passwd group SUID SGID SBIT

密码

  • /usr/share/doc/setup*/uidgid
    保留的用户名和组的ID记录UID,GID

  • /etc/login.defs

    • 用户邮件目录
    • 用户密码 期限
    • 用户uid/gid 可用的范围(最小值,最大值)
    • 用户uid/gid 可用的范围(最小值,最大值)
    • 用户创建时是否创建home目录
    • UMASK 创建用户家目录的权限
    • 使用userdel时,如果组内没有成员,可以删除用户组
    • passwd 创建密码时的加密方式(SHA512)
  • /etc/security/pwquality.conf
    密码规则,密码的复杂度要求

  • chage ---更改用户密码有效期信息
    chage -M 90 username
    设置用户密码在90天内过期
    chage <username>
    交互式的设置用户密码有效期信息

  • /etc/bashrc
    PS1
    umask 设置对新创建的文件或目录应用哪些权限
    对PS1修改,shell的定制到/etc/profile.d/下进行

  • /etc/profile /etc/profile.d/*.sh
    环境变量、 登陆初始化

  • UMASK
    出于安全原因,默认情况下,常规文件不能具有执行权限。因此,即使umask为0000(不禁止任何权限),新的常规文件仍然没有执行权限。但是,可以使用执行权限创建目录(目录777 文件666):

    • -S 显示mask后的实际字符权限
[john@server tmp]$ umask 0000
[john@server tmp]$ touch file
[john@server tmp]$ mkdir directory
[john@server tmp]$ ls -lh .
total 0
drwxrwxrwx. 2 john john 40 Nov  2 13:17 directory
-rw-rw-rw-. 1 john john  0 Nov  2 13:17 file

[tom@localhost ~]$ umask
0002
[tom@localhost ~]$ umask -S
u=rwx,g=rwx,o=rx
[tom@localhost ~]$ 

目录777 文件666
Utilities Description
id 显示用户和组ID。
useradd, usermod, userdel 用于添加,修改和删除用户帐户的标准实用程序。
groupadd, groupmod, groupdel 用于添加,修改和删除组的标准实用程序。
gpasswd 该实用程序主要用于修改/etc/gshadow文件中的组密码,该文件由newgrp命令使用。
pwck, grpck 可用于验证密码,组和关联的shadow文件的实用程序。
pwconv, pwunconv 可用于将密码转换为shadow密码或从shadow密码转换回标准密码的实用程序。
grpconv, grpunconv 与上面的类似,这些实用程序可用于转换组帐户的隐藏信息。
  • 添加用户

useradd [options] username

Option -
-c 'comment' 常用于指定用户的全名。
-d home_directory 要使用的主目录,而不是默认目录/home/username/.
-e date 帐户的停用日期,格式为 YYYY-MM-DD.
-f days 密码过期后直到禁用帐户的天数。如果指定为0,则密码过期后立即禁用该帐户。如果指定-1,则密码过期后不会禁用该帐户。
-g group_name
-g group_id
用户默认(主要)组的组名或组号。该组必须存在,然后才能在此处指定。
-G group_list 用户的附加组,以逗号分隔。这些组必须存在,然后才能在此处指定。
-m 如果主目录不存在,创建它。
-M 不要创建主目录。
-N 不要为用户创建用户私人组。
-p password 用crypt加密的密码
-r 创建UID小于1000且没有主目录的系统帐户。
-s 用户的登录shell,默认为 /bin/bash.
-u uid 用户的用户标识,必须唯一且大于999。
juan:!!:14798:0:99999:7:::

在/etc/shadow文件的密码字段中会出现两个感叹号(!!),它会锁定该帐户。


  • 创建组

groupadd [options] group_name

Option Description
-f, --force 与-g gid一起使用且gid已经存在时,
groupadd将为该组选择另一个唯一的gid。
-g gid 群组的群组ID,必须唯一且大于999。
-K, --key key=value 覆盖/etc/login.defs默认值。
-o, --non-unique 允许创建具有重复GID的组。
-p, --password password 对新组使用此加密密码。
-r 创建GID小于1000的系统组。

  • usermod 将现有用户添加到现有组

usermod -g group_name user_name # 改变用户的属组 (不保留原有的)
usermod -G group_name1,group_name2,... user_name # 改变用户的有多个属组(不保留原有)
usermod -aG group_name1,group_name2,... user_name # 为用户添加多个属组(保留原有的)

