4 1 使用者和組管理

2021-10-06 01:28:35 字數 4952 閱讀 3487

令牌token,identity

當使用者登入系統成功,系統會分發令牌,當使用者訪問資源(檔案)時,會提交令牌給資源。

資源會根據提交的令牌判斷是否有許可權訪問。

使用者要得到新的令牌要重新登入

linux使用者:username/uid

管理員:root,0

普通使用者:1-65535

系統使用者:1-499,1-999(centos)

對守護程序獲取資源進行許可權分配

登入使用者:500+,1000+(centos7)

linux組:groupname/gid

普通組:

系統組:1-499,1-999(centos7)

普通組:500+,1000+(centso7)

linux安全上下文

執行中的程式:程序(process)

以程序發起者的身份執行:

root:/bin/cat

tom:/bin/cat

程序所能夠訪問的所有資源的許可權取決於程序的發起者的身份;

linux組的類別

使用者的主要組(primary group)

使用者必須屬於乙個且只有乙個主組

組名通使用者名稱,且僅包含乙個使用者,私有組

使用者的附加組(supplementary group)

乙個使用者可以屬於零個或多個輔助組

​ tom g1 read g2 write g3 read 累加許可權 read write

​ tom ,nginx g1 多對多

/etc/passwd:使用者及其屬性資訊(名稱、uid、基本組id等等);

/etc/group:組及其屬性資訊;

/etc/shadow:使用者密碼及其相關屬性;

/etc/gshadow:組密碼及其相關屬性;

/etc/passwd:

name:password:uid:gid:gecos:directory:shell

使用者名稱:密碼:uid:gid:gecos:主目錄:預設shell

/etc/group:

group_name:password:gid:user_list

組名:組密碼:gid:以當前組為附加組的使用者列表(分隔符為逗號)

/etc/shadow

使用者名稱:加密了的密碼:最近一次更改密碼的日期:密碼的最小使用期限:最大密碼使用期限:密碼警告時間段:密碼禁用期:賬戶過期日期:保留字段

加密機制:

加密:明文--> 密文

解密:密文--> 明文

單向加密:提取資料指紋

md5: message digest, 128bits

sha1: secure hash algorithm, 160bits

sha224: 224bits

sha256: 256bits

sha384: 384bits

sha512: 512bits

雪崩效應:初始的條件的微小改變,將會引起結果的巨大改變;

定長輸出:

密碼的複雜性策略:

1、使用數字、大寫字母、小寫字母及特殊字元中至少3種;

2、足夠長;

3、使用隨機密碼;

4、定期更換;不要使用最近曾經使用過的密碼;

pwunconv顯示口令

pwconv隱藏口令

家目錄(使用者登入就進入家目錄)沒有家目錄就在根上呆著

使用者的家目錄預設有配置檔案(最重要的是.bashrc, .bash_profile)來自 /etc/skel(含隱藏檔案)

更改家目錄把wang的家目錄放在/data/wang目錄下:

cp  -r /etc/skel/.*[^.]*  /data/wang

chsh -s /bin/csh wang 改shell型別

6.1 使用者建立:useradd
useradd [options] login

-u uid: [uid_min, uid_max], 定義在/etc/login.defs

-g gid:指明使用者所屬基本組,可為組名,也可以gid;

-c "comment":使用者的注釋資訊;

-d /path/to/home_dir: 以指定的路徑為家目錄;

-s shell: 指明使用者的預設shell程式,可用列表在/etc/shells檔案中;

-g group1[,group2,...[,groupn]]]:為使用者指明附加組;組必須事先存在;

-r: 建立系統使用者

centos 6: id<500

centos 7: id<1000

預設值設定:/etc/default/useradd檔案中

useradd -d

-s shell

顯示或更改預設設定

useradd -d

useradd -d -s shell

useradd -d -b base_dir

useradd -d -g group

eg:useradd mysql -d /data/mysql

useradd -s /sbin/nologin -r nginx (-r不建立家目錄)

useradd -s /sbin/nologin -r -m openstack

把賬號遷移到新主機

scp userlist.txt 192.168.30.128:/data

newusers /data/userlist.txt (沒有口令)

nano pass.txt

cat pass.txt | chpasswd

6.2 組建立:groupadd
groupadd [option]... group_name

-g gid: 指明gid號;[gid_min, gid_max]

