2016/08/03:用戶管理與權限

名稱解析：User IDentifier UID

組名：Group IDentifier GID

                                                        /etc/passwd:

  MD5:信息摘要  128bit定長輸出16個字符

      SHA1:安全的哈希算法 160bit 

       密碼數據庫：/etc/shadow

                  6 sha512

組：用戶容器，角色

   /etc/group

組密碼：/etc/gshadow

 安全上下文：

   運行中的進程有其屬主和屬組：取決于進程的屬組和屬主

創建用戶：

    useradd UserName

    生成的屬性信息

    /etc/passwd：

    用戶名：密碼占位符：UID：GUID（基本組ID）:用戶備注信息（多個以，隔開）：家目錄：默認shell

    /etc/shells：當前系統的安全shell列表

    /etc/shadow

useradd:adduser

   -u UID：指定UID

   -g GID：指定GID,即用戶的基本組，但GID要事先存在

   -G GID：指定用戶的額外組，但GID要事先存在

   -d 目錄： 指定家目錄

   -c 備注：備注

   -s：shell：指定默認shell，應該指定使用/etc/shells文件中出現的shell

   -m：創建用戶時，強制給用戶創建家目錄

   -M：創建用戶時，但不創建家目錄

   -D: 改變其默認shell 

   -r: 創建系統用戶 特點：id 1-499 不會為用戶創建家目錄 默認shell為/sbin/nologin

   id Username ：顯示用戶的id號，組號

userdel：刪除用戶,默認會保留家目錄

     userdel UserName

     -r：一并刪除家目錄 

groupadd GrpName 

   -g GID:創建組并為其指定GID

/etc/passwd：

/etc/group：

 組名：密碼占位符：GID：用戶列表（附加組）

 /etc/skel 默認復制文件地址

 /etc/defauit/useradd:配置文件

用戶類別：

    管理員：0

    普通用戶：centos 6 500+ 7 1000+

        系統用戶：6：1-499   7 1-1000

登陸用戶：500+

用戶組：

   管理員組：

   普通組：

   以用戶為視角，組可以分為兩類：

      基本組：顯示在/etc/passwd中GID字

      附加組：/etc/group

設定用戶密碼：passwd

     普通用戶：passwd

     管理員：

        改自己密碼：passwd

改其他用戶密碼：passwd UserName

         -l：鎖用戶 用戶密碼前加兩個！

-u：解鎖

密碼安全性策略：足夠復雜

   夠長、交叉應用數字、大寫字母、小寫字母和特殊字符中的至少三種

   盡量避免使用易猜測的密碼：

   定期更換：

/etc/shadow文件格式：

   登陸名：加密密碼：最近一次的密碼修改時間（距離1970-1-1的時間）：最短使用期限：最長使用期限：警告區間：非活動區間（登陸就要修改密碼）：賬號的過期期限：預留段

設定組密碼：gpasswd GroupName

修改用戶的屬性定義：

    chsh：修改默認的shell

    chfn：修改用戶注釋

    usermod：跟useradd命令使用方法類似

         -u UID:

-g GID：

         -G GID：默認會覆蓋原有的附加組，如果要是添加，可以同時使用-a選項

         -c string

-d new home 默認不會遷移用戶的家目錄，如果要遷移，同時使用-m選項

-s SHELL：

-l New_login_name:修改用戶登錄名稱

-e 過期期限

-f 密碼過期后多少天會停用

-L:鎖定用戶賬號，不能登錄

-U:解鎖

如何修改組屬性定義：

   groupmod：

        -g GID

-n New Group 修改用戶的屬組

   groupdel

   gpasswd

    -a user grpname 增加用戶到指定組中

    -d user grpname 刪除組中的用戶

修改賬號日期屬性：

 chage：修改用戶的日期屬性

  -E:距離1970-1-1號的時間天數，過了這個時間，賬號不可訪問

  -I: 設置活動天數

  -m：修改密碼最小使用時間

  -M：修改密碼最長使用時間

  -W：警告時間

  查看用戶的相關信息：

     id

       -n 顯示名稱

       -u 顯示UID

       -g：顯示基本組ID

       -G:顯示所有組ID

     who 顯示當前登錄用戶

     whoami：顯示當前終端登錄的用戶

     su：Switch User

       切換用戶

         -l：登陸式切換

-c：不切換用戶，直接執行命令

權限管理：

   owner,group，other

   屬主，屬組，其他

   權限：read write execute

          r   w    x

    文件：

      r：可以使用內容查看類的命令來顯示其相關內容

      w: 可以使用編輯器修改其內容

      x：可以將其發起一個進程

     目錄：

      r：可以使用ls命令查看目錄內容的文件信息

      w：可以創建、刪除文件

      x：可以使用ls -l命令來查看目錄內容的文件信息，并且可以使用cd命令切換此目錄為工作目錄：

      用戶的不擁有某位權限，則使用-占位

      r-x：讀和執行的權限

      r–：只讀權限

      rw-：讀寫權限

      使用8位數來表示

      r：4

      w：2

      x：1

       保存到元數據的屬性中的

修改文件的屬主和屬組 ：僅管理員可執行，chown，chgrp

格式：chown [options] UserName[{:|.}GroupName] FILE…

修改文件權限：chmod

格式：

  操作三類用戶的權限：使用8進制形式

      chmod [-R] OCTAL-MODE（8進制）file …

      對鏈接文件無效，左側以0補齊

  操作指定類別用戶的權限：使用u，g，o，a來賦權，基于=或者+/—來進行

     u：屬主

     g：屬組

     o：其他

     a：所有

     =：操作指定類型用戶的權限

     +/—：操作置頂類型用戶的單個權限

  參照其他文件的權限為當前文件來賦權

     chmod –reference=參照文件名 文件名

   umask

     創建文件：666-umask

            文件默認決不允許出現執行權限：

     創建目錄：777-umask

     root：022

     如果用戶名和基本組名一致：002，否則為022

FACL：訪問控制列表

權限應用模型：

    進程的屬主，是否與文件的屬主相同，如果相同，進程則以文件屬主的權限來訪問文件：否則

    進程的屬主所屬的組，是否其中之一與文件的屬性相同：如果相同，進程則以文件屬組的權限來訪問文件：否則

    進程則以文件的其他用戶的權限來訪問文件