用户和组

3A安全介绍

资源分派:

Authentication:认证

Authorization:授权

Accouting|Audition:审计

安全上下文

Linux安全上下文

运行中的程序:进程 (process)

以进程发起者的身份运行:

root: /bin/cat

mage: /bin/cat

进程所能够访问资源的权限取决于进程的运行者的身份

用户user

令牌token,identity

在Linux里,当用户登录时只有经过合法的验证才能拿到令牌,访问资源时,对资源出示令牌,只有出示正确的令牌计算机才会认为你是合法用户,才能访问必要的资源。获取令牌的过程就是验证身份的过程,当验证身份成功后就会得到相应的令牌,当访问资源时是携带着令牌来进行检查时否具有相应的权限。验证身份依靠用户名和密码。在Linux里判断是管理员还是普通用户依据UID,为零则为管理员。

Linux用户:Username/UID

默认管理员用户名为root,UID为0

普通用户UID为1-65535普通用户分又分为系统用户和登录用户

系统用户{UID1-499(centos6),1-999(centos7)对守护进程获取资源进行权限分配}系统用户不需要登录,它是给服务或后台进程使用的,只要系统开始运行,这些进程就会自动以相应的用户启动运行。一般系统用户默认使用/sbin/nologin(不允许交互式登录)。

登录用户{UID500+(centos6),1000+(centos7)}(交互式登录)

默认信息存放位置:/etc/login.defs

/etc/passwd:用户及其属性信息(名称、UID、主组ID等)

以前这是一个存放密码口令的文件,出于安全考虑,现在密码已经存放到/etc/shadow这个文件中

,普通用户没有查看shadow文件的权限,增加了linux的安全性。

文件格式为起个字段:

用户名:x隐藏密码:UID:GID:用户全名或注释:家目录:shell类型

chnf+用户名 可以添加用户描述信息

finger查看用户详细信息

chsh更改shell类型

getent passwd root查看root用户的passwd信息

pwunconv 恢复passwd中隐藏密码

pwconv隐藏passwd中的密码

/etc/shadow:存放用户密码及其相关属性

文件格式为就个字段:

1登录用名 :

2用户密码,一般用sha512加密:

3从1970年1月1日起到密码最近一次被更改的时间(如果为零,下次登录必须更改密码):

4密码再过几天可以被变更(0表示随时可被变更):

5密码再过几天必须被变更(99999表示永不过期):

6密码过期前几天系统提醒用户(默认为一周):

7密码过期几天后帐号会被锁定:

8从1970年1月1日算起,多少天后帐号失效。

9保留字段

如果将shadow文件内的用户密码删除,登录该用户将不再需要密码,可以直接登录。

由于这个文件是存放密码信息的,非常敏感,所以只有root可以直接查看文件内容

加密算法种类:

md5:128bits

sha1: 160bits

sha224: 224bits

sha256: 256bits

sha384: 384bits

sha512: 512bits

更改以后新建账号加密口令算法 :authconfig –passalgo=sha256 –update

openssl rand -base64 20      生成20位随机数密码

强迫用户下次登录必须更改密码:1,chage -d0 用户名 2,passwd -e 用户名

用户管理命令

useradd

useradd [options] LOGIN

-u UID: [UID_MIN, UID_MAX]定义在/etc/login.defs

-o 配合-u 选项,不检查UID的唯一性

-g GID:指明用户所属基本组,可为组名,也可以GID

-c "COMMENT":用户的注释信息

-d HOME_DIR: 以指定的路径(不存在)为家目录

-s SHELL: 指明用户的默认shell程序 可用列表在/etc/shells文件中

-G GROUP1[,GROUP2,…]:为用户指明附加组,组必须事先存 在

-N 不创建私用组做主组,使用users组做主组

-r: 创建系统用户 CentOS 6: ID<500,CentOS 7: ID<1000

默认值设定:/etc/default/useradd文件中

显示或更改默认设置:

useradd -D

useradd –D -s SHELL

系统用户不会自动创建家目录和邮箱

批量创建用户和密码

newusers 文件名

cat 文件名 |chpasswd

usermod

usermod [OPTION] login

-u UID: 新UID

-g GID: 新基本组

-G GROUP1[,GROUP2,…[,GROUPN]]]:新附加组,原来的附加 组将会被覆盖;若保留原有,则要同时使用-a选项,表示append;

