介绍安全3A
资源分派:认证,授权,审计
用户和组
用户user
组group
组的类别
主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组
安全上下文
用户和组的配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name:登录用名(wang)
passwd:密码 (x)
UID:用户身份编号 (1000)
GID:登录默认所在组编号 (1000)
GECOS:用户全名或注释
home directory:用户主目录 (/home/wang)
shell:用户默认使用shell (/bin/bash)
shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID -
以当前组为附加组的用户列表(分隔符为逗号)
例:用户和组查看配置文件
finger
查看用户的相关信息 例:查看用户wang的下相关信息
getent
只看指定用户的相关信息 例:看root,wang的相关信息
文件操作
vipw和vigr
pwck和grpck
用户和组管理命令
用户管理命令
useradd
usermod
userdel
组帐号维护命令
groupadd
groupmod
groupdel
useradd
用户创建 常用选项
新建用户的相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令
批量修改用户密码
usermod
用户属性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
```
追加附加组
![](https://s1.51cto.com/images/blog/201910/15/e542a14ec561748d266c418fa8be4614.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
删除附加组
![](https://s1.51cto.com/images/blog/201910/16/d9d9c58342904668c1edef66fdeb6dfb.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## userdel
**删除用户**
![](https://s1.51cto.com/images/blog/201910/16/3062cd0c4c081653bc53bf1567999fd6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## id
**查看用户相关的ID信息**
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
## su
**切换用户或以其他用户身份执行命令**
![](https://s1.51cto.com/images/blog/201910/16/333010893f0b6e04f0ea3f05d6d5fbba.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## 设置密码
passwd :修改指定用户的密码
### 常用选项
>> -d:删除指定用户密码
>> -l:锁定指定用户
>> -u:解锁指定用户
>> -e:强制用户下次登录修改密码
>> -f:强制操作
>> -n mindays:指定最短使用期限
>> -x maxdays:最大使用期限
>> -w warndays:提前多少天开始警告
>> -i inactivedays:非活动期限
>> --stdin:从标准输入接收用户密码
>> 示例:echo "PASSWORD" | passwd --stdin USERNAME
## 组
>>groupadd :创建组
>>![](https://s1.51cto.com/images/blog/201910/16/1a89eabb71117d7fddbf1d67f0e2181c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
groupdel :删除组
groupmod :组属性修改
![](https://s1.51cto.com/images/blog/201910/16/e50e68233daafe00827b18e31bebfef1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
gpasswd :组密码
![](https://s1.51cto.com/images/blog/201910/16/652f5ea25cf41f81af22f3933bab81ef.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码
## 更改和查看组成员
![](https://s1.51cto.com/images/blog/201910/16/110fd3492f69d8d79af4ed507d2b6dce.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
#### groups :查看用户所属组列表成员
## 修改文件的属主和属组
## chown
**修改文件的属主**
![](https://s1.51cto.com/images/blog/201910/16/fec60d198bffc3463b79f03c181d4770.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/08155ac966cfcfcb2716bace007f4d98.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## chgrp
**修改文件的属组**
![](https://s1.51cto.com/images/blog/201910/16/6831834253ec2c2d2f6bcebdec74cc0d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
>># 文件权限
## 文件属性
![](https://s1.51cto.com/images/blog/201910/16/d503669868db8cc8c5fc854b0de7feeb.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/ed48e482f292b3d11858489777613218.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 三种权限
![](https://s1.51cto.com/images/blog/201910/16/a9fa020302ed1eec9886208ad539bfdb.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/e76d874dc55553a35202d5dee881d779.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/45afbc01bce0b06a3148c80163f776c7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/71962c8b9f9cdae24102615c582e9178.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## chown
**修改所有者**
![](https://s1.51cto.com/images/blog/201910/16/be306a570a5564d9fc786d5392310b84.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## chmod
**修改文件权限(rwx|X)**
![](https://s1.51cto.com/images/blog/201910/16/1a16b9eefa89f738b8ba6c669e35f5e7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
>>**文件:**
>>r 可使用文件查看类工具获取其内容
>>w 可修改其内容
>>x 可以把此文件提请内核启动为一个进程
>>**目录:**
>>r 可以使用ls查看此目录中文件列表
>>w 可在此目录中创建文件,也可删除此目录中的文件
>>x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
>>X 只给目录x权限,不给文件x权限
## chmod
>>-R: 递归修改权限
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + -
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE
### 权限设置示例
>>chgrp sales testfile
>>chown root:admins testfile
>>chmod u+wx,g-r,o=rx file
>>chmod -R g+rwX /testdir
>>chmod 600 file
>>chown mage testfile
去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
![](https://s1.51cto.com/images/blog/201910/16/aff4f51102b713e8a9fd8fdb77f541b4.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
给wang账号所有者加上读写执行权限
![](https://s1.51cto.com/images/blog/201910/16/2e3d8b3b00f4dc4b51c1396617c84cfe.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### chmod -X
