前言光头才能变强快期末考试了,半个月没写文章了。本文主要梳理一下Linux下用户和权限的知识点。那么接下来开始吧,文章有什么错误还请大家多多包涵,评论区指正也不要吝啬~1.Linux下的用户Linux是多用户系统,我们可以登录到linux同时有多个用户~账号的本质以上是一个用户在系统上的标识。Linux中的账户包括用户账户普通用户账户:系统的任务是执行普通的工作超级用户账户(或管理员账户):系统的任务是管理普通用户和整个系统。群组账号(群组是用户的集合)标准群组:一个标准群组可以容纳多个用户私有群组:只有私有群组中的用户当一个用户属于多个群组时,这些群组就是主群组(初始群组):登录系统时的用户组。附加组:登录后可以切换的其他组。如前所述,账户的本质是用户在系统上的身份标识。这些标识保存在文件中:用户名和UID保存在/etc/passwd文件中,文件权限(-rw-r--r--)组和GID保存在/etc/group文件中,和文件权限(-r--------)用户密码(passwords)保存在/etc/中的shadow文件中,文件权限(-rw-r--r--)组密码保存在/etc/gshadow文件,文件权限(-r--------)的意思是:我们创建了User,用户的信息保存在不同的文件中。有了以上知识点,我简单描述一下创建用户时会发生什么:用户名和UID保存在/etc/passwd文件中,用户的密码通常用影子密码保护。当用户登录时,他们被分配了一个主目录和一个正在运行的程序(通常是一个shell)。如果不指定他所属的组,RHEL/CentOS会创建一个与该用户同名的私有组,并将该用户分配到这个私有组中。我们再回顾一下:账户的本质是用户在系统上的标识,这些标识保存在文件中。也就是说:我们可以直接编辑修改系统账号文件来维护账号。但不建议这样做。如果要这样做,最好使用命令检查自己编辑的语法是否有问题:pwck:验证用户账户文件和认证信息的完整性。此命令检查文件“/etc/passwd”和“/etc/shadow”中每一行字段的格式和值是否正确grpck:验证组帐户文件和认证信息的完整性。此命令检查文件“/etc/group”和“/etc/gshadow”中每一行字段的格式和值是否正确。既然不建议我们直接编辑文件来管理用户,Linux肯定有现成的命令供我们使用:1.1管理Linux用户的命令用户管理:useraddusermoduserdel组管理:groupaddgroupmodgroupdel批量管理用户:batchAdd/更新一组账号:newusers批量更新用户密码:chpasswd组成员管理:添加用户到标准组gpasswd-a<用户账号名><组账号名>usermod-G<组账号名><用户账号名name>从标准组中删除用户gpasswd-d<用户帐户名><组帐户名>密码维护(禁用、恢复和删除用户密码):设置用户密码:passwd[<用户帐户名>]禁用用户帐户密码passwd-l<用户账户名>查看用户账户密码状态passwd-S<用户账户名>恢复用户账户密码passwd-u<用户账户名>清除用户账户密码passwd-d<用户账户名>密码老化设置:修改/相关配置etc/login.defs中的参数设置现有用户的密码时效:chage命令用户切换命令:su直接切换到超级用户sudo直接执行带有sudo命令前缀的系统管理命令。执行系统管理命令时不需要知道超级用户的密码,可以使用普通用户的密码。区别用户相关命令:id:显示用户当前的uid、gid,以及用户所属的组列表groups:显示指定用户所属的组列表whoami:显示当前用户w/who的名称:显示登录用户及相关信息newgrp:用于将用户当前所属组转换为指定组账号。用户必须属于该组才能正确执行该命令。1.2Linux用户练习使用cat命令观察以下文件:/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow;显示useradd命令默认值添加用户参数创建linux账号jkXX(XX为学号后两位),要求用户组为users,并设置密码;观察/etc/passwd和/etc/shadow文件变化;退出root账户,使用jkXX账户登录,在其主目录下创建myfirst文件,将myfirst文件以长格式列出,即可使用root账户登录;添加组jsj;设置用户jkXX为jkXX组用户,观察/etc/passwd、/etc/group和/etc/gshadow文件变化添加新用户airXX(XX为学号后两位),观察用户id和组id新用户airXX;然后删除用户,注意不要在命令中添加选项,观察用户文件和组文件的变化;观察airXX用户的目录是否存在;影子文件中的密码是*和!!代表什么?答:*表示该账号已被禁用;!!表示密码锁。airXX用户组的id是多少?这个群是什么类型的群?这样做有什么好处?答:air08用户组id为501,属于私有组。每个没有指定组的用户都会创建一个同名的组。这样的组称为私有组。只有一个用户,有利于防止信息泄露和不合理授权。总之,有利于安全管理。默认删除用户但保留用户的主目录有什么好处?答:保留用户目录,防止用户目录下有价值的数据被误删。使用cat命令观察文件/etc/passwd;模仿passwd文件的格式,用vi编辑一个新文件,文件名为userXX(XX为学号后两位),文件包含3条记录,用户名为jkXX(XX为最后一位)学号的两位数),peter,jason,他们的userid大于1000,他们的groupid大于1000,要求peter和jason在同一个组;使用命令newusers根据文件userXX的内容批量生成用户;观察/etc/passwd文件的变化。