用户,组和权限

一级标题

二级标题

1.Linux的安全模型

资源分派:

Authentication:认证,验证用户身份
Authorization:授权,不同的用户设置不同权限
Accouting|Audition:审计
当用户登录成功时,系统会自动分配令牌token,包括:用户标识和组成员等信息

用户

管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)
对守护进程获取资源进行权限分配
登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)给用户进行交互式登录使用

用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建
和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组

用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组

二级标题

2.用户和组相关文件

/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/shadow:用户密码及其相关属性
/etc/group:组及其属性信息
/etc/gshadow:组密码及其相关属性

passwd文件格式

  login name:登录用名(wang)
  passwd:密码 (x)
  UID:用户身份编号 (1000)
  GID:登录默认所在组编号 (1000)
  GECOS:用户全名或注释
  home directory:用户主目录 (/home/wang)
  shell:用户默认使用shell (/bin/bash)

生成随机密码https://suijimimashengcheng.51240.com/

二级标题

3.用户和组管理命令

用户管理命令

 useradd

  常见选项
   -u UID
   -o 配合-u 选项,不检查UID的唯一性
   -g GID 指明用户所属基本组,可为组名,也可以GID
   -c "COMMENT“ 用户的注释信息
   -d HOME_DIR 以指定的路径(不存在)为家目录
   -s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
   -G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
   -N 不创建私用组做主组,使用users组做主组
   -r 创建系统用户 CentOS 6之前: ID<500,CentOS 7以后: ID<1000
   -m 创建家目录,用于系统用户
   -M 不创建家目录,用于非系统用户

    范例:
     useradd -r -u 48 -g apache -s /sbin/nologin -d /var/www -c "Apache" apache

    useradd 命令默认值设定由/etc/default/useradd定义

     [[email protected] ~]#cat /etc/default/useradd
     # useradd defaults file
     GROUP=100
     HOME=/home
     INACTIVE=-1 ??#对应/etc/shadow文件第7列,即用户密码过期的宽限期
     EXPIRE= ????#对应/etc/shadow文件第8列,即用户帐号的有效期
     SHELL=/bin/bash
     SKEL=/etc/skel
     CREATE_MAIL_SPOOL=yes

    新建用户的相关文件

     /etc/default/useradd
     /etc/skel/*
     /etc/login.defs

 usermod

  常见选项:
   -u UID: 新UID
   -g GID: 新主组
   -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使
   用-a选项
   -s SHELL:新的默认SHELL
   -c ‘COMMENT‘:新的注释信息
   -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
   -l login_name: 新的名字
   -L: lock指定用户,在/etc/shadow 密码栏的增加 !
   -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
   -e YYYY-MM-DD: 指明用户账号过期日期
   -f INACTIVE: 设定非活动期限,即宽限期

 userdel

  常见选项:
   -f, --force ?强制
   -r, --remove 删除用户家目录和邮箱

 查看用户相关的ID信息

  常见选项:
   -u: 显示UID
   -g: 显示GID
   -G: 显示用户所属的组的ID
   -n: 显示名称,需配合ugG使用
 切换用户
  su
   常见选项:
      -l --login ?su -l UserName ?相当于 su - UserName
      -c, --command <command> ????pass a single command to the shell with -c
     切换用户的方式:

     su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完
     全切换

     su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换

     说明:root su至其他用户无须密码;非root用户切换时需要密码

     注意:su 切换新用户后,使用 exit 退回至旧的用户,而不要再用 su 切换至旧用户,否则会生成很多的
     bash子进程,环境可能会混乱。

 设置密码

  passwd 可以修改用户密码
   常见选项:
    -d:删除指定用户密码
    -l:锁定指定用户
    -u:解锁指定用户
    -e:强制用户下次登录修改密码
    -f:强制操作
    -n mindays:指定最短使用期限
    -x maxdays:最大使用期限
    -w warndays:提前多少天开始警告
    -i inactivedays:非活动期限
    --stdin:从标准输入接收用户密码,Ubuntu无此选项

 修改用户密码策略

  chage 可以修改用户密码策略
   常见选项:
    -d LAST_DAY ???????#更改密码的时间
    -m --mindays MIN_DAYS
    -M --maxdays MAX_DAYS
    -W --warndays WARN_DAYS
    -I --inactive INACTIVE #密码过期后的宽限期
    -E --expiredate EXPIRE_DATE #用户的有效期
    -l 显示密码策略

