inux基础之用户权限

inux基础之用户权限

安全3A

  • Authentication认证
  • Authorization授权
  • Accouting|Audition审计
  • 什么是3A比如说windows 就有3A
  • 华为路由,硬件等等都有
  • 那3A到底什么意思
  • 所谓认证,就是确定你的身份
  • 确认了身份当然就是给你授权,给他适当权限
  • 审计就是所谓的监管,记录他所做事,有了权利你不能为所欲为吧,要监管他做了些什么事

用户usder

  • 令牌token或identity
  • 那他们什么意思,其实他们和认证相关
  • 每个用户我怎么知道你是谁张三李四
  • 每个用户登录的时候他会在系统自动的标识你的身份,这就是令牌
  • 就像古代军队的军牌和虎符一样
  • 我们普通用户和root用户登录了系统是看ID号的(UID)
  • 我们登录的时候输入的用户名等等一些英文,但是在计算机里面他识别的是数字
    • 通过UID来判断,在底层计算机会自动的把你的用户名字转换为ID 的,在后台有个转换功能
    • 对于管理员来说,我们用的是root帐号,那为什么他是管理员,不是别的帐号,那因为他的ID是0 系统会自动判断你的权限,因为root是系统分配的,他可以改吗 ,可以我们后面在说。
      • 在linux里面用户的范围是有限制的一共是从1-65535 加上0那一共是65536个帐号
      • 但是在每个版本他们普通用户的 默认用户ID都不同比如CentOS 6里面他们的帐号ID是从500开始变的,entOS 7 里面他们的帐号是从1000开始变的。
      • CentOS 5里面1-499,这个是给系统用的,不是给用户用的
      • CentOS 7 以后才从1-999才预留给系统用
        • 所以我们才会显示500到1000
        • 系统帐号一般给进程来使用
        • 比如说我们远程链接的SSH,这个服务
        • 这个服务也是进程,他也需要指定一个帐号的身份来运行,他就要用到一些特定的用户,以谁的身份来运行这就是系统帐号。
        • 一般帐号是不能登录的只能在本机用
        • 我们创建了用户以后系统会默认给我们用户分配ID ,这个ID是可以改的

组group

  • 同样的组也是一样:组Groupname/GID
  • 那组是什么,组相当于多的用户的集合,比如我们组团玩,吃饭
  • 那组有什么好处,比如说2个用户在一个组,要给他权限,比如给他读和写的权限,那我把权限给组就可以了。
    • 就相当于给组给权限了,他们都在这个组里面,他们会继承这个组的权限
    • 如果又有个帐号想要读和写的权限,那把这个帐号加到这个组就可以了
    • 当然也可以不用组给他权限,可以单独给,但是用户一多就权限就乱了,有了组管理更方便
    • 所以组比是必须了,他是为了方便管理而存在的
      • 当然组也是有ID 号的哦,组也有个帐号也叫root哦,ID也是0哦
      • 当然他是所属组的和用户不同
      • 用户的ID叫UID
      • 组的用户叫GID
      • 那表示组用户名和用户名同名
      • windows 是不允许用户名和组名同名的哦
      • 当然在linux里面我们可以给用户授权也可以给组授权,一般情况下给组授权好一点,以为你方便管理,给组授权代表一个集合更方便

安全上下文

程序(program)
进程(process)

  • 安全上下问什么意思
  • 比如说我给某个用户读和写的权限
  • 他不关用什么工具都可以用
  • 这表示权限不是和工具相关
  • 和这个用户相关
  • 那我在创建个用户
  • 只给他读的权限
  • 那他不管用什么工具那他只有读的权限
  • 这表示用户能怎么用和工具无关和你的身份有关
  • 这就是安全上下文
  • 用户得到的权限是进程的发起者赋予的
  • 这个程序是谁执行的那他就是权限的发起者
  • 进程所能访问的权限取决于,进程运行者的身份,而不是进程本身
  • 你去运行某个程序的时候会检测你运行的环境和用户的身份和权限

