4 1 使用者和組管理

2021-10-06 01:28:35 字數 4952 閱讀 3487

令牌token,identity

當使用者登入系統成功,系統會分發令牌,當使用者訪問資源(檔案)時,會提交令牌給資源。

資源會根據提交的令牌判斷是否有許可權訪問。

使用者要得到新的令牌要重新登入

linux使用者:username/uid

管理員:root,0

普通使用者:1-65535

系統使用者:1-499,1-999(centos)

對守護程序獲取資源進行許可權分配

登入使用者:500+,1000+(centos7)

linux組:groupname/gid

普通組:

系統組:1-499,1-999(centos7)

普通組:500+,1000+(centso7)

linux安全上下文

執行中的程式:程序(process)

以程序發起者的身份執行:

root:/bin/cat

tom:/bin/cat

程序所能夠訪問的所有資源的許可權取決於程序的發起者的身份;

linux組的類別

使用者的主要組(primary group)

使用者必須屬於乙個且只有乙個主組

組名通使用者名稱,且僅包含乙個使用者,私有組

使用者的附加組(supplementary group)

乙個使用者可以屬於零個或多個輔助組

​ tom g1 read g2 write g3 read 累加許可權 read write

​ tom ,nginx g1 多對多

/etc/passwd:使用者及其屬性資訊(名稱、uid、基本組id等等);

/etc/group:組及其屬性資訊;

/etc/shadow:使用者密碼及其相關屬性;

/etc/gshadow:組密碼及其相關屬性;

/etc/passwd:


name:password:uid:gid:gecos:directory:shell


使用者名稱:密碼:uid:gid:gecos:主目錄:預設shell


/etc/group:


group_name:password:gid:user_list


組名:組密碼:gid:以當前組為附加組的使用者列表(分隔符為逗號)


/etc/shadow


使用者名稱:加密了的密碼:最近一次更改密碼的日期:密碼的最小使用期限:最大密碼使用期限:密碼警告時間段:密碼禁用期:賬戶過期日期:保留字段


加密機制:


加密:明文--> 密文


解密:密文--> 明文


單向加密:提取資料指紋


md5: message digest, 128bits


sha1: secure hash algorithm, 160bits


sha224: 224bits


sha256: 256bits


sha384: 384bits


sha512: 512bits


雪崩效應:初始的條件的微小改變,將會引起結果的巨大改變;


定長輸出:


密碼的複雜性策略:


1、使用數字、大寫字母、小寫字母及特殊字元中至少3種;


2、足夠長;


3、使用隨機密碼;


4、定期更換;不要使用最近曾經使用過的密碼;
pwunconv顯示口令

pwconv隱藏口令

家目錄(使用者登入就進入家目錄)沒有家目錄就在根上呆著

使用者的家目錄預設有配置檔案(最重要的是.bashrc, .bash_profile)來自 /etc/skel(含隱藏檔案)

更改家目錄把wang的家目錄放在/data/wang目錄下:

cp  -r /etc/skel/.*[^.]*  /data/wang


chsh -s /bin/csh wang 改shell型別
6.1 使用者建立:useradd
useradd [options] login


-u uid: [uid_min, uid_max], 定義在/etc/login.defs


-g gid:指明使用者所屬基本組,可為組名,也可以gid;


-c "comment":使用者的注釋資訊;


-d /path/to/home_dir: 以指定的路徑為家目錄;


-s shell: 指明使用者的預設shell程式,可用列表在/etc/shells檔案中;


-g group1[,group2,...[,groupn]]]:為使用者指明附加組;組必須事先存在;


-r: 建立系統使用者


centos 6: id<500


centos 7: id<1000


預設值設定:/etc/default/useradd檔案中


useradd -d 


-s shell


顯示或更改預設設定


useradd -d


useradd -d -s shell


useradd -d -b base_dir


useradd -d -g group


eg:useradd mysql -d /data/mysql


useradd -s /sbin/nologin -r nginx (-r不建立家目錄)


useradd -s /sbin/nologin -r -m openstack


把賬號遷移到新主機


scp userlist.txt 192.168.30.128:/data


newusers /data/userlist.txt (沒有口令)


nano pass.txt


cat pass.txt | chpasswd
6.2 組建立:groupadd
groupadd [option]... group_name


-g gid: 指明gid號;[gid_min, gid_max]


-r: 建立系統組;


centos 6: id<500


centos 7: id<1000
id [option]... [user]


-u 顯示uid


-g: 顯示gid


-g:顯示使用者所屬的組的id


-n:顯示名稱,需配合ugg使用
6.4 切換使用者或以其他使用者身份執行命令:su
su [options...] [-] [user [args...]]


