安全3A

Authentication:认证
Authorization:授权
Accouting|Audition:审计

用户user

令牌token,identity
Linux用户:Username/UID
管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499, 1-999 (CentOS7)
对守护进程获取资源进行权限分配
登录用户:500+, 1000+(CentOS7)
交互式登录

  • 用户一旦登陆成功便会收到一个令牌token.在linux中令牌包含这个用户获得的uid号
    当用户访问文件的时候,文件便会查看这个token,看其中的UID等来,判断这个用户是否能进行文件操作
  • 但是注意如果已经登录后再改变这个UID号,然后去访问文件,如果token并没有这个权限,仍然不能访问。因为token是在登陆的时候获得的,必须重新登录才可。

  • 系统账号是开机自动运行的进程,用于系统进程登陆使用
  • 普通用户则是给人交互式界面登录用的

组group

Linux组:Groupname/GID

管理员组:root, 0
普通组:
系统组:1-499, 1-999(CENTOS7)
普通组:500+, 1000+(CENTOS7)

  • windows用户和组不能同名,但是linux中可以
  • 就算一个用户加入到管理员root组内,但这个用户并不代表就是管理员了,只是说拥有了管理员组的权限。是不是管理员只有一个判断标准,就是UID是否为0.

linux组的类别

用户的主要组(primary group)
用户必须属于一个且只有一个主组
组名同用户名,且仅包含一个用户,私有组
用户的附加组(supplementary group)
一个用户可以属于零个或多个辅助组

  • linux默认创建用户的时候创建一个同名的组,成为它的主组,也是私有组。
  • 如果想要更改默认设置,可以在配置文件中修改。

安全上下文

Linux安全上下文
运行中的程序:进程 (process)
以进程发起者的身份运行:
root: /bin/cat
zhang: /bin/cat
注意:进程所能够访问资源的权限取决于进程的运行者的身份,而不是进程本身的权限

用户和组的配置文件:

主要有四个:
/etc/passwd:用户及其属性信息(名称、 UID、主组ID等)

/etc/shadow:用户密码及其相关属性

/etc/group:组及其属性信息

/etc/gshadow:组密码及其相关属性

- 尽量不要直接修改这些文件,注意格式问题,建议使用命令修改
getent passwd|shadow|group|gshadow username|groupname

passwd解释(man 5 passwd)

login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)

  • 密码部分并不存在这里,这里保留密码位置为x是为了兼顾旧linux版本系统。密码保存位置在shadow中。
  • 如果在这里修改UID,必须重新登陆后获取新的token才能生效
  • 如果没有任何一个UID为0,即为系统没有管理员,则系统无法启动
  • GID显示的是主组编号
  • 默认家目录在home下,默认shell为bash
  • /sbin/nologin :用于给系统进程运行使用的shell,如果用户改成这个,则无法登陆了

chfn username:可以修改描述信息
finger username:可以更加详细查看用户各种信息
chsh -s shell username :可以用来更改用户名使用的shell类型

shadow(man 5 shadow)

登录用名
用户密码:一般用sha512($6)加密,老系统用的MD5不安全
从1970年1月1日起到密码最近一次被更改的时间
最小密码使用时间:密码修改后最少要使用的天数,在此天数内不可修改(0表示随时可被变更)
最大的密码使用时间:密码最多能用多少天(99999默认为273年),从最近一次修改密码的时间算起,如果过期登陆时则要求更改
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定,在这个期限内仍然可用旧密码,但过了这个时间将无法登录也无法修改,要注意
从1970年1月1日算起,多少天后这个帐号失效

  • passwd更改用户口令
  • getent shadow zhang:可以选择某一行查看,以zhang开头的
  • 口令前面的!表示锁定此账号,无法登陆. 两个叹号表示双重锁定
  • 如果口令处!被删除,变成空字符,则登陆的时候直接不需要密码就可以
  • usermod -L 锁定账号 ,usermod -U 解锁账号。
  • 如果一个用户口令处只有!!,没有密码,则删除!的时候只能在shadow文件中进行,如果用指令usermod -U ,没有密码的话会无法使用这个命令,必须先设置了密码之后才能解锁。

image


  • chage 用户名 :用来更改用户的各种时间(其中-1代表空字符)

更改加密算法:

authconfig --passalgo=sha256 --update

group(man 5 group)

群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号),必须与gshadow里面的相同

  • id 用户名:命令的第三项,groups的第一项就是当前用户的主组,后面是附加组。
  • 用户的主组判别是靠它的GID(id命令的第二项),它存放在passwd中,和group存放的没有关系

注意:通常组不设置密码是因为组如果设置了密码,则用户在知道密码的前提下可以将自己添加进某个组里面,获得权限,因此不安全。不设置密码则只有管理员才可以设置。

  • 同样的类似用户命令,可用gpasswd更改组口令
  • 当一个用户用 newgrp 组名 命令时,则可以把自己临时加入这个组,并修改自己的主组为这个组,原先的组变为附加组,退出的时候用exit.
    这样做的话当创建文件的时候,文件属于用户,但是文件的所属组则变为临时加入的这个组了。

gshadow (man 5 gshadow)

群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,可以更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔,必须和group中的一致

  • 密码设置,生成随机字符命令: cat /dev/urandom | tr -dc "a-zA-Z0-9" | head -c12
  • 文件操作
    vipw vigr ; pwck grpck
    具有语法检查工具;检查格式是否有问题

