Linux用户、权限管理
=============================================
一、如何实现"用户管理"
1.什么是用户 "User" :
是一个使用者获取系统资源的凭证,是权限的结合,为了识别界定每一个用户所能访问的资源及其服务的。只是一种凭证。会有一个表示数字,计算机会首先跟这个数字相匹配。ID号。一般来讲用户名是公开的。
还要有个一个验证机制,来验证用户就是那个它所声称的那个人。(密码其实是最不可靠的方法)
2.什么是组 "Group":
一个组,可以识别是一个权限的集合,而且任何加入这个组的人都自动拥有这个组的权限。计算机靠GID(组ID)来识别.
一个用户组也是有密码的。一般的用户不能随便加入某个组中,需要用管理员协助。密码的作用是让一个没有管理权限的用户临时的加入某组
组分成两种组:(linux下任何一个用户必然会属于某一个组,即便没有分组,系统也会给你分一个跟你同名的组)
2.1.私有组:这个里面只有一个用户,而且这个用户名跟组名同名。也叫用户的基本组
2.2.公共组 : 也叫共有组。也叫用户的额外组,或者附加组。
一个用户可以同时拥有多个组。
UID,GID:其实是保存为无符号十进制数,用十六位二进制表示,0~65535
UID, GID和UID的编号相同
管理员的ID号,永远为 0 (root)
#id 命令+ 用户 ,可以查看用户的id以及组。
#groups + 用户名,可查询某个用户帐号所属的组
#finger [ -l ] +用户帐号、查询用户账号的详细信息,列出用户登录名、终端、登录时间以及个人信息等
1-499 :属于系统用户,让某个程序运行的时候能以某个用户的身份运行。
500-65534:普通用户
65535:Nobody特殊用户(也有可能是65536则,溢出,则为-1,相当于Guest,来宾账号)
二、用户相关配置文件:
/etc/passwd:由以下部分组成:
root : x: 0 : 0 :root :/root :/bin/bash
用户名:密码占位符:UID:私有组ID:描述信息Finger:家目录:默认shell
/etc/shadow:密码存放文件:
/etc/skel,/etc/default/useradd 两个文件包含了默认创建用户时复制所需的文件。
三、创建用户、创建组:
#useradd/adduser UserName
-u:指定UID(不可重复)
-g:指定GID,即指定用户的基本组前提GID要事先存在
-G:指定用户的额外组,组要事先存在
-d:指定家目录的存放位置(该目录事先可不存在)
-c:"描述信息"
-s:指定默认Shell,应该指定/etc/shells文件中出现的shell
-m:创建用户时,强制给用户创建家目录
-M:创建用户,但不创建家目录
-D:default,为useradd命令创建的拥挤指定新的默认值
-r:创建系统用户
#groupadd GrpName
-g GID:创建组并为其指定GID
/etc/group:格式:
组名:组密码:GID:组内成员列表(成员间用逗号分隔)
四、删除用户和组:
删除用户,默认会保留家目录
#userdel UserName
-r:一并删除家目录
#groupdel GrpName
五、修改用户账户信息:
修改用户的属性定义:
#chsh UserName->修改用户默认shell
#chfn UserName->修改用户的备注信息
#usermod UserName
-u:修改UID(不可重复)
-g:修改GID,即指定用户的基本组前提GID要事先存在
-G:默认覆盖原有的附加组;如果是添加,则同时使用-a选项
-d:默认不会迁移用户的家目录,如果要要迁移,则同时使用-m
-c:"描述信息"
-s:指定新shell
-l:新登录名
-e:可以指定用户的过期时间。
-f:
-U:解锁 ---->#passwd -l UserName
-L:锁定用户账号 ---->#passwd -u UserName
#groupmod 命令,用于修改组的信息
-g : 修改GID
-n : 修改组名
#gpasswd
gpasswd -a 用户帐户(号)组名(号) ->添加单个组成员
gpasswd -M 用户帐户1(号)......组名(号) ->批量添加多个成员到组
gpasswd -d 用户帐户(号)组名(号) ->删除组成员
gpasswd -A 用户帐户(号)组名(号) ->指定组管理员
gpasswd 组名 ->设置组密码
gpasswd -r 组名 ->删除组密码
gpasswd -R 组名 ->禁止用户切换到指定的组
