什么是用户和组

用户和组的概念

例子
进火车站刷脸
上下班刷指纹
天地会接头暗号

用户存在的目的是为了实现资源的分派。

例子
共享单车抱回家
总经理行使权利

Authentication:认证
Authorization:授权
Accouting:审计

用户分类

Linux用户分为管理员普通用户两种:

用户类别 用户ID
管理员 0
普通用户 1-65535

其中普通用户又分为系统用户登录用户两种:

用户类别 用户ID
系统用户 1-999(为守护类进程获取系统资源而完成权限指派的用户)
登录用户 1000-60000(为了完成交互式登录使用的用户)

Linux安全上下文

运行中的程序:进程(process)

  • 以进程发起者的身份运行
    • root:cat
    • tom:cat
  • 进程所能够访问的所有资源的权限取决于进程的发起者的身份

Linux通过安全上下文的概念完成用户权限的指派。

  • 先判断用户是否是某文件的属主
  • 再判断用户是否属于某个组
  • 最后定其为其他用户

    Linux用户组类别

    | 用户组类别 | 特性 | | —- | —- | | 私有组 | 创建用户时,如果没有为其指定所属的组,
    系统会自动为其创建一个与用户名相同的组 | | 基本组 | 用户的默认组 | | 附加组(额外组) | 默认组以外的其它组 |

Linux用户和组相关的配置文件

各个配置文件的说明

配置文件 作用
/etc/passwd 用户及其属性信息(名称、uid、基本组id等等)
/etc/group 组及其属性信息
/etc/shadow 用户密码及其相关属性
/etc/gshadow 组密码及其相关属性。在用户执行基本组切换时使用
配置文件 /etc/passwd /etc/group
第一字段 用户名 组名
第二字段 密码占位符 组密码
第三字段 UID GID
第四字段 GID 以当前组为附加组的用户列表(分隔符为逗号)
第五字段 用户的描述信息
第六字段 用户家目录
第七字段 用户的登录shell 
  1. [root@Gin-Kin ~]# head /etc/passwd
  2. root:x:0:0:root:/root:/bin/bash
  3. bin:x:1:1:bin:/bin:/sbin/nologin
  4. daemon:x:2:2:daemon:/sbin:/sbin/nologin
  5. adm:x:3:4:adm:/var/adm:/sbin/nologin
  6. lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  7. sync:x:5:0:sync:/sbin:/bin/sync
  8. shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
  9. halt:x:7:0:halt:/sbin:/sbin/halt
  10. mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
  11. operator:x:11:0:operator:/root:/sbin/nologin
  1. [root@Gin-Kin ~]# head /etc/group
  2. root:x:0:
  3. bin:x:1:
  4. daemon:x:2:
  5. sys:x:3:
  6. adm:x:4:
  7. tty:x:5:
  8. disk:x:6:
  9. lp:x:7:
  10. mem:x:8:
  11. kmem:x:9:
配置文件 /etc/shadow
第一字段 登录名
第二字段 加密后的密码
第三字段 最近一次更改密码的日期
第四字段 密码的最小使用期限
第五字段 密码的最大使用期限
第六字段 密码警告时间段
第七字段 密码禁用期
第八字段 帐号的过期日期
第九字段 保留字段 
  1. [root@Gin-Kin ~]# head /etc/shadow
  2. root:$6$v8JQIWAKWQow4AJd$OumwPOvOq85hopjynVhwJRmrc5PLI3e614CO.GIlokwhtxN9HT9CD2uUNYX3KZ8VRmHlv2DTDHaj25BClk76w0::0:99999:7:::
  3. bin:*:18397:0:99999:7:::
  4. daemon:*:18397:0:99999:7:::
  5. adm:*:18397:0:99999:7:::
  6. lp:*:18397:0:99999:7:::
  7. sync:*:18397:0:99999:7:::
  8. shutdown:*:18397:0:99999:7:::
  9. halt:*:18397:0:99999:7:::
  10. mail:*:18397:0:99999:7:::
  11. operator:*:18397:0:99999:7:::

