什么是用户和组
用户和组的概念
例子 |
---|
进火车站刷脸 |
上下班刷指纹 |
天地会接头暗号 |
用户存在的目的是为了实现资源的分派。
例子 |
---|
共享单车抱回家 |
总经理行使权利 |
Authentication:认证
Authorization:授权
Accouting:审计
用户分类
Linux用户分为管理员和普通用户两种:
用户类别 | 用户ID |
---|---|
管理员 | 0 |
普通用户 | 1-65535 |
其中普通用户又分为系统用户和登录用户两种:
用户类别 | 用户ID |
---|---|
系统用户 | 1-999(为守护类进程获取系统资源而完成权限指派的用户) |
登录用户 | 1000-60000(为了完成交互式登录使用的用户) |
Linux安全上下文
运行中的程序:进程(process)
- 以进程发起者的身份运行
- root:cat
- tom:cat
- 进程所能够访问的所有资源的权限取决于进程的发起者的身份
Linux通过安全上下文的概念完成用户权限的指派。
- 先判断用户是否是某文件的属主
- 再判断用户是否属于某个组
- 最后定其为其他用户
Linux用户组类别
| 用户组类别 | 特性 | | —- | —- | | 私有组 | 创建用户时,如果没有为其指定所属的组,
系统会自动为其创建一个与用户名相同的组 | | 基本组 | 用户的默认组 | | 附加组(额外组) | 默认组以外的其它组 |
Linux用户和组相关的配置文件
各个配置文件的说明
配置文件 | 作用 |
---|---|
/etc/passwd | 用户及其属性信息(名称、uid、基本组id等等) |
/etc/group | 组及其属性信息 |
/etc/shadow | 用户密码及其相关属性 |
/etc/gshadow | 组密码及其相关属性。在用户执行基本组切换时使用 |
配置文件 | /etc/passwd | /etc/group |
---|---|---|
第一字段 | 用户名 | 组名 |
第二字段 | 密码占位符 | 组密码 |
第三字段 | UID | GID |
第四字段 | GID | 以当前组为附加组的用户列表(分隔符为逗号) |
第五字段 | 用户的描述信息 | |
第六字段 | 用户家目录 | |
第七字段 | 用户的登录shell |
[root@Gin-Kin ~]# head /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
[root@Gin-Kin ~]# head /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
配置文件 | /etc/shadow |
---|---|
第一字段 | 登录名 |
第二字段 | 加密后的密码 |
第三字段 | 最近一次更改密码的日期 |
第四字段 | 密码的最小使用期限 |
第五字段 | 密码的最大使用期限 |
第六字段 | 密码警告时间段 |
第七字段 | 密码禁用期 |
第八字段 | 帐号的过期日期 |
第九字段 | 保留字段 |
[root@Gin-Kin ~]# head /etc/shadow
root:$6$v8JQIWAKWQow4AJd$OumwPOvOq85hopjynVhwJRmrc5PLI3e614CO.GIlokwhtxN9HT9CD2uUNYX3KZ8VRmHlv2DTDHaj25BClk76w0::0:99999:7:::
bin:*:18397:0:99999:7:::
daemon:*:18397:0:99999:7:::
adm:*:18397:0:99999:7:::
lp:*:18397:0:99999:7:::
sync:*:18397:0:99999:7:::
shutdown:*:18397:0:99999:7:::
halt:*:18397:0:99999:7:::
mail:*:18397:0:99999:7:::
operator:*:18397:0:99999:7:::
密码复杂性
密码复杂性策略:
- 使用数字、大写字母、小写字母及特殊字符中至少3种
- 足够长
- 使用随机密码,不要使用有意义的单词或数字
- 定期更换,不要使用最近曾经使用过的密码
用户和组相关的管理命令
用户管理
创建用户命令useradd
```python //创建用户 [root@Gin-Kin ~]# useradd Kin [root@Gin-Kin ~]# id Kin uid=1001(Kin) gid=1001(Kin) groups=1001(Kin)//语法:useradd [option] USERNAME
-u UID //[UID_MIN,UID_MAX]定义在/etc/login.defs文件中
-g GID //指定用户所属基本组,可为组名或GID
-G groupname,... //附加组,可以有多个,用逗号隔开。组groupname必须事先存在
-c "COMMENT" //注释信息
-d /path/to/directory //指定用户的家目录。此目录必须不能事先存在, \
//否则将不会从/etc/skel中复制环境设置文件
-s shell //这里的shell最好使用/etc/shells里面有的shell, \
// /etc/shells指定了当前系统可用的安全shell
-M //创建用户时不给其创建家目录
-r //添加一个系统用户
-D //直接打印/etc/default/useradd文件的内容或配合其它选项 \
//(例如-s SHELL)直接修改/etc/default/useradd文件中的默认值
//创建用户定义UID或GID的用法 [root@Gin-Kin ~]# useradd -u 2022 Kin [root@Gin-Kin ~]# id Kin uid=2022(Kin) gid=2022(Kin) groups=2022(Kin)
