令牌token,identity
當使用者登入系統成功,系統會分發令牌,當使用者訪問資源(檔案)時,會提交令牌給資源。
資源會根據提交的令牌判斷是否有許可權訪問。
使用者要得到新的令牌要重新登入
linux使用者:username/uid
管理員:root,0
普通使用者:1-65535
系統使用者:1-499,1-999(centos)
對守護程序獲取資源進行許可權分配
登入使用者:500+,1000+(centos7)
linux組:groupname/gid
普通組:
系統組:1-499,1-999(centos7)
普通組:500+,1000+(centso7)
linux安全上下文
執行中的程式:程序(process)
以程序發起者的身份執行:
root:/bin/cat
tom:/bin/cat
程序所能夠訪問的所有資源的許可權取決於程序的發起者的身份;
linux組的類別
使用者的主要組(primary group)
使用者必須屬於乙個且只有乙個主組
組名通使用者名稱,且僅包含乙個使用者,私有組
使用者的附加組(supplementary group)
乙個使用者可以屬於零個或多個輔助組
tom g1 read g2 write g3 read 累加許可權 read write
tom ,nginx g1 多對多
/etc/passwd:使用者及其屬性資訊(名稱、uid、基本組id等等);
/etc/group:組及其屬性資訊;
/etc/shadow:使用者密碼及其相關屬性;
/etc/gshadow:組密碼及其相關屬性;
/etc/passwd:name:password:uid:gid:gecos:directory:shell
使用者名稱:密碼:uid:gid:gecos:主目錄:預設shell
/etc/group:
group_name:password:gid:user_list
組名:組密碼:gid:以當前組為附加組的使用者列表(分隔符為逗號)
/etc/shadow
使用者名稱:加密了的密碼:最近一次更改密碼的日期:密碼的最小使用期限:最大密碼使用期限:密碼警告時間段:密碼禁用期:賬戶過期日期:保留字段
加密機制:
加密:明文--> 密文
解密:密文--> 明文
單向加密:提取資料指紋
md5: message digest, 128bits
sha1: secure hash algorithm, 160bits
sha224: 224bits
sha256: 256bits
sha384: 384bits
sha512: 512bits
雪崩效應:初始的條件的微小改變,將會引起結果的巨大改變;
定長輸出:
密碼的複雜性策略:
1、使用數字、大寫字母、小寫字母及特殊字元中至少3種;
2、足夠長;
3、使用隨機密碼;
4、定期更換;不要使用最近曾經使用過的密碼;
pwunconv
顯示口令
pwconv
隱藏口令
家目錄(使用者登入就進入家目錄)沒有家目錄就在根上呆著
使用者的家目錄預設有配置檔案(最重要的是.bashrc, .bash_profile)來自 /etc/skel(含隱藏檔案)
更改家目錄把wang的家目錄放在/data/wang目錄下:
cp -r /etc/skel/.*[^.]* /data/wang
chsh -s /bin/csh wang 改shell型別
6.1 使用者建立:useradduseradd [options] login6.2 組建立:groupadd-u uid: [uid_min, uid_max], 定義在/etc/login.defs
-g gid:指明使用者所屬基本組,可為組名,也可以gid;
-c "comment":使用者的注釋資訊;
-d /path/to/home_dir: 以指定的路徑為家目錄;
-s shell: 指明使用者的預設shell程式,可用列表在/etc/shells檔案中;
-g group1[,group2,...[,groupn]]]:為使用者指明附加組;組必須事先存在;
-r: 建立系統使用者
centos 6: id<500
centos 7: id<1000
預設值設定:/etc/default/useradd檔案中
useradd -d
-s shell
顯示或更改預設設定
useradd -d
useradd -d -s shell
useradd -d -b base_dir
useradd -d -g group
eg:useradd mysql -d /data/mysql
useradd -s /sbin/nologin -r nginx (-r不建立家目錄)
useradd -s /sbin/nologin -r -m openstack
把賬號遷移到新主機
scp userlist.txt 192.168.30.128:/data
newusers /data/userlist.txt (沒有口令)
nano pass.txt
cat pass.txt | chpasswd