只针对文件夹加权限
![](https://s1.51cto.com/images/blog/201910/16/c240559dfdee168e8cb5b7b66a04949f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## 新建文件和目录的默认权限
## umask
**可以用来保留在创建文件权限 **
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限
### 简捷方法
>>默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1
![](https://s1.51cto.com/images/blog/201910/16/cea4a9a73c84e75b78f7ddbce7c86b5c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
将umask写入文件保存:
![](https://s1.51cto.com/images/blog/201910/16/3dd64d0ac36c2420e589c15bfdb3e716.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/1d84ef444576a252f0603b0526fe300a.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 练习
建一个临时权限为000的文件,临时改umask的权限
![](https://s1.51cto.com/images/blog/201910/16/dbe5f71dd94bfd7c830b5e03494e93ba.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
#### umask -S 以模式方式显示
例:
![](https://s1.51cto.com/images/blog/201910/16/cd768207e473ce847a767a23f1bc22d6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
#### umask -p : 输出结果可被调用
例:直接写入 .bashrc文件
![](https://s1.51cto.com/images/blog/201910/16/43f9f4689e3b099cbb6d5472cfec9b30.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## Linux文件系统上的特殊权限
![](https://s1.51cto.com/images/blog/201910/16/6472b2dd3265c650d7f805999a579b86.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 可执行文件上SUID权限
![](https://s1.51cto.com/images/blog/201910/16/306e2d6ae5b5cc0eae076496dc621fa7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 可执行文件上SGID权限
![](https://s1.51cto.com/images/blog/201910/16/23e8bfbd64dcfe88fcfb55a1553ab376.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/2e79625cbb30217dd5d73215d7e9ef63.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/c448fa225667a45f71a2b30a42d1ac94.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### Sticky 位
![](https://s1.51cto.com/images/blog/201910/16/d0b3514f7fa0479cdc080a439a4d7608.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 权限位映射
![](https://s1.51cto.com/images/blog/201910/16/685a2be359239d1b33e7733fd169a03b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
### 设定文件特定属性
![](https://s1.51cto.com/images/blog/201910/16/214381906d26ebca9c8117731b5e0457.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
例:
![](https://s1.51cto.com/images/blog/201910/16/c6b1f995aac4b1c9fda22471d8c39896.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
>># ACL访问控制列表
**实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 **
#### ACL权限生效次序:
所有者,ACL中自定义用户,ACL自定义的组,所属组,other
**注意:**
![](https://s1.51cto.com/images/blog/201910/16/c0c1409450e01745aa38e0edfb44880b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![](https://s1.51cto.com/images/blog/201910/16/52e02b619c4a1ff88457a4afb46d0f4a.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## setfacl
**是用来在命令行里设置ACL(访问控制列表)**
例:给wang账号设置ACL权限
![](https://s1.51cto.com/images/blog/201910/16/da0df6ba9d22fe443af307b176c74293.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## getfacl
**查看文件权限**
## mask
**设置除所有者和other以外的用户或组的最高权限**
**加了ACL权限后组权限是mask权限 而不是group组权限**
![](https://s1.51cto.com/images/blog/201910/16/dad7514df70cd6d7abaebcdb014ed9d3.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
**mask权限限高杆,其他用户的权限不能超过mask权限**
例:
![](https://s1.51cto.com/images/blog/201910/16/d8aa13bb00caa6934940677962c1113b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## setfacl -x:
例:去掉wang账户的权限
![](https://s1.51cto.com/images/blog/201910/16/46015c44e3b1588e9292f1170c8e2409.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## setfacl -b
**清除文件上所有ACL权限**
例: 清除a.log文件上所有ACL权限
![](https://s1.51cto.com/images/blog/201910/16/1e5f83e018b0250c37ef07f5fd6478ab.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## set
选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
![](https://s1.51cto.com/images/blog/201910/16/9a7d694c586b6f411b4536f5cb0b853c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## 备份和回复ACL权限
![](https://s1.51cto.com/images/blog/201910/16/8a5d5029608ab01396dbf7300a12ad39.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## setfacl -b
**还原文件权限**
例: 还原/data 目录下所有文件及文件夹权限
![](https://s1.51cto.com/images/blog/201910/16/74ec7f8b7bd473aec1d230bb771a2c53.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
## cp -p
复制保留文件ACL权限
![](https://s1.51cto.com/images/blog/201910/16/395780f0968d1ec6ab221f3760340410.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)