密码复杂性

密码复杂性策略:

  • 使用数字、大写字母、小写字母及特殊字符中至少3种
  • 足够长
  • 使用随机密码,不要使用有意义的单词或数字
  • 定期更换,不要使用最近曾经使用过的密码

    用户和组相关的管理命令

    用户管理

    创建用户命令useradd

    1. //语法:useradd [option] USERNAME
    2.   -u UID      //[UID_MIN,UID_MAX]定义在/etc/login.defs文件中
    3.   -g GID      //指定用户所属基本组,可为组名或GID
    4.   -G groupname,...    //附加组,可以有多个,用逗号隔开。组groupname必须事先存在
    5.   -c "COMMENT"        //注释信息
    6.   -d /path/to/directory       //指定用户的家目录。此目录必须不能事先存在, \
    7.                               //否则将不会从/etc/skel中复制环境设置文件
    8.   -s shell        //这里的shell最好使用/etc/shells里面有的shell \
    9.                   // /etc/shells指定了当前系统可用的安全shell
    10.   -M          //创建用户时不给其创建家目录
    11.   -r          //添加一个系统用户
    12.   -D          //直接打印/etc/default/useradd文件的内容或配合其它选项 \
    13.               //(例如-s SHELL)直接修改/etc/default/useradd文件中的默认值
    ```python //创建用户 [root@Gin-Kin ~]# useradd Kin [root@Gin-Kin ~]# id Kin uid=1001(Kin) gid=1001(Kin) groups=1001(Kin)

//创建用户定义UID或GID的用法 [root@Gin-Kin ~]# useradd -u 2022 Kin [root@Gin-Kin ~]# id Kin uid=2022(Kin) gid=2022(Kin) groups=2022(Kin)

//创建系统用户 [root@Gin-Kin ~]# useradd -r -M -s /sbin/nologin tom [root@Gin-Kin ~]# id tom uid=987(tom) gid=983(tom) groups=983(tom)

  1. <a name="t7Xyu"></a>
  2. #### 用户删除命令userdel
  3. ```python
  4. //语法:userdel [option] USERNAME
  5.     -r      //删除用户的同时删除其家目录(userdel默认不会删除其家目录)
  1. //删除用户Kin不会删除用户家目录
  2. [root@Gin-Kin ~]# userdel Kin 
  3. [root@Gin-Kin ~]# id Kin
  4. id: Kin’: no such user
  6. //删除用户tom会删除家目录
  7. [root@Gin-Kin ~]# userdel -r tom
  8. userdel: tom mail spool (/var/spool/mail/tom) not found
  9. userdel: tom home directory (/home/tom) not found

查看用户账号的信息命令ID

  1. id      //查看用户的帐号属性信息
  2.     -u      //查看UID
  3.     -g      //查看GID
  4.     -G      //查看Groups
  1. //查看全部信息 需要单个查看使用 id -相应选项
  2. [root@Gin-Kin ~]# id root
  3. uid=0(root) gid=0(root) groups=0(root)
  5. //例如
  6. [root@Gin-Kin ~]# id -u root
  7. 0

