属主或者:#chown [option] UserName [:|.] GrpName file --->属主、属组同时更改 #chown [option] :GrpName file --->更改属组 #chgrp [option] GrpName file --->更改属组
#umask 创建文件:666-umask 文件默认绝不允许出现执行权限! 如设置:umask 023 666-023=643+1(如果出现将+1) 创建目录:777-umask root:022 如果用户名和基本组一致:002,否则则为:022
权限应用模型: 进程的属主,是否与文件的属主相同;如果相同,进程则以文件属主的权限来访问文件;否则进程的属主所属的组,是否其中之一与文件的属组相同;如果相同,进程则以文件属组的权限来访问文件;否则进程则以文件的其他用户的权限来访问文件;