//创建系统用户 [root@Gin-Kin ~]# useradd -r -M -s /sbin/nologin tom [root@Gin-Kin ~]# id tom uid=987(tom) gid=983(tom) groups=983(tom)
<a name="t7Xyu"></a>
#### 用户删除命令userdel
```python
//语法:userdel [option] USERNAME
-r //删除用户的同时删除其家目录(userdel默认不会删除其家目录)
//删除用户Kin不会删除用户家目录
[root@Gin-Kin ~]# userdel Kin
[root@Gin-Kin ~]# id Kin
id: ‘Kin’: no such user
//删除用户tom会删除家目录
[root@Gin-Kin ~]# userdel -r tom
userdel: tom mail spool (/var/spool/mail/tom) not found
userdel: tom home directory (/home/tom) not found
查看用户账号的信息命令ID
id //查看用户的帐号属性信息
-u //查看UID
-g //查看GID
-G //查看Groups
//查看全部信息 需要单个查看使用 id -相应选项
[root@Gin-Kin ~]# id root
uid=0(root) gid=0(root) groups=0(root)
//例如
[root@Gin-Kin ~]# id -u root
0
修改用户账号属性的命令
//usermod 修改用户属性
//语法:usermod [options] username
-u UID
-g GID
-a -G groupname //不使用-a选项,会覆盖此前的附加组
-d -m //改变用户家目录的同时把原来家目录的文件移动到新的家目录中
-e YYYY-MM-DD //指明用户帐号过期日期
-f INACTIVE //设定非活动期限
-L //锁定帐号。
//被锁定的帐号在/etc/shadow文件中密码前面会有一个!感叹号
-U //解锁帐号
//chsh 修改用户的默认shell
//语法:chsh [options] [username]
-s SHELL
//修改用户UID
[root@Gin-Kin ~]# usermod -u 2022 Gin
[root@Gin-Kin ~]# id Gin
uid=2022(Gin) gid=2022(Gin) groups=2022(Gin)
//修改用户GID
[root@Gin-Kin ~]# groupadd class
[root@Gin-Kin ~]# usermod -g class Kin
[root@Gin-Kin ~]# id Kin
uid=2022(Kin) gid=2023(class) groups=2023(class)
//添加附加组 如果需要添加更多的组使用 -aG 选项
[root@Gin-Kin ~]# usermod -G jerry Kin
[root@Gin-Kin ~]# id Kin
uid=2022(Kin) gid=2023(class) groups=2023(class),2024(jerry)
//更改用户家目录
[root@Gin-Kin ~]# usermod -md /opt/Gin-Kin Kin
[root@Gin-Kin ~]# ll /home/
total 0
drwx------. 2 admin admin 62 Jul 5 09:50 admin
drwx------. 2 jerry jerry 62 Jul 5 15:44 jerry
[root@Gin-Kin ~]# ll /opt/
total 0
drwx------. 2 Kin class 62 Jul 5 15:32 Gin-Kin
//锁定用户
[root@Gin-Kin ~]# usermod -L admin
[root@Gin-Kin ~]# tail -3 /etc/shadow
admin:!$6$XLGLU3Hyj0LBnILO$.6QCpgFJM9oV7hlIOuGJdQNXpSlHvxRpxtxFb5mdzsco7Fuer3I8Xdlms3NjgU/AcOl.BbzO0/dStIte7MSBt0:19178:0:99999:7:::
Kin:!!:19178:0:99999:7:::
jerry:!!:19178:0:99999:7:::
//解锁用户
[root@Gin-Kin ~]# usermod -U admin
[root@Gin-Kin ~]# tail -3 /etc/shadow
admin:$6$XLGLU3Hyj0LBnILO$.6QCpgFJM9oV7hlIOuGJdQNXpSlHvxRpxtxFb5mdzsco7Fuer3I8Xdlms3NjgU/AcOl.BbzO0/dStIte7MSBt0:19178:0:99999:7:::
Kin:!!:19178:0:99999:7:::
jerry:!!:19178:0:99999:7:::
切换用户命令su
切换用户的方式 | 特点 |
---|---|
su USERNAME | 非登录式切换,即不会读取目标用户的配置文件 |
su - USERNAME | 登录式切换,即会读取目标用户的配置文件。完全切换 |
su - | 不指定用户时默认切换至root用户 |
root su至其他用户不需要密码,非root用户su至其他用户时需要输入目标用户的密码
//语法:su [options] [-] [USER [arg]...]
