笔记之用户组及其权限·

1、

3A认证：  authentication:认证

                    Authorization ：受权

                    audition：审计

读取、使用权限，对于本身的资源有所有的权限

两级分配机制，管理功能薄弱

属主，通常是资源的拥有者，

向文件标识他的属主，属组，和两者以外的其余用户的对文件访问权限，从而完成从用户

到资源两者之间的权限的映射。

每一个用户对于资源经过认证，受权后，登陆后都会记录在日志中，为审计提供证据。

 

 

 

组是什么？用户组的意义？

用户组，用户容器。多个用户组织成逻辑组件，从而使咱们进行受权或者收回权限的时候比较容易操做。

 

 

用户类别：

管理员

 

 

普通用户：系统用户，登陆用户

用户标识：UserID,UID

(开始是用16进制标识的，管理员：0     普通用户：1:65635

                     CentOS5~6        CentOS7

系统用户：1-499，      1-999

登陆用户：500-60000,  1000-60000

名称解析：名称转换

Username<-->UID

根据名称解析库进行 ：/etc/passwd  ,用户其余的附加信息。

 

组类别1：

管理员组

普通用户组

       系统组

       登陆组

组标识：GroupID,GID

     管理员组：0

                 CentOS5~6        CentOS7

系统用户组：1-499，      1-999

登陆用户组：500-60000,  1000-60000

名称解析：groupname<-->gid

系统用户组：/etc/group

组类别2：

         用户的主组（基本组）

         用户的附加组

组类别3：

        用户私有组：组名同用户名，且只包含一个用户；

        用户公共组：组内包含了多个用户；

认证信息：

         经过比对事先存储的，与登陆时提供的信息是否一致，即验证便可

         password:早期，帐号和密码都存放在/etc/passwd ,不安全，现单独存放/etc/shadow

                                                                                                                       组的密码 ：/etc/gshadow

密码的穷举：

在不使用汉字的状况下，一位的密码128个，出去特殊字符，100个左右，

                                                 二位                                                           100的平方

                                                三位                                                             100的立方

加密算法————解密算法、穷举算法， 

密码不建议使用生日缘由：从公元前算，利用穷举的算法，经过计算机很容易算出来，字典工具：罗列出经常使用组合机制。

咱们应该使用随机数，随机字符串。以文件保存在U盘中，

密码使用1234，

恶意***破解密码，一两个月修改一下密码

密码的使用策略：

1、使用随机密码；

2、最短长度不要低于8位；

3、应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类；

4、按期更换；

不能明文存放，是加密的，加密是不可逆的

加密算法：

1、对称加密：（知道算法，可逆很难。加密都是一些科学难题。 ）加密和解密使用同一密码

2、非对称加密：加密和解密使用一对密钥；公钥、私钥。

3、单向加密：只能加密，不能解密：提取数据特征码；

定长输出：

雪崩效应：

[root@localhost ~]# echo "how are you" | md5sum

5ea0b7cb299e8c26b2d9c87039f5e7ad  -

[root@localhost ~]# echo "how are you?" | md5sum

ce55c98ac24d4c7764877fa58ab441ef  -

算法：

1、md5: message digest,128bits

2、sha1:secure hash algorithm,160bits

3、sha224、sha256、sha384、sha512

 

 

[root@localhost ~]#  useradd centos

[root@localhost ~]# useradd gentoo

[root@localhost ~]# passwd centos

更改用户 centos 的密码 。

新的 密码：

无效的密码： 密码少于 8 个字符

从新输入新的 密码：

passwd：全部的身份验证令牌已经成功更新。

[root@localhost ~]# passwd gentoo

更改用户 gentoo 的密码 。

新的 密码：

无效的密码： 密码少于 8 个字符

从新输入新的 密码：

passwd：全部的身份验证令牌已经成功更新。

[root@localhost ~]# tail /etc/shadow

pulse:!!:16778::::::

gdm:!!:16778::::::

rpcuser:!!:16778::::::

nfsnobody:!!:16778::::::

postfix:!!:16778::::::

sshd:!!:16778::::::

tcpdump:!!:16778::::::

mageedu:$6$1eWrOetY$DfLZgquGiOaNkwpEF4ItMipz.1kpn7Q.s6oXyoW2bALkWesRWHCCACICkJ.2zBXDbwEw0ibR.wxStLI41ZhfF1:16778:0:99999:7:::

centos:$6$T7u/drJk$kyYdkBmDJqbPuIfaxN1wZJtH8.nxIQS.pv5uoKjSMH.vIKmIn7PpxQK6Hp.SWA5OqYFsGwC9V9VeF8dCfOUJV.:16781:0:99999:7:::

gentoo:$6$xdzxBsIf$9fqZAiIYNFNUDbpaJ7RCz1Y14/8BxPn8Od0x8A2pUS3kChnnIa.Gfs5A8tx8xKIumO.n0RbipzUcMMfJL6JzP1:16781:0:99999:7:::

