資源分派
- Authentication: 認(rèn)證
- Authorization: 授權(quán)
- Accountiong(Audition): 審計
Linux用戶: Username/UID
- 管理員: root,0
- 普通用戶: 1-65535
- 系統(tǒng)用戶: 1-499(centos7 1-999)
- 守護進程獲取資源進行權(quán)限分配
- 登錄用戶: 500+(centos7 999+)
- 交互式登錄
- 系統(tǒng)用戶: 1-499(centos7 1-999)
Linux組:Groupname/GUI
- 管理員組: root,0
- 普通組:
- 系統(tǒng)組: 1-499(centos7 1-999)
- 普通組: 500+(centos7 999+)
Linux安全上下文:
- 運行中的程序: 進程(process)
- 以進程發(fā)起者的身份運行:
- root: cat
- tom: cat
- 進程所能夠訪問的所有資源的權(quán)限取決于進程的發(fā)起者的身份;
- 以進程發(fā)起者的身份運行:
Linux組的類別:
- 用戶的基本組(主組)
- 組名同用戶名刽射,且僅包含一個用戶:私有組
- 用戶的附加組(額外組)
Linux用戶和組相關(guān)的配置文件
- /etc/passwd: 用戶及其屬性信息(名稱顶猜、UID击蹲、用戶組ID等等)
- account:password:UID:GID:GECOS:directory:shell
- 用戶名:密碼:用戶id:用戶的基本組id:用戶的基本信息(逗號分割):主目錄:默認(rèn)shell
- /etc/group: 組及其屬性信息
- group_name:passwd:GID:user_list
- 組名:組密碼占位符:組id:以當(dāng)前組為附加組的用戶列表(分割符為逗號)
- /etc/shadow: 用戶密碼及其相關(guān)屬性
- 一共有9個字段
- login name: 登錄名
- encrypted password: 加密后的密碼
- date of last password change: 最近一次更改密碼的時間
- minimum password age: 密碼最小使用期限
- maximum password age: 密碼的最大使用期限
- password warning period: 密碼的警告時間段
- password inactivity period: 密碼禁用期
- account expiration date: 賬號過氣日期
- reserved field: 保留字段
- 一共有9個字段
- /etc/gshadow: 組密碼及其相關(guān)屬性
用戶和組相關(guān)的命令
用戶創(chuàng)建: useradd
synopsis
useradd [options] LOGINNAME
options
- -u,--uid [UID-MIN,UID-MAX]: 指明用戶ID ([UID-MIN,UID-MAX]定義在/etc/login.defs
- -g,--gid GID: 指名用戶所屬基本組,可為組名或者組id
- -c --comment"COMMENT": 用戶的注釋信息
- -d,--home PATH/TO/HOME_DIR: 指定用戶家目錄(若不指明則會在/home/目錄下創(chuàng)建與username同名的目錄)
系統(tǒng)在創(chuàng)建家目錄時會自動復(fù)制/etc/skel/文件夾下的文件到家目錄
- -s PATH/TO/SHELL: 指明用戶的默認(rèn)SHELL, 可用shell在/etc/shells
- -G,--groups gid1,gid2....: 指明用戶的附加組多個附加用逗號隔開,組id事先必須存在
- -D: 更改默認(rèn)值(默認(rèn)值保存在/etc/useradd/中)
- -r: 創(chuàng)建系統(tǒng)用戶
用戶組創(chuàng)建: groupadd
synopsis
groupadd [options] group_name
options
- -g GID: 指明GID([GID_MIN,GID_MAX])
- -r: 創(chuàng)建系統(tǒng)組
查看用戶相關(guān)的ID信息: id
synopsis
id [options] [username]
options
- -u: UID
- -g: GID
- -G: Groups
- -n: 顯示名稱
用戶切換:su
synopsis
su [OPTION]... - [USER [ARG]...]: 登錄式切換 會讀取目標(biāo)用戶的配置文件
su [OPTION]... [USER [ARG]...]:非登錄式切換 不會讀取目標(biāo)用戶的配置文件
options
- -c "COMMAND": 以其他用戶的身份執(zhí)行命令
su - root -c "cat /etc/shadow" - -l: 登錄式切換
用戶屬性修改: usermod
synopsis
usermod [options] LOGIN
options
- -u,--uid [UID-MIN,UID-MAX]: 指明用戶ID ([UID-MIN,UID-MAX]定義在/etc/login.defs
- -g,--gid GID: 指名用戶所屬基本組,可為組名或者組id
- -c --comment"COMMENT": 用戶的注釋信息
- -G,--groups gid1,gid2....: 新的附加組(注意! 會覆蓋原有的附加組, 若想追加則需要-a 選項)
- -s PATH/TO/SHELL: 指明用戶的默認(rèn)SHELL, 可用shell在/etc/shells
- -d,--home PATH/TO/HOME: 新的家目錄 原有家目錄中的文件不會同時移動至新的家目錄妇多,若要移動使用-m選項
- -l: 新登錄名
- -L login: 鎖定指定用戶
- -U login: 解鎖指定用戶
- -e: 指明賬號禁用日期
- -f: 指明非活動期限
給用戶添加或修改密碼: passwd
synopsis
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
passwd UserName: 修改指定用戶的密碼(僅系統(tǒng)管理員可用)
passwd: 修改自己的密碼
options
- -l: 鎖定指定用戶
- -u: 解鎖指定用戶
- -n: 最短使用期限
- -x: 最大使用期限
- -w: 提前多少天開始警告用戶修改
- -i: 非活動期限
- -e: 設(shè)定密碼的過期期限
- --stdin: 從表傳輸入接收用戶密碼
echo "passwd" | passwd --stdin USERNAMENote:
/dev/null, bit buckets
/dev/zero
刪除用戶: userdel
synopsis
userdel [options] login
options
- -r: 刪除用戶家目錄
組修改groupmod
synopsis
groupmod [options] GROUP
options
- -n group_name: 新的組名
- -g GID: 新的GID
組刪除groupdel
synopsis
groupdel groupname
組密碼添加或修改gpasswd
synopsis
gpasswd [option] group
gpasswd group: 修改組密碼
options
- -a user: 將user添加至指定組中
- -d user: 刪除用戶user的指定附加組
- -A user: 設(shè)置有管理權(quán)限的用戶
基本組臨時切換:newgrp
synopsis
newgrp groupname
Note: 如果groupname 是自己的附加組則不需要密碼,否則需要
更改用戶密碼過期信息: chage
synopsis
chage [options] [LOGIN]
options
- -d, --lastday LAST_DAY
- -E, --expiredate EXPIRE_DATE
- -I, --inactive INACTIVE
- -m, --mindays MIN_DAYS
- -M, --maxdays MAX_DAYS
- -W, --warndays WARN_DAYS
其他命令
- chfg: 修改用戶詳細(xì)信息
- chsh: 修改用戶默認(rèn)shell
- finger: 顯示用戶詳細(xì)信息
加密工具
- md5: message digest(128bits)
- sha1: secure hash algorith,(160bits)
- sha224: 224bits
- sha384: 384bits
- sha512: 512bbits
密碼復(fù)雜性策略:
- 1、使用數(shù)字燕侠、大寫字母者祖、小寫字母及特殊字符至少三種
- 2、足夠長
- 3绢彤、使用隨機密碼
- 4七问、定期更換、不要使用最經(jīng)曾經(jīng)使用的密碼