使用cat命令观察文件/etc/shadow;使用vi编辑一个新文件,文件名为mimaXX(XX为学号后两位),文件包含3条记录,每条记录的用户名与上一步要求的相同,密码是自己设置的,用户名和密码用冒号隔开:;使用命令chpasswd根据文件mimaXX的内容批量生成密码;观察文件/etc/shadow的变化;再次使用命令chpasswd-m批量生成密码,观察文件/etc/shadow的变化;注销root账号,使用jkXX账号登录。注销jkXX账号,返回root账号,观察/etc/shadow文件;使用passwd命令锁定用户jkXX,观察/etc/shadow文件的变化;然后退出root账号,用jkXX账号登录,是否成功?使用chage命令查看peter账号的时间设置;重置peter账号的时间,要求密码2天内不能修改,密码最长有效期为90天,密码到期前5天通知用户,密码到期7天无效;使用chage命令再次查看peter账号的时间设置;使用root账户登录;使用su切换到jason帐户;使用cd进入用户主目录;新建文件abc,以长格式列出abc文件;观察用户和文件的用户组属性锁定账户后影子文件会发生什么变化?答:被锁定的账号密码前会有一个被锁定的标志!!su切换用户后,新建的文件属于哪个用户?A:新文件属于切换后的用户。两次执行chpasswd命令结果一样吗?md5和sha512哪个加密算法更安全?答:两次执行chpasswd命令的结果是不一样的。默认使用sha512加密算法;当使用-m选项时,使用md5加密算法;sha512更安全,因为加密信息长度更长,破解计算量大。创建三个普通用户账号,要求如下:用户名为jkXX(XX为学号后两位)、peter、jason,其中jkXX和jason为同一普通组成员;观察/etc/passwd文件中的更改。为jkXX账号添加根组;分别练习id、groups、whoami、who命令显示当前账号信息;使用su命令切换到jkXX账号,分别练习id、groups、whoami、who命令显示当前账号信息。使用newgrp切换jkXX账号组,分别练习id、groups、whoami、who命令,显示当前账号信息。2、权限管理Linux是一个多用户操作系统,允许多个用户同时登录并在系统上工作。为了保证系统和用户的安全,Linux自然有自己的一套权限管理机制!相信用过linux的同学,在调取文件夹文件的时候,经常会用到ls-l命令,一大串数据就出来了。你能读懂数据吗?比如:drwxr-xr-x3osmondosmond409605-1613:32nobp其实很简单:其实我们在看权限的时候,就是看drwxr-xr-x这样的一系列东西。看似复杂,其实不然,一键搞定明白了。我们来分解一下:这9个字符分成3组,组成3组权限控制。第一组控制文件所有者的访问权限。第二组控制所有者用户组的其他成员的访问权限。第三套控制系统其他用户访问权限rwx的含义分别:看这里,如果你看懂了前面的,那我想你就很容易理解drwxr-xr-x这一系列的东西了:d是一个文件夹,而后面也有9个字母,每个字母分成3个一组,-号表示没有。那么这个文件夹的权限就是:当前用户可读可写可执行,同组用户可读可执行,其他用户可读可执行,是不是很简单??r-读,w-写,x-执行,很好理解。为方便起见,可以将这些rwx命令替换为八进制数据。相信看完下面的demo,你就会知道是这样的:权限的优先顺序:如果UID匹配,则用户拥有者(user)权限,否则,如果GID匹配,则组(group)权限应用。如果它们都不匹配,则将应用其他用户(other)权限。超级用户root拥有所有权限,无需特别说明。chown更改文件或目录的所有者(owner)chgrp更改文件或目录所属的组:默认构建掩码告诉系统在创建文件或目录时不应授予其哪些权限。默认的umask值是022,我们看下面的例子应该就能理解了:除了上面提到的权限,Linux还提供了三种特殊的权限:SUID:使用拥有命令运行的用户的权限,而不是命令执行者的权限SGID:使用命令的组权限运行。Sticky-bit:目录中的文件只能被拥有该文件的用户和root用户删除。它们是这样表示的:SUID和SGID用s表示;Sticky-bit用t表示;SUID占用owner的x位置表示SGID占用group的x位置表示sticky-bit占用其他人的x位置例如:drwxrwxrwt5rootroot409606-1801:01/tmpithassticky-位许可。-rwsr-xr-x1rootroot234202010-08-11/usr/bin/passwd有SUID权限SUID,SGID,sticky-bit也有数字表示法:使用例子:linux中有很多security内核功能。EXT2/3/4文件系统的扩展属性(ExtendedAttributes)可以在一定程度上保护系统的安全常用扩展属性:A(Atime):告诉系统不要修改这个文件的最后访问时间。使用A属性可以提高某些性能。S(Sync):一旦应用程序写入该文件,系统立即将修改后的结果写入磁盘。使用S属性可以最大化文件的完整性。a(AppendOnly):系统只允许在该文件后追加数据,不允许任何进程覆盖或截断该文件。如果目录具有该属性,系统将只允许在该目录下创建和修改文件,而不能删除任何文件。i(Immutable):系统不允许对该文件进行任何修改。如果目录有这个属性,那么任何进程都只能修改目录下的文件,不允许创建和删除文件。a属性和i属性对于提高文件系统的安全性和保证文件系统的完整性有很大的好处。常用命令:显示扩展属性:lsattr[-adR][file|directory]??修改扩展属性:chattr[-R][[-+=][attribute]]