修改用户账号属性的命令

  1. //usermod   修改用户属性
  2. //语法:usermod [options] username
  3.     -u UID
  4.     -g GID
  5.     -a -G groupname    //不使用-a选项,会覆盖此前的附加组
  6.     -d -m   //改变用户家目录的同时把原来家目录的文件移动到新的家目录中
  7.     -e YYYY-MM-DD       //指明用户帐号过期日期
  8.     -f INACTIVE         //设定非活动期限
  9.     -L      //锁定帐号。
  10.             //被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
  11.     -U      //解锁帐号
  13. //chsh  修改用户的默认shell
  14. //语法:chsh [options] [username]
  15.     -s SHELL
  1. //修改用户UID
  2. [root@Gin-Kin ~]# usermod -u 2022  Gin
  3. [root@Gin-Kin ~]# id Gin 
  4. uid=2022(Gin) gid=2022(Gin) groups=2022(Gin)
  6. //修改用户GID
  7. [root@Gin-Kin ~]# groupadd class
  8. [root@Gin-Kin ~]# usermod -g class Kin
  9. [root@Gin-Kin ~]# id Kin
  10. uid=2022(Kin) gid=2023(class) groups=2023(class)
  12. //添加附加组 如果需要添加更多的组使用 -aG 选项
  13. [root@Gin-Kin ~]# usermod -G jerry Kin
  14. [root@Gin-Kin ~]# id Kin 
  15. uid=2022(Kin) gid=2023(class) groups=2023(class),2024(jerry)
  17. //更改用户家目录
  18. [root@Gin-Kin ~]# usermod -md /opt/Gin-Kin Kin
  19. [root@Gin-Kin ~]# ll /home/
  20. total 0
  21. drwx------. 2 admin admin 62 Jul  5 09:50 admin
  22. drwx------. 2 jerry jerry 62 Jul  5 15:44 jerry
  23. [root@Gin-Kin ~]# ll /opt/
  24. total 0
  25. drwx------. 2 Kin class 62 Jul  5 15:32 Gin-Kin
  27. //锁定用户
  28. [root@Gin-Kin ~]# usermod -L admin 
  29. [root@Gin-Kin ~]# tail -3 /etc/shadow
  30. admin:!$6$XLGLU3Hyj0LBnILO$.6QCpgFJM9oV7hlIOuGJdQNXpSlHvxRpxtxFb5mdzsco7Fuer3I8Xdlms3NjgU/AcOl.BbzO0/dStIte7MSBt0:19178:0:99999:7:::
  31. Kin:!!:19178:0:99999:7:::
  32. jerry:!!:19178:0:99999:7:::
  34. //解锁用户
  35. [root@Gin-Kin ~]# usermod -U admin
  36. [root@Gin-Kin ~]# tail -3 /etc/shadow
  37. admin:$6$XLGLU3Hyj0LBnILO$.6QCpgFJM9oV7hlIOuGJdQNXpSlHvxRpxtxFb5mdzsco7Fuer3I8Xdlms3NjgU/AcOl.BbzO0/dStIte7MSBt0:19178:0:99999:7:::
  38. Kin:!!:19178:0:99999:7:::
  39. jerry:!!:19178:0:99999:7:::

切换用户命令su

切换用户的方式 特点
su USERNAME 非登录式切换,即不会读取目标用户的配置文件
su - USERNAME 登录式切换,即会读取目标用户的配置文件。完全切换
su - 不指定用户时默认切换至root用户

root su至其他用户不需要密码,非root用户su至其他用户时需要输入目标用户的密码

  1. //语法:su [options] [-] [USER [arg]...]
  2.     -c 'COMMAND'    //切换身份执行命令,命令执行结束后又回到原来的身份
  1. //切换用户的几种方式
  2. [root@Gin-Kin ~]# su admin
  3. [admin@Gin-Kin root]$ exit
  4. [root@Gin-Kin ~]
  6. [root@Gin-Kin ~]# su - admin
  7. [admin@Gin-Kin ~]$ exit
  8. logout
  9. [root@Gin-Kin ~]# 
  11. [admin@Gin-Kin ~]$ su -
  12. Password: 
  13. [root@Gin-Kin ~]#

bash的配置文件:

配置文件类型 配置文件路径
全局配置 /etc/profile
/etc/profile.d/*.sh
/etc/bashrc
个人配置 ~/.bash_profile
~/.bashrc
配置文件类型 功能
profile类 为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本
bashrc类 为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名

登录式shell如何读取配置文件?
/etc/profile —> /etc/profile.d/.sh —> ~/.bash_profile —> ~/.bashrc —> /etc/bashrc
非登录式shell如何读取配置文件?
~/.bashrc —> /etc/bashrc —> /etc/profile.d/.sh