  • passwd [选项] user
    passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
选项 说明
--help 显示帮助文档
--version 显示命令版本
-d 删除用户的密码,只有root用户才能使用
-e 使用户密码失效,强制用户下次登录改变密码,只有root用户才能使用
-n 设置密码的最短有效时间,只有root用户才能使用
-x 设置密码最大有效时间,只有root用户才能使用
-S 显示简短的密码信息,只有root用户才能使用
-l 锁定用户,只有root用户才能使用
-u 解锁用户,只有root用户才能使用
-k 选项-k用于指示更新只适用于过期的身份验证令牌(密码);用户希望像以前一样保留其未过期的令牌。
-i 这将设置此帐户的过期密码将被视为不活动的天数,如果用户帐户支持密码生存期,则应禁用该帐户。只对根用户可用。
-w 这将设置用户将开始收到警告,如果用户帐户支持密码生存期,其密码将过期的天数。只对根用户可用。
--stdin 此选项用于指示passwd应从标准输入中读取新密码,该输入可以是管道。
echo "password" |passwd --stdin user少用
  • /etc/passwd
    name:password:UID:GID:GECOS:directory:shell
    GECOS: 注释,常用全名

  • /etc/shadow

字段 说明
login name 登录名
encrypted password 加密密码
date of last password change 自1970年1月1日以来的最后一次更改密码
minimum password age 最小密码使用期限是允许用户再次更改密码之前,
用户必须等待的天数。
maximum password age 最长密码使用期限是用户必须更改密码的天数。
password warning period 密码到期前的天数(请参见上面的最长密码使用
期限),在此期间应警告用户。
password inactivity period 密码过期后的天数(请参见上面的最长密码使用
期限),在此期间仍应接受密码(用户应在下次
登录时更新其密码)。
account expiration date 帐户的到期日期,表示自1970年1月1日以来的天数。
reserved field 该字段保留供将来使用。
  • ACLS
    • 设置ACL
      setfacl -m rules files
      rules:
      • u:uid:perms
        设置用户的访问ACL。可以指定用户名或UID。该用户可以是系统上的任何有效用户。
      • g:gid:perms
        设置组的访问ACL。可以指定组名或GID。该组可以是系统上的任何有效组。
      • m:perms
        设置有效权限掩码。掩码是拥有组的所有权限以及所有用户和组条目的并集。
      • o:perms
        为文件组中的用户以外的用户设置访问ACL。
        perms(权限)必须是字符r,w和x的组合,才能进行读取,写入和执行。
        例如,向用户andrius授予读写权限:
        # setfacl -m u:andrius:rw /project/somefile
        例如,要删除用户,组或其他用户的所有权限,请使用-x选项,并且不要指定任何权限:
        # setfacl -x rules files
        例如,要从具有UID 500的用户中删除所有权限,请执行以下操作:
        # setfacl -x u:500 /project/somefile
    • 恢复默认ACLs
      要设置默认ACL,请在规则前添加d:并指定目录而不是文件名。
      例如,要将/ share /目录的默认ACL设置为对不在用户组中的用户读取和执行(单个文件的访问ACL可以覆盖它):
      # setfacl -m d:o:rx /share
    • 查看ACLs
      getfacl

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/index

特殊权限 suid sgid sticky

  • SUID(setuid)
    功用:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行时,进程的属主不是发起者,而是程序文件自己的属主。


    设置setuid后在属主的x位表示
文件 原权限 有无执行权限 加suid后的权限 是否有效
file -rw-r--r-- -rwSr--r--
file -rwxr--r-- -rwsr--r--

  • sgid(setgid)

功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组的身份在此目录中新建文件或者目录时,新文件的属组不是用户的基本组,而是此目录的属组。





设置setgid后在属组的x位表示

目录 原权限 有无执行权限 加suid后的权限 是否有效
Dir drwxr--r-x drwxr-Sr-x
Dir drwxr-xr-x drwxr-sr-x

  • sticky
    功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件,如果为此类目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。


设置sticky后在全局(other)的x位表示

目录 原权限 有无执行权限 加suid后的权限 是否有效
Dir drwxrwxrwx drwxrwxrwT
Dir drwxrwxrwx drwxrwxrwt

设置方法

名称 命令 说明
suid u+s or 4 -
- chmod u+s cat #添加suid
- chmod u-s cat #取消suid
- chmod 4755 cat #添加suid
- chmod 0755 cat #取消suid
sgid g+s or 2 -
- chmod g+s /testdir/ #添加sgid
- chmod g-s /testdir/ #取消sgid
- chmod 2755 /testdir/ #添加guid
- chmod 0755 /testdir/ #取消guid
sticky o+s or 1 -
- chmod o+s /testdir/ #添加sticky
- chmod o-s /testdir/ #取消sticky
- chmod 1755 /testdir/ #添加sticky
- chmod 0755 /testdir/ #取消sticky
- 也可以suid,sgid,sticky位同时设置 -

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352

推荐阅读更多精彩内容