資源分派:
Authentication:認證
Authorization:授權
Accouting:審計
Audition
token,identity(username/password)
linux使用者:username/UID
管理者:root,0
普通使用者:1-65535
系統使用者:1-499,1-999
對守護程序擷取資源進行權限配置設定;
登入使用者:500+,1000+
互動式登入;
Linux組:groupname/GID
管理者組:root,0
普通組:
系統組:1-499, 1-999
普通組:500+, 1000+
Linux安全上下文:
運作中的程式:程序(process)
以程序發起者的身份運作;
root:cat
tom:cat
程序所能夠通路的所有資源的權限取決于程序的發起者的身份;
Linux組的類别:
使用者的基本組(主組)
組名同使用者名,且僅包含一個使用者:私有組
使用者的附加組(額外組):
Linux使用者群組相關的配置檔案:
/etc/passwd:使用者及其屬性資訊(名稱、UID、基本組ID等等);
/etc/group:組及其屬性資訊;
/etc/shadow:使用者密碼及其相關屬性;
/etc/gshadow:組密碼及其相關屬性;
/etc/passwd:
name:password:UID:GID:GECOS:directory:shell
使用者名:密碼:UID:GID:GECOS:主目錄:預設shell
/etc/group:
group_name:password:GID:user_list
組名:組密碼:GID:以目前組為附加組的使用者清單(分隔符為逗号)
/etc/shadow root:$6$QBOOu5fJ9rGlA8mU$2Gi8zdRUONPxkaYhcwfR/cSangkqV0bnXnxMqrLNGU1xOfL5EmVfsKNz84Oop41THyXMUtzQsCsv80Bn7fwqe0::0:99999:7:::
使用者名:加密了的密碼:最近一次更改密碼的日期:密碼的最小使用期限:最大密碼使用期限:密碼警告時間段:密碼禁用期:賬戶過期日期:保留字段
加密機制:
加密:明文 à 密文
解密:密文 à 明文
單向加密:提取資料指紋
md5:message digest ,128bits
sha1:secure hash algorithm,160bits
sha224:224bits
sha256:256bits
sha384:384bits
sha512:512bits
雪崩效應:初始的條件的微小改變,将會引起結果的巨大改變;
定長輸出:
密碼的複雜性政策:
1. 使用數字、大寫字母、小寫字母及特殊字元中至少3種;
2. 足夠長;
3. 使用随機密碼;
4. 定期更換;不要使用最近曾經使用過的密碼;
使用者群組相關的管理指令:
使用者建立:useradd
useradd [options] LOGIN
-u UID:[UID_MIN,UID_MAX],定義在/etc/login.defs
-g GID:指明使用者的所屬基本組,可為組名,也可以為GID;
-c “COMMENT”:使用者的注釋資訊;
-d /path/to/home_dir:以指定的路徑為家目錄;
-s SHELL:知名使用者的預設shell程式,可用清單在/etc/shells檔案中;
-G GROUP1[,GROUP2,…]:為使用者指明附加組;組必須事先存在;
-r:建立系統使用者
Centos6:ID<500
Centos7:ID<1000
預設值設定:/etc/default/useradd檔案中
組建立:groupadd
groupadd [option] … groupname
-g GID: 指明GID号;[GID_MIN, GID_MAX]
-r: 建立系統組;
CentOS 6: ID<500
CentOS 7: ID<1000
檢視使用者的相關的id資訊:id
id [option] … [user]
-u:UID
-g:GID
-G:GROUPS
-n:Name
切換使用者或以其他使用者身份執行指令:su
su [options] [-] [user [args…]]
切換使用者的方式:
su username:非登入式切換,即不會讀取目标使用者的配置檔案;
su - username:登入式切換,會讀取目标使用者的配置檔案;完全切換;
Note:root su至其他使用者無需密碼;非root使用者切換時需要密碼;
換個身份執行指令:
su [-] username -c ‘COMMAND’
選項:
-l:“su -l username”相當于“su - username”
使用者屬性修改:usermod
usermod [option] login
