密碼
/usr/share/doc/setup*/uidgid
保留的用戶名和組的ID記錄UID,GID-
/etc/login.defs
- 用戶郵件目錄
- 用戶密碼 期限
- 用戶uid/gid 可用的范圍(最小值儡羔,最大值)
- 用戶uid/gid 可用的范圍(最小值逝钥,最大值)
- 用戶創(chuàng)建時(shí)是否創(chuàng)建home目錄
- UMASK 創(chuàng)建用戶家目錄的權(quán)限
- 使用userdel時(shí)疗锐,如果組內(nèi)沒有成員,可以刪除用戶組
- passwd 創(chuàng)建密碼時(shí)的加密方式(SHA512)
/etc/security/pwquality.conf
密碼規(guī)則蝴簇,密碼的復(fù)雜度要求chage ---更改用戶密碼有效期信息
chage -M 90 username
設(shè)置用戶密碼在90天內(nèi)過期
chage <username>
交互式的設(shè)置用戶密碼有效期信息/etc/bashrc
PS1
umask 設(shè)置對(duì)新創(chuàng)建的文件或目錄應(yīng)用哪些權(quán)限
對(duì)PS1修改,shell的定制到/etc/profile.d/下進(jìn)行/etc/profile /etc/profile.d/*.sh
環(huán)境變量、 登陸初始化-
UMASK
出于安全原因,默認(rèn)情況下泞莉,常規(guī)文件不能具有執(zhí)行權(quán)限。因此船殉,即使umask為0000(不禁止任何權(quán)限)鲫趁,新的常規(guī)文件仍然沒有執(zhí)行權(quán)限。但是捺弦,可以使用執(zhí)行權(quán)限創(chuàng)建目錄(目錄777 文件666):- -S 顯示mask后的實(shí)際字符權(quán)限
[john@server tmp]$ umask 0000
[john@server tmp]$ touch file
[john@server tmp]$ mkdir directory
[john@server tmp]$ ls -lh .
total 0
drwxrwxrwx. 2 john john 40 Nov 2 13:17 directory
-rw-rw-rw-. 1 john john 0 Nov 2 13:17 file
[tom@localhost ~]$ umask
0002
[tom@localhost ~]$ umask -S
u=rwx,g=rwx,o=rx
[tom@localhost ~]$
目錄777 文件666
| Utilities | Description |
|---|---|
| id | 顯示用戶和組ID饮寞。 |
| useradd, usermod, userdel | 用于添加,修改和刪除用戶帳戶的標(biāo)準(zhǔn)實(shí)用程序列吼。 |
| groupadd, groupmod, groupdel | 用于添加幽崩,修改和刪除組的標(biāo)準(zhǔn)實(shí)用程序。 |
| gpasswd | 該實(shí)用程序主要用于修改/etc/gshadow文件中的組密碼寞钥,該文件由newgrp命令使用慌申。 |
| pwck, grpck | 可用于驗(yàn)證密碼,組和關(guān)聯(lián)的shadow文件的實(shí)用程序理郑。 |
| pwconv, pwunconv | 可用于將密碼轉(zhuǎn)換為shadow密碼或從shadow密碼轉(zhuǎn)換回標(biāo)準(zhǔn)密碼的實(shí)用程序蹄溉。 |
| grpconv, grpunconv | 與上面的類似,這些實(shí)用程序可用于轉(zhuǎn)換組帳戶的隱藏信息您炉。 |
-
添加用戶
useradd [options] username
| Option | - |
|---|---|
| -c 'comment' | 常用于指定用戶的全名柒爵。 |
| -d home_directory | 要使用的主目錄,而不是默認(rèn)目錄/home/username/. |
| -e date | 帳戶的停用日期赚爵,格式為 YYYY-MM-DD. |
| -f days | 密碼過期后直到禁用帳戶的天數(shù)棉胀。如果指定為0,則密碼過期后立即禁用該帳戶冀膝。如果指定-1唁奢,則密碼過期后不會(huì)禁用該帳戶。 |
| -g group_name -g group_id |
用戶默認(rèn)(主要)組的組名或組號(hào)窝剖。該組必須存在麻掸,然后才能在此處指定。 |
| -G group_list | 用戶的附加組赐纱,以逗號(hào)分隔脊奋。這些組必須存在,然后才能在此處指定疙描。 |
| -m | 如果主目錄不存在狂魔,創(chuàng)建它。 |
| -M | 不要?jiǎng)?chuàng)建主目錄淫痰。 |
| -N | 不要為用戶創(chuàng)建用戶私人組最楷。 |
| -p password | 用crypt加密的密碼 |
| -r | 創(chuàng)建UID小于1000且沒有主目錄的系統(tǒng)帳戶。 |
| -s | 用戶的登錄shell待错,默認(rèn)為 /bin/bash. |
| -u uid | 用戶的用戶標(biāo)識(shí)籽孙,必須唯一且大于999。 |
