资源分派:

       Authentication:认证

       Authorization:授权

       Accouting:审计

              Audition

       token,identity(username/password)

linux用户:username/UID

       管理员:root,0

       普通用户:1-65535

              系统用户:1-499,1-999

                     对守护进程获取资源进行权限分配;

              登录用户:500+,1000+

                     交互式登录;

Linux组:groupname/GID

       管理员组:root,0

       普通组:

              系统组:1-499, 1-999

              普通组:500+, 1000+

Linux安全上下文:

       运行中的程序:进程(process)

              以进程发起者的身份运行;

                     root:cat

                     tom:cat

              进程所能够访问的所有资源的权限取决于进程的发起者的身份;

Linux组的类别:

       用户的基本组(主组)

              组名同用户名,且仅包含一个用户:私有组

       用户的附加组(额外组):

Linux用户和组相关的配置文件:

       /etc/passwd:用户及其属性信息(名称、UID、基本组ID等等);

       /etc/group:组及其属性信息;

       /etc/shadow:用户密码及其相关属性;

       /etc/gshadow:组密码及其相关属性;

/etc/passwd

       name:password:UID:GID:GECOS:directory:shell

       用户名:密码:UID:GID:GECOS:主目录:默认shell

/etc/group

       group_name:password:GID:user_list

       组名:组密码:GID:以当前组为附加组的用户列表(分隔符为逗号)

/etc/shadow                                                                root:$6$QBOOu5fJ9rGlA8mU$2Gi8zdRUONPxkaYhcwfR/cSangkqV0bnXnxMqrLNGU1xOfL5EmVfsKNz84Oop41THyXMUtzQsCsv80Bn7fwqe0::0:99999:7:::

用户名:加密了的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期限:密码警告时间段:密码禁用期:账户过期日期:保留字段

  加密机制:

         加密:明文 à 密文

         解密:密文 à 明文

        

         单向加密:提取数据指纹

                md5:message digest ,128bits

                sha1:secure hash  algorithm,160bits

                sha224:224bits

                sha256:256bits

                sha384:384bits

                sha512:512bits

        

                雪崩效应:初始的条件的微小改变,将会引起结果的巨大改变;

                定长输出:

  密码的复杂性策略:

1.      使用数字、大写字母、小写字母及特殊字符中至少3种;

2.      足够长;

3.      使用随机密码;

4.      定期更换;不要使用最近曾经使用过的密码;

 

用户和组相关的管理命令:

用户创建:useradd

       useradd [options]  LOGIN

              -u  UID:[UID_MIN,UID_MAX],定义在/etc/login.defs

              -g  GID:指明用户的所属基本组,可为组名,也可以为GID;

              -c “COMMENT”:用户的注释信息;

              -d  /path/to/home_dir:以指定的路径为家目录;

              -s  SHELL:知名用户的默认shell程序,可用列表在/etc/shells文件中;

              -G  GROUP1[,GROUP2,…]:为用户指明附加组;组必须事先存在;

              -r:创建系统用户

                     Centos6:ID<500

                     Centos7:ID<1000

       默认值设定:/etc/default/useradd文件中

 

组创建:groupadd

       groupadd  [option] … groupname

              -g GID: 指明GID号;[GID_MIN, GID_MAX]

              -r: 创建系统组;

                     CentOS 6: ID<500

                     CentOS 7: ID<1000

 

查看用户的相关的id信息:id

       id  [option] … [user]

              -u:UID

              -g:GID

              -G:GROUPS

              -n:Name

 

切换用户或以其他用户身份执行命令:su

       su  [options]  [-]  [user  [args…]]

              切换用户的方式:

                     su  username:非登录式切换,即不会读取目标用户的配置文件;

                     su  - username:登录式切换,会读取目标用户的配置文件;完全切换;

 

                     Note:root  su至其他用户无需密码;非root用户切换时需要密码;

              换个身份执行命令:

                     su [-] username  -c  ‘COMMAND’

              选项:

                     -l:“su -l  username”相当于“su  -  username”

 

用户属性修改:usermod

       usermod  [option]  login

              -u  UID:新的UID;