-u UID:新的UID;
-g GID:新基本組
-G GROUP1[,GROUP2,…]:新附加組,原來的附加組将會被覆寫;若保留原有,則要同時使用-a選項,表示append
-s SHELL:新的預設shell
c 'COMMENT':新的注釋資訊;
-d HOME: 新的家目錄;原有家目錄中的檔案不會同時移動至新的家目錄;若要移動,則同時使用-m選項;
-l login_name: 新的名字;
-L: lock指定使用者
-U: unlock指定使用者
-e YYYY-MM-DD: 指明使用者賬号過期日期;
-f INACTIVE: 設定非活動期限;
給使用者添加密碼:passwd
passwd [OPTION] username:修改指定使用者的密碼,僅root使用者權限
passwd:修改自己的密碼;
常用選項:
-l:鎖定指定使用者;
-u:解鎖指定使用者;
-n mindays:指定最短使用期限;
-x maxdays:最大使用期限
-w warndays:提前多少天開始警告
-I inactivedays:非活動期限
--stdin:從标準輸入接收使用者密碼:
echo “PASSWORD”| passwd --stdin USERNAME
删除使用者:userdel
userdel [option] … login
-r:删除使用者家目錄;
組屬性修改:groupmod
groupmod [option]… group
-n group_name:新名字
-g GID:新的GID;
組删除:groupdel
groupdel GROUP
組密碼:gpasswd
gpasswd [option] GROUP
-a user:将user添加至指定組中;
-d user:删除使用者user的以目前組為組名的附加組;
-A user1,user2,…:設定有管理權限的使用者清單
newgrp指令:臨時切換基本組;
如果使用者本不屬于此組,則需要組密碼;
修改使用者屬性:chage
chage [OPTION]... LOGIN
-d LAST_DAY
-E, --expiredate EXPIRE_DATE
-I, --inactive INACTIVE
-m, --mindays MIN_DAYS
-M, --maxdays MAX_DAYS
-W, --warndays WARN_DAYS
權限管理:
檔案的權限主要針對三類對象進行定義:
owner: 屬主, u
group: 屬組, g
other: 其他, o
每個檔案針對每類通路者都定義了三種權限:
r: Readable
w: Writable
x: eXcutable
檔案:
r: 可使用檔案檢視類工具擷取其内容;
w: 可修改其内容;
x: 可以把此檔案提請核心啟動為一個程序;
目錄:
r: 可以使用ls檢視此目錄中檔案清單;
w: 可在此目錄中建立檔案,也可删除此目錄中的檔案;
x: 可以使用ls -l檢視此目錄中檔案清單,可以cd進入此目錄;
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
例如:
640: rw-r-----
rwxr-xr-x: 755
修改檔案權限:chmod
chmod [OPTION]... OCTAL-MODE FILE...
-R: 遞歸修改權限
chmod [OPTION]... MODE[,MODE]... FILE...
MODE:
修改一類使用者的所有權限:
u=
g=
o=
ug=
a=
u=,g=
修改一類使用者某位或某些位權限
u+
u-
chmod [OPTION]... --reference=RFILE FILE...
參考RFILE檔案的權限,将FILE的修改為同RFILE;
修改檔案的屬主和屬組:
僅root可用;
修改檔案的屬主:chown
chown [OPTION]... [OWNER][:[GROUP]] FILE...
用法:
OWNER
OWNER:GROUP
:GROUP
Note: 指令中的冒号可用.替換;
-R: 遞歸
chown [OPTION]... --reference=RFILE FILE...
修改檔案的屬組:chgrp
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
-R
檔案或目錄建立時的遮罩碼:umask
FILE: 666-umask
Note: 如果某類的使用者的權限減得的結果中存在x權限,則将其權限+1
DIR: 777-umask
umask: 檢視
umask #: 設定
本文轉自 claude_liu 51CTO部落格,原文連結:http://blog.51cto.com/claude666/2061593,如需轉載請自行聯系原作者