juan:!!:14798:0:99999:7:::
在/etc/shadow文件的密碼字段中會(huì)出現(xiàn)兩個(gè)感嘆號(hào)(!!)火俄,它會(huì)鎖定該帳戶犯建。
-
創(chuàng)建組
groupadd [options] group_name
| Option | Description |
|---|---|
| -f, --force | 與-g gid一起使用且gid已經(jīng)存在時(shí), groupadd將為該組選擇另一個(gè)唯一的gid瓜客。 |
| -g gid | 群組的群組ID适瓦,必須唯一且大于999竿开。 |
| -K, --key key=value | 覆蓋/etc/login.defs默認(rèn)值。 |
| -o, --non-unique | 允許創(chuàng)建具有重復(fù)GID的組玻熙。 |
| -p, --password password | 對(duì)新組使用此加密密碼否彩。 |
| -r | 創(chuàng)建GID小于1000的系統(tǒng)組。 |
-
usermod 將現(xiàn)有用戶添加到現(xiàn)有組
usermod -g group_name user_name # 改變用戶的屬組 (不保留原有的)
usermod -G group_name1,group_name2,... user_name # 改變用戶的有多個(gè)屬組(不保留原有)
usermod -aG group_name1,group_name2,... user_name # 為用戶添加多個(gè)屬組(保留原有的)
-
passwd [選項(xiàng)] user
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
| 選項(xiàng) | 說明 |
|---|---|
| --help | 顯示幫助文檔 |
| --version | 顯示命令版本 |
| -d | 刪除用戶的密碼嗦随,只有root用戶才能使用 |
| -e | 使用戶密碼失效列荔,強(qiáng)制用戶下次登錄改變密碼,只有root用戶才能使用 |
| -n | 設(shè)置密碼的最短有效時(shí)間枚尼,只有root用戶才能使用 |
| -x | 設(shè)置密碼最大有效時(shí)間贴浙,只有root用戶才能使用 |
| -S | 顯示簡短的密碼信息,只有root用戶才能使用 |
| -l | 鎖定用戶署恍,只有root用戶才能使用 |
| -u | 解鎖用戶崎溃,只有root用戶才能使用 |
| -k | 選項(xiàng)-k用于指示更新只適用于過期的身份驗(yàn)證令牌(密碼);用戶希望像以前一樣保留其未過期的令牌盯质。 |
| -i | 這將設(shè)置此帳戶的過期密碼將被視為不活動(dòng)的天數(shù)笨奠,如果用戶帳戶支持密碼生存期,則應(yīng)禁用該帳戶唤殴。只對(duì)根用戶可用般婆。 |
| -w | 這將設(shè)置用戶將開始收到警告,如果用戶帳戶支持密碼生存期朵逝,其密碼將過期的天數(shù)蔚袍。只對(duì)根用戶可用。 |
| --stdin | 此選項(xiàng)用于指示passwd應(yīng)從標(biāo)準(zhǔn)輸入中讀取新密碼配名,該輸入可以是管道啤咽。echo "password" |passwd --stdin user少用
|
/etc/passwd
name:password:UID:GID:GECOS:directory:shell
GECOS: 注釋,常用全名/etc/shadow
| 字段 | 說明 |
|---|---|
| login name | 登錄名 |
| encrypted password | 加密密碼 |
| date of last password change | 自1970年1月1日以來的最后一次更改密碼 |
| minimum password age | 最小密碼使用期限是允許用戶再次更改密碼之前渠脉, 用戶必須等待的天數(shù)宇整。 |
| maximum password age | 最長密碼使用期限是用戶必須更改密碼的天數(shù)。 |
| password warning period | 密碼到期前的天數(shù)(請(qǐng)參見上面的最長密碼使用 期限)芋膘,在此期間應(yīng)警告用戶鳞青。 |
| password inactivity period | 密碼過期后的天數(shù)(請(qǐng)參見上面的最長密碼使用 期限),在此期間仍應(yīng)接受密碼(用戶應(yīng)在下次 登錄時(shí)更新其密碼)为朋。 |
| account expiration date | 帳戶的到期日期臂拓,表示自1970年1月1日以來的天數(shù)。 |
| reserved field | 該字段保留供將來使用习寸。 |
-
ACLS
-
設(shè)置ACL
setfacl -m rules files
rules:-
u:uid:perms
設(shè)置用戶的訪問ACL胶惰。可以指定用戶名或UID霞溪。該用戶可以是系統(tǒng)上的任何有效用戶孵滞。 -
g:gid:perms
設(shè)置組的訪問ACL中捆。可以指定組名或GID坊饶。該組可以是系統(tǒng)上的任何有效組泄伪。 -
