一、用户管理(id)
3A安全策略
- Authentication:认证(用户名与密码、指纹、人脸,声音)
- Authorization:授权(不同用户不同权力)
- Accouting|Audition:审计(监控)
判断用户身份及权限:令牌,用户ID号
- 令牌token,identity:用户登录时就会自动获取
- Linux用户:Username/UID
- 管理员: 0,root
- 普通用户:1-60000 自动分配
- 系统用户:1-499, 1-999 (CentOS7)
- 对守护进程获取资源进行权限分配
- 登录用户:500+, 1000+(CentOS7)
- 交互式登录
- 系统用户:1-499, 1-999 (CentOS7)
Linux安全上下文(发起程序的用户身份,组身份)
- 运行中的程序:进程 (process)---指令+数据
- 以进程发起者的身份运行:
- root: /bin/cat
- mage: /bin/cat
- 进程所能够访问资源的权限取决于进程的运行者的身份
二、组管理
- Linux组:Groupname/GID
- 管理员组: 0,root
- 普通组:
- 系统组:1-499, 1-999(CENTOS7)
- 普通组:500+, 1000+(CENTOS7)
Linux组的类别
- 用户的主要组(primary group)
- 用户必须属于一个且只有一个主组
- 组名同用户名,且仅包含一个用户,私有组
- 用户的附加组(supplementary group)
- 一个用户可以属于零个或多个辅助组
用户和组的主要配置文件:
1./etc/passwd(man 5 passwd):用户及其属性信息,共7个字段
- 格式:account/name:password:UID:GID:GECOS:directory:shell
- name(用户名)
- passwd(密码占位符)
- 新版本密码默认放在:/etc/shadow文件里,如果想放到/etc/passwd下,执行pwunconv命令;取消使用pwconv
- !!:锁定账户(双保险)不可以登录
- usemod -L username:lock锁定指定用户
-
usemod -U username:unlock解锁指定用户
image
- UID(ID号)
- GID(组ID号):
- GECOS(描述信息)
- 添加备注信息:
- chfn 用户名
- useradd -c
- 查看备注信息:finger 用户名
- 添加备注信息:
- directory(家目录):从/etc/skel中复制过来
- .bash_profile
- .bash_logout
- .bashrc
-
useradd -d
image
- shell(使用的shell):/etc/shells
- 更改:chsh -s 目标shell类型
-
useradd -s
2./etc/group:组及其属性信息,共4个字段
格式:group_name:password:GID:user_list
- group_name:群组名称:就是群组名称
- password:群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
- GID:就是群组的 ID
- user_list:以当前组为附加组的用户列表(分隔符为逗号)
3./etc/shadow:用户密码及其相关属性,共9个字段
可以使用chage username更改以下的个别信息(chage -l usernme:查看设置信息)
- 格式:login name:encrypted password:date of last password change:minimum password age:maximum password age:password warning period:password inactivity period:account expiration date:reserved field
1. login name:用户名
2. encrypted password:加密后的口令(一般使用sha512算法)
- $1:MD5加密算法(被山东大学的王小云博士破解,还有sha1算法)
- $6:sha512算法
3. date of last password change:距离UNIX元年(1970年1月1日)最近一次更改密码的时间(**这里设置为0,表示第一次登录必须更改密码**)
- 用户口令立即失效,下次登录必须更改密码:也就是这项设置为0,方法有:
1. passwd -e username
2. chage -d 0 username
4. minimum password age:最短口令有效期,密码再过几天可以被变更(0表示随时可被变更)
5. maximum password age:最长口令有效期,密码再过几天必须被变更(99999表示永不过期)
6. password warning period:警告时间,最长口令有效期过期前几天提醒用户(默认为一周)
7. password inactivity period:宽限期,最长口令有效期过期几天后帐号会被锁定(最终过期时间:最长口令有效期+宽限期)
8. account expiration date:针对账户,为账户有效期,从1970年1月1日算起,多少天后帐号失效
9. reserved field:保留字段,还没有启动
image
也可以更改/etc/login.defs文件中的选项,成为默认,不用99999那么长的天数,出于安全考虑
- PASS_MAX_DAYS:最长有效期(42)
- PASS_MIN_DAYS:最短有效期(3)
- PASS_MIN_LEN:长度(5)
