本章概要
- 解释Linux的安全模型
- 解释用户帐号和组群帐号的目的
- 用户和组管理命令
- 理解并设置文件权限
- 默认权限
- 特殊权限
- ACL
1、用户和组
介绍安全3A
Authentication:认证
Authorization:授权
Accouting|Audition:审计
1.2 用户user
linux用户:Username(UID)
用户分类
管理员:root,id号为0
普通用户:id号为1-65535
普通用户又分为:
系统用户:id号为1-499(centos6版本),1-999(centos7版本)
系统用户无需登录,系统运行时,自动运行
非系统用户(普通用户):500+(centos6版本),1000+(centos7版本)
非系统用户需要登录才能运行
1.3 组group
Linux组:Groupname/GID
组分类1
管理员组:id号为0
普通组:
系统组:id号为1-499(centos6版本),1-999(centos7版本)
非系统组(普通组):500+(centos6版本),1000+(centos7版本)
组分类2
Linux组的类别
用户的主要组(primary group)
用户必须属于一个且只有一个主组
用户的附加组(supplementary group)
一个用户可以属于零个或多个辅助组
1.4 用户和组配置文件
Linux用户和组的主要配置文件:
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
1、/etc/passwd文件格式
(1)文件每一行分为7个字段,每个字段含义如下:
(2)login name:登录用名(test1)
(3)passwd:密码 (x)
(4)UID:用户身份编号 (1004)
(5)GID:登录默认所在组编号 (1004)
(6)GECOS:用户全名或注释
(7)home directory:用户主目录 (/home/test1)
(8)shell:用户默认使用shell (/bin/bash)
查看/etc/passwd文件除了使用cat,还可以使用getent命令查看,而且单独可以查看某用户的信息。
使用getent命令查看yuan用户信息
[root@centos7 ~]#getent passwd yuan
yuan:x:1000:1000:yuan:/home/yuan:/bin/bash
该文件中各字段信息都可以通过打开/etc/passwd进行更改,不过一般情况下不推荐使用这种方法进行更改,可以通过命令进行更改。
如:chfn 更改用户注释信息
[root@centos7 ~]#chfn yuan
Changing finger information for yuan.
Name [yuan]:
Office []: beijing
Office Phone []: 123456
Home Phone []: 123456
Finger information changed.
[root@centos7 ~]#getent passwd yuan
yuan:x:1000:1000:yuan,beijing,123456,123456:/home/yuan:/bin/bash
chsh -s 更改用户shell类型
[root@centos7 ~]#chsh -s /bin/csh yuan
Changing shell for yuan.
Shell changed.
[root@centos7 ~]#getent passwd yuan
yuan:x:1000:1000:yuan,beijing,123456,123456:/home/yuan:/bin/csh
finger 查看用户注释信息
[root@centos7 ~]#finger yuan
Login: yuan Name: yuan
Directory: /home/yuan Shell: /bin/csh
Office: beijing, 123456 Home Phone: 123456
Last login Sat Aug 11 20:56 (CST) on pts/0
No mail.
No Plan.
