用戶、組和權限

安全3A

Authentication：認證

Authorization：授權

Accouting|Audition：審計

用戶user

令牌token，identity

Linux用戶：username/UID

管理員：root，0（玉璽）

普通用戶：1-65535

系統用戶：1-499,1-999(centos7)（通關文牒）

對守護進程獲取資源進行權限分配

登錄用戶：500+，1000+(centos7)（虎符）

交互式登錄

組group

Linux組：Groupname/GID

Linux新建用戶時會默認創建一個和用戶同名的組(允許用戶名和組名同名)

組的類別

一個用戶可以加到多個組里，一個組里可以添加多個用戶，權限是累加權限

用戶必須屬于一個且只有一個主組

用戶和組的配置文件

/etc/passwd：用戶及其屬性信息(名稱、UID、主組ID等)

/etc/group：組及其屬性信息

/etc/shadow：用戶密碼及其相關屬性

/etc/gshadow組密碼及其相關屬性

/etc/login.defs #用戶口令shadow及UID相關信息配置文件

/etc/default/useradd #新建用戶相關繼承信息

/etc/skel #新建用戶的模板目錄

mount -o rw, remount / #在root權限受損無法登陸系統的情況下，把根以讀寫的權限重新掛載一下（在單用戶模式下）

chfn 用戶名 #給用戶添加描述信息，等同于useradd -c

finger 用戶名 #查看該用戶的備注信息

更改用戶的家目錄需要在更改后的家目錄中配置.bashrc和.bash_profile等相關配置文件

chsh -s [shell類型] ?用戶名 #更改指定用戶的shell類型(/sbin/nologin 不可交互登錄系統)

加密機制：

加密：明文–>密文

解密：密文–>明文

加密算法:

md5

sha1

sha224

sha256

sha384

sha512

pwconv #在passwd配置文檔中隱藏口令密文

pwunconv #在passwd配置文檔中顯示口令密文

單項加密：哈希算法，原文不同，密文必不同

更改加密算法：authconfig –passalgo=256 –update

lll:!!:17623:0:99999:7::: #!!表示沒有密碼不可登錄，刪除后可以直接登錄；17623表示從1970年1月(Linux系統出世時)到更改密碼的時間(天)；0密碼還有幾天可以變更（0表示隨時可以）；99999密碼過期時間；7過期提前提醒時間；密碼過期幾天后賬號會被鎖定；從1970年1月1日算起還有多少天賬號失效

passwd -e 用戶名 #登錄該用戶時立即更改密碼且符合復雜性等同于chage -d 0 用戶名

chage -l 用戶名 #查看用戶口令詳細信息

創建用戶時不創建主組時users是該用戶的默認主組

newgrp 組名 #把當前用戶臨時加入該組

useradd等同于adduser

vipw等同于vi /etc/passwd區別在于vipw可以自動識別語法錯誤

vigr同上（組）

pwck和grpck檢測語法錯誤

getent passwd 用戶名 #只看該用戶的passwd文件

newusers #passwd文件格式 批量創建用戶

chpasswd #批量修改用戶口令

scp 文件名 目標主機IP:/存放目錄 #遠程復制文件

id 用戶名 #查看用戶屬主、屬組信息

-u ? ? ? ?#UID

-g ? ? ? ?#GID

-G? ? ? ? #顯示用戶所屬組的id

-n ? ? ? ?#顯示名稱，配合ugG使用

su [用戶名] #非登錄式切換用戶，不會讀取目標用戶的配置文件，不改變當前工作目錄

su – [用戶名] #登錄式切換，會讀取目標用戶配置，切換至家目錄，完全切換

su – root -c 命令 #切換到root下執行該命令帶參數有空格的用引號引起來

echo “PASSWORD” | passwd –stdin USERNAME? #一次性修改密碼

groupmems #更改和查看組成員

文件權限

r:讀權限4

w:寫權限2

x:執行權限 1

chown #設置文件的所有者

chgrp #設置文件的屬組信息

chmod ? ? ? ?#設置用戶權限

chmod ?who opt per ?file

who(對誰操作)：u所有者;g所屬組;o路人;a所有人

opt(做什么操作)：+加權限;-減權限;=覆蓋權限

per(跟什么權限)：r讀4;w寫2;x執行1

FAT格式文件系統不支持權限設置、更改所屬組所屬主

讀寫權限對root沒有什么限制

root沒有執行權限，也不能執行文件

目錄權限

r：列出目錄文件列表

w：可以在目錄中創建或刪除文件(需要x)目錄權限大于文件權限(打狗要看主人面)

x：cd 查看目錄文件內容，查看目錄中文件的詳細內容

通常x權限只給目錄加，一般文件不加，文件只給可執行二進制文件加x權限

reset ? ? ? ?#恢復亂碼

普通用戶不能更改文件的所有者

普通用戶可修改主組，但是要求該文件必須在該組中

root用戶不受讀寫權限控制，普通用戶受到權限的嚴格控制

二進制文件的讀寫權限

目錄沒有執行權限，意味著不能進入到目錄，不能查看目錄里文件的詳細信息

chmod –reference=f1 f2 f3

chmod -R 77 /* (從刪庫到跑路系列第二步) #把所有目錄和文件設置所有權

chown -R wang /*(從刪庫到跑路系列第三步) #把所有目錄和文件的屬主和屬組都設置為wang

chgrp #設置文件屬組 -R 遞歸

umask #設置用戶的默認權限

umask + default = file

最大權限-默認權限=用戶權限（奇數＋1）

例如：666-251=415（奇數＋1）426

umaks + default = dir

最大權限=默認權限+用戶權限

例如：777-251=526

umask -p >> .bashrc #把更改后的umask寫到.bashrc

SUID(4):繼承二進制程序所有者的權限,SUID只適合附加在在二進制可執行程序上

chmod ????u+s ?????/bin/user/nano (chmod ????4755 ?????/bin/user/nano) ?//給nano加上suid權限

SGID(2)：繼承二進制程序所有者的權限，作用于目錄，此目錄新建的文件將自動繼承目錄的所屬組

Sticky(1)：作用于目錄，此目錄的文件只能被所有者刪除；粘滯位

chattr #設定文件特定屬性

+i ? ? ? ?#不能刪除，改名，更改

+a? ? ? ? #只能追加

+A ? ? ? ?#鎖定atime

lsattr #顯示特定屬性

acl #訪問控制列表

acl優先于其他權限

setfacl ? ? ? ?#設置控制列表

-m ? ? ? ?#修改

-M? ? ? ? #批量設置

-x ? ? ? ?#刪除

-X? ? ? ? #批量刪除

setfacl -m mask::r f1 #可限制除所有者和other的最高權限，最終有效權限為r（限高）

setfacl -d f1 #清空f1文件的訪問控制列表

getfacl #查看控制列表

cl的優先級：先匹配所有者，在看（[自定義的用戶權限，再匹配自定義組權限 ?] ??受mask影響）及其他