#newgroup 组名 ->切换组
六、查看用户的相关信息
#id UserName
-u:只显示UID,与-n一起使用则显示用户名
-g:只显示GID,与-n一起使用则显示基本组名
-G:只显示所有组组,与-n一起使用则显示所有组名
七、#passwd命令: 给用户加密
-l : 用于锁定用户账号
-u : 解锁用户账号
–stdin : (把标准输入改为别的输入)为用户添加密码的时候用非标准输入进行创建密码
-x : 设定密码最长使用期限
-n : 设定密码最短使用期限
密码安全性策略:
足够复杂、够长、交叉应用数字、大小写字母和特殊中的至少三种
尽量避免使用易猜测的密码;定期更换
如果将/etc/shadow中的某个用户密码删除,不是不能登录系统,而是不需要密码即可登录
加密的方式:对称加密
公钥加密
单项加密 (主要目的在于提取数据的特征值,拿到一段数据可以提取这个数据的特征码。)
特点有:1.单项
2.雪崩效应(不管密码有多长,只要初始条件有一点点改动,结果将有巨大的变化)
3.定长输出(无论你输入有多长,而加密有的结果都是一样的。)
经常用的单项加密是
MD5(128bit定长输出) , sha1(160bit定长输出)
用户密码为“!!”指没有密码
“ $1$8kkXoZno$naC13rWnhoKfcMyiZr5qy9/ ”
(1代表是MD5算法)$杂质(盐)$内容
数字6表示用的是SHA512加密
八、修改帐号日期属性
#chage [Option] [Login]
-E:指定账号被锁定的日期<YYYY-MM-DD> -I
-m:指定用户改变密码所间隔的最小天数
-M:指定密码有效的最大天数
-d:指定自从1997年1月1日起密码被改变的天数
-w:指定密码过期前要向用户发出警报的天数
=============================================
权限管理
=============================================
Linux权限管理:
属主---属组---其他
权限:read,write,execute
r w x
文件:
r:可以使用内容查看类的命令来显示其相关内容;
w:可以使用编辑器修改其内容;
x:可以将其发起一个进程;
目录:
r:可以使用ls命令查看目录内容的文件信息;
w:可以创建、删除文件l;
x:可以使用ls -l命令查看目录内容的文件信息,并且可以使用cd命令切换此目录为工作目录;
用户不拥有某位权限,则使用"-"占位;
如:
r-x:可读、可执行;r--:只读
修改文件的属主、属组;仅有管理员可执行:chown,chgrp
该文件权限: chmod
000: --- , 0
001: --x ,1
010: -w- ,2
011: -wx ,3
100: r-- ,4
101: r-x ,5
110: rw- ,6
111: rwx ,7
通过2进制转换为8进制
#chmod命令:
(1)操作3类用户的权限,使用8进制形式;
#chmod [-R] OCTAL-MODE file...
-R:递归更改目录及其内部文件权限
(2)操作指定类别用户的权限:使用u,g,o,a来赋权,基于=或+/-来进行;
#chmod [u|g|o|a] [=|-|+]
u:属主
g:属组
o:其他
a:所有
=:操作制定类别用户的权限
+/-:操作指定类别用户的单个权限
+x:省略前面的u,g,o即表示所有a
(3)参照其他文件的权限为当文件的赋权.
#chmod [-R] --reference=参照文件 需要修改文件
修改文件的属主或属组:chown,chgrp:
-R:递归
--reference=
#chown [option] UserName file --->更改属主
或者:#chown [option] UserName [:|.] GrpName file --->属主、属组同时更改
#chown [option] :GrpName file --->更改属组
#chgrp [option] GrpName file --->更改属组
#umask
创建文件:666-umask
文件默认绝不允许出现执行权限!
如设置:umask 023
666-023=643+1(如果出现将+1)
创建目录:777-umask
root:022
如果用户名和基本组一致:002,否则则为:022
权限应用模型:
进程的属主,是否与文件的属主相同;如果相同,进程则以文件属主的权限来访问文件;否则进程的属主所属的组,是否其中之一与文件的属组相同;如果相同,进程则以文件属组的权限来访问文件;否则进程则以文件的其他用户的权限来访问文件;