2、/etc/shadow文件格式
文件每行共有9个字段,各字段含义如下:
(1)登录用名
(2)用户密码:一般用sha512加密
加密口令第一第二两个$符之间的数字“6”表示使用的是sha512sum加密算法,如果是“5”,则是使用的sha256sum加密算法;第二第三个$符号之间的内容则是sha512sum加密算法所加的“salt”(随机数),根据“salt”的不同,那么即使口令一样,生成的加密口令也不一样,这样就保证了口令的安全;如果口令前带有!表示该账户被锁定,无法登录
(3)从1970年1月1日起到密码最近一次被更改的时间
(4)密码再过几天可以被变更(0表示随时可被变更)
(5)密码再过几天必须被变更(99999表示永不过期)
(6)密码过期前几天系统提醒用户(默认为一周)
(7)密码过期几天后帐号会被锁定
(8)从1970年1月1日算起,多少天后帐号失效
(9)保留字段,留作其他用途
[root@centos7 ~]#getent shadow yuan
yuan:$6$lXGVR0aQVZifgLWn$.tCihiQsWPvZqXdMgPimYfT6rkyuKBE9LodjEuskeBidLv0LFLBh6T2KtkqqimoXTUQbVpRNec5nuPyZbPdVs.::0:99999:7:::
密码加密
加密机制:
加密:明文--> 密文
解密:密文--> 明文
单向加密:哈希算法,原文不同,密文必不同
相同算法定长输出,获得密文不可逆推出原始数据
雪崩效应:初始条件的微小改变,引起结果的巨大改变
md5: message digest, 128bits
sha1: secure hash algorithm, 160bits
sha224: 224bits
sha256: 256bits
sha384: 384bits
sha512: 512bits
更改加密算法 authconfig --passalgo=sha256 --update
/etc/login.defs 查看加密算法类型
[root@centos7 ~]#cat /etc/login.defs
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
#文件中71行
密码的复杂性策略
使用数字、大写字母、小写字母及特殊字符中至少3种
足够长
使用随机密码
定期更换,不要使用最近曾经使用过的密码
使用chage命令可以更改/etc/shadow文件中的与密码有关的日期。
[root@centos7 ~]#chage yuan
Changing the aging information for yuan
Enter the new value, or press ENTER for the default
Minimum Password Age [0]:
Maximum Password Age [99999]: 5
Last Password Change (YYYY-MM-DD) [-1]: 50
Password Expiration Warning [7]: 3
Password Inactive [-1]: 30
Account Expiration Date (YYYY-MM-DD) [-1]: 50
[root@centos7 ~]#getent shadow yuan
yuan:$6$lXGVR0aQVZifgLWn$.tCihiQsWPvZqXdMgPimYfT6rkyuKBE9LodjEuskeBidLv0LFLBh6T2KtkqqimoXTUQbVpRNec5nuPyZbPdVs.:50:0:5:3:30:50:
3、/etc/group文件格式
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
[root@centos7 ~]#getent group yuan
yuan:x:1000:yuan
4、/etc/gshdow文件格式
群组名称:就是群组名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:(分隔符为逗号)
[root@centos7 ~]#getent gshadow yuan
yuan:!!::yuan
文件操作命令
pwck 检查/etc/passwd文件格式是否有问题
grpck 检查/etc/group文件是否有问题
[root@centos7 ~]#cat /etc/passwd
:x:0:0:root:/root:/bin/bash
#故意删除root用户名
[root@centos7 ~]#pwck /etc/passwd
invalid user name ''
#提示无效用户名
2、用户和组管理命令
命令概括
用户管理命令:useradd usermod userdel passwd
组管理命令:groupadd groupmod groupdel groupmems gpasswd
其他相关命令:newusers chpasswd chage newgrp id su
2.1 用户管理命令
useradd 添加用户
命令用法:useradd [options] LOGIN
useradd -D
useradd -D [options]
选项:
-u UID 指定UID
-o 配合-u 选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c 更改用户的注释信息
-d HOME_DIR: 指定用户家目录(该目录为系统不存在的路径)
-s SHELL: 指明用户的默认shell类型 可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...]:为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 CentOS 6: ID < 500,CentOS 7: ID < 1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
[root@centos7 ~]#useradd -u 1005 test1
[root@centos7 ~]#useradd -u 1004 -o test2
[root@centos7 ~]#useradd -g test1 test2
[root@centos7 ~]#useradd -c "magedulinux" test1
[root@centos7 ~]#useradd -d /app/dir test1
[root@centos7 ~]#useradd -s /bin/csh user1
[root@centos7 ~]useradd -G test1 test1
[root@centos7 ~]useradd -N user1
[root@centos7 ~]useradd -r tomcat
[root@centos7 ~]useradd -m tomcat
