- 理解linux的安全模型
- 理解用户账号和组群账号的目的
- 用户和组管理命令
- 理解并设置文件权限
- 默认权限
- 特殊权限
- ACL
安全3A
- 资源分派
Authentication : 认证
Authorization : 授权
AccoutingAudition : 审计
1. 用户user
- 令牌token,identity
linux用户:Username/UID
管理员:root ,0
普通用户:1-60000 自动分配
系统用户:1-499.1-999(Centos7)
对守护进程获取资源进行权限分配
登录用户:500+,1000+(Centos7)
交互式登录
2. 组 group
- 目的是为了授权
- gid 只是当前工作主工作组的展示, 而groups 包含了用户所在的所有组。
Linux组:Groupname/GID
管理员组:root,0
普通组:
系统组:1-499,1-999(centos7)
普通组:500+,1000+(cenos7)
3. 安全上下文
Linux安全上下文
运行中的程序:进程(procees)
以进程发起者的身份运行:
root:/bin/cat
mage: /bin/cat
进程所能够访问资源的权限取决于进程的运行者的身份
4. 用户和组的配置文件
Linux用户和组的主要配置文件:
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name: 登录用名
passwd: 密码(x)
UID: 用户身份编号(1000)
GID: 登录默认所在组编号(1000)
GECOS: 用户全名或注释
home directory:用户主目录(/home/wang)
shell: 用户默认使用shell(/bin/bash)
-
nologin shell 表示不能登陆 作为系统账户,给程序用
-
/etc/shadow中
$1:md5加密算法 182bit
$6:sha512加密算法 512bit
$...$ 表示盐(salt)
- shadow 文件格式:
例:adong:$6$ThMn8HCsKSBbE0cr$rgsHimcyDkKyEcyZpRwBb3.HY59HJXTFJs/bUC93QuTaZm716AnlE6f5.NMX.weqPakNeotfGQilpwjImvYV4/::0:99999:7:::
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被变更的时间
密码再过几天可以被变更(0表示随时可以变更)
密码再过几天必须被变更(9999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后账号会被锁定
从1970年1月1日算起,多少天后失效
- openssl rand -base64 12 生成base64编码随机口令
- 在cat /etc/login.defs文件中 定义了加密算法
文件操作
vipw =vi /etc/passwd 检查文件格式是否正确
-s 更改shadow
vigr = vi /etc/group
-s 更改gshadow
pwck 检查/etc/passwd文件格式
grpck 检查/etc/shadow 和 /etc/gshadow文件格式
5. 用户和组管理命令
新用户的相关文件和命令
/etc/skel 为新建目录的模板文件夹
/etc/login.defs 账号配置文件
/etc/default/useradd 定义新建账户模板
newusers passwd格式文件 批量创建用户
格式:user1:x:2000:2000:test user1:/home/user1:/bin/csh
创建users文件 users.txt
newusers users.txt 可以批量创建用户
chpasswd 批量修改用户口令
格式:user1:passwd1
user2:passwd2
创建用户密码文件 passwd.txt
cat passwd.txt | chpasswd 将用户密码输出
- getent passwd|shadow|group|gshadow adong 查看用户信息
6. 用户管理命令
- 用户创建:useradd
useradd [OPTINON] LOGIN
-u 指定用户的UID
-d 指定家目录的位置
-c 指定备注的内容
-s 指定shell程序文件名
-G 指定用户加入某个普通组
-g 指定用户的私有组(群组)
-r 创建系统用户(服务账户)
-M 不创建用户的家目录
-m 创建用户的家目录(默认)
-e 2014/7/25 用户过期时间
-o 配合-u选项,不检查UID的唯一性
例:useradd cyy -d /home/abc -c huaidan -u 2000 -s /sbin/nologin
指定家目录 备注 指定uid 指定 shell
默认值设定:/etc/default/useradd
显示或更改默认设置
useradd -D
useradd -D -s SHELL (bin/bash)
useradd -D -b BASE_DIR (/home/file)
useradd -D -g GROUP (组)
- 用户属性修改:usermod
usermod [OPTION] login
-u UID:修改用户ID
-g GID:修改用户所属的组
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME:新家目录不会自动创建;若要创建新家目录并移动原家目录数据,同时使用-m选项
-(a)G 修改用户所属的附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-l login_name:新的名字(为用户更改登录名称)
