介绍安全3A
资源分派:认证,授权,审计
用户和组
用户user
组group
组的类别
主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组
安全上下文
用户和组的配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID -
以当前组为附加组的用户列表(分隔符为逗号)
例:用户和组查看配置文件
finger
查看用户的相关信息
例:查看用户wang的下相关信息
getent
只看指定用户的相关信息
例:看root,wang的相关信息
文件操作
vipw和vigr
pwck和grpck
用户和组管理命令
用户管理命令
useradd
usermod
userdel
组帐号维护命令
groupadd
groupmod
groupdel
useradd
用户创建 常用选项
新建用户的相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令
批量修改用户密码
usermod
用户属性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
```
追加附加组
删除附加组
## userdel
**删除用户**
## id
**查看用户相关的ID信息**
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
## su
**切换用户或以其他用户身份执行命令**
## 设置密码
passwd :修改指定用户的密码
### 常用选项
>> -d:删除指定用户密码
>> -l:锁定指定用户
>> -u:解锁指定用户
>> -e:强制用户下次登录修改密码
>> -f:强制操作
>> -n mindays:指定最短使用期限
>> -x maxdays:最大使用期限
>> -w warndays:提前多少天开始警告
>> -i inactivedays:非活动期限
>> --stdin:从标准输入接收用户密码
>> 示例:echo "PASSWORD" | passwd --stdin USERNAME
## 组
>>groupadd :创建组
>>
groupdel :删除组
groupmod :组属性修改
gpasswd :组密码
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码
## 更改和查看组成员
#### groups :查看用户所属组列表成员
## 修改文件的属主和属组
## chown
**修改文件的属主**
## chgrp
**修改文件的属组**
>># 文件权限
## 文件属性
### 三种权限
## chown
**修改所有者**
## chmod
**修改文件权限(rwx|X)**
>>**文件:**
>>r 可使用文件查看类工具获取其内容
>>w 可修改其内容
>>x 可以把此文件提请内核启动为一个进程
>>**目录:**
>>r 可以使用ls查看此目录中文件列表
>>w 可在此目录中创建文件,也可删除此目录中的文件
>>x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
>>X 只给目录x权限,不给文件x权限
## chmod
>>-R: 递归修改权限
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + -
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE
### 权限设置示例
>>chgrp sales testfile
>>chown root:admins testfile
>>chmod u+wx,g-r,o=rx file
>>chmod -R g+rwX /testdir
>>chmod 600 file
>>chown mage testfile
去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
给wang账号所有者加上读写执行权限
### chmod -X
只针对文件夹加权限
## 新建文件和目录的默认权限
## umask
**可以用来保留在创建文件权限 **
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限
### 简捷方法
>>默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1
将umask写入文件保存:
### 练习
建一个临时权限为000的文件,临时改umask的权限
#### umask -S 以模式方式显示
例:
#### umask -p : 输出结果可被调用
例:直接写入 .bashrc文件
## Linux文件系统上的特殊权限
### 可执行文件上SUID权限
### 可执行文件上SGID权限
### Sticky 位
### 权限位映射
### 设定文件特定属性
例:
>># ACL访问控制列表
**实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 **
#### ACL权限生效次序:
所有者,ACL中自定义用户,ACL自定义的组,所属组,other
**注意:**
## setfacl
**是用来在命令行里设置ACL(访问控制列表)**
例:给wang账号设置ACL权限
## getfacl
**查看文件权限**
## mask
**设置除所有者和other以外的用户或组的最高权限**
**加了ACL权限后组权限是mask权限 而不是group组权限**
**mask权限限高杆,其他用户的权限不能超过mask权限**
例:
## setfacl -x:
例:去掉wang账户的权限
## setfacl -b
**清除文件上所有ACL权限**
例: 清除a.log文件上所有ACL权限
## set
选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
## 备份和回复ACL权限
## setfacl -b
**还原文件权限**
例: 还原/data 目录下所有文件及文件夹权限
## cp -p
复制保留文件ACL权限