              -g  GID:新基本组

              -G  GROUP1[,GROUP2,…]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项,表示append

              -s  SHELL:新的默认shell

              c 'COMMENT':新的注释信息;

              -d HOME: 新的家目录;原有家目录中的文件不会同时移动至新的家目录;若要移动,则同时使用-m选项;

              -l login_name: 新的名字;

              -L: lock指定用户

              -U: unlock指定用户

              -e  YYYY-MM-DD: 指明用户账号过期日期;

              -f  INACTIVE: 设定非活动期限;

给用户添加密码:passwd

       passwd  [OPTION] username:修改指定用户的密码,仅root用户权限

       passwd:修改自己的密码;

              常用选项:

                     -l:锁定指定用户;

                     -u:解锁指定用户;

 

                     -n  mindays:指定最短使用期限;

                     -x  maxdays:最大使用期限

                     -w  warndays:提前多少天开始警告

                     -I  inactivedays:非活动期限

 

                     --stdin:从标准输入接收用户密码:

                            echo “PASSWORD”| passwd  --stdin  USERNAME

删除用户:userdel

       userdel  [option] …   login

              -r:删除用户家目录;

组属性修改:groupmod

       groupmod  [option]…   group

              -n  group_name:新名字

              -g GID:新的GID;

组删除:groupdel

       groupdel  GROUP

组密码:gpasswd

       gpasswd  [option]  GROUP

              -a  user:将user添加至指定组中;

              -d  user:删除用户user的以当前组为组名的附加组;

 

              -A user1,user2,…:设置有管理权限的用户列表

       newgrp命令:临时切换基本组;

              如果用户本不属于此组,则需要组密码;

修改用户属性:chage

       chage [OPTION]... LOGIN

              -d LAST_DAY

              -E, --expiredate EXPIRE_DATE

              -I, --inactive INACTIVE

              -m, --mindays MIN_DAYS

              -M, --maxdays MAX_DAYS

              -W, --warndays WARN_DAYS

权限管理:

文件的权限主要针对三类对象进行定义:

       owner: 属主, u

       group: 属组, g

       other: 其他, o

每个文件针对每类访问者都定义了三种权限:

       r: Readable

       w: Writable

       x: eXcutable

 

文件:

              r: 可使用文件查看类工具获取其内容;

              w: 可修改其内容;

              x: 可以把此文件提请内核启动为一个进程;

       目录:

              r: 可以使用ls查看此目录中文件列表;

              w: 可在此目录中创建文件,也可删除此目录中的文件;

              x: 可以使用ls -l查看此目录中文件列表,可以cd进入此目录;

       --- 000 0

       --x 001 1

       -w- 010 2

       -wx 011 3

       r-- 100 4

       r-x 101 5

       rw- 110 6

       rwx 111 7

             

例如:

              640: rw-r-----

              rwxr-xr-x: 755

修改文件权限:chmod

chmod [OPTION]... OCTAL-MODE FILE...

              -R: 递归修改权限

chmod [OPTION]... MODE[,MODE]... FILE...

              MODE:

                     修改一类用户的所有权限:

                            u=

                            g=

                            o=

                            ug=

                            a=

                            u=,g=

                     修改一类用户某位或某些位权限

                            u+

                            u-

       chmod [OPTION]... --reference=RFILE FILE...

              参考RFILE文件的权限,将FILE的修改为同RFILE;

修改文件的属主和属组:

       仅root可用;

       修改文件的属主:chown

              chown [OPTION]... [OWNER][:[GROUP]] FILE...

                     用法:

                            OWNER

                            OWNER:GROUP

                            :GROUP

                     Note: 命令中的冒号可用.替换;

                     -R: 递归

              chown [OPTION]... --reference=RFILE FILE...

修改文件的属组:chgrp

      chgrp [OPTION]... GROUP FILE...

              chgrp [OPTION]... --reference=RFILE FILE...

              -R

文件或目录创建时的遮罩码:umask

    FILE: 666-umask

          Note: 如果某类的用户的权限减得的结果中存在x权限,则将其权限+1

DIR: 777-umask    

 

    umask: 查看

    umask #: 设定