- PASS_WARN_AGE:警告时间,提前几天通知(7)
- MAIL_DIR:邮件默认存放目录(/var/spool/mail)
- UID_MIN:普通用户最小起始ID号
- UID_MAX:最大ID号
- GID_MIN:普通组最小起始ID号
- GID_MAX:最大ID号
- SYS_UID_MIN:系统用户最小起始ID号
- SYS_UID_MAX:系统用户最大ID号
- SYS_GID_MIN:系统组最小起始ID号
- SYS_GID_MAX:系统用户最大ID号
- CREATE_HOME:yes---默认创建家目录;no:不创建家目录
- UMASK:遮罩码(默认权限)
用户添加默认设置配置文件:/etc/default/useradd或者useradd -D
- GROUP=100:让GID为100的组为主组(默认为Uses),不创建私有组(useradd -N username)
- HOME=/home:默认家目录
- INACTIVE=-1:宽限期
- EXPIRE=:账户过期时间
- SHELL=/bin/bash:默认shell
- SKEL=/etc/skel:创建新用户家目录模板文件
-
CREATE_MAIL_SPOOL=yes:默认创建邮箱用户
image
密码加密
- 加密机制:
- 加密:明文--> 密文
- 解密:密文--> 明文
- 单向加密:哈希算法,原文不同,密文必不同
- 相同算法定长输出,获得密文不可逆推出原始数据
- 雪崩效应:初始条件的微小改变,引起结果的巨大改变
- md5: message digest, 128bits
- sha1: secure hash algorithm, 160bits
- sha224: 224bits
- sha256: 256bits
- sha384: 384bits
- sha512: 512bits
- 更改加密算法:
-
authconfig --passalgo=sha256 --update(更改了/etc/login.defs文件中的ENCRYPT_METHOD 选项)
image
-
密码的复杂性策略
- 使用数字、大写字母、小写字母及特殊字符中至少3种
- 足够长
- 使用随机密码
- 定期更换,不要使用最近曾经使用过的密码
4./etc/gshadow:组密码及其相关属性,共4个字段
格式:组名:组口令:组管理员:组成员(附加组)
- 群组名称:就是群组名称
- 群组密码:
- 组管理员列表:组管理员的列表,更改组密码和成员
- 以当前组为附加组的用户列表(分隔符为逗号)
- 给组加口令:gpasswd groupname
-
加入到新组,并设为主组:newgrp 目标组名(执行后,目标组会变为主组)newgrp可以临时切换主组,如果原来不在这个目标组里,就需要输入口令
image
(ID不变,身份就不变,名字无所谓)让新员工用离职员工原来的账户,保持原来的权限:利用相同ID,就有相同权限,方法如下 :
只更改原来的用户名,不更改原来的ID号,更改以下相关文件的用户名
- /etc/passwd:第1个字段:新入职员工名
- /etc/shadow:第1个字段:新入职员工名
- /home/离职员工名 更改为 /home/新入职员工名
文件操作命令
- vipw:相当于vi=nano /etc/passwd,比vi和nano安全,保存会语法检查
- vigr:相当于vi=nano /etc/group,比vi和nano安全,保存会语法检查
- pwck:语法检查passwd文件----使用nano更改/etc/passwd后,执行检查
-
grpck:语法检查group文件
image
用户和组管理命令
用户相关命令:
查看指定用户的相关信息:getent passwd username
useradd(管理员才可以执行)
- useradd [options] LOGIN
- -u UID
- -o 配合-u 选项,不检查UID的唯一性
- -g GID:主组,指明用户所属基本组,可为组名,也可以GID
- -c "COMMENT":用户的注释信息(chfn命令也可以)
- -d HOME_DIR: 以指定的路径(不存在)为家目录
- -s SHELL: 指明用户的默认shell程序,可用列表在/etc/shells文件中
- 系统账户:服务 /sbin/nologin
- -G GROUP1[,GROUP2,...]:为用户指明附加组,组须事先存在
- -N 不创建私用组做主组,使用users组做主组
- 在/etc/default/useradd里面设置---GROUP选项
- -r: 创建系统用户 CentOS 6: ID<500,CentOS 7: ID<1000
- 不会创建家目录
- 不会创建邮箱目录
- -m 创建家目录,用于系统用户
- -M 不创建家目录,用于非系统用户
- -D 查看/etc/default/useradd文件的设置
- useradd –D -s SHELL
- useradd –D –b BASE_DIR
-
useradd –D –g GROUP
image
image
usermod:修改用户属性
- usermod [OPTION] login
- -u UID: 新UID
- -g GID: 新主组
- -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
- -s SHELL:新的默认SHELL
- -c 'COMMENT':新的注释信息
- -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
- -l login_name: 新的名字;
- -L: lock指定用户,在/etc/shadow 密码栏的增加 !
