用戶組和權限管理
介紹安全3A
資源分派:認證�,授權���,審計
用戶和組
用戶user
組group
組的類別
主(要)組:一個用戶必須屬于一個組作為主組
輔助組/附加組/附屬組:可有可無�,可以多個��,附加組��,附屬組
安全上下文
用戶和組的配置文件
/etc/passwd:用戶及其屬性信息(名稱���、UID�����、主組ID等)
/etc/group:組及其屬性信息
/etc/shadow:用戶密碼及其相關屬性
/etc/gshadow:組密碼及其相關屬性
passwd文件格式
login name:登錄用名(wang) ?
passwd:密碼 (x) ?
UID:用戶身份編號 (1000) ?
GID:登錄默認所在組編號 (1000) ?
GECOS:用戶全名或注釋 ?
home directory:用戶主目錄 (/home/wang) ?
shell:用戶默認使用shell (/bin/bash)
shadow文件格式
登錄用名 ?
用戶密碼:一般用sha512加密 ?
從1970年1月1日起到密碼最近一次被更改的時間 ?
密碼再過幾天可以被變更(0表示隨時可被變更) ?
密碼再過幾天必須被變更(99999表示永不過期) ?
密碼過期前幾天系統提醒用戶(默認為一周) ?
密碼過期幾天后帳號會被鎖定 ?
從1970年1月1日算起��,多少天后帳號失效
群組名稱:就是群的名稱 ?
群組密碼: ?
組管理員列表:組管理員的列表�,更改組密碼和成員 ?
以當前組為附加組的用戶列表:多個用戶間用逗號分隔
group文件格式
群組名稱:就是群組名稱 ?
群組密碼:通常不需要設定�,密碼是被記錄在 /etc/gshadow ?
GID:就是群組的 ID -
以當前組為附加組的用戶列表(分隔符為逗號)
例:用戶和組查看配置文件
finger
查看用戶的相關信息
例:查看用戶wang的下相關信息
getent
只看指定用戶的相關信息
例:看root��,wang的相關信息
文件操作
vipw和vigr ?
pwck和grpck
用戶和組管理命令
用戶管理命令 ?
useradd ?
usermod ?
userdel ?
組帳號維護命令 ?
groupadd ?
groupmod ?
groupdel
useradd
用戶創建
常用選項
新建用戶的相關文件和命令
/etc/default/useradd ?
/etc/skel/* ?
/etc/login.defs ?newusers passwd格式文件 批量創建用戶
chpasswd 批量修改用戶口令
批量修改用戶密碼
usermod
用戶屬性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主組
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加組�����,原來的附加組將會被 覆蓋����;若保留原有��,則要同時使用-a選項
-s SHELL:新的默認SHELL
-c 'COMMENT':新的注釋信息
-d HOME: 新家目錄不會自動創建���;若要創建新家目錄并移動原家數據��, 同時使用-m選項
-l login_name: 新的名字
-L: lock指定用戶,在/etc/shadow 密碼欄的增加 !
-U: unlock指定用戶,將 /etc/shadow 密碼欄的 ! 拿掉
-e YYYY-MM-DD: 指明用戶賬號過期日期
-f INACTIVE: 設定非活動期限
追加附加組
刪除附加組
userdel
刪除用戶
id
查看用戶相關的ID信息
-u: 顯示UID
-g: 顯示GID
-G: 顯示用戶所屬的組的ID
-n: 顯示名稱�,需配合ugG使用
su
切換用戶或以其他用戶身份執行命令
設置密碼
passwd :修改指定用戶的密碼
常用選項
-d:刪除指定用戶密碼
-l:鎖定指定用戶
-u:解鎖指定用戶
-e:強制用戶下次登錄修改密碼
-f:強制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天開始警告
-i inactivedays:非活動期限
--stdin:從標準輸入接收用戶密碼
示例:echo "PASSWORD" | passwd --stdin USERNAME
組
groupadd :創建組
groupdel :刪除組
groupmod :組屬性修改
gpasswd :組密碼
newgrp:臨時切換主組, 如果用戶本不屬于此組��,則需要組密碼
更改和查看組成員
groups :查看用戶所屬組列表成員
修改文件的屬主和屬組
chown
修改文件的屬主
chgrp
修改文件的屬組
文件權限
文件屬性
三種權限
chown
修改所有者
chmod
修改文件權限(rwx|X)
文件:
r 可使用文件查看類工具獲取其內容
w 可修改其內容
x 可以把此文件提請內核啟動為一個進程 ?
目錄:
r 可以使用ls查看此目錄中文件列表
w 可在此目錄中創建文件���,也可刪除此目錄中的文件
x 可以使用ls -l查看此目錄中文件元數據(須配合r)���,可以cd進入此目錄
X 只給目錄x權限���,不給文件x權限
chmod
-R: 遞歸修改權限 ?
MODE: 修改一類用戶的所有權限
u= g= o= ug= a= u=,g=
修改一類用戶某位或某些位權限
u+ u- g+ g- o+ o- a+ a- + - ?
chmod [OPTION]... --reference=RFILE FILE...
參考RFILE文件的權限�,將FILE的修改為同RFILE
權限設置示例
chgrp sales testfile ?
chown root:admins testfile ?
chmod u+wx,g-r,o=rx file ?
chmod -R g+rwX /testdir ?
chmod 600 file ?
chown mage testfile
去掉wang賬號所有者的讀寫權限�,去掉所屬組的寫權限���,去掉其他的寫權限
給wang賬號所有者加上讀寫執行權限
chmod -X
只針對文件夾加權限
新建文件和目錄的默認權限
umask
可以用來保留在創建文件權限
對應的權限位遮掩住���, 666|777 umask=000,新建文件基于安全原因��,不允許有執行權限
簡捷方法
默認權限:
目錄=777-umask
文件=666-umask , 觀察結果有奇數+1
將umask寫入文件保存:
練習
建一個臨時權限為000的文件���,臨時改umask的權限
umask -S 以模式方式顯示
例:
umask -p : 輸出結果可被調用
例:直接寫入 .bashrc文件
Linux文件系統上的特殊權限
可執行文件上SUID權限
可執行文件上SGID權限
Sticky 位
權限位映射
設定文件特定屬性
例:
ACL訪問控制列表
實現靈活的權限管理除了文件的所有者�,所屬組和其它人�,可以對更多的用戶設置權限
ACL權限生效次序:
所有者�,ACL中自定義用戶�,ACL自定義的組���,所屬組�����,other
注意:
setfacl
是用來在命令行里設置ACL(訪問控制列表)
例:給wang賬號設置ACL權限
getfacl
查看文件權限
mask
設置除所有者和other以外的用戶或組的最高權限
加了ACL權限后組權限是mask權限 而不是group組權限
mask權限限高桿�,其他用戶的權限不能超過mask權限
例:
setfacl -x:
例:去掉wang賬戶的權限
setfacl -b
清除文件上所有ACL權限
例: 清除a.log文件上所有ACL權限
set
選項會把原有的ACL項都刪除���,用新的替代�����,需要注意的是一定要包含 UGO的設置����,不能象-m一樣只是添加ACL就可以
例:
備份和回復ACL權限
setfacl -b
還原文件權限
例: 還原/data 目錄下所有文件及文件夾權限
cp -p
復制保留文件ACL權限