用户组的类别

  • 用户是可以加到几个组的,就是多个组
  • 那么我这里创建3个组分别是Q1,Q2.Q3
  • Q是读;Q2是写;Q3是读和写
  • 这表示只要有用户加到那里组就就会继承他们的权限,比如加到Q3这个用户就会有读和写的权限
  • 如果有个用户在三个组里面都有他, 那他就会继承他们所有的累加权限
    主要组(primary group)
  • 一个帐号必须有个主组,只有一个主组
  • 那什么是主组
  • 主组的意思就是你在公司上班的岗位
  • 就是身份你在公司的身份

附加组(suoolementary group)

  • 附加组对于帐号来说可以有可以没有
  • 有的话可以有多个
  • 附加组的意思就是你可能身兼数个岗位

注意不管你是主组或是附加组权限上面没有影响

用户和组的配置文件

linux用户和组的主要配置文件:
/etc/passwd:用户及其属性信息(名称,UIN,主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性

/etc/passwd文件

  • psaawd 是一个文本文件

  • 他里面定义了和用户相关ID等资料

  • 文件的格式

  • 运行了vi /etc/passwd命令以后会显示很多字段

  • 我们用其中的一个用户来表示如:root

  • 第一个字段显示的是我们的用户

  • 第二个字段显示的是我们密码现在是X表示

  • 可以用

  • pwunconv 回归以前查看口令界面

  • pwconv 恢复口令最新状态

  • 来查看

  • 第三个字段是系统自动分配的系统ID号,来修改权限等等,可以把普通用户修改为管理员

  • 这表示帐号和名字决定不聊身份,只有帐号ID才能决定身份

  • 但是千万不要把root 修改为0以上不然很麻烦

  • 如果改了只有进单用户去修改

  • 第四字段是组的编号主组的ID

  • 第五字段是放的是用户的描述信息用

  • chfn可以修改用户的描述信息

  • 第六字段是家目录路径

  • 第七字段是shell类型也可以来改shell类型

  • nlogin是给程序用的不是给用户用的

  • 命令 getent shadow 可以用户选择性的来查看
    etc/shadow: 密码加密

  • shadow 影子的意思 ,用来放用户的密码

  • 加密机制

  • 哈希算法

  • 单向加密算法,所谓单向我一但加密,就是不可以退的,所以加密是固定的,所以位数也是一样的
    /etc/group

  • 第一个是用户名

  • 第二个是组的口令

  • 第三个是组的ID号

  • 第四个是附组用户

  • groups可以查出用户所属组

  • groupmems -g 命令 -l 可以查看组里包括那些附属组。

  • 用户密码放在了cat /etc/gshadow 里面

  • gpasswd是用来给组加口令

  • 那组的口令是干啥用的,,当用户想把自己加到某个组里就要用密码。

    • froupmems -g 用户1 -a 用户2 这条命令就是把用户2加到用户1里面.
    • newgrp 用户 临时切换为主组,需要输入密码

    用户和组的配置文件

  • 打开cat /group 后会显示组

  • 找到root用户组

  • 第一个字符root用户显示的是用户

  • 第二个字符显示的是口令

  • 第三个字符是组的ID号

  • 最后是写的附属组

  • id 用户可以查看属于那个组

  • groups 用户也可以查看属于那个组

  • /etc/group 可以添加附属组

  • 进 `cat /etc/passwd可以查看主组

  • groups这个文件放的是附属组,不放主组

  • groumems -g 用户 -l 也可以查看用户这个组里面的附属组成员>这个是组名>这个命令是这个组里包括那些用户,附属组的用户

  • groups 用户这个命令列出的是用户名>这个是用户名别和上面的搞混了,这个命令是查这个用户是属于什么组,运行了列出的就是他的主组

  • 口令已经不放在原来的路径下了,他放在了cat /etc/gshadow这个文件是专来放组的口令的。

  • 给用户加口令用的是passwd

  • 给组加口令用的是gpassws多了一个g

  • 就算他加了口令对我们的group文件没有变化,/etc/gshadow才是放口令的

  • 可以管理员账号用grupmems -g 用户1 -a 用户2 这条命令是把用户2加到用户1组里面,千万别写反了,可以用groups 用户2来查看有没有加入进去

