用戶分類

普通用戶：由管理員創(chuàng)建一般在/home下吠冤，權限小于超級用戶 UID為 Centos7 1000-60000,C6 500-60000 可以用? ?登錄shell 一般在/bin/shell解析器下

超級用戶 :用戶名rootUID為0 權限最高 拯辙，系統(tǒng)管理員颜价，一般禁止使用root用戶登錄登錄安全

虛擬用戶：(傀儡用戶) 登錄shell /sbin/nologin??作用就是滿足進程啟動時對用戶和組的要求uid 1-499

相關配置文件

/etc/passwd ：用戶主配置文件诉濒，用戶的各個屬性（UID，GID专挪，家目錄片排，登錄shell）

retc/passwd；用戶信息迫卢；root:x：0：0：root:/root:/bin/bash#以冒號為分隔符冶共；

第一列：用戶名稱捅僵；

第二列：用戶的密碼；x->不可見->/etc/shadow庙楚；

第三列：用戶的UID

第四列：用戶組的GID

第五列：用戶的描述信息馒闷；（手機號；等等）

第六列：用戶的家目錄；

第七列：用戶的登錄Shel1航揉；/bin/bash-->正常登錄/sbin/nologin禁止登錄

https://www.processon.com/view/link/5a311039e4b0c105af7b47

/etc/shadow 用戶密碼與文件存放密碼及密碼的屬性(失效時間帅涂，密碼修改時間)

bin:*:18353:0:99999:7:::? ?

/etc//login.defs??創(chuàng)建用戶系統(tǒng)配置媳友，對應文件詳細信息

/etc/group??組文件，存放用戶組及屬性

用戶組：類似于人的家庭 一個用戶可以在多個組里 一個組可以有多個用戶哼御，用戶組，在創(chuàng)建用戶時默認產(chǎn)生看靠，且UID和GID相同

useradd? 創(chuàng)建用戶和usermod修改用戶信息 相關參數(shù)

-u指定uid? -g 指定屬于的組液肌，-e指定過期時間? -d指定家目錄 -M 不創(chuàng)建家目錄? -s指定登錄解析器? chage -l 查看用戶修改信息時間? ? ?groupadd 創(chuàng)建組

解決upload安全辦法

1）程序：控制這個目錄上傳的內(nèi)容只能是谤祖。jpg,.zip

2)nginx:針對upload訪問的時候老速，除了。jpg .zip之外容客，不提供訪問

3）動態(tài)服務器和靜態(tài)服務器分離约郁，訪問的時候只有靜態(tài)服務器（不安裝PHP，java供置，python）

4）不讓執(zhí)行：磁盤上掛載的時候绽快，設置禁止程序運行（二進制程序）。

1.suid

1）suid（setuid）位通過S字符標識续担。

2）存在于基本權限的用戶權限位的x權限對應的位置活孩。

3）如果用戶權限位對應的x權限位上有x權限憾儒，則suid就用小寫的s標識。

4）suid的s對應的數(shù)字權限為4起趾。

5）完整權限用八進制數(shù)4000表示训裆。

數(shù)字權限設置suid：

chmod?4644?suid.txt

[root@oldboy?oldboy]#?chmod?4644?suid.txt

[root@oldboy?oldboy]#?ls?-l?suid.txt

-rwSr--r--.?1?root?root?0?5月??21?11:55?suid.txt

[root@oldboy?oldboy]#?chmod?u+x?suid.txt

[root@oldboy?oldboy]#?ls?-l?suid.txt

-rwsr--r--.?1?root?root?0?5月??21?11:55?suid.txt

取消：

[root@oldboy?oldboy]#?chmod?644?suid.txt

[root@oldboy?oldboy]#?ls?-l?suid.txt

-rw-r--r--.?1?root?root?0?5月??21?11:55?suid.txt

字符設置suid

chmod?u+s?suid.txt

ls?-l?suid.txt

chmod?u-s?suid.txt

ls?-l?suid.txt

oldboy用戶使用passwd命令蜀铲，修改/etc/shadow文件汛闸，來實現(xiàn)修改密碼的诸老。勤奮1s-1/etc/shadow

[oldboyColdboy ~]$1s-1/etc/shadow

--.1 root root 24845月2112：10/etc/shadow傳統(tǒng)權限分析，oldboy是其他用戶蹄衷，修改/etc/shadow權限---厘肮，沒有權限修改。类茂。

事實呢巩检？改了

suid的特殊作用：可以繞過基礎權限體系，可以修改沒有權限修改的文件兢哭。

基于二進制命令的迟螺。

[oldboy@oldboy ～]$1s-1'which passwd

-rwsr-xr-x.1 root root 27856 4月12020/bin/passwd

1）給一個命令設置suid以后，所有使用這個命令的用戶锉桑，都擁有和這個命令對應的用戶的權限

4.suid 核心知識小結

1）suid功能是是針對二進制命令或程序的窍株，不能用在Shell等類似腳本文件上。

2）用戶或屬主對應的前三位權限的x位上，如果有s（S）就表示具備suid權限辙诞。

3）suid的作用就是讓普通用戶可以在執(zhí)行某個設置了suid位的命令或程序時飞涂，擁有和命令對應屬主（一般為root管理員）一樣的身份和權限（默認）祈搜。

4）二進制命令程序需要有可執(zhí)行權限x配合才行士八。

5）suid對應的身份和權限僅在程序命令執(zhí)行過程中有效。

6）suid是一把雙刃劍蘸秘，是一個比較危險的功能蝗茁，對系統(tǒng)安全有一定的威脅，企業(yè)里用戶授權可以使用sudo等替代suid功能颈嚼。授權suid破壞性

7）在進行安全優(yōu)化時饭寺，系統(tǒng)中默認設置了suid權限的命令要取消掉限煞。