-L lock指定用户,在/etc/shadow 密码栏的增加'!' (锁定用户)
-U unlock指定用户,将/etc/shadow 密码栏的'!'拿掉 (解锁用户)
-e YYYY-MM-DD:指明用户账号过期日期
-f INACTIVE 设定非活动期限
- 删除用户:userdel
userdel[OPTION]...login
-r: 删除用户家目录
- 删除用户附加组
usermod -G "" username
usermod -G GROUP username 覆盖组
7. 组账号维护命令
- 创建组:groupadd
groupadd [OPTION] ...group_name
-g GID 指明GID号;[GID_MIN,GID_MAX]
-r 创建系统组
CentOS6:ID<500
Centos7: ID<1000
- 修改组:groupmod
groupmod [OPTION]...groupmod
-n group_name 改组名
-g GID:新的GID
- 删除组:groupdel
groupdel GROUP
如果为用户的私有组,则在用户删除之前,无法删除组
- 更改组密码:gpasswd
gpasswd[option]group
-a user 将user添加至指定组中
-d user 从指定组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
newgrp:临时切换主组
如果用户本身不属于此组,则需要组密码
更改和查看组成员 groupmems
groupmems [options] [action]
options:
-g,--group groupname 更改为指定组(只有root)
-R,--root CHROOT_DIR
Actions:
-a,--add username 指定用户加入组
-d,--delete username 从组中清除成员
-p,--purge 从组中清除所有成员
-l,--list 显示组成员列表
groups [OPTION].[USERNAME]...查看用户所属列表
示例:
查看有哪些用户属于sales组
# groupmems -g sales -l
linda lisa
从sales组中删除lisa
# groupmems -d lisa -g sales
# groupmems -g sales -l
linda
添加用户到组里
# id lxj2
uid=1002(lxj2) gid=0(root) groups=0(root)
# groupmems -a lxj2 -g sales
# id lxj2
uid=1002(lxj2) gid=0(root) groups=0(root),1238(sales)
也可以使用usermod命令将用户添加到组里:
usermod-AG将把用户添加到新的组中,这些组将用作他们的辅助组。
使用usermod将用户linda和lisa添加到组销售,并将lori和bob添加到组账户:
usermod -aG sales linda
usermod -aG sales lisa
usermod -aG account lori
usermod -aG account bob
练习
- (1)创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息为"Gentoo Distribution""
[root@centos7 ~]#useradd -s /bin/csh -c 'Gentoo Distribution' -G bin,root gentoo
[root@centos7 ~]#getent passwd gentoo
gentoo:x:1002:1002:Gentoo Distribution:/home/gentoo:/bin/csh
[root@centos7 ~]#groups gentoo
gentoo : gentoo root bin
- (2)创建下面的用户、组和组成员关系
名字为webs的组
用户nginx,使用webs作为附加组
用户varnish,使用webs作为附加组
用户mysql,不可交互登录系统,且不是webs的成员,nginx,vamish,mysql密码都是magedu
# groupadd webs
# useradd -G webs nginx
# useradd -G webs varnish
# useradd -s /sbin/nologin mysql
# echo magedu | passwd --stdin nginx
Changing password for user nginx.
passwd: all authentication tokens updated successfully.
# echo magedu | passwd --stdin varnish
Changing password for user varnish.
passwd: all authentication tokens updated successfully.
# echo magedu | passwd --stdin mysql
Changing password for user mysql.
passwd: all authentication tokens updated successfully.
- (3) 当用户docher对/testdir目录无执行权限时,意味着无法做哪些操作?
1. 无法进入目录
2.可以用ls查看列表,但是无法查看文件属性类型
3.就算对目录中文件有rw权限,也无法查看和写入 >>(追加)也不行
- (4) 当用户mongodb对/testdir目录无读权限时,意味着无法做哪些操作?