 用户相关其他命令
  chfn 指定个人信息
  chsh 指定shell,相当于usermod -s
  finger 可看用户个人信息

组帐号维护命令

  groupadd
   常见选项:
    -g GID 指明GID号;[GID_MIN, GID_MAX]
    -r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000

  groupmod
   常见选项:
    -n group_name: 新名字
    -g GID: 新的GID

  groupdel
   常见选项:
    -f, --force 强制删除,即使是用户的主组也强制删除组

 更改组密码
  gpasswd命令
   常见选项:
    -a user 将user添加至指定组中
    -d user 从指定附加组中移除用户user
    -A user1,user2,... 设置有管理权限的用户列表

 临时切换主组
  newgrp 命令

 更改和查看组成员
  groupmems 可以管理附加组的成员关系
   常见选项:
    -g, --group groupname ?#更改为指定组 (只有root)
    -a, --add username ??#指定用户加入组
    -d, --delete username #从组中删除用户
    -p, --purge ???????#从组中清除所有成员
    -l, ?--list ????????#显示组成员列表
   groups 可查看用户组关系

二级标题

4.理解并设置文件权限

文件所有者chown
 用法说明:
  OWNER ?#只修改所有者
  OWNER:GROUP #同时修改所有者和属组
  :GROUP ?#只修改属组,冒号也可用 . 替换
  -reference=RFILE ?#参考指定的的属性,来修改
  -R #递归,此选项慎用,非常危险!

文件的属组信息chgrp

 文件权限
  owner 属主, u
  group 属组, g
  other 其他, o

  注意:用户的最终权限,是从左向右进行顺序匹配,即,所有者,所属组,其他人,一旦匹配权限立即
  生效,不再向右查看其权限

  每个文件针对每类访问者都定义了三种常用权限
   r Readable
   w Writable
   x eXcutable

  对文件的权限:
     r 可使用文件查看类工具,比如:cat,可以获取其内容
     w 可修改其内容
     x 可以把此文件提请内核启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行)

    对目录的权限:
      r 可以使用ls查看此目录中文件列表
      w 可在此目录中创建文件,也可删除此目录中的文件,而和此被删除的文件的权限无关
      x 可以cd进入此目录,可以使用ls -l查看此目录中文件元数据(须配合r权限),属于目录的可访问的最
      小权限
      X 只给目录x权限,不给无执行权限的文件x权限

     数学法的权限:

       八进制数
       --- 000 0
       --x 001 1
       -w- 010 2
       -wx 011 3
       r-- 100 4
       r-x 101 5
       rw- 110 6
       rwx 111 7

 修改文件权限chmod
  说明:
        MODE:who opt permission
        who:u,g,o,a
        opt:+,-,=
        permission:r,w,x
        修改指定一类用户的所有权限
        u= g= o= ug= a= u=,g=
        修改指定一类用户某个或某个权限
        u+ u- g+ g- o+ o- a+ a- + -
        -R: 递归修改权限

    执行 cp /etc/issue /data/dir 所需要的最小权限?
     /bin/cp 需要x权限
     /etc/ 需要x权限
     /etc/issue 需要r 权限
     /data 需要x权限
     /data/dir 需要w,x 权限

二级标题

5.默认权限

新建文件和目录的默认权限

umask

新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶

数不变

新建目录的默认权限: 777-umask

二级标题

6.特殊权限

linux文件系统上的特殊权限:

SUID

4suid:作用于二进制可执行程序,当用户执行此程序时,将会临时继承此程序所有者的权限

SGID

2sgid:1)作用于二进制可执行程序,当用户执行此程序时,将会临时继承此程序所属组的权限

作用于目录(文件夹),当用户在此目录下创建新文件时,文件的所属组会自动继承父目录的所属组

Sticky

1stikcy:作用于目录,用户只能删除自已的文件

 设置文件特殊属性:
  设置文件的特殊属性,可以访问 root 用户误操作删除或修改文件
    chattr +i
     不能删除,改名,更改
     chattr +a
      只能追加内容,不能删除,改名
      lsattr
       显示特定属性

二级标题

7.文件访问控制列表

acl权限功能

ACL:Access Control List,实现灵活的权限管理

除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加

        ACL生效顺序:
       所有者,自定义用户,所属组|自定义组,其他人

       setfacl 可以设置ACL权限
       getfacl 可查看设置的ACL权限

mask 权限

mask只影响除所有者和other的之外的人和组的最大权限

mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)