- -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
- -e YYYY-MM-DD: 指明用户账号过期日期
- -f INACTIVE: 设定非活动期限,宽限期(/etc/shadow文件倒数第3个字段)=passwd -i
userdel
- userdel [OPTION]... login
- -r: 删除用户家目录及邮箱目录
批量创建用户:newusers 文件
-
文件格式:和/etc/passwd文件里面的字段一样
image
批量设置口令:cat 口令文件|chpasswd
- 口令文件格式:用户名:密码
查看用户相关的ID信息:id:判断账户是否存在
id [OPTION]... [USER]
- -u: 显示UID
- -g: 显示GID
- -G: 显示用户所属的组的ID
-
-n: 显示名称(name),需配合ugG使用
image
切换用户或以其他用户身份执行命令:su:switch user
su [options...] [-] [user [args...]]
切换用户的方式:
- su UserName:非登录式切换,不完整切换,即不会读取目标用户的配置文件,不改变当前工作目录
- su - UserName:登录式切换,完全切换,会读取目标用户的配置文件,切换至家目录,完全切换,包括变量等其他参数
- root su至其他用户无须密码;非root用户切换时需要密码
- 换个身份执行命令:
- su [-] UserName -c 'COMMAND'(单引号,不是反向单引号)
- 选项:-l --login
- su -l UserName 相当于 su - UserName
- 退出:exit或者logout
设置密码:passwd
passwd [OPTIONS] UserName: 修改指定用户的密码
常用选项:
- -d:删除指定用户密码
- -l:锁定指定用户=usermod -L
- -u:解锁指定用户=usermod -U
- -e:强制用户下次登录修改密码=chage -d 0
- -f:强制操作
- -n mindays:指定最短使用期限
- -x maxdays:最大使用期限
- -w warndays:提前多少天开始警告
- -i inactivedays:非活动期限=usermod -f
- --stdin:从标准输入接收用户密码
- echo "PASSWORD" | passwd --stdin USERNAME
修改用户密码策略
chage [OPTION]... LOGIN
- -d LAST_DAY
- -E --expiredate EXPIRE_DATE
- -I --inactive INACTIVE
- -m --mindays MIN_DAYS
- -M --maxdays MAX_DAYS
- -W --warndays WARN_DAYS
- –l 显示密码策略
示例:
- chage -d 0 tom 下一次登录强制重设密码
- chage -m 0 –M 42 –W 14 –I 7 tom
- chage -E 2016-09-10 tom
用户相关的其它命令
- chfn:指定个人信息
- chsh:指定shell
- finger:查看备注信息
组相关命令
查看指定用户的相关信息:getent group groupname
创建组:groupadd
groupadd [OPTION]... group_name
- -g GID: 指明GID号;[GID_MIN, GID_MAX]
- -f:强制
- -r: 创建系统组
- CentOS 6: ID<500
- CentOS 7: ID<1000
groupmod:组属性修改
groupmod [OPTION]... group
- -n group_name: 新名字
- -g GID: 新的GID
groupdel:组删除
groupdel GROUP:如果有账户依附为主组,将不能删除
综合例子:创建apache组与用户
- groupadd -g 48 -r apache(创建GID为48的apache组)
- useradd -c "Apache" -u 48 -g apache -s /sbin/nologin -r -d /usr/share/httpd apache
- c:注释信息为:Apache
- u:UID:48
- g:主组:apace
- s:shell类型:/sbin/nologin(不可登录系统)
- r:系统用户(不创建家目录与邮箱目录)
- d:家目录为/usr/share/httpd
更改组密码:gpasswd
gpasswd [OPTION] GROUP
- -a user 将user添加至指定组中
- -d user 从指定组中移除用户user
- -A user1,user2,... 设置有管理权限的用户列表
newgrp命令:临时切换主组
- 如果用户本不属于此组,则需要组密码
更改和查看组成员:groupmems
用法:groupmems [选项] [动作]
选项:
- -g, --group groupname 更改为指定组 (只有root)
- -R, --root CHROOT_DIR chroot 到的目录
动作:
- -a, --add username 将用户 username 添加到组成员中
- -d, --delete username 组的成员中删除用户 username
- -p, --purge 从组中移除所有成员
-
-l, --list 列出组中的所有成员
image
groups [OPTION].[USERNAME]... 查看用户所属组列表
image