Linux基础-权限管理

Linux基础-权限管理

一.权限管理

1.用户权限：

认证：1.1 Authentication；授权：Authorization；审计：Adition

1.2 Linux用户和组的主要配置文件：

• /etc/passwd：用户及其属性信息（名称、UID、主组ID等）
• /etc/group：组及其属性信息
• /etc/shadow：用户密码及其相关属性
• /etc/gshadow：组密码及其相关属性

1.3 安全上下文：进程代表用户在进行：谁启动了进程，进程就拥有谁的身份（以进程（process）发起者的身份运行）。

• root:/bin/cat
• mage:/bin/cat

1.4 用户

1.4.1 用户User：

• 令牌token,identity
• Linux用户：Username/UID
• 用户级别：
  • 管理员：root, 0
  • 普通用户：1-65535
    • 系统用户：1-499, 1-999 （CentOS7）
      • 对守护进程获取资源进行权限分配
    • 登录用户:500+, 1000+（CentOS7）
      • 交互式登录

1.4.2 passwd文件格式：

• login name：登录用名（wang）

• passwd：密码 (x)

• UID：用户身份编号 (1000)

• GID：登录默认所在组编号 (1000)

• GECOS：用户全名或注释

• home directory：用户主目录 (/home/wang)

• shell：用户默认使用shell (/bin/bash)

  tcpdump:x:72:72::/:/sbin/nologin
  vampire:x:500:500:vampire:/home/vampire:/bin/bash
  mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false
  
  

1.4.3 shadow文件格式：

• 登录用名
• 用户密码:一般用sha512加密
• 从1970年1月1日起到密码最近一次被更改的时间
• 密码再过几天可以被变更（0表示随时可被变更）
• 密码再过几天必须被变更（99999表示永不过期）
• 密码过期前几天系统提醒用户（默认为一周）
• 密码过期几天后帐号会被锁定
• 从1970年1月1日算起，多少天后帐号失效

  tcpdump:!!:17735::::::
  vampire:$6$yk7XOpZX0ZngOz6D$qVI/.Q7Ch7M.KRfjsPC.    WTiN9w2qJgUofENaFlnLxXpvzIN/lICVwcIme1b3LHMixqXxnEIGkgepuUIpsoadU1:1773 5:0:99999:7:::
  mysql:!!:17737::::::
  

1.4.4 用户创建

语法：useradd [options] LOGIN

• -u UID

• -o 配合-u 选项，不检查UID的唯一性

• -g GID：指明用户所属基本组，可为组名，也可以GID

• -c "COMMENT"：用户的注释信息

• -d HOME_DIR: 以指定的路径(不存在)为家目录

• -s SHELL: 指明用户的默认shell程序
  可用列表在/etc/shells文件中

• -G GROUP1[,GROUP2,...]：为用户指明附加组，组须事先存在

• -N 不创建私用组做主组，使用users组做主组

• -r: 创建系统用户 CentOS 6: ID<500，CentOS 7: ID<1000

• -m 创建家目录，用于系统用户

• -M 不创建家目录，用于非系统用户

  [root@localhost ~]# useradd -u 111 luqoian  -c "vamp" -s /bin/csh -m
  [root@localhost ~]# tail -1 /etc/passwd
  luqoian:x:111:501:vamp:/home/luqoian:/bin/csh
  [root@localhost ~]# 
  

1.4.5 用户属性的修改：

语法：`usermod [OPTION] login

• -u UID: 新UID
• -g GID: 新主组
• -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项
• -s SHELL：新的默认SHELL
• -c 'COMMENT'：新的注释信息
• -d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项
• -l login_name: 新的名字；
• -L: lock指定用户,在/etc/shadow 密码栏的增加 !
• -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
• -e YYYY-MM-DD: 指明用户账号过期日期
• -f INACTIVE: 设定非活动期限

1.4.6 删除用户：

语法：userdel [OPTION]... login

• -r: 删除用户家目录

1.4.7 切换用户或以其他用户身份执行命令

语法：su [options...] [-] [user [args...]]

• 切换用户的方式：
  • su UserName：非登录式切换，即不会读取目标用户的配置文件，不改变当前工作目录
  • su - UserName：登录式切换，会读取目标用户的配置文件，切换至家目录，完全切换
• root su至其他用户无须密码；非root用户切换时需要密码
• 换个身份执行命令：
  su [-] UserName -c 'COMMAND'
• 选项：-l --login
su -l UserName 相当于 su - UserName

1.4.8 修改密码

语法：passwd [OPTIONS] UserName:修改指定用户的密码

• 常用选项：
  • -d:删除指定用户密码
  • -l:锁定指定用户
  • -u:解锁指定用户
  • -e:强制用户下次登录修改密码
  • -f: 强制操作
  • -n mindays: 指定最短使用期限
  • -x maxdays：最大使用期限
  • -w warndays：提前多少天开始警告
  • -i inactivedays：非活动期限
  • --stdin：从标准输入接收用户密码
    echo "PASSWORD" | passwd --stdin USERNAME

1.5 组

1.5.1 Linux组的类别

• 用户的主要组（primary group）
  • 用户必须属于一个且只有一个主组
  • 组名同用户名，且仅包含一个用户，私有组
• 用户的附加组（supplementary group）
  • 一个用户可以属于零个或多个附加组

1.5.2 组group：

• Linux组：Groupname/GID
• 管理员组：root, 0
• 普通组：
  • 系统组：1-499, 1-999（CENTOS7）
  • 普通组：500+, 1000+（CENTOS7）