用户或组的设置必须存在于mask权限设定范围内才会生效

原文地址:https://www.cnblogs.com/zhaihongyu/p/12591413.html

时间: 2024-09-29 01:43:54

用户,组和权限的相关文章

Linux用户,组和权限管理

用户,组,权限 一.了解什么是用户,组和权限 1.对于linux系统来说,简单明了的特点就是多用户,多任务,也就是说一台linux系统的主机上面可以同时允许多个用户登录,当通过多个终端登录时可以同时使用这台linux的系统,然而对于linux习题来说,一切皆文件,别人和自己的工作任务都是以文件的形式存在的,不同的用户之间岂不是没有隐私或者安全而言,其实在linux上不是这样的,我们可以理解linux把每一个用户分配一间屋子,没有钥匙即权限我们是进不去浏览以及修改文件的,但是既然是一间屋子,那当然

用户 组 和权限 以及权限的 分类

关于文件的安全我们要从3A验证 说起 1  Authentication:认证 2  Authorization:授权 3  Accouting|Audition:审计 由于系统文件的用户太多为了便于管理 我们便把系统的用户 进行分类 赋予权限 合理地分配资源 所以今天介绍的是 系统用户 用户组 的一些权限的 分配 修改 和文件的 权限修改 和赋权 以及一些特殊权限的用法 用户的分类 管理员:root 0 普通用户:1-65535 系统用户:1-499(CENTOS6) 1-999 对守护进程获

linux 用户 组 和权限管理

Multi-task  Multi-Users 每个使用者: 用户标识 . 密码: Authentication(认证机制): Authorization  (授权机制): Account / Audition (审计): 组:用户组,用户容器 用户类别: 管理 普通用户 系统用户 登录用户 用户标识: UserIo ,UID 16bits 二进制数字:0-65535 管理员:0 普通用户: 1-65635 系统用户   1-499(Centos6)    1-1000(CentOS7) 登录用

用户、组和权限

在Linux系统中每一个文件都具有"所有者与所属用户组"属性,那么下面我们就来简单介绍一下所有者与所属用户组. 在Linux系统中每一个文件都具有"所有者与所属用户组"属性,那么下面我们就来简单介绍一下所有者与所属用户组. ☆所有者即用户(Username/UID),),用户分为管理员用户和普通用户. 管理员用户: 名称:一般为root                         uid:0 普通用户(uid范围:1-65535): 1. 系统用户:名称可以随便

Linux用户、组和权限的概念

用户.组和权限 安全上下文(Security Context): 1.权限 权限定义的例子: 文件: tom和jerry同时运行/tmp/inittab.new tom(属主) tom(属组) TOM:     ls /tmp/inittab.newJerry:     ls /tmp/inittab.new只会运行Tom,因为进程的属主是Tom 用户的三个主要权限: r,w,x 文件:r:可读,可以使用类似cat等命令查看文件内容:w:可写,可以编辑或删除此文件:x:可执行,eXcutable

Django用户认证系统(三)组与权限

Django的权限系统很简单,它可以赋予users或groups中的users以权限. Django admin后台就使用了该权限系统,不过也可以用到你自己的代码中. User对象具有两个ManyToManyField字段,groups和user_permissions groups = models.ManyToManyField(Group, verbose_name=_('groups'), blank=True, help_text=_('The groups this user bel

linux用户、组和权限——学习笔记

linux用户.组和权限--学习笔记 1.linux用户user 2.linux组group 3.用户和组的配置文件 3.1.Passwd文件格式 3.2.shadow 文件格式 3.3.group文件格式 3.4.gshdow文件格式 4.用户和组管理命令 4.1.用户管理命令 4.2.组帐号维护命令 4.3.用户创建:useradd 4.4.小实验 4.5.用户属性修改 4.6.删除用户 4.7.查看用户相关的ID 信息 4.8.切换用户或以其他用户身份执行命令 4.9.设置密码 4.10.

用户、组和权限:

用户.组和权限    安全3A          资源分派:            Authentication:认证            Authorization:授权            Accouting|Audition:审计                用户user        令牌token,identity        Linux用户:Username/UID        管理员:root , 0        普通用户:1-65535            系统用户

Linux系统用户、组和权限及管理

初学Linux,现将对用户.组和权限及管理做了一些整理,希望大家相互学习! 用户: 即在系统内将有限的资源在多个使用者之间进行分配的一个系统组件: 用户分类:Linux环境中用户一般分为管理员和普通用户: 管理员(root)是系统中的超级用户,被授予对系统资源所有的访问权限,可以对其它其它用户及组进行管理: 普通用户又分为系统用户和登录用户: 系统用户:仅用于运行服务程序,保障系统正常运行: 登录用户:系统资源的正常使用者,访问资源的权限需要Root管理指定: 用户ID(User ID UID)