[root@centos7 ~]useradd -M user1
默认值设定:/etc/default/useradd文件中
useradd -D 显示或更改默认设置
useradd –D -s SHELL
useradd –D –b BASE_DIR
useradd –D –g GROUP
新建用户的相关文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs
newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令,该命令用法与newusers一致
[root@centos7 ~]#cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
/etc/sekl 表示家目录下用户目录的环境变量信息,该文件内容和家目录下新建用户文件内容一致,当新建用户时,系统会把/etc/skel目录下文件复制到用户家目录下
[root@centos7 ~]#ls -a /etc/skel /home/user1
/etc/skel:
. .. .bash_logout .bash_profile .bashrc .mozilla
/home/user1:
. .. .bash_logout .bash_profile .bashrc .mozilla
/etc/login.defs 该目录包含了关于用户的默认设置信息。
[root@centos7 ~]#cat /etc/login.defs
#文件43至68行
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
#
# Min/max values for automatic uid selection in useradd
#
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN 1000
GID_MAX 60000
# System accounts
SYS_GID_MIN 201
SYS_GID_MAX 999
newusers paswd格式文件 批量创建新用户
[root@centos7 ~]#cat passwd.txt
user2:123456:1010:1010::/home/user2:/bin/bash
user3:123456:1011:1011:test1:/home/user3:/bin/bash
user4:123456:1012:1012:test2:/home/user4:/bin/bash
[root@centos7 ~]#newusers passwd.txt
[root@centos7 ~]#tail -n4 /etc/passwd
user1:x:1010:1010::/home/user1:/bin/bash
user2:x:1010:1010::/home/user2:/bin/bash
user3:x:1011:1011:test1:/home/user3:/bin/bash
user4:x:1012:1012:test2:/home/user4:/bin/bash
chpasswd 批量修改用户口令
usermod 用户属性修改
命令用法 usermod [options] login
选项:
-u UID: 新UID,指定用户UID
-g GID: 新主组,指定用户主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:指定用户SHELL类型
-c 'COMMENT':指定用户注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 更用户名
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
userdel 删除用户
命令用法:userdel [OPTION]... login
选项:
-r 删除用户家目录
passwd 设置密码
命令用法:passwd [OPTIONS] UserName
选项:
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
原理:更改用户最后一次登录时间为1970.1.1,因此下次登录必须更改口令
-f: 强制操作
--stdin:从标准输入接收用户密码
echo "PASSWORD" | passwd --stdin USERNAME 修改密码(使用管道技术)
修改用户密码策略
chage [OPTION]... LOGIN
-d LAST_DAY
-E --expiredate EXPIRE_DATE
-I --inactive INACTIVE
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
–l 显示密码策略
示例:
chage -d 0 tom 下一次登录强制重设密码,相当于passwd -e
2.2 组管理命令
groupadd 创建组
命令用法:groupadd [OPTION]... group_name
选项:
-g GID: 指明GID号;[GID_MIN, GID_MAX]
-r: 创建系统组
CentOS 6版本:ID号1-499
CentOS 7版本:ID号1-999
groupmod 修改组属性
用法:groupmod [OPTION]... group
选项:
-n group_name: 指定组名
-g GID: 指定组GID
groupdel 删除组
groupdel 组名 删除组
更改组密码
gpasswd 组密码
命令用法:gpasswd [OPTION] GROUP
选项:
-a user 将user添加至指定组中
-d user 从指定组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
newgrp 临时切换主组
更改和查看组成员
groupmems 组成员
命令用法:groupmems [options] [action]
选项:
options:
-g, --group groupname 更改为指定组 (只有root)
Actions:
-a, --add username 指定用户加入组
-d, --delete username 从组中删除用户
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表
groups [OPTION] [USERNAME]... 查看用户所属组列表
id和su
id 查看用户ID信息
命令用法:id [OPTION]... [USER]
选项:
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
su switch user 切换用户
命令用法:su [options...] [-] [user [args...]]
