笔记之用户组及其权限·

一、

3A认证: 
authentication:认证

Authorization :授权

audition:审计

读取、使用权限,对于自己的资源有全部的权限

两级分配机制,管理功能薄弱

属主,一般是资源的拥有者,

向文件标识他的属主,属组,和二者之外的其他用户的对文件访问权限,从而完成从用户

到资源二者之间的权限的映射。

每个用户对于资源通过认证,授权后,登录后都会记录在日志中,为审计提供证据。

组是什么?用户组的意义?

用户组,用户容器。多个用户组织成逻辑组件,从而使我们进行授权或者收回权限的时候比较容易操作。

用户类别:

管理员

普通用户:系统用户,登录用户

用户标识:UserID,UID

(开始是用16进制标识的,管理员:0     普通用户:1:65635

CentOS5~6        CentOS7

系统用户:1-499,      1-999

登录用户:500-60000,  1000-60000

名称解析:名称转换

Username<-->UID

根据名称解析库进行 :/etc/passwd  ,用户其他的附加信息。

组类别1:

管理员组

普通用户组

系统组

登录组

组标识:GroupID,GID

管理员组:0

CentOS5~6        CentOS7

系统用户组:1-499,      1-999

登录用户组:500-60000,  1000-60000

名称解析:groupname<-->gid

系统用户组:/etc/group

组类别2:

用户的主组(基本组)

用户的附加组

组类别3:

用户私有组:组名同用户名,且只包含一个用户;

用户公共组:组内包含了多个用户;

认证信息:

通过比对事先存储的,与登录时提供的信息是否一致,即验证即可

password:早期,账号和密码都存放在/etc/passwd ,不安全,现单独存放/etc/shadow

组的密码 :/etc/gshadow

密码的穷举:

在不使用汉字的情况下,一位的密码128个,出去特殊字符,100个左右,

二位                                                          
100的平方

三位                                                            
100的立方

加密算法————解密算法、穷举算法,

密码不建议使用生日原因:从公元前算,利用穷举的算法,通过计算机很容易算出来,字典工具:罗列出常用组合机制。

我们应该使用随机数,随机字符串。以文件保存在U盘中,

密码使用1234,

恶意攻击破解密码,一两个月修改一下密码

密码的使用策略:

1、使用随机密码;

2、最短长度不要低于8位;

3、应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类;

4、定期更换;

不能明文存放,是加密的,加密是不可逆的

加密算法:

1、对称加密:(知道算法,可逆很难。加密都是一些科学难题。 )加密和解密使用同一密码

2、非对称加密:加密和解密使用一对密钥;公钥、私钥。

3、单向加密:只能加密,不能解密:提取数据特征码;

定长输出:

雪崩效应:

[[email protected] ~]#
echo "how are you" | md5sum

5ea0b7cb299e8c26b2d9c87039f5e7ad  -

[[email protected] ~]#
echo "how are you?" | md5sum

ce55c98ac24d4c7764877fa58ab441ef  -

算法:

1、md5: message digest,128bits

2、sha1:secure hash algorithm,160bits

3、sha224、sha256、sha384、sha512

[[email protected]
~]#  useradd centos

[[email protected] ~]#
useradd gentoo

[[email protected] ~]#
passwd centos

更改用户 centos 的密码 。

新的 密码:

无效的密码: 密码少于 8 个字符

重新输入新的 密码:

passwd:所有的身份验证令牌已经成功更新。

[[email protected] ~]#
passwd gentoo

更改用户 gentoo 的密码 。

新的 密码:

无效的密码: 密码少于 8 个字符

重新输入新的 密码:

passwd:所有的身份验证令牌已经成功更新。

[[email protected] ~]#
tail /etc/shadow

pulse:!!:16778::::::

gdm:!!:16778::::::

rpcuser:!!:16778::::::

nfsnobody:!!:16778::::::

postfix:!!:16778::::::

sshd:!!:16778::::::

tcpdump:!!:16778::::::

mageedu:$6$1eWrOetY$DfLZgquGiOaNkwpEF4ItMipz.1kpn7Q.s6oXyoW2bALkWesRWHCCACICkJ.2zBXDbwEw0ibR.wxStLI41ZhfF1:16778:0:99999:7:::

centos:$6$T7u/drJk$kyYdkBmDJqbPuIfaxN1wZJtH8.nxIQS.pv5uoKjSMH.vIKmIn7PpxQK6Hp.SWA5OqYFsGwC9V9VeF8dCfOUJV.:16781:0:99999:7:::

gentoo:$6$xdzxBsIf$9fqZAiIYNFNUDbpaJ7RCz1Y14/8BxPn8Od0x8A2pUS3kChnnIa.Gfs5A8tx8xKIumO.n0RbipzUcMMfJL6JzP1:16781:0:99999:7:::