groupadd [option]... group_name-g gid: 指明gid號;[gid_min, gid_max]
-r: 建立系統組;
centos 6: id<500
centos 7: id<1000
id [option]... [user]6.4 切換使用者或以其他使用者身份執行命令:su-u 顯示uid
-g: 顯示gid
-g:顯示使用者所屬的組的id
-n:顯示名稱,需配合ugg使用
su [options...] [-] [user [args...]]6.5 使用者屬性修改:usermod切換使用者的方式:
su username:非登入式切換,即不會讀取目標使用者的配置檔案;
su - username:登入式切換,會讀取目標使用者的配置檔案;完全切換;
note:root su至其他使用者無須密碼;非root使用者切換時需要密碼;
換個身份執行命令:
su [-] username -c 'command'
選項: -l:「su -l username」相當於「su - username」
usermod [option] login6.6 給使用者新增密碼:passwd-u uid: 新uid
-g gid: 新基本組
-s shell:新的預設shell;
-c 'comment':新的注釋資訊;
-d home: 新的家目錄;原有家目錄中的檔案不會同時移動至新的家目錄;若要移動,則同時使用-m選項;
-l login_name: 新的名字;
-l: lock指定使用者
-u: unlock指定使用者
-e yyyy-mm-dd: 指明使用者賬號過期日期;
-f inactive: 設定非活動期限;
passwd [options] username: 修改指定使用者的密碼,僅root使用者許可權6.7 刪除使用者:userdelpasswd: 修改自己的密碼;
常用選項:
-l: 鎖定指定使用者
-u: 解鎖指定使用者
-n mindays: 指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天開始警告
-i inactivedays:非活動期限;
--stdin:從標準輸入接收使用者密碼;
echo "password" | passwd --stdin username
note: /dev/null, bit buckets
/dev/zero,
示例:
chage -d 0 tom 下一次登入強制重設密碼
chage -m 0 –m 42 –w 14 –i 7 tom
chage -e 2016-09-10 tom
userdel [option]... login6.8 組屬性修改:groupmod-r: 刪除使用者家目錄;
groupmod [option]... group6.9 組刪除:groupdel-n group_name: 新名字
-g gid: 新的gid;
groupdel group
6.10組密碼:gpasswd
gpasswd [option] group6.11修改使用者屬性:chage-a user: 將user新增至指定組中;
-d user: 刪除使用者user的以當前組為組名的附加組
-a user1,user2,...: 設定有管理許可權的使用者列表
newgrp命令:臨時切換基本組;
如果使用者本不屬於此組,則需要組密碼;
chage [option]... loginchfn指定個人資訊-d last_day
-e, --expiredate expire_date
-i, --inactive inactive
-m, --mindays min_days
-m, --maxdays max_days
-w, --warndays warn_days
chsh指定shell
finger
使用者和組管理
使用者 員工 組 部門 相關系統檔案 cat etc passwd檢視使用者資訊 cat etc shadow使用者密碼資訊 cat etc group 使用者組資訊 cat etc gshadow加密密碼 使用者分類 超級使用者 root uid 0 系統使用者 不需要登入系統 服務於應用程式 維...
使用者和組管理
1.1 使用者和組概念 authentication 認證 authorization 授權 accouting 審計 1.2 使用者分類 linux使用者分為管理員和普通使用者兩種 使用者類別 使用者id 管理員0 普通使用者 1 65535 其中普通使用者又分為系統使用者和登入使用者兩種 使用者...
使用者管理和組
一 使用者管理和組 1.使用者管理 sid安全識別符號 windows管理員uid通常為500,普通使用者從1000起 linux管理員uid通常為0 windows系統使用者資訊通常路徑為c windows system32 config sam hash不可逆演算法 伺服器預設密碼最長有效期42...