用户、组和权限
----------------------------------------------------------------------------------------------------------------------------------------------------------------
安全3A
认证Authentication
授权Authorization
审计Accounting
用户和组的配置文件
/etc/passwd:用户及其属性信息,用户所在的主组信息在这里;
/etc/group:组及其属性信息,只有附加组信息;
/etc/shadow:用户密码及其相关属性;
/etc/gshadow:组密码及其相关属性;
/etc/default/useradd:创建用户使用的默认文件;
/etc/skel:新建的用户都是调用此文件夹内的配置;
/etc/login.defs:设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容;
密码文件说明
cat /etc/passwd后得到下列语句
格式为
(1)账户名:(2)密码:(3)用户id:(4)群id:(5)用户注释性描述:(6)工作起始目录:(7)登陆shell (如果设为不可登陆改为/sbin/nologin)
cat /etc/shadow 后可以得到这个语句,
格式为
(1)账户名:(2)密码(经过sha512加密算法;变!为上锁账户不可登录):(3)上次更改密码的时间(17738*86400的值再用date -d@换算):(4)再次改密码至少需要多少天后:(5)最多持续多少天:(6)提前多少天警告修改密码:(7)密码到期后还可以使用多少天:(8)账号失效日期:(9)预留
权限相关
ll /root后可以得到图
如图所示第一行第二行作为解释用例
- rw- --- ---. 1 root root 1825 日期 时间 文件名
d rwx r-x r-x. 2 root root 6 日期 时间 文件名
文件为-,目录为d;三位一看,rwx为可读可写可执行,root用户权限;r-x只读可执行,root群组权限;r-x只读可执行,other其他人权限;.表示文件带有SELinux的安全上下文
FAT文件系统下不能设定权限,因为该文件系统不支持;
创建文件夹后,umask其值,umask越大,目录可操作权限就越小;
umask值相关计算:umask+默认值=目录777 | 文件666,当一个文件umask值为022,其权限为666-022=644,即为读写-读-读,如果减下来每一位得奇数,奇数+1为值;目录减去的值不进行相加减;
特殊权限:
SUid:当访问该文件时会让访问者继承所有者的权限,只能作用于二进制可执行程序,chmod u+s;
SGid:作用在目录上,目录中新建文件后,新文件的所属组自动继承此目录的所属组;作用于二进制程序时当用户执行此程序时,用户将继承此文件所有组的权限,chmod g+s;
Sticky:粘滞键,该目录下子目录或者文件可以新建修改删除,但只能作用于自己新建的文件,chmod o+t;
权限八进制表达意思
640: rw-r---- 用户权限读写,群组权限只读,其他权限无;
755: rwxr-xr-x用户权限读写执行,群组权限读执行,其他权限读执行
特殊权限表示法
举例:chmod 4777 /tmp/a.txt
setfacl和getfacl
访问控制列表,对某一用户、组或者其他对文件或者目录的rwx权限控制
举例说明:假设test.log权限为666,输入命令
setfacl -m u:chen:r test.log,效果为用户名chen对test.log只有r权限