第2个”$“和第三个之间是”salt“|后面的是真正的密码字符串。

在计算之时加入salt,上面新建的用户的密码一样,加密算法一样,由于加入随机数,密文不同,第二次随机数不再随机,通过认证,确认登录。

/etc/passwd:用户的信息库

name:用户名

passwd:可以是加密的密码,也可以是占位符x

UID:

GID:用户所属的主组的Id号

GECOS:注释信息

directory:用户的家目录;

Shell:用户的默认shell,登录时默认shell程序

/etc/shadow 密码

九个字段:

登录名

加密了的密码

最后一次更改密码的日期

密码的最小使用期限

最大使用期限

密码警告时间段

密码禁用期

账户过期日期

保留字段:保留供将来使用

/etc/group:Group_name:password:GID:user_list

User_list:该组的用户成员:以此组为附加组的用户的用户列表。

二、

Linux用户和组管理

1、groupadd命令:添加组

Groupadd
[opition] group-name

系统用户不用登陆,进程一某个普通用户的身份运行,

进程对文件的访问权限,取决于发起此进程的用户的权限

为了能够让后台进程或服务类进程以非管理员的身份进行,通常需要为此创建多个普通用户,这类用户不用登陆系统

groupadd命令:添加组 
groupadd [选项] group_name

-g GID :指定GID:默认是上一个组的GID+1;

-r :创建系统组;

2、groupmod命令:修改组属性

groupmod [选项]  GROUP

-g GID

-n new_name

3、 groupdel命令:删除组

1、useradd命令:创建用户

useradd  [选项] 登录名

-u,--uid UID :指定UID;

-g,--gid
GROUP1[,GROUP2,…[,GROUPN]]]:指明用户所属的附加组,多个组用“,”隔开

-c,--comment
COMMENT:指明注释信息

-d,--home
HOME_DIR:以指定的路径为用户的家目录;通过复制/etc/skel此目录并重命名实现;指定的家目录路径如果事先存在,则不会为用户复制环境配置文件;

-s,--shell SHELL:指定用户的默认shell,可用的所有shell列表存储在/etc/shells文件;

-r,--system:创建系统用户;

-m,如果不存在,则创建用户主目录。骨架目录中的文件和目录(可以使用-k选项指定),将会复制主目录。默认上,如果没有指定此选项并且CREATE_HOME没有启用,不会创建主目录。

-M:不创建主目录,即使系统在 /etc/login.defs 中的设置(CREATE_HOME)为yes。

-f:密码过期后,账户被彻底禁用之前的天数。0表示立即禁用,-1表示禁用这个功能。如果未指定,useradd将使用 /etc/default/useradd中的INACTIVE指定的默认禁用周期,或者默认为-1.

注意:创建用户是的诸多默认设定文件为/etc/login.defs

useradd -D:显示创建用户的默认配置。

useradd -D 选项:修改默认选项的值。

修改的结果保存于/etc/default/useradd文件中;

2、usermod命令

usermod  [选项] 登录

-u,--uid 
UID:修改用户的的ID为此处指定的新UID;

-g,--gid GROUP:修改用户所属的基本组;

-G,--group1[,GROUP2,…[,GROUPN]]]:修改用户所属的附加组,原来的附加组会被覆盖

-a,--append:与-G一同使用,用于为用户追加新的附加组;

-c,--comment
COMMENT:修改注释信息:

-d,--home
HOME_DIR:修改用户的家目录,用户原来的文件不会被转移至新位置

-m,--move-home:只能与-d选项一同使用,用于将原来的家目录移动为新的家目录

-l,--login
NEW_LOGIN:修改用户名

-s,--shell SHELL:修改用户的默认shell;

-L,--lock:锁定用户密码,即在用户原来的妈妈字符串之前添加一个“!”