密码管理

密码管理命令passwd

  1. 语法:passwd [options] [USERNAME]
  2.     --stdin     //从标准输入获取用户密码, \
  3.                 //例:echo "redhat"passwd --stdin user1
  4.     -l      //锁定用户
  5.     -u      //解锁用户
  6.     -d      //删除用户密码
  7.     -n mindays      //指定最短使用期限
  8.     -x maxdays      //指定最长使用期限
  9.     -w warndays     //提前多少天开始警告
  10.     -i inactivedays     //非活动期限,密码过期后到禁用前的这段时间
  1. //设置用户密码
  2. [root@Gin-Kin ~]# passwd Kin
  3. Changing password for user Kin.
  4. New password: 
  5. Retype new password: 
  6. passwd: all authentication tokens updated successfully.
  8. //普通用户设置密码 密码太过简单
  9. [Kin@Gin-Kin ~]$ passwd 
  10. Changing password for user Kin.
  11. Current password: 
  12. New password: 
  13. BAD PASSWORD: The password is shorter than 8 characters  //少于八位数
  14. passwd: Authentication token manipulation error
  16. //密码设置成功
  17. [Kin@Gin-Kin ~]$ passwd 
  18. Changing password for user Kin.
  19. Current password: 
  20. New password: 
  21. Retype new password: 
  22. passwd: all authentication tokens updated successfully.
  24. //root设置用户密码或更改--最好使用这种方式去设置或更改密码
  25. [root@Gin-Kin ~]# echo "1205" | passwd --stdin admin
  26. Changing password for user admin.
  27. passwd: all authentication tokens updated successfully.

密码生成工具openssl

  1. //语法:openssl command [ command_opts ] [ command_args ]
  2.     command     //包含标准命令、消息摘要命令、加密命令
  3.         version     //查看程序版本号
  4.         dgst        //提取特征码
  5.         passwd      //生成密码
  6.         rand        //生成伪随机数
  8. //提取特征码
  9. [root@localhost ~]# openssl dgst -md5 /etc/fstab
  10. MD5(/etc/fstab)= a977cc5e638d779ed880f3fee6d7067e
  12. //生成密码 openssl passwd -1 -salt string        //string一般为8
  13. [root@localhost ~]# openssl passwd -1 -salt hellotom
  14. Password:
  15. $1$hellotom$HpEDmPGqWwhP/eHg0kJHA0
  17. //生成随机数 openssl rand -base64 NUM
  18. //NUM表示随机数的长度
  19. [root@localhost ~]# openssl rand -base64 20
  20. S/q8tjUSBuUNHb+0cgDX66dbvTQ=
  22. //最好使用这种格式密码生成
  23. [root@localhost ~]#  tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs   //生成30位的密码
  24. LGH9jiuydT6E_hjdijdhjyNf9Kd6If
  26. [root@localhost ~]# openssl rand 20 -base64
  27. GI9ry+dyV40xVdhsahdkac3XpBOzg=    //生成20位随机密码

组管理

创建组命令groupadd

  1. //语法:groupadd [options] GROUP
  2.     -g GID      //指定GID
  3.     -r          //添加一个系统组
  1. //创建系统组
  2. [root@Gin-Kin ~]# groupadd -r runtime
  3. [root@Gin-Kin ~]# grep runtime /etc/group
  4. runtime:x:983:
  6. //创建组后指定GID
  7. [root@Gin-Kin ~]# groupadd Kin
  8. [root@Gin-Kin ~]# usermod -g Kin Gin 
  9. [root@Gin-Kin ~]# id Gin 
  10. uid=2022(Gin) gid=2023(Kin) groups=2023(Kin)

删除组命令groupdel

  1. //语法:groupdel [options] GROUP
  2. //删除组时只需要指定组名即可
  1. [root@Gin-Kin ~]# groupdel Kin 
  2. [root@Gin-Kin ~]#