用户user
令牌token,identity
Linux用户: Username/UID
管理员: root, 0
普通用户: 1-65535
系统用户: 1-499( CENTOS6) , 1-999
- 对守护进程获取资源进行权限分配
登录用户:500( CENTOS6) +, 1000+(能交互式登录)
组group
Linux组: Groupname/GID
- 管理员组: root, 0
- 普通组:
- 系统组: 1-499, 1-999
- 普通组: 500+, 1000+
Linux安全上下文
运行中的程序:进程 (process)
以进程发起者的身份运行:
root: /bin/cat
mage: /bin/cat
进程所能够访问资源的权限取决于进程的运行者的身份
Linux组的类别:
用户的主要组(主组):
用户必须属于一个且只有一个主组
组名同用户名,且仅包含一个用户:私有组
用户的附加组(辅助组):
一个用户可以属于零个或多个辅助组
Linux用户和组的主要配置文件:
/etc/passwd:用户及其属性信息(名称、 UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
/etc/passwd 文件格式
- login name:登录用名( wang)
- passwd:密码 (x)
- UID:用户身份编号 (1000)
- GID:登录默认所在组编号 (1000)
- GECOS:用户全名或注释
- home directory:用户主目录 (/home/wang)
- shell:用户默认使用shell (/bin/bash)
- 保留字段
shadow文件格式
- 登录用名
- 用户密码:一般用sha512加密
- 从1970年1月1日起到密码最近一次被更改的时间
- 密码再过几天可以被变更( 0表示随时可被变更)
- 密码再过几天必须被变更( 99999表示永不过期)
- 密码过期前几天系统提醒用户(默认为一周)
- 密码过期几天后帐号会被锁定
- 从1970年1月1日算起,多少天后帐号失效。
group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在
/etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
gshdow文件格式(不建议使用组密码,用户的组操作只能划给root用户操作)
群组名称:就是群组名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表: (分隔符为逗号)
几个简单的命令:
- vipw:通过vi修改passwd文件,并提供检错的功能
- vigr:通过vi修改groups文件,提供检错功能
- pwck:检查用户账户与目录的完整性
- grpck:检查组的完整性
用户创建: useradd
使用方法: useradd [options] LOGIN
- -u UID: [UID_MIN, UID_MAX]定义在/etc/login.defs
- -o 配合-u 选项,不检查UID的唯一性
- -g GID:指明用户所属基本组,可为组名,也可以GID
- -c “COMMENT”:用户的注释信息
- -d HOME_DIR: 以指定的路径(不存在)为家目录
- -s SHELL: 指明用户的默认shell程序可用列表在/etc/shells文件中
- -G GROUP1[,GROUP2,…]:为用户指明附加组,组必须事先存在
- -N 不创建私用组做主组,使用users组做主组
- -r: 创建系统用户 CentOS 6: ID<500, CentOS 7: ID<1000
默认值设定: /etc/default/useradd文件中
显示或更改默认设置:
useradd -D
useradd –D -s SHELL
1、创建用户gentoo,附加组为bin和root,默认shell为
/bin/csh,注释信息为“Gentoo Distribution”
- useradd gentoo -G bin,root -s /bin/csh -c “Gentoo Distribution”
2、创建下面的用户、组和组成员关系
名字为admins 的组
用户natasha,使用admins 作为附属组
用户harry,也使用admins 作为附属组
用户sarah,不可交互登录系统, 且不是admins 的成员,
natasha, harry, sarah密码都是centos
#!/bin/bash
if [ $1 == ‘a’ ];then
groupadd admins
adduser natasha -G admins
useradd harry -G admins
useradd sarah -s /sbin/nologin
echo centos | passwd –stdin natasha
echo centos | passwd –stdin harry
echo centos | passwd –stdin sarah
fi
if [ $1 == ‘r’ ];then
userdel -r sarah
userdel -r natasha
userdel -r harry
groupdel admins
fi
新建用户的相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs
newusers passwd格式文件 批量创建用户
- newusers file_like_passwd
文件格式如下所示
- a5:x:1104:1104::/home/a5:/bin/bash
- newhehe:x:1105:1105::/home/newhehe:/bin/zsh
- alice:x:1106:1106::/home/alice:/bin/zsh
chpasswd 批量修改用户口令
- chpasswd file
文件格式:
USERNAME:USERPASSWD
用户属性修改
usermod [OPTION] login
- -u UID: 新UID
- -g GID: 新基本组
- -G GROUP1[,GROUP2,…[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项,表示append;
- -s SHELL:新的默认SHELL;
- -c ‘COMMENT’:新的注释信息;
- -d HOME: 新家目录不会自动创建,原家目录中的文件不会同时移动至新的家目录;若要创建新家目录并移动原家数据,同时使用-m选项
- -l login_name: 新的名字;
- -L: lock指定用户,在/etc/shadow 密码栏的增加 !
- -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
- -e YYYY-MM-DD: 指明用户账号过期日期;
- -f INACTIVE: 设定非活动期限;
删除用户
userdel [OPTION]… login
-r: 删除用户家目录;
查看用户相关的ID信息
id [OPTION]… [USER]
- -u: UID
- -g: GID
- -G: Groups
- -n: Name
切换用户或以其他用户身份执行命令
su [options…] [-] [user [args…]]
切换用户的方式:
su UserName:非登录式切换,即不会读取目标用户的
配置文件,不改变当前工作目录
su – UserName:登录式切换,会读取目标用户的配置
文件,切换至家目录,完全切换
root su至其他用户无须密码;非root用户切换时需要密码
换个身份执行命令:
su [-] UserName -c ‘COMMAND’
选项: -l –login:
su -l UserName 相当于 su – UserName
练习:
4、创建testuser uid 1234,主组:bin,辅助组:root,ftp,shell:/bin/csh home:/testdir/testuser
- [[email protected] ~]# useradd testuser -u 1234 -g bin -G root,ftp -s /bin/csh -d /test/testuser
5、修改testuser uid:4321,主组:root,辅助组:nobody,loginname:test,home:/home/test 家数据迁移
- [[email protected] ~]# usermod -u 1234 -g root -aG nobody -l test -d /test/test -m testuser
6、批量创建帐号:user1…user10
uid:3000-3009,shell:/bin/csh,home:/testdir/username
passwd:usernamepass
注意家目录相关配置,使用户正常登录
对shell默认配置文件进行复制,脚本如下图,后面是十个文件夹的复制完成后的状态