用户和组的管理命令

useradd

useradd [options] LOGIN
-u UID
-o 配合-u 选项,不检查UID的唯一性,相当于同一个用户,不同的名字
-g GID 指明用户所属基本组,可为组名,也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录,不存在则会创建并把标准家名改为它
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS 6: ID< 500,CentOS 7: ID< 1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户

  • 可以用 rpm -q --scripts postfix ; cat /etc/login.defs; cat /etc/default/useradd 参考增加用户时的一些信息
  • 删除用户不会删除它的家目录
  • 创建系统用户可以自己指定UID,也可以用-r 但是用-r的时候它不会自己创建家目录(不用-r的时候系统默认创建家目录),即使你用-d 指定了家目录.
  • 家目录默认创建在/home 内 ,邮箱默认创建在 /var/spool/mail
  • 用-m强行创建家目录给系统用户

    useradd -s /sbin/nologin -r -m nginx

    # Add the "apache" group and user
    /usr/sbin/groupadd -g 48 -r apache 2&gt; /dev/null || :
    /usr/sbin/useradd -c "Apache" -u 48 -g apache \
    -s /sbin/nologin -r -d /usr/share/httpd apache 2&gt; /dev/null || :

useradd一些相关文件和位置及命令

默认值设定:/etc/default/useradd
显示或更改默认设置
useradd -D
useradd –D -s SHELL
useradd –D –b BASE_DIR
useradd –D –g GROUP

/etc/skel/ :用户家目录的模板来源
/etc/login.defs
newusers 后面跟上 passwd格式文件:批量创建passwd格式文件内的用户
chpasswd :批量修改用户口令,这个命令本身是标准键盘输入的 用户名:密码
同样可以创建一个改密码文件 然后 cat chpasswdfile | chpasswd 即可批量改密码

用户属性修改

usermod [OPTION] login

-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项;如果想要删掉所有附加组,则组的部分使用空字符""即可,或者再加一次自己的主组,则覆盖掉其他的附加组
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,
同时使用-m选项
-l login_name: 新的名字,但是没有改家目录名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限

删除用户

userdel [OPTION]... login

-r: 删除用户家目录和邮箱目录 /home /var/spool/mail

注意:如果删除了用户,不删除家目录和邮箱目录,则家目录和邮箱目录的所有者和所有组变为之前的所有者所有组的编号,
如果此时新创建了一个用户(或者组)刚好用了这个编号,则这个家目录则会变成新建的这个用户或者组的。
由此也可以看出,所有者所有组都是看UID和GID 和用户名组名没关系。

查看用户相关ID信息

id [OPTION]... [USER]
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用

注意:可用id命令在脚本中判断用户是否存在(创建用户的时候提前判断是否有同名用户存在,然后做进一步操作 id #### &>/dev/null)

切换用户

su [options...] [-] [user [args...]]
切换用户的方式:
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变
当前工作目录
su - UserName:登录式切换,会读取目标用户的配置文件,切换至家目
录,完全切换
root su至其他用户无须密码;非root用户切换时需要密码
换个身份执行命令:
su [-] UserName -c 'COMMAND'
选项:-l --login
su -l UserName 相当于 su - UserName

注意:切换后需要输入exit退出,不要一直嵌套切换

和shadow修改相关的两个命令

更改口令

passwd [OPTIONS] UserName: 修改指定用户的密码
常用选项:
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码
示例:echo "PASSWORD" | passwd --stdin USERNAME

强制用户下次登录修改口令: passwd -e username 或者chage -d 0 username

更改shadow后面的时间

chage [OPTION]... LOGIN
-d LAST_DAY
-E --expiredate EXPIRE_DATE
-I --inactive INACTIVE
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-l 显示密码策略
示例:
chage -d 0 zhang 下一次登录强制重设密码
chage -m 0 –M 42 –W 14 –I 7 zhang
chage -E 2016-09-10 zhang

注意:没有选项的时候将会让你一个一个输入

组的操作

groupadd [OPTION]... group_name
-g GID 指明GID号;[GID_MIN, GID_MAX]
-r 创建系统组
CentOS 6: ID< 500
CentOS 7: ID< 1000

注意:有时候为了组和用户ID一致,会采取下面的命令:

groupadd -g 1234 duan
useradd -g duan -u 1234 duanduan

组属性修改:groupmod
groupmod [OPTION]... group
-n group_name: 新名字
-g GID: 新的GID

组删除:groupdel
groupdel GROUP

注意:删除组的时候,如果这个组是某个组的主组,则不能删除;但如果仅仅是附加组,没有用户把它作为主组,则可以删除。

和gshadow相关的两个命令

组密码:gpasswd

gpasswd [OPTION] GROUP
-a user 将user添加至指定组中,注意是附加组
-d user 从指定组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
newgrp命令:临时切换主组
如果用户本不属于此组,则需要组密码,如果用户已经把这个组添加为附加组,则不需要密码.

groupmems [options] [action]

options:
-g, --group groupname 更改为指定组 (只有root)
Actions:
-a, --add username 指定用户加入组,附加组
-d, --delete username 从组中删除用户,附加组
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表

groups [OPTION].[USERNAME]... 查看单个用户所属组列表

可以用usermod ,gpasswd ,groupmems添加组成员

注意:只有usermod可以更改主组,另外两个指令都是增添副组
usermod -aG groups username
gpasswd -a username groups
groupmems -g groups -a username