第四天:用户、组和权限
一、linux的安全模型
1、资源分派
Authentication:谁,验证用户身份
Authorization:授权,不同的用户设置不同的权限
Accouting|Audition:审计
当用户登录成功时,系统会自动分配令牌token,包括用户标识和组成员信息等
2、用户类型:
管理员:root 0
系统用户:1-999 对守护进程获取资源进行权限分配
登录用户:1000+ 给用户进行交互式登录使用
3、用户组分类
管理员组 root 0
系统组: 1-9 99 对守护进程获取资源进行权限分配
普通组:1000+ 给用户进行交互式登录使用
4、用户和组的关系
用户的主要组(primary group)只能有一个
用户的附加组(supplementary gruop )一个用户可以有0-N个附加组
二、用户和组相关文件
1、用户和级主要的配置文件
/etc/passwd: 用户及其属性信息
/etc/shadow: 用户密码及其相关属性
/etc/group: 组及其属性信息
/etc/gshadow: 组密码及其相关属性
2、passwd文件格式:
login name:登录名
passwd:密码
UID:用户身份编号
GID:登录默认所在组编号
GECOS:用户全名或注释
home directory:用户主目录
shell:用户默认使用shell
3、shadow文件格式
4、group 文件格式
5、gshdow文件格式
三、用户和组管理命令
1、用户和组管理命令
新建账号的账号默认会加配置文件,/etc/skel/ ,这个是配置文件的默认模板
2、切换用户 su
su UserName: 非登录式切换
su - UserName 登录式切换
3、修改用户密码:passwd USERNAME
4、修改用户密码策略 chage [OPTION] ...LOGIN
5、修改组成员和密码: gpasswd [OPTION] GROUP
6、更改和查看组成员 groupmens [options] [action]
四、理解并设置文件权限
1、程序访问文件的权限,取决于此程序的发起者
2、设置文件所有者 :chown
3、设置文件的属组信息:chgrp
4、文件权限分类
owner 属主,u
group 属组 ,g
other 其他 ,o
5、权限分类
r Readable 4
w Writable 2
x excutable 1
6、修改文件权限 : chmod
五、默认权限
1、新建文件和目录的默认权限
六、特殊权限
SUID:作用于二进制可执行文件上,用户将继承此程序所有者的权限
SGID:作用于二进制可执行文件上,用户将继承此程序所有者的权限;作于目录,,此目录中新建的文件的所属组将自动从此目录继承
STICKY:作用于目录上,此目录中的文件只能由所有者自己来删除
chattr +i /-i 增加属性,防止误删
chattr +a/-a 只能加不能删除
七、文件访问控制列表
1、ACL权限功能:实现灵活的权限管理
2、setfacl :可设置ACL权限
3、getfacl:可查看设置的ACL权限
4、mask权限:
mask只影响除所有者和other的之外的人和组的最大权限
mask需要与用户的权限进行逻辑与运算后,才能变成有陵县的权限
用户或组的设置必须存在于mask 权限设定范围内才会生效
八、SELINUX启用禁用:enforce /disabled