切换用户方式:
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录
[root@centos7 ~]#su user1
[user1@centos7 root]$
su - UserName:登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换
[root@centos7 ~]#su - user1
Last login: Tue Aug 14 21:32:04 CST 2018 on pts/0
[user1@centos7 ~]$
root su至其他用户无须密码;非root用户切换时需要密码
换个身份执行命令:
su [-] UserName -c 'COMMAND'
选项:-l --login
su -l UserName 相当于 su - UserName
练习:
1、创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息为"Gentoo Distribution"
useradd -G bin,root -s /bin/csh -c ""
.2、创建下面的用户、组和组成员关系
名字为webs 的组
用户nginx 使用webs 作为附属组
用户varnish,也使用webs 作为附属组
用户mysql,不可交互登录系统,且不是webs 的成员,nginx,varnish,mysql密码都是magedu
groupadd webs
useradd -G webs nginx
useradd -G webs varnish
useradd -s /sbin/nologin mysql
echo magedu |passwd --stdin nginx
echo magedu |passwd --stdin varnish
echo magedu |passwd --stdin mysql
3、文件权限
3.1 文件权限
文件的权限主要针对三类对象进行定义
owner: 属主, u
group: 属组, g
other: 其他, o
每个文件针对每类访问者都定义了三种权限
r: read w: write x: eXcut
3.2 权限功能
针对文件,rwx权限功能:
r: 可使用文件查看工具获取其内容
w: 可修改文件内容
x: 该权限主要针对于二进制、执行程序
针对目录,rwx权限功能:
r: 可以使用ls查看此目录中文件列表
w: 可在此目录中修改文件,即新建、删除此目录中的文件
x: 可以cd进入此目录,访问目录中文件的元数据
X:只给目录x权限,不给文件x权限
如果文件原来就有有执行权限,那么将赋予该文件执行权限
3.3 权限相关命令
chmod、chown、chgrp
chmod 修改文件权限,作用对象是文件
chown 修改文件所有者,作用对象是文件
chgrp 修改文件所属组,作用对象是文件
chmod 修改文件权限
命令用法1:chmod [OPTION]... OCTAL-MODE FILE...
选项:
-R 递归 更改目录下所有文件的权限
命令用法2:chmod [OPTION]... MODE[,MODE]... FILE...
MODE用法:
(1)修改用户的权限
u= (更改所有者权限)
g= (更改所属组权限)
o= (更改其他用户权限)
a= (更改所有权限)
[root@centos7 data]#chmod u=rwx f1
[root@centos7 data]#ll f1
-rwxr--r--. 1 root root 0 Aug 14 21:43 f1
(2)修改用户的某位或某些位的权限
u+ u- g+ g- o+ o- a+ a-
[root@centos7 data]#chmod u+x,g+x f2
[root@centos7 data]#ll f2
-rwxr-xr--. 1 root root 0 Aug 14 21:44 f2
命令用法3: chmod [OPTION]... --reference=file1 file2...
参考file1文件的权限,将file2的权限修改为同样的设置
[root@centos7 data]#ll f2
-rwxr-xr--. 1 root root 0 Aug 14 21:44 f2
[root@centos7 data]#chmod a=rwx f1
[root@centos7 data]#ll f1 f2
-rwxrwxrwx. 1 root root 0 Aug 14 21:43 f1
-rwxr-xr--. 1 root root 0 Aug 14 21:44 f2
[root@centos7 data]#chmod --reference=f1 f2
[root@centos7 data]#ll f1 f2
-rwxrwxrwx. 1 root root 0 Aug 14 21:43 f1
-rwxrwxrwx. 1 root root 0 Aug 14 21:44 f2
chown 修改文件所有者
命令用法:chown [OPTION]... [OWNER] [:[GROUP]] FILE...
chown 用户名.组名(或用户名:组名) 文件 修改文件用户和组
选项:
-R 递归 更改目录下所有文件的所有者
chgrp 修改文件所属组
命令用法:chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
选项:
-R 递归 更改目录下所有文件的所属组
数字法设置权限
权限 r w x
对应数字 4 2 1
数字法表示权限,适用于所有对象,即u(文件所有者)、g(文件所属组)、o(其他)
因为数字相加最高为7,可以用八进制数字表示权限
--- 000 0 没有任何权限
--x 001 1 只有执行权限
-w- 010 2 只有写权限
-wx 011 3 有写和执行权限
r-- 100 4 只有读权限
r-x 101 5 有读和执行权限
rw- 110 6 有读和写权限
rwx 111 7 有读、写、执行权限
例如:
666 rw-rw-rw-
750 rwxr-xr-x
新建文件和目录的默认权限
umask值