切換使用者的方式:


su username:非登入式切換,即不會讀取目標使用者的配置檔案;


su - username:登入式切換,會讀取目標使用者的配置檔案;完全切換;


note:root su至其他使用者無須密碼;非root使用者切換時需要密碼;


換個身份執行命令:


su [-] username -c 'command'


選項: -l:「su -l username」相當於「su - username」
6.5 使用者屬性修改:usermod
usermod [option] login


-u uid: 新uid


-g gid: 新基本組


-s shell:新的預設shell;


-c 'comment':新的注釋資訊;


-d home: 新的家目錄;原有家目錄中的檔案不會同時移動至新的家目錄;若要移動,則同時使用-m選項;


-l login_name: 新的名字;


-l: lock指定使用者


-u: unlock指定使用者


-e yyyy-mm-dd: 指明使用者賬號過期日期;


-f inactive: 設定非活動期限;
6.6 給使用者新增密碼:passwd
passwd [options] username: 修改指定使用者的密碼,僅root使用者許可權


passwd: 修改自己的密碼;


常用選項:


-l: 鎖定指定使用者


-u: 解鎖指定使用者


-n mindays: 指定最短使用期限


-x maxdays:最大使用期限


-w warndays:提前多少天開始警告


-i inactivedays:非活動期限;


--stdin:從標準輸入接收使用者密碼;


echo "password" | passwd --stdin username


note: /dev/null, bit buckets


/dev/zero, 


示例: 


chage -d 0 tom 下一次登入強制重設密碼 


chage -m 0 –m 42 –w 14 –i 7 tom 


chage -e 2016-09-10 tom
6.7 刪除使用者:userdel
userdel [option]... login


-r: 刪除使用者家目錄;
6.8 組屬性修改:groupmod
groupmod [option]... group


-n group_name: 新名字


-g gid: 新的gid;
6.9 組刪除:groupdel

groupdel group

6.10組密碼:gpasswd

gpasswd [option] group


-a user: 將user新增至指定組中;


-d user: 刪除使用者user的以當前組為組名的附加組


-a user1,user2,...: 設定有管理許可權的使用者列表


newgrp命令:臨時切換基本組;


如果使用者本不屬於此組,則需要組密碼;
6.11修改使用者屬性:chage
chage [option]... login


-d last_day


-e, --expiredate expire_date


-i, --inactive inactive


-m, --mindays min_days


-m, --maxdays max_days


-w, --warndays warn_days
chfn指定個人資訊

chsh指定shell

finger

使用者和組管理

使用者 員工 組 部門 相關系統檔案 cat etc passwd檢視使用者資訊 cat etc shadow使用者密碼資訊 cat etc group 使用者組資訊 cat etc gshadow加密密碼 使用者分類 超級使用者 root uid 0 系統使用者 不需要登入系統 服務於應用程式 維...

使用者和組管理

1.1 使用者和組概念 authentication 認證 authorization 授權 accouting 審計 1.2 使用者分類 linux使用者分為管理員和普通使用者兩種 使用者類別 使用者id 管理員0 普通使用者 1 65535 其中普通使用者又分為系統使用者和登入使用者兩種 使用者...

使用者管理和組

一 使用者管理和組 1.使用者管理 sid安全識別符號 windows管理員uid通常為500,普通使用者從1000起 linux管理員uid通常為0 windows系統使用者資訊通常路徑為c windows system32 config sam hash不可逆演算法 伺服器預設密碼最長有效期42...