1.5.3 group文件格式

• 群组名称：就是群组名称
• 群组密码：通常不需要设定，密码是被记录在 /etc/gshadow
• GID：就是群组的 ID
• 以当前组为附加组的用户列表(分隔符为逗号)

      [root@localhost ~]# cat /etc/group
      root:x:0:
      bin:x:1:bin,daemon
      daemon:x:2:bin,daemon
  
  

1.5.4 gshadow文件格式

• 群组名称：就是群组名称

• 群组密码：

• 组管理员列表：组管理员的列表，更改组密码和成员

• 以当前组为附加组的用户列表：(分隔符为逗号)

  [root@localhost ~]# cat /etc/gshadow
  root:::
  bin:::bin,daemon
  daemon:::bin,daemon
  sys:::bin,adm
  
  

1.5.5 创建组：

语法：groupadd [OPTION]... group_name

• -g GID: 指明GID号；[GID_MIN, GID_MAX]
• -r: 创建系统组
  • CentOS 6: ID<500
  • CentOS 7: ID<1000

1.5.6 修改和删除组：

• 组属性修改：groupmod
  语法：

    -n group_name: 新名字
    -g GID: 新的GID

• 组删除：groupdel
  groupdel GROUP

1.5.7 更改组密码

    组密码：gpasswd
    gpasswd [OPTION] GROUP
        -a user  将user添加至指定组中
        -d user  从指定组中移除用户user
        -A user1,user2,...  设置有管理权限的用户列表
    newgrp命令：临时切换主组
            如果用户本不属于此组，则需要组密码

2 文件权限：

2.1 文件的权限主要针对三类对进行定义

• owner: 属主, u，文档所有者
• group: 属组, g，文档所属组用户
• other: 其他, o，其他用户
• 每个文件针对每类访问者都义了三种权限
  • r: Readable：读
  • w: Writable：写
  • x: eXcutable：执行

2.2 文件和目录权限的区别：

• 文件：
  • r: 可使用文件查看类工具获取其内容
  • w: 可修改其内容
  • x: 可以把此文件提请内核启动为一个进程
• 目录：
  • r: 可以使用ls查看此目录中文件列表
  • w: 可在此目录中创建文件，也可删除此目录中的文件
  • x: 可以使用ls -l查看此目录中文件列表，可以cd进入此目录

2.3 修改文件权限：

```
chmod [OPTION]... OCTAL-MODE FILE...
      -R: 递归修改权限（改目录的时候想修改目录内部所有文件的权限，但是不建议）
chmod [OPTION]... MODE[,MODE]... FILE...
      MODE：
      修改一类用户的所有权限：
        u=  g= o= ug=  a= u=,g=
      修改一类用户某位或某些位权限
        u+  u- g+ g- o+ o- a+ a- + -
chmod [OPTION]... --reference=RFILE FILE...
    （referance）参考RFILE文件的权限，将FILE的修改为同RFILE
```

2.4 修改文件的属组和属主：

• 修改文件的属主：chown
  • chown [OPTION]... [OWNER][:[GROUP]] FILE...
  • 用法：
    • OWNER
    • OWNER:GROUP
    • :GROUP
    • 命令中的冒号可用.替换
    • -R: 递归
• 语法：-chown [OPTION]... --reference=RFILE FILE...
• 修改文件的属组：chgrp

   chgrp [OPTION]... GROUP FILE...
   chgrp [OPTION]... --reference=RFILE FILE...
   -R 递归
  

注意：
- (权限一定要给全，不然会从左边补全，例如如果给77，则默认为077）
- (目录一定要有执行权限，普通文件不能随便给执行权限（防止一些恶意文件留后门）)，
- (只写+w,只有属主加写权限)

2.5 新建文件和目录的默认权限

• umask值 可以用来保留在创建文件权限
• 新建FILE权限: 666-umask
  • 如果所得结果某位存在执行（奇数）权限，则将其权限+1
• 新建DIR权限: 777-umask
• 非特权用户umask是 002
• root的umask 是 022
• umask: 查看
• umask #: 设定
  • umask 002
• umask –S 模式方式显示
• umask –p 输出可被调用
• 全局设置： /etc/bashrc 用户设置：~/.bashrc

2.6 访问控制列表

• ACL：Access Control List，实现灵活的权限管理

• 除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

• CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

• CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

  • tune2fs –o acl /dev/sdb1
  • mount –o acl /dev/sdb1 /mnt/test

• ACL生效顺序：所有者，自定义用户，自定义组，其他人

• 为多用户或者组的文件和目录赋予访问权限rwx

  • mount -o acl /directory
  • getfacl file |directory
  • setfacl -m u:wang:rwx file|directory
  • setfacl -Rm g:sales:rwX directory
  • setfacl -M file.acl file|directory
  • setfacl -m g:salesgroup:rw file| directory
  • setfacl -m d:u:wang:rx directory
  • setfacl -x u:wang file |directory
  • setfacl -X file.acl directory

  [root@localhost ~]# getfacl linux222.txt
  # file: linux222.txt
  # owner: root
  # group: root 
  user::rw-
  group::r--
  other::r--
  
  [root@localhost ~]# setfacl -m u:vampire:wx linux222.txt
  [root@localhost ~]# getfacl linux222.txt
  # file: linux222.txt
  # owner: root
  # group: root
  user::rw-
  user:vampire:-wx
  group::r--
  mask::rwx
  other::r--