用户、组和权限管理
Multi-tasks,Multi-Users
每个使用者:
用户标识、密码【一种认证手段】;
Authentication(认证)
Authorization(授权)
Audition(审计)
3A
组:用户组,用户的容器【便于实现权限分配,有些系统称为角色,类似角色但不完全相同】
用户类别:
管理用户;
普通用户:
系统用户
登录用户
用户标识:UserID(简称UID)
16bits二进制数字表示:0-65535
管理员是0
普通用户是1-65535【基本上是到60000】
系统用户是1-999(centos7)
登录用户是1000-60000(centos7)
名称解析:名称转换
Username <-->UID
根据名称解析库进行:/etc/passwd [passwd为解析库文件] (LDAP轻量级目录访问协议,通常用户用户及目录访问的)
组
组类别1:
管理员组
普通用户组
系统组
登陆组
组标识:GroupID(简称GID)
16bits二进制数字表示:0-65535
管理员组是0
普通用户组是1-65535【基本上是到60000】
系统用户是1-999(centos7)
登录用户是1000-60000(centos7)
名称解析:名称转换
groupname <-->GID
解析库:/etc/group
组类别2:
用户的基本组
用户的附加组
组类别3:
私有组:组名同用户名,且只包含一个用户;
公共组:组内包含了多个用户。
认证信息:
通过对比事先存储的,与登录时提供的信息是否一致;
password存放位置【加密存储】:
/etc/shadow 用户密码
/etc/gshadow 组密码
密码使用策略:
1、使用随机密码;
2、最短长度不要低于8位;
3、大小写字母、数字、特殊符号;
4、定期更换。
加密算法:
对称加密:加密和解密使用同一个密码;
非对称加密:加密和解密使用的一对密钥:
公钥:public key
私钥:private key
单向加密:只能加密,不能解密【提取数据特征码,Linux用户密码是用此方法,即单向加密】;
定长输出【sha512sum,md5sum】
雪崩效应(初始条件微小改变引起结果巨大变化)
算法:
md5:message digest 5是版本号,定长输出128 bits
sha:secure hash algorithm,定长输出160bits
sha224/256/384/512
在计算之时加salt:随机数【使用场景,不同用户相同密码加密值依然不一样】
使用md5sum查看差一个字符加密算值差多少
/etc/passwd:用户的信息库
name:password:UID:GID:GECOS:directory:shell
name:用户名
password:可以是加密的密码,也可以是x(占位符)
GID:用户所属的主组ID
GECOS:用户的注释信息
directory:用户的家目录
shell:用户默认的shell,登陆时默认的shell
如果passwd文件中的密码是占位符x,那么真正的密码存储于/etc/shadow文件中
shadow文件中:
用户名:$加密算法$salt$密码:最近修改日期:最短使用期限:最长使用期限:警告期限:过期期限:保留字段
第一个$与第二个$指的是加密算法,1是md5,2-6指的是上面的sha算法
第二个$与第三个$中间是salt
第三个$到冒号之间是加密后的密码
后面的是最后一次更改密码的日期,1970之后的天数,空表示此功能被禁用
后面是密码最短使用期限
后面是密码最长使用期限
密码警告时间段
密码禁用期
账号过期日期,从1970年1.1开始的天数
/etc/group:组的信息库
group_name:password:GID:user_list
这里的user_list值得之该组的用户成员,即以此组为附加组的用户的用户列表。
相关命令:useradd,userdel,usermod,passwd,groupadd,groupdel,groupmod,gpasswd,chage,chsh,id,su
Linux用户和组管理
安全上下文:
进程以其发起者的身份运行;进程对文件的访问权限,取决于发起此进程的用户据权限。
系统用户:为了能够让那些后台进程或服务类进程以非管理员的身份运行,通常需要为此创建多个普通用户,此类用户从不用登录系统,例如mysql、squid等。
groupadd:添加组
groupadd [options] group
-g :GID,指定GID,默认是上一个组的GID+1
-r:创建系统组
groupmod:修改组属性
groupmod [options] GROUP
-g 修改GID
-n 修改组名 -n 新组名 旧组名
groupdel:删除组
groupdel [options] GROUP
useradd:创建用户
如果没有指定用户组的话,系统会自动创建一个与用户名同名的私有组
-u 指定UID
-f 0或-1设置过了期限之后能否继续使用
-g 指定基本组GID或组名称,此组得事先存在
-c 指明注释信息
-G 指定用户所属的附加组,多个组之间用逗号分隔GROUP1[,GROUP2,...[,GROUPN]]]
-d 以指定的路径为用户的家目录,通过复制/etc/skel此目录并重命名实现,指定的家目录路径存在,则不会为用户复制环境配置文件
-s 指定用户的默认shell,可用的所有shell列别存储在/etc/shells文件中
-r 创建系统用户
-M 不为用户创建主目录
注意:创建用户时的诸多默认设定配置文件在/etc/login.defs中
useradd -D 显示许多用户创建时的基本默认信息,修改的结果保存于/etc/default/useradd
可以通过useradd -D 后面添加选项做一些操作,也可以直接改文件信息。
usermod:修改用户属性
usermod [options] LOGIN
-u 修改uid,新id
-g 修改用户所属基本组
-G 修改附加组,原来的附加组会被覆盖
-a append 与-G 一同使用,用于为用户追加新的附加组;
-c comment 修改注释信息
-d 修改家目录,原有文件不会转移
-m 与-d一同使用,将原来的家目录文件移动到新目录
-l 修改用户名
-s 修改用户的默认shell
-L 锁定用户密码lock,即在原来的密码字符串之前添加一个!;
-U unlock解锁用户的密码。
userdel : 删除用户
userdel option login
-r 删除用户时一并删除家目录【因为默认情况下删除用户,此用户家目录文件不会被删除】;
passwd:修改密码
不带任何选项是指修改当前用户密码;
passwd username 修改指定用户密码,仅root用户有次权限
-l 锁定
-u 解锁
-d 清除用户密码
-e expire 过期期限,日期;
-i 非活动期限 days;
-n 密码的最短使用期限
-x 最长使用期限;
-w 警告期限
--stdin 重定向至标准输入 例如echo "password" | passwd --stdin docker 即能够将password这个字符串设置为docker这个用户的密码
gpasswd:给组定义密码
给组添加密码的意义:避免用户乱切换组,导致创建的文件的 属组错乱,如果一个用户有多个组,那么在这些组中使用,newgrp 对应的组名称 即可无需密码切换基本组。
组密码文件:/etc/gshadow
gpasswd option group
-a USERNAME : 向组中添加用户
-d USERNAME:从组中删除用户
newgrp 临时切换基本组
可以是直接连接group名称,也可以是newgrp - groupname,-会模拟 用户重新登陆以实现重新初始化其工作环境。
chage 更改用户密码过期信息
chage option login
id 显示用户真实和有效的id信息
id option user
-u 仅显示有效的uid;
-g 仅显示用户的基本组ID;
-G 显示用户所属的所有组ID;
-n 显示名称而不是ID;
su 切换用户switch user
登录式切换
会通过读取目标用户的配置文件来重新初始化
su - username
非登录式切换
不会读取目标用户的配置文件来初始化
su username
su USERNAME -c command以目标用户执行命令
管理员可无密码切换其他任意用户,其他用户切换不同用户均需要目标用户密码。
其他命令:chsh修改shell,finger查询用户信息,chfn修改finger里的基本信息,whoami当前用户是谁,grpck组检查,pwck用户信息检查。