-c 'COMMAND' //切换身份执行命令,命令执行结束后又回到原来的身份
//切换用户的几种方式
[root@Gin-Kin ~]# su admin
[admin@Gin-Kin root]$ exit
[root@Gin-Kin ~]
[root@Gin-Kin ~]# su - admin
[admin@Gin-Kin ~]$ exit
logout
[root@Gin-Kin ~]#
[admin@Gin-Kin ~]$ su -
Password:
[root@Gin-Kin ~]#
bash的配置文件:
配置文件类型 | 配置文件路径 |
---|---|
全局配置 | /etc/profile /etc/profile.d/*.sh /etc/bashrc |
个人配置 | ~/.bash_profile ~/.bashrc |
配置文件类型 | 功能 |
---|---|
profile类 | 为交互式登录的shell提供配置,用来设定环境变量、运行命令或脚本 |
bashrc类 | 为非交互式登录的shell提供配置,用来设定本地变量、定义命令别名 |
登录式shell如何读取配置文件?
/etc/profile —> /etc/profile.d/.sh —> ~/.bash_profile —> ~/.bashrc —> /etc/bashrc
非登录式shell如何读取配置文件?
~/.bashrc —> /etc/bashrc —> /etc/profile.d/.sh
密码管理
密码管理命令passwd
语法:passwd [options] [USERNAME]
--stdin //从标准输入获取用户密码, \
//例:echo "redhat"|passwd --stdin user1
-l //锁定用户
-u //解锁用户
-d //删除用户密码
-n mindays //指定最短使用期限
-x maxdays //指定最长使用期限
-w warndays //提前多少天开始警告
-i inactivedays //非活动期限,密码过期后到禁用前的这段时间
//设置用户密码
[root@Gin-Kin ~]# passwd Kin
Changing password for user Kin.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
//普通用户设置密码 密码太过简单
[Kin@Gin-Kin ~]$ passwd
Changing password for user Kin.
Current password:
New password:
BAD PASSWORD: The password is shorter than 8 characters //少于八位数
passwd: Authentication token manipulation error
//密码设置成功
[Kin@Gin-Kin ~]$ passwd
Changing password for user Kin.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
//root设置用户密码或更改--最好使用这种方式去设置或更改密码
[root@Gin-Kin ~]# echo "1205" | passwd --stdin admin
Changing password for user admin.
passwd: all authentication tokens updated successfully.
密码生成工具openssl
//语法:openssl command [ command_opts ] [ command_args ]
command //包含标准命令、消息摘要命令、加密命令
version //查看程序版本号
dgst //提取特征码
passwd //生成密码
rand //生成伪随机数
//提取特征码
[root@localhost ~]# openssl dgst -md5 /etc/fstab
MD5(/etc/fstab)= a977cc5e638d779ed880f3fee6d7067e
//生成密码 openssl passwd -1 -salt string //string一般为8位
[root@localhost ~]# openssl passwd -1 -salt hellotom
Password:
$1$hellotom$HpEDmPGqWwhP/eHg0kJHA0
//生成随机数 openssl rand -base64 NUM
//NUM表示随机数的长度
[root@localhost ~]# openssl rand -base64 20
S/q8tjUSBuUNHb+0cgDX66dbvTQ=
//最好使用这种格式密码生成
[root@localhost ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs //生成30位的密码
LGH9jiuydT6E_hjdijdhjyNf9Kd6If
[root@localhost ~]# openssl rand 20 -base64
GI9ry+dyV40xVdhsahdkac3XpBOzg= //生成20位随机密码
组管理
创建组命令groupadd
//语法:groupadd [options] GROUP
-g GID //指定GID
-r //添加一个系统组
//创建系统组
[root@Gin-Kin ~]# groupadd -r runtime
[root@Gin-Kin ~]# grep runtime /etc/group
runtime:x:983:
//创建组后指定GID
[root@Gin-Kin ~]# groupadd Kin
[root@Gin-Kin ~]# usermod -g Kin Gin
[root@Gin-Kin ~]# id Gin
uid=2022(Gin) gid=2023(Kin) groups=2023(Kin)
删除组命令groupdel
//语法:groupdel [options] GROUP
//删除组时只需要指定组名即可
[root@Gin-Kin ~]# groupdel Kin
[root@Gin-Kin ~]#