-s SHELL:新的默认SHELL;

-c 'COMMENT':新的注释信息;

-d HOME: 新家目录不会自动创建,原家目录中的文件不会同时移 动至新的家目录;若要创建新家目录并移动原家数据,同时使用-m选项

-l login_name: 新的名字;

-L: lock指定用户,在/etc/shadow 密码栏的增加 !

-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉

-e YYYY-MM-DD: 指明用户账号过期日期;

-f INACTIVE: 设定非活动期限;

userdel

userdel [OPTION]… login

-r: 删除用户家目录;

查看用户相关的ID信息

id [OPTION]… [USER]

-u: UID

-g: GID

-G: Groups

-n: Name

切换用户或以其他用户身份执行命令

su [options…] [-] [user [args…]]

切换用户的方式:

su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录

su – UserName:登录式切换,会读取目标用户的配置 文件,切换至家目录,完全切换

root su至其他用户无须密码;非root用户切换时需要密码

换个身份执行命令:

su [-] UserName -c 'COMMAND'

选项:-l  –login:

su -l UserName 相当于 su – UserName

设置密码

passwd [OPTIONS] UserName: 修改指定用户的密码,仅 root用户权限

passwd: 修改自己的密码;

常用选项:

-l:锁定指定用户

-u:解锁指定用户

-e:强制用户下次登录修改密码

-n mindays: 指定最短使用期限

-x maxdays:最大使用期限

-w warndays:提前多少天开始警告

-i inactivedays:非活动期限;

–stdin:从标准输入接收用户密码; echo "PASSWORD" | passwd –stdin USERNAME

修改用户密码策略

chage [OPTION]… LOGIN

-d LAST_DAY

-E, –expiredate EXPIRE_DATE

-I, –inactive INACTIVE

-m, –mindays MIN_DAYS

-M, –maxdays MAX_DAYS

-W, –warndays WARN_DAYS

–l,显示密码策略

下一次登录强制重设密码

chage -d 0 tom

chage -m 0 –M 42 –W 14 –I 7 tom

chage -E 2016-09-10 tom


组group

Linux组:Groupname/GID

管理员组:root, 0

普通组:

系统组:1-499(centos6), 1-999 (centos7)

普通组:500+, 1000+

Linux不支持组的嵌套

组是为了方便多用户的管理

组名与用户名可以相同,GID与UID也可以相同

创建用户时自动创建同名组

组的类别

Linux组的类别:

用户的主要组(主组):

用户必须属于一个且只有一个主组

组名同用户名,且仅包含一个用户:私有组

用户的附加组(辅助组): 一个用户可以属于零个或多个辅助组

用户和组的配置文件

Linux用户和组的主要配置文件:

/etc/group:组及其属性信息

文件格式:

1群组名称:就是群组名称

2群组密码:通常不需要设定,密码是被记录在 /etc/gshadow

3GID:就是群组的 ID

4以当前组为附加组的用户列表(分隔符为逗号)

更改用户组信息后需要重新登录该用户才能获取最新的组成员关系

/etc/gshadow:组密码及其相关属性

群组名称:就是群组名称

群组密码:

组管理员列表:组管理员的列表,更改组密码和成员

以当前组为附加组的用户列表:(分隔符为逗号)

groupadd

groupadd [OPTION]… group_name

-g GID: 指明GID号;[GID_MIN, GID_MAX]

-r: 创建系统组;

CentOS 6: ID<500 CentOS 7: ID<1000

groupmod

组属性修改:groupmod groupmod [OPTION]… group

-n group_name: 新名字

-g GID: 新的GID;

groupdel

组删除:groupdel  GROUP

更改组密码

组密码:gpasswd

gpasswd [OPTION] GROUP

-a user: 将user添加至指定组中;

