用户组和权限管理

介绍安全3A

资源分派:认证,授权,审计

用户和组

用户user

《用户组和权限管理》

组group

《用户组和权限管理》
组的类别

主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组

安全上下文

《用户组和权限管理》

用户和组的配置文件

 /etc/passwd:用户及其属性信息(名称、UID、主组ID等) 
 /etc/group:组及其属性信息 
 /etc/shadow:用户密码及其相关属性 
 /etc/gshadow:组密码及其相关属性 

passwd文件格式

login name:登录用名(wang) 
passwd:密码  (x) 
UID:用户身份编号 (1000) 
GID:登录默认所在组编号  (1000) 
GECOS:用户全名或注释 
home directory:用户主目录 (/home/wang) 
shell:用户默认使用shell (/bin/bash) 

shadow文件格式

登录用名 
用户密码:一般用sha512加密 
从1970年1月1日起到密码最近一次被更改的时间 
密码再过几天可以被变更(0表示随时可被变更) 
密码再过几天必须被变更(99999表示永不过期) 
密码过期前几天系统提醒用户(默认为一周) 
密码过期几天后帐号会被锁定 
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称 
群组密码: 
组管理员列表:组管理员的列表,更改组密码和成员 
以当前组为附加组的用户列表:多个用户间用逗号分隔 

group文件格式

群组名称:就是群组名称 
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow  
GID:就是群组的 ID  -
以当前组为附加组的用户列表(分隔符为逗号) 

例:用户和组查看配置文件
《用户组和权限管理》
《用户组和权限管理》
《用户组和权限管理》
《用户组和权限管理》

finger

查看用户的相关信息
例:查看用户wang的下相关信息
《用户组和权限管理》

getent

只看指定用户的相关信息
例:看root,wang的相关信息
《用户组和权限管理》

文件操作

vipw和vigr 
pwck和grpck 

用户和组管理命令

用户管理命令 
        useradd 
        usermod 
        userdel 
组帐号维护命令 
        groupadd 
        groupmod 
        groupdel 

useradd

用户创建
常用选项

《用户组和权限管理》
《用户组和权限管理》

新建用户的相关文件和命令

/etc/default/useradd  
/etc/skel/*  
/etc/login.defs newusers  passwd格式文件  批量创建用户  
chpasswd  批量修改用户口令 

批量修改用户密码
《用户组和权限管理》

usermod

用户属性修改

usermod [OPTION] login 
        -u UID: 新UID  
        -g GID: 新主组  
        -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项  
        -s SHELL:新的默认SHELL  
        -c 'COMMENT':新的注释信息  
        -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项  
        -l login_name: 新的名字  
        -L: lock指定用户,在/etc/shadow 密码栏的增加 !   
        -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉  
        -e YYYY-MM-DD: 指明用户账号过期日期  
        -f INACTIVE: 设定非活动期限 

追加附加组
《用户组和权限管理》
删除附加组
《用户组和权限管理》

userdel

删除用户
《用户组和权限管理》

id

查看用户相关的ID信息

     -u: 显示UID  
     -g: 显示GID  
     -G: 显示用户所属的组的ID  
     -n: 显示名称,需配合ugG使用 

su

切换用户或以其他用户身份执行命令
《用户组和权限管理》

设置密码

passwd :修改指定用户的密码

常用选项

-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
–stdin:从标准输入接收用户密码
示例:echo “PASSWORD” | passwd –stdin USERNAME

groupadd :创建组
《用户组和权限管理》
groupdel :删除组
groupmod :组属性修改
《用户组和权限管理》
gpasswd :组密码
《用户组和权限管理》
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码

更改和查看组成员

《用户组和权限管理》

groups :查看用户所属组列表成员

修改文件的属主和属组

chown

修改文件的属主
《用户组和权限管理》
《用户组和权限管理》

chgrp

修改文件的属组
《用户组和权限管理》

文件权限

文件属性

《用户组和权限管理》
《用户组和权限管理》

三种权限

《用户组和权限管理》
《用户组和权限管理》
《用户组和权限管理》
《用户组和权限管理》

chown

修改所有者
《用户组和权限管理》

chmod

修改文件权限(rwx|X)
《用户组和权限管理》

文件:
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程 
目录:
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件
x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
X 只给目录x权限,不给文件x权限

chmod

-R: 递归修改权限 
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + – 
chmod [OPTION]… –reference=RFILE FILE…
参考RFILE文件的权限,将FILE的修改为同RFILE

权限设置示例

chgrp sales testfile 
chown root:admins testfile 
chmod u+wx,g-r,o=rx file 
chmod -R g+rwX /testdir 
chmod 600 file 
chown mage testfile

去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
《用户组和权限管理》
给wang账号所有者加上读写执行权限
《用户组和权限管理》

chmod -X

只针对文件夹加权限
《用户组和权限管理》

新建文件和目录的默认权限

umask

可以用来保留在创建文件权限
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限

简捷方法

默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1

《用户组和权限管理》
将umask写入文件保存:
《用户组和权限管理》
《用户组和权限管理》

练习

建一个临时权限为000的文件,临时改umask的权限
《用户组和权限管理》

umask -S 以模式方式显示

例:
《用户组和权限管理》

umask -p : 输出结果可被调用

例:直接写入 .bashrc文件
《用户组和权限管理》

Linux文件系统上的特殊权限

《用户组和权限管理》

可执行文件上SUID权限

《用户组和权限管理》

可执行文件上SGID权限

《用户组和权限管理》
《用户组和权限管理》
《用户组和权限管理》

Sticky 位

《用户组和权限管理》

权限位映射

《用户组和权限管理》

设定文件特定属性

《用户组和权限管理》
例:
《用户组和权限管理》

ACL访问控制列表

实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

ACL权限生效次序:

所有者,ACL中自定义用户,ACL自定义的组,所属组,other
注意:
《用户组和权限管理》
《用户组和权限管理》

setfacl

是用来在命令行里设置ACL(访问控制列表)
例:给wang账号设置ACL权限
《用户组和权限管理》

getfacl

查看文件权限

mask

设置除所有者和other以外的用户或组的最高权限
加了ACL权限后组权限是mask权限 而不是group组权限
《用户组和权限管理》
mask权限限高杆,其他用户的权限不能超过mask权限
例:
《用户组和权限管理》

setfacl -x:

例:去掉wang账户的权限
《用户组和权限管理》

setfacl -b

清除文件上所有ACL权限
例: 清除a.log文件上所有ACL权限
《用户组和权限管理》

set

选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
《用户组和权限管理》

备份和回复ACL权限

《用户组和权限管理》

setfacl -b

还原文件权限
例: 还原/data 目录下所有文件及文件夹权限
《用户组和权限管理》

cp -p

复制保留文件ACL权限
《用户组和权限管理》

    原文作者:90001丶冷眸
    原文地址: https://blog.51cto.com/14234291/2443053
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