-r: 建立系統組;

centos 6: id<500

centos 7: id<1000

id [option]... [user]

-u 顯示uid

-g: 顯示gid

-g:顯示使用者所屬的組的id

-n:顯示名稱,需配合ugg使用

6.4 切換使用者或以其他使用者身份執行命令:su
su [options...] [-] [user [args...]]

切換使用者的方式:

su username:非登入式切換,即不會讀取目標使用者的配置檔案;

su - username:登入式切換,會讀取目標使用者的配置檔案;完全切換;

note:root su至其他使用者無須密碼;非root使用者切換時需要密碼;

換個身份執行命令:

su [-] username -c 'command'

選項: -l:「su -l username」相當於「su - username」

6.5 使用者屬性修改:usermod
usermod [option] login

-u uid: 新uid

-g gid: 新基本組

-s shell:新的預設shell;

-c 'comment':新的注釋資訊;

-d home: 新的家目錄;原有家目錄中的檔案不會同時移動至新的家目錄;若要移動,則同時使用-m選項;

-l login_name: 新的名字;

-l: lock指定使用者

-u: unlock指定使用者

-e yyyy-mm-dd: 指明使用者賬號過期日期;

-f inactive: 設定非活動期限;

6.6 給使用者新增密碼:passwd
passwd [options] username: 修改指定使用者的密碼,僅root使用者許可權

passwd: 修改自己的密碼;

常用選項:

-l: 鎖定指定使用者

-u: 解鎖指定使用者

-n mindays: 指定最短使用期限

-x maxdays:最大使用期限

-w warndays:提前多少天開始警告

-i inactivedays:非活動期限;

--stdin:從標準輸入接收使用者密碼;

echo "password" | passwd --stdin username

note: /dev/null, bit buckets

/dev/zero,

示例:

chage -d 0 tom 下一次登入強制重設密碼

chage -m 0 –m 42 –w 14 –i 7 tom

chage -e 2016-09-10 tom

6.7 刪除使用者:userdel
userdel [option]... login

-r: 刪除使用者家目錄;

6.8 組屬性修改:groupmod
groupmod [option]... group

-n group_name: 新名字

-g gid: 新的gid;

6.9 組刪除:groupdel

groupdel group

6.10組密碼:gpasswd

gpasswd [option] group

-a user: 將user新增至指定組中;

-d user: 刪除使用者user的以當前組為組名的附加組

-a user1,user2,...: 設定有管理許可權的使用者列表

newgrp命令:臨時切換基本組;

如果使用者本不屬於此組,則需要組密碼;

6.11修改使用者屬性:chage
chage [option]... login

-d last_day

-e, --expiredate expire_date

-i, --inactive inactive

-m, --mindays min_days

-m, --maxdays max_days

-w, --warndays warn_days

chfn指定個人資訊

chsh指定shell

finger

使用者和組管理

使用者 員工 組 部門 相關系統檔案 cat etc passwd檢視使用者資訊 cat etc shadow使用者密碼資訊 cat etc group 使用者組資訊 cat etc gshadow加密密碼 使用者分類 超級使用者 root uid 0 系統使用者 不需要登入系統 服務於應用程式 維...

使用者和組管理

1.1 使用者和組概念 authentication 認證 authorization 授權 accouting 審計 1.2 使用者分類 linux使用者分為管理員和普通使用者兩種 使用者類別 使用者id 管理員0 普通使用者 1 65535 其中普通使用者又分為系統使用者和登入使用者兩種 使用者...

使用者管理和組

一 使用者管理和組 1.使用者管理 sid安全識別符號 windows管理員uid通常為500,普通使用者從1000起 linux管理員uid通常為0 windows系統使用者資訊通常路徑為c windows system32 config sam hash不可逆演算法 伺服器預設密碼最長有效期42...