我们知道Linux是一个多用户多任务的操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。由于是多用户操作系统,必然要涉及到时管理用户。由于用户访问Linux上的资源比较多,为了方便管理出现的组的概念.将多个用户添加到一个组里,方便管理。
介绍安全3A
资源分派:
- Authentication:认证
- Authorization:授权
- Accouting|Audition:审计
用户user
令牌token,identity Linux用户:Username/UID 管理员:root, 0 普通用户:1-65535 系统用户:1-499, 1-999 (CentOS7) 对守护进程获取资源进行权限分配 登录用户:500+, 1000+(CentOS7) 交互式登录
组group
Linux组:Groupname/GID 管理员组:root, 0 普通组: 系统组:1-499, 1-999(CENTOS7) 普通组:500+, 1000+(CENTOS7)
组的类别
用户的主要组(primary group) Linuxk 中管理员创建一个用户,默认组名和用户名是一样的,用户必须属于一个且只有一个主组(私有组) 用户的附加组(supplementary group) 一个用户可以属于零个或多个辅助组
用户和组的配置文件
**/dev/passwd:**用户及其属性信息(名称、UID、主组ID等)
格式 : name:password:UID:GID:GECOS:directory:shell
- login name:登录用名(wang)
- passwd:密码 (x)
- UID:用户身份编号 (1000)
- GID:登录默认所在组编号 (1000)
- GECOS:用户全名或注释
- home directory:用户主目录 (/home/wang)
- shell:用户默认使用shell (/bin/bash)
修改用户属性的相关命令
- chfn:修改用户的注释信息
- finger:查看用户的注释信息
- chsh:修改用户的shell类型
当用户的shell类型为/sbin/nologin时,代表该用户无法登录,用su是切换不过去的 用户的uid是默认往上递增的,这个定义来自于/etc/login.defs这个文件,当uid在这个范围无法往上递增时,会从最小的uid往上递增。
/etc/shadow:用户密码及其相关属性
格式:
- 登录用名
- 用户密码:一般用sha512加密
- 从1970年1月1日起到密码最近一次被更改的时间
- 密码再过几天可以被变更(0表示随时可被变更)
- 密码再过几天必须被变更(99999表示永不过期)
- 密码过期前几天系统提醒用户(默认为一周)
- 密码过期几天后帐号会被锁定
- 从1970年1月1日算起,多少天后帐号失效
- 为保留字段
修改密码属性的相关命令
- chage:改变用户的密码属性
用户的密码前面有 !代表该用户已锁定,但可以切换。 锁定帐户,可以在加密口令前加个!。加两个!号是双保险。
/etc/group:组及其属性信息
格式:
- 群组名称:就是群组名称
- 群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
- GID:就是群组的 ID
- 以当前组为附加组的用户列表(分隔符为逗号)
/etc/gshadow:组密码及其相关属性
格式:
- 群组名称:就是群组名称
- 群组密码:
- 组管理员列表:组管理员的列表,更改组密码和成员
- 以当前组为附加组的用户列表:(分隔符为逗号)
用户和组的相关命令
useradd:用户创建
**语法:**useradd [options] login.name
- -u 指定UID,如不指定,正常情况id按最大的id上递增,超过范围则按最小的数递增
- -o 配合-u选项,不检查UID的唯一性
- -g GID: 指明用户所属的基本组,可为组名,也可以为GID
- -c ”COMMMENT”: 用户的注释信息
- -d home_dir 以指定的路径(不存在)为家目录
- -s shell: 指明用户的默认shell程序,可用列表在**/etc/shells**中
- -G group1.. 为用户指明附加组,须存在
- -N 不创建私有组做主组,使用users组做主组100
- -r 创建系统用户
- -m 创建家目录,用于系统用户
- -M 不创建家目录,用于非系统用户,家目录不存在则登录会进入”/”
默认值设定:/etc/default/useradd文件中
useradd -D 显示基本设置 [root@sentos7 ~]#useradd -D GROUP=100 -N选项,如果不创建同名主组,则属于这个组 HOME=/home 家目录 INACTIVE=-1 账号过期的宽限期,为-1,不会锁定 EXPIRE= 账号有效期,默认99999 SHELL=/bin/bash 默认使用的shell类型 SKEL=/etc/skel 创建家目录的源文件地址 CREATE_MAIL_SPOOL=yes 是否创建mail useradd -D -s 修改默认shell类型 useradd -D -b 修改默认家目录 usreadd -D -g group -N选项之后默认的主组
*/etc/default/useradd 新建用户默认信息 /etc/skel/ 家目录复制地址 /etc/login.defs 添加用户配置信息 /var/spool/mail 邮箱路径 newusers /etc/passwd格式文件: 批量创建用户 cat filename | chpasswd 格式:username:passwd
usermod:用户属性修改
**语法:**usermod [options] login
- -u UID 新UID
- -g GID或者group 新主组
- -G Group1[,Group].. 新附加组,原来的附加组将会被覆盖
- -aG 若保留原有,则要同时使用-a 选项
- -s shell 新的默认使用shell
- -c ’comment‘: 新的注释信息
- -d home 修改家目录,新的家目录不会自动创建
- -dm home 创建新家目录并移动原家数据
- -l login.name 新的名字,改名之后家目录,邮箱不变
- -L: lock指定用户,在/etc/shadow密码栏增加!
- -U: unlock指定用户,将/etc/shadow密码栏的!拿掉
- -e yyyy-MM-DD:指明用户账号过期时间
- -f INACTIVE: 设定非活动期限,宽限期
userdel:删除用户
**语法:**userdel [option]… login.name
- -r: 删除用户家目录
id:查看用户的ID信息
**语法:**id [option]…[USER]
- -u: 显示UID
- -g: 显示GID
- -G: 显示用户所属附加组的ID
- -n: 显示名称,需配合ugG使用
passwd:设置密码:
**语法:**passwd [options] username: 修改指定用户的密码
- -d 删除指定用户的密码
- -l lock锁定指定用户,加!
- -u unlock,解锁指定用户,去掉!
- -e 强制用户下次登录修改密码
- -f 强制操作
- -n mindays: 指定最短使用期限
- -x maxdays: 最大使用期限
- -w warndays: 提前多少天开始警告
- -i inactivedays:过期还可以使用的天数
- --stdin:从标准输入接收用户密码 echo helloyou |passwd --stdin username
groupadd:创建组
**语法:**groupadd [option]…group.name
- -g GID 指明GID号,[DID_MIN,GID-max]
- -r: 创建系统组
groupmod:组属性修改
**语法:**groupadd [option]…group
- -n group.name 修改组名
- -g GID: 新的GID
groupdel:组删除 groupdel GROUP
gpasswd:更改组密码
**语法:**gpasswd [option] group
- gpasswd username 创建与修改组密码
- -a user 将user添加至指定组中
- -d user 从指定组中移除用户user
- -A user1,user2,.. 设置有管理权限的用户列表
- -r 删除组密码
newgrp:临时切换主组
临时切换主组 如果用户本不属于此组,则需要组密码
groupmems :更改组成员
**语法:**groupmems [options] [action]
- -g,–group groupname 更改为指定组
- -a,–add username 指定用户加入组
- -d,–delete username 指定用户从组中删除
- -p,–purge 删除组所有组成员
- -l,–list 显示组成员列表
groups: 查看用户属于哪些组
语法: groups [OPTION]... [USERNAME]...