m:perms
設(shè)置有效權(quán)限掩碼。掩碼是擁有組的所有權(quán)限以及所有用戶和組條目的并集幼东。 -
o:perms
為文件組中的用戶以外的用戶設(shè)置訪問ACL臂容。
perms(權(quán)限)必須是字符r科雳,w和x的組合根蟹,才能進(jìn)行讀取,寫入和執(zhí)行糟秘。
例如简逮,向用戶andrius授予讀寫權(quán)限:
# setfacl -m u:andrius:rw /project/somefile
例如,要?jiǎng)h除用戶尿赚,組或其他用戶的所有權(quán)限散庶,請(qǐng)使用-x選項(xiàng),并且不要指定任何權(quán)限:
# setfacl -x rules files
例如凌净,要從具有UID 500的用戶中刪除所有權(quán)限悲龟,請(qǐng)執(zhí)行以下操作:
# setfacl -x u:500 /project/somefile
-
-
恢復(fù)默認(rèn)ACLs
要設(shè)置默認(rèn)ACL,請(qǐng)?jiān)谝?guī)則前添加d:并指定目錄而不是文件名冰寻。
例如须教,要將/ share /目錄的默認(rèn)ACL設(shè)置為對(duì)不在用戶組中的用戶讀取和執(zhí)行(單個(gè)文件的訪問ACL可以覆蓋它):
# setfacl -m d:o:rx /share -
查看ACLs
getfacl
-
設(shè)置ACL
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/index
特殊權(quán)限 suid sgid sticky
-
SUID(setuid)
功用:用戶運(yùn)行某程序時(shí),如果此程序擁有SUID權(quán)限斩芭,那么程序運(yùn)行時(shí)轻腺,進(jìn)程的屬主不是發(fā)起者,而是程序文件自己的屬主划乖。
設(shè)置setuid后在屬主的x位表示
| 文件 | 原權(quán)限 | 有無執(zhí)行權(quán)限 | 加suid后的權(quán)限 | 是否有效 |
|---|---|---|---|---|
| file | -rw-r--r-- | 無 | -rwSr--r-- | 無 |
| file | -rwxr--r-- | 有 | -rwsr--r-- | 有 |
- sgid(setgid)
功用:當(dāng)目錄屬組有寫權(quán)限贬养,且有SGID權(quán)限時(shí),那么所有屬于此目錄的屬組琴庵,且以屬組的身份在此目錄中新建文件或者目錄時(shí)误算,新文件的屬組不是用戶的基本組,而是此目錄的屬組迷殿。
設(shè)置setgid后在屬組的x位表示
| 目錄 | 原權(quán)限 | 有無執(zhí)行權(quán)限 | 加suid后的權(quán)限 | 是否有效 |
|---|---|---|---|---|
| Dir | drwxr--r-x | 無 | drwxr-Sr-x | 無 |
| Dir | drwxr-xr-x | 有 | drwxr-sr-x | 有 |
-
sticky
功用:對(duì)于屬組或全局可寫的目錄尉桩,組內(nèi)的所有用戶或系統(tǒng)上的所有用戶對(duì)在此目錄中都能創(chuàng)建新文件或刪除所有的已有文件,如果為此類目錄設(shè)置sticky權(quán)限贪庙,則每個(gè)用戶都能創(chuàng)建新文件蜘犁,且只能刪除自己的文件。
設(shè)置sticky后在全局(other)的x位表示
| 目錄 | 原權(quán)限 | 有無執(zhí)行權(quán)限 | 加suid后的權(quán)限 | 是否有效 |
|---|---|---|---|---|
| Dir | drwxrwxrwx | 無 | drwxrwxrwT | 無 |
| Dir | drwxrwxrwx | 有 | drwxrwxrwt | 有 |
設(shè)置方法
| 名稱 | 命令 | 說明 |
|---|---|---|
| suid |
u+s or 4
|
- |
| - | chmod u+s cat | #添加suid |
| - | chmod u-s cat | #取消suid |
| - | chmod 4755 cat | #添加suid |
| - | chmod 0755 cat | #取消suid |
| sgid |
g+s or 2
|
- |
| - | chmod g+s /testdir/ | #添加sgid |
| - | chmod g-s /testdir/ | #取消sgid |
| - | chmod 2755 /testdir/ | #添加guid |
| - | chmod 0755 /testdir/ | #取消guid |
| sticky |
o+s or 1
|
- |
| - | chmod o+s /testdir/ | #添加sticky |
| - | chmod o-s /testdir/ | #取消sticky |
| - | chmod 1755 /testdir/ | #添加sticky |
| - | chmod 0755 /testdir/ | #取消sticky |
| - | 也可以suid,sgid,sticky位同時(shí)設(shè)置 | - |