-U,--unlock:解锁用户的密码

3、userdel

userdel [选项] 登录

-r:删除用户时一并删除其家目录;

1、passwd命令:

Pass [-k]
[-l] [-u] [-f] [-d][-e] [-n mindays] [-x maxdays] [-w warndays] [-I  inactivedays] [-S] [--stdin] [username]

(1) passwd:修改用户自己的密码;(2)passwd  USERNAME:修改指定用户的密码,但仅root由此权限;

-l,-u :锁定和解锁用户,

-d,清除用户密码

-e DATE:过期期限,日期

-i DAYS:非活动期限

-n DAYS密码的最短使用期限

-x DAYS:密码的最长使用期限;

-w DAYS:警告期限

-- stdin:标准输入 echo "PASSWORD" | passwd --stdin USERNAME

2、gpasswd命令

gpasswd 
[option] group

-a
USERNAME  向组中添加用户

-d   USERNAME  从组中删除用户

newgrp 命令:登录到一个新组

newgrp [-] [group]

-:会模拟用户重新登录以实现重新初始化其工作环境。

chage [选项]  登录名

-d:

-d,
--lastdayLAST_DAY

Set the number of days since January
1st, 1970 when the password was last changed. The date may also be expressed in
the format YYYY-MM-DD (or the format more commonly used in your area).

-E:

-E, --expiredateEXPIRE_DATE

Set the date or number of days since
January 1, 1970 on which the user‘s account will no longer be accessible. The
date may also be expressed in the format YYYY-MM-DD (or the format more
commonly used in your area). A user whose account is locked must

contact the system administrator
before being able to use the system again.

EXPIRE_DATE 设置为 -1 会移除账户的过期日期。

-W:

-W, --warndaysWARN_DAYS

Set the number of days of warning
before a password change is required. The WARN_DAYS option is the number of
days prior to the password expiring that a user will be warned his/her password
is about to expire.

如果没有选择任何选项,chage 会进入交互模式,以所有字段的当前值提示用户。输入一个新值可以更改这些字段,或者留空使用当前值。当前值出现在 [ ] 标记对里。

-m:

-m, --mindaysMIN_DAYS

在密码更改之间的最小天数设置为 MIN_DAYS。此字段中的 0值表示用户可以在任何时间更改其密码。

-M:

-M,
--maxdaysMAX_DAYS

Set the maximum number of days
during which a password is valid. When MAX_DAYS plus LAST_DAY is less than the
current day, the user will be required to change his/her password before being
able to use his/her account. This occurrence can be planned for

in advance by use of the -W option,
which provides the user with advance warning.

id命令:显示用户的有效id ,

id 
[option]  … [USER]

id -g   基本组ID

id -u  仅显示用户的基本组ID;

id -G  仅显示用户所属的所有组的ID;

id -n   显示名字而非ID

Su命令:switch user

登录式切换:会通过重新读取目标用户的配置文件来重新初始化

su 
-   USERNAME

su 
-l    USERNAME

非登录式切换:不会读取目标用户的配置文件进行初始化

su  
USERNAME

注意:管理员可无密码切换至其他任何用户;

-c  ‘COMMAND‘:仅以指定用户的身份运行此处指定的命令

其他几个命令:

chsh - change your login shell,用法:chsh [-s
shell] [-l] [-u] [-v] [username]

chfn -
change your finger information,用法:

chfn 
[-f full-name] [-o office] ,RB [ -p office-phone] [-h home-phone] -u]
[-v]

[username]

finger(yum install finger )

pwck - 检查密码文件的完整性   用法: pwck [选项] [passwd [ shadow ]]

grpck - 检查组文件的完整性  用法:grpck [选项] [group [ shadow ]]

命令总结:groupadd,groupmod,groupdel,useradd,usermod, userdel
passwd,gpasswd,newgrp,id,su,chage

时间: 2024-07-28 21:40:40

笔记之用户组及其权限·的相关文章

Linux分类笔记(一)-权限管理

Linux分类笔记(一) 权限管理 普通权限 文件的普通权限 对一个普通的文件使用ls -ll命令后,看到下面的输出内容   而对于文件权限中的每一位,又分别代表了以下的意思 文件类型又有以下几类: [d]:目录 [-]:文件 [l]:连接文件 [b]:可供存储的接口设备 [c]:串行端口设备,如键盘和鼠标 权限的定义: r:可读,普通文件的r代表可以读取该文件的实际内容:目录的r代表可以读取该目录结构列表的权限 w:可写,普通文件的w代表可以编辑,新增或者修改文件内容,但不能删除该文件:目录的