设定umask值默认权限,只影响以后新建的文件
umask值+default(默认权限)=dir777|file666
文件的权限最大值为666,而目录权限最大值为777,是因为缺少执行权限1,这是为了安全考虑,文件具备执行权限,如果该文件是病毒或者不安全进程,会对系统有害,因此,系统默认文件不具备执行权限
文件权限算法:
新建文件权限为:666-umask值,如果所得结果某位存在执行(奇数)权限,则将其权限+1
新建目录权限为:777-umask,结果不做任何更改。
特权用户(管理员)umask值默认为022
普通用户umask值默认为002
命令用法:
umask 查看uamsk值
umask 数字 设定umask值
设置umask值只对当前登录用户有效,一旦退出该用户,umask值将不会对下次登录用户有效,因此,可将umask写入文件就用保存。
文件位置:~/.bashrc 只对当前用户有效
/etc/bashrc 对所有用户有效
模式法设置umask值:umask u=rw,g=r,o=
umask -s 查看设置的umask值
umask -p 显示umask值 显示结果,可用于重定向或追加到文件中,方便操作。
文件特殊权限
SUID SGID Skity
suid:4,作用于二进制程序,功能:当用户执行此程序时,将继承此文件所有者的权限
命令用法:chmod u+s /usr/bin/passwd
数字法表示相当于 chmod 4755 /usr/bin/passwd 在原有用户权限值前加上4
root@centos7 data]#ll
total 0
-rwxr-xr-x. 1 root root 0 Aug 14 21:51 f1
-rwxr-xr-x. 1 root root 0 Aug 14 21:51 f2
[root@centos7 data]#chmod 4755 f2
[root@centos7 data]#chmod u+s f1
[root@centos7 data]#ll
total 0
-rwsr-xr-x. 1 root root 0 Aug 14 21:51 f1
-rwsr-xr-x. 1 root root 0 Aug 14 21:51 f2
sgid: 2,作用于二进制程序,功能:当用户执行此程序时,将继承此文件所有组的权限
作用于目录上,功能:当用户在目录建新文件时,新文件的所属组自动继承此目录的所属组
命令用法:chmod g+s /usr/bin/passwd
数字法表示相当于 chmod 2755 在原有组权限值前加上2
sticky:1,作用于目录上,功能:此目录中的文件,只能被所有者自已删除
命令用法:chmod o+t /usr/bin/passwd
数字法表示相当于 chmod 1755 相当于在原有权限前加上1
chattr 设定文件特定属性
+i 文件 任何用户都不能删除该文件
-i 去除该功能
+a 不能删除,只能追加内容
-a 去除该功能
-A 不更新读时间(atime),优化系统性能。
lsattr 显示特定属性
4、访问控制列表
ACL Access Control List,实现灵活的权限管理
一般的权限只能针对所有者、所属组、其他三种对象,对于第四类以及第五类人则无法做出限制,功能有限,因此可以用到acl控制列表来实现
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
传统权限和ACL设定权限优先级(从高到低):
所有者,自定义用户(ACL定义用户),自定义组(ACL定义组),其他人
setfacl 设置acl控制列表
用法:
setfacl -m u:用户名:权限 文件名
如setfacl -m u:test1:rwx /etc/fstab
选项:
-x 用户名 文件名 删除acl权限
-b 彻底删除全部acl权限
-R -m 递归设置acl权限
设定acl控制列表后,会在权限列最后一位多出一个“+”号
[root@centos7 ~]#ll f1
-rw-rwxr--+ 1 root root 12 Aug 14 22:53 f1
getfacl获取acl列表
用法:
getfacl dir/file 获取文件或目录的acl列表
[root@centos7 ~]#getfacl f1
# file: f1
# owner: root
# group: root
user::rw-
user:yuan:rwx
group::r--
mask::rwx
other::r--
选项:
getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2
mask
acl列表中权限最高,其他权限全都低于mask权限,可用于批量修改acl列表中的权限。
一旦设定mask值,所属组的权限就是mask权限。
命令用法:
setfacl -m mask::rx file
[root@centos7 ~]#setfacl -m mask::rw f1
[root@centos7 ~]#getfacl f1
# file: f1
# owner: root
# group: root
user::rw-
user:yuan:rwx #effective:rw-
group::r--
mask::rw-
other::r--
选项:
--set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以
示例:
setfacl --set u::rw,u:wang:rw,g::r,o::- file1
备份和恢复ACL
主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息
用法:
getfacl -R /tmp/dir1 > acl.txt 备份acl权限到acl.txt文件
setfacl -R -b /tmp/dir1 删除dir1目录所有权限
setfacl -R --set-file=acl.txt /tmp/dir1 用新权限代替原有权限
setfacl --restore acl.txt 从acl.txt获取权限列表
getfacl -R /tmp/dir1 查看权限
文章评论