-d user: 从指定组中移除用户user

-A user1,user2,…: 设置有管理权限的用户列表

newgrp命令:临时切换基本组;

如果用户本不属于此组,则需要组密码

更改和查看组成员

groupmems [options] [action] options:

-g, –group groupname 更改为指定组 (只有root)

Actions: -a, –add username      指定用户加入组

-d, –delete username    从组中删除用户

-p, –purge                从组中清除所有成员

-l, –list                   显示组成员列表

groups [OPTION].[USERNAME]… 查看用户所属组列表


注意:/etc/passwd文件和/etc/shadow文件对应内容需保持一致

/etc/group文件和/etc/gshadow也是如此

vipw命令相当于调用vi /etc/passwd,更改文件内容时这个命令会检查语法格式,相对来讲更安全

vigr命令相当于调用vi /etc/group,更改文件内容时这个命令会检查语法格式,相对来讲更安全

pwck和grpck可以用来检查passwd和groupwd是否有错误

所以如果想要更改信息最好使用命令


原创文章,作者:M20-16刘国新,如若转载,请注明出处:http://www.178linux.com/30203

(0)
M20-16刘国新M20-16刘国新
上一篇 2016-08-08
下一篇 2016-08-08

相关推荐

  • 六.Linux博客-2016年8月2日用户、权限

    格式说明: 操作 概念 命令 说明及举例 六.用户、权限 创建用户、修改用户、删除用户 useradd 创建一个用户 useradd -r 创建系统用户,系统用户不创建家目录 useradd -D /etc/default/useradd 默认设置配置文件 newusers +文件 批量创…

    Linux干货 2016-08-24
  • corosync v2+pacemaker实现mariadb的高可用

    高可用mariadb拓扑图 一、设计前提 1、时间同步 # ntpdate 172.16.0.1 或者 # chronyc sources 2、所有的主机对应的IP地址解析可以正常工作, 主机名要与命令#uname -n 所得的结果一致 因此,/etc/hosts中的内容为以下内容         172.16.23.10 node1.rj.com node…

    2017-11-02
  • Hadoop实战实例

     Hadoop 是Google MapReduce的一个Java实现。MapReduce是一种简化的分布式编程模式,让程序自动分布到一个由普通机器组成的超大集群上并发执行。就如同java程序员可以不考虑内存泄露一样, MapReduce的run-time系统会解决输入数据的分布细节,跨越机器集群的程序执行调度,处理机器…

    Linux干货 2015-04-13
  • Linux运维学习历程-第九天-bash脚本初步了解

    概述:   本章重点在于讲解bash脚本的基础知识,为今后学习使用bash脚本打下基础 一、bash基础特性         程序:指令+数据             指令:由程序文件提供         &n…

    Linux干货 2016-08-18
  • 马哥教育网络班21期+第11周课程练习

    1、详细描述一次加密通讯的过程,结合图示最佳。 单向加密:只能加密,不能解密,提取数据指纹(特征码),来保证数据的完整性,如上图的第二步,单向加密的协议有MD5,SHA等 非对称加密:公钥和私钥成对出现,私钥必须本机器保存,用公钥加密的数据,只能使用与之配对儿的私钥解密;反之亦然,数字签名是私钥加密特征码,如上图的第三步;实现对称秘钥交换,如上图第五步 对称…

    Linux干货 2016-08-15
  • 推荐-Nginx Proxy模块的应用之负载均衡

    Ngnix Proxy模块的应用之负载均衡 Ngnix Proxy模块的应用之负载均衡 Proxy 模块介绍 实验环境 配置Proxy Proxy 模块介绍   在我之前的文章提到过,Nginx可以提供反向代理加速、基于应用层的负载均衡并能对后端服务器做健康状态检测。下面我们就动手操作一下,看如何实现上述功能。 实验环境 主机名称 主要功能 外网地址 内网地…

    Linux干货 2016-03-27