LINUX用户、用户组及权限管理

LINUX用户.用户组及权限管理 一.LINUX权限管理 LINUX权限分为:r,w,x,读,写,可执行 对文件来说: r 可读,即可以使用类似cat等命令查看文件的内容 w 可写,可以编辑或删除此文件: x 可执行,exacutable,可以在命令提示符下当做命令提交给内核运行. 对于目录来说(默认有x权限): r 可以对此目录执行ls以列出内部的所有文件 w 可以在此目录中创建文件 x 可以使用cd切换进此目录,也可以使用ls -l查看内部文件的详细信息. 文件 目录 r 可读,即可以使用类

用户组和权限管理—概念

用户组和权限管理-概念 3A:认证,授权,审计. 每个使用者:用户标识,密码: Authentication    :  认证 Authorization     :授权 Accout/Audition   :审计 用户管理:为了方便合理的分配系统有限资源:每个能进入Linux系统的用户都会分配一个唯一的用户账户,用户对系统上的对象的访问权限取决于他们的登录系统时用的账户. 用户分类:管理账户: 普通账户:系统用户(只是启动服务使用的账户),普通用户(可以登录的) 组分类:  管理员组 普通用户

用户组和权限管理

# 用户组和权限管理 ## 概念 用户分为三类: 1.超级用户:root uid=0,简单来说uid为0的用户就是超级用户. 2.虚拟用户:存在linux中,满足文件或者程序运行的需要,而创建的.不能登录,不能使用.uid=1-499,1-999(centos7) 3.普通用户:管理员root创建的用户.uid=500+,1000+(centos7) 用户组就是具有相同特征的用户的集合.一个组可以包含多个用户,每个用户也可以属于不同的组.用户组的目的方便管理员对用户进行集中管理.用户组也分为两类

SharePoint服务器端对象模型 之 访问用户、用户组和权限(Part 1)

(一)概述 SharePoint权限系统是整个SharePoint体系中一个比较重要的部分,权限系统主要分成两大部分:认证和授权. 认证主要解决的问题是判断登陆者是否合法,以及他究竟是哪一个用户,SharePoint与此相关的对象包括用户和用户组.SharePoint支持多种身份认证方式,从最基本的Windows集成认证到各种表单认证,并且在SharePoint 2010中增加了基于声明(Claim Based)认证方式,以及一些相关服务,允许在同一个网站中使用多种认证方式.不过认证方式的设置不

TJI读书笔记09-访问控制权限

body, td { font-family: 微软雅黑; font-size: 10pt; } TJI读书笔记09-访问控制权限 包,package和import 权限修饰符 接口和实现 类的访问权限控制 首先问一个问题,为什么要有访问控制权限? 安全,这当然是一个很重要的原因. 让类库的使用者只能接触他做需要接触的东西. 另外一方面,当我们去重构和修改代码的时候,如何不影响其他的代码和功能?权限访问控制是可以很好的将"变动的事物"和"不变的事物"区分开来.比如一

Android 网络编程 API笔记 - java.net 包 权限 地址 套接字 相关类 简介

Android 网络编程相关的包 : 9 包, 20 接口, 103 类, 6 枚举, 14异常; -- Java包 : java.net 包 (6接口, 34类, 2枚举, 12异常); -- Android包 : android.net 包 (1接口, 19类, 3枚举, 1异常), android.net.http 包 (6类), android.net.nsd 包 (3接口, 2类), android.net.rtp (4类), android.net.sip 包 (1接口, 9类, 1

Linux — 用户组、权限

Linux 用户组分为:所有者.所在组.其他组 所有者:谁创建,谁是所有者.命令:ls -al 所在组:当创建文件或者文件夹时,这个文件或者文件夹所分配到的用户组,这样就会有效地隔离文件. 其他组:和所在组相反,就是其他组 Linux 文件权限:文件属性.修改文件属性和权限 文件属性:文件属性共10位.除了第一位,剩下的三位一组分三组 第一位:属性(- 为文件,d 为目录,l 为链接文件,b 接口设备,c 端口设备) 第一组:文件所有者的权限. 第二组:同用户组的权限 第三组:其他组的权限 权限

linux初步学习之用户和用户组及权限管理浅谈

用户.组: 多用户:多人同时使用系统资源:        AAA: Authentication身份验证多任务:同行运行多个进程:               Authorization授权 Account账户 用户的类别: 管理员:root 普通用户: 系统用户:仅用于运行服务程序: 登录用户:系统资源的正常使用者: 用户标识:UserID, UID 16bits二进制数字:0-65535: 管理员:0 普通用户: 系统用户: CentOS 5, 6: 1-499 CentOS 7: 1-99