  • 当我把一个用户加到组里面以后,加入的那个组必须要重新登录才可以,只有重新登录以后才他获取自己的组成员关系

  • 虽然属于一个组但是他们不同步就需要输入口令

  • 如果想输入不需要口令需要去/etc/gshadow里面修改让他们同步才不需要输入密码

  • gshadow文件他决定了切换需要不需要口令

  • 最好是cat /etc/group 和 /etc/gshadow文件最好是一样的否则会出现一些莫名奇妙的问题,最好是同步

  • 如果我已经在这个附属组里面了那就不需要输入口令,如果我们不在需要去里面加。

  • 组不设定口令是没有机会在往里面加的

  • gpasswd -a 用户 组名这样可以加用户

  • gpasswd -d 用户 组名 这样可以去掉用户

  • gpasswd -A 用户 组名 这样可以把用户设为组的管理员

  • gpaswd -M 用户 用户 用户 组名 可以多用户添加用户到组里面

  • 不要迫不得已不要修改文件

  • 如果你一定想改就用vipw

  • pwck可以检查命令的语法

  • grpck是对组来进行检查管理的是组

  • 最好不要改文本,最好用命令改
    用户和组管理命令

  • useradd 是创建用户

  • usermod 是修改用户

  • userdel 是删除用户>这个命令是默认不删除家目录的,加入删除了用户会显示出UID号

  • 加入-ruserdel -r 用户 才会把用户家目录删除

  • 删除用户只能一个一个删除,不能多用户删除

组管理

  • groupadd 增加组用户
  • groupmod 修改组用户
  • groudel 删除组用户

useradd

  • -u是指定用户useradd -u uid 用户
  • -o 配合-u 选项,不检查UID的唯一性,加入Uid一样他们会共享一个家目录
    --N 创建用户的时候直接加组
  • -g 创建用户的时候指定组useradd -g 主组 用户
  • -r 创建系统用户 系统用户的家目录是不会自动生成的
  • -G 指定附属组useradd -g 主组 -G 附属组可以一次指定多个附属组
  • -d是指定家目录 指定家目录要这个目录要必须不存在 useradd -d 路径 用户
  • -s 指定shell类型useradd -s shell类型 -r 用户用-r系统账号家目录不会自动生成
  • 一般写是 useradd -s shell类型 -r -d 家目录 用户 这样才会创建家目录``如:useradd -s /shin/bash -r -d /app/apache apache`
  • -M 是不创建家目录如useradd -M 创建的用户名`
  • chpasswd 可以批量修改口令如 cat passwd.t nxt| chpasswd
  • 文件权限

  • 权限(peumission)
  • 在linux权限分配里面就只有三种
  • r read 读 读取
  • w write 写 写入
  • x excute 执行
  • 其中所有者是用前三个字母来分别是用r w x 来表示 输入有会显示没有用- 来表示
  • 因为有三种人 ,三种权限分配所以有9个字符
  • 中间是所属组
  • 最后一个是其他人
  • chown 更改所有者
  • chgrp 更改所属组
  • ————————————————
  • chown 这个命令可以修改组和所有者有几个方式
  • chown . 组名 文件
  • chown : 组名 文件
  • chown 所有者:组名 文件
  • chouwn 所有者: 文件假如不加组名会默认加入所有者的组
  • chmod 添加权限 + - =
  • + 是添加权限
  • -是去掉权限
  • = 是覆盖权限
  • chmod -- rederence 组1 组2 这是参考组1给2组配权限
    ————————————————————————
  • u 是所有者
  • g 所属组
  • o是其他_______________________________________
  • 使用格式
  • chmod u+x 文件名
    ——————————————————————
  • 所有者是可以改文件权限的
  • usermod -G 组 用户可以添加组
  • 执行权限是对管理员账号是有效的,如果其中有1个可执行的的管理员就可以执行,如果都没有管理员账号也不能执行。
  • ` 删除文件和文件本身权限无关,和目录有关
  • umask + defaule permission
    -umask 是改变创建文件时候权限大小

  • umask掩码
  • umask -s 显示权限
  • umask修改权限
  • 如:umask u=rw,g=r,o=x
  • umask -p 显示掩码
  • 二进制程序没有权限一样能执行
  • suid sgis 权限必须放在可执行程序上
    • 功能是继承所有者或所属组的权限



最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容