1.可以进入目录,无法查看列表,可以查看ll file 详细信息
2.可以执行目录内程序,cat file可以查看文件内容
3.如果对文件有w权限,还可以通过>>写入文件
9. 查看用户相关的ID信息
id [OPTION]...[USER]
-u: 显示UID
-g:显示GID
-G: 显示用户所属的组的ID
-n:显示名称,需配合ugG使用
10. 切换用户或以其他用户身份执行命令:su
su [username] 切换身份 不完全切换
非登录式切换,即不会读取用户的配置文件,不改变当前工作目录
su - [username] 完全切换
登录式切换,会读取目标用户的配置文件,切换至家目录
切换身份执行命令
su - root -c 'command'
root su至其他用户无须密码;非root用户切换时需要密码
11. 设置密码
passwd
passwd[OPTIONS]UserName:修改指定用户的密码
常用选项:
-d:删除指定用户密码
-l:锁定指定用户密码
-u:解锁指定用户密码
-e:强制用户下次登录修改密码
-f:强制操作
--stdin:从标准输入接收用户密码
实例:echo "PASSWORD" |passwd --stdin USERNAME
echo PASSWD | passwd --stdin USERNAME &> /dev/null
useradd USERNAME;echo PASSWD | passwd --stdin USERNAME;passwd -e USERNAME
12. 修改用户密码策略
chage[option]...login
-d last_day
-E --expiredate expire_date
-I --inactive inactive
-m --mindays min_days
-M --maxdays max_days
-W --warndays warn_days
-l 显示密码策略
示例:
chage -d 0 tom 下一次登录强制重设密码
chage -m 0 -M 42 -W 14-17 tom
chage -E 2016-09-10 tom
用户相关的其他命令
finger user 查看用户信息
chfn user 更改用户描述信息
chsh -s 更改用户的shell
例: chsh -s /bin/nologin adong
chage [user] 更改用户口令有效期
chage -l [user] 查看用户口令信息
文件权限
文件的权限主要针对三类对象进行定义
owner 属主,u
group 属组,g
other 其他,o
每个文件针对每类访问者都定义了三种权限
r Readable
w Writable
x eXcutable
文件
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程
目录
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件呢
x 可以使用ls -l 查看此目录中文件元数据(需配合r),可以cd进入此目录
X 指给目录x权限,不给文件x权限(如果某个文件有执行权限,X会给其他所有者赋予权限)
1. 修改文件的属主和属组
修改文件的属主:chown
chown [OPTION]...[OWNER][:[GROUP]]FILE...
用法说明:
OWNER 更改所有者
OWNER:GROUP 更改所属组
:GROUP 冒号也可用.替换
chown[OPTION]...--reference=REILE FILE
-R:递归
修改文件的属组:chgrp
chgrp[option]...group file
chgrp[option]...--reference=reile file...
-R 递归
更改文件rwx权限:chmod
1.模式法
u=rwx,g=rw,o=r file
2.数字法
rwxrw-r-- file
111110100 转化为10进制764
--- 0
--x
001 1
-w-
010 2
r--
100 4
chmod [option]...octal-mode file...
-R:递归修改权限
chmod[option]...mode[mode]...file...
mode:
修改一类用户的所有权限
u= g= o= ug= a= u= g=
修改一类用户某位或某些权限
u+ u- g+ g- o+ o- a+ a-
chmod[option]...--reference=rfile file...
参考refile文件的权限,将file的修改为同rfile
chgrp修改文件的属组
chgrp[OPTION]...GROUP FILE
chgrp[OPTION]...--reference=REILE FILE
-R 递归
权限设置示例
chgrp sales testfile
chown root:admins testfile
chmod -R g+rwx testdir
chmod 600 file
chown mage testfile
面试题 cp f1 dir/fff 需要的命令
1.cp命令需要执行权限
2.f1需要读权限,所在文件夹需要执行权限,否则进不去,
3.要拷贝的目标文件夹,至少要有执行和写权限