第2个”$“和第三个之间是”salt“|后面的是真正的密码字符串。

在计算之时加入salt，上面新建的用户的密码同样，加密算法同样，因为加入随机数，密文不一样，第二次随机数再也不随机，经过认证，确认登陆。

/etc/passwd:用户的信息库

name：用户名

passwd：能够是加密的密码，也能够是占位符x

UID：

GID：用户所属的主组的Id号

GECOS：注释信息

directory：用户的家目录；

Shell：用户的默认shell，登陆时默认shell程序

/etc/shadow 密码

九个字段：

登陆名

加密了的密码

最后一次更改密码的日期

密码的最小使用期限

最大使用期限

密码警告时间段

密码禁用期

帐户过时日期

保留字段：保留供未来使用

/etc/group:Group_name:password:GID:user_list

User_list:该组的用户成员：以此组为附加组的用户的用户列表。

2、

Linux用户和组管理

1、groupadd命令：添加组

Groupadd [opition] group-name

系统用户不用登录，进程一某个普通用户的身份运行，

进程对文件的访问权限，取决于发起此进程的用户的权限

为了可以让后台进程或服务类进程以非管理员的身份进行，一般须要为此建立多个普通用户，这类用户不用登录系统

groupadd命令：添加组  groupadd [选项] group_name

-g GID :指定GID：默认是上一个组的GID+1；

-r :建立系统组；

2、groupmod命令：修改组属性

       groupmod [选项]  GROUP

       -g GID

       -n new_name

3、 groupdel命令：删除组

 

1、useradd命令：建立用户

 useradd  [选项] 登陆名

-u，--uid UID :指定UID;

-g,--gid GROUP1[,GROUP2,…[,GROUPN]]]:指明用户所属的附加组，多个组用“，”隔开

-c,--comment COMMENT:指明注释信息

-d,--home HOME_DIR:以指定的路径为用户的家目录;经过复制/etc/skel此目录并重命名实现；指定的家目录路径若是事先存在，则不会为用户复制环境配置文件；

-s,--shell SHELL:指定用户的默认shell,可用的全部shell列表存储在/etc/shells文件；

-r,--system:建立系统用户；

-m,若是不存在，则建立用户主目录。骨架目录中的文件和目录（可使用-k选项指定），将会复制主目录。默认上，若是没有指定此选项而且CREATE_HOME没有启用，不会建立主目录。

-M：不建立主目录，即便系统在 /etc/login.defs 中的设置（CREATE_HOME)为yes。

-f:密码过时后，帐户被完全禁用以前的天数。0表示当即禁用，-1表示禁用这个功能。若是未指定，useradd将使用 /etc/default/useradd中的INACTIVE指定的默认禁用周期，或者默认为-1.

注意：建立用户是的诸多默认设定文件为/etc/login.defs

useradd -D:显示建立用户的默认配置。

useradd -D 选项：修改默认选项的值。

 修改的结果保存于/etc/default/useradd文件中；

2、usermod命令

 usermod  [选项] 登陆

-u，--uid  UID:修改用户的的ID为此处指定的新UID；

-g,--gid GROUP:修改用户所属的基本组；

-G,--group1[,GROUP2,…[,GROUPN]]]：修改用户所属的附加组，原来的附加组会被覆盖

-a,--append:与-G一同使用，用于为用户追加新的附加组；

-c,--comment COMMENT:修改注释信息：

-d,--home HOME_DIR:修改用户的家目录，用户原来的文件不会被转移至新位置

-m,--move-home:只能与-d选项一同使用，用于将原来的家目录移动为新的家目录

-l,--login NEW_LOGIN:修改用户名

-s,--shell SHELL：修改用户的默认shell;

-L,--lock:锁定用户密码，即在用户原来的妈妈字符串以前添加一个“！”

-U,--unlock:解锁用户的密码

3、userdel

   userdel [选项] 登陆

-r:删除用户时一并删除其家目录；

1、passwd命令：

Pass [-k] [-l] [-u] [-f] [-d][-e] [-n mindays] [-x maxdays] [-w warndays] [-I  inactivedays] [-S] [--stdin] [username]

(1) passwd:修改用户本身的密码；（2）passwd  USERNAME:修改指定用户的密码，但仅root由此权限；

-l,-u :锁定和解锁用户，

-d,清除用户密码

-e DATE:过时期限，日期

-i DAYS:非活动期限

-n DAYS密码的最短使用期限

-x DAYS：密码的最长使用期限；

-w DAYS：警告期限

-- stdin:标准输入 echo "PASSWORD" | passwd --stdin USERNAME

2、gpasswd命令

   gpasswd  [option] group

-a USERNAME  向组中添加用户

-d   USERNAME  从组中删除用户

 newgrp 命令：登陆到一个新组

 newgrp [-] [group]

-:会模拟用户从新登陆以实现从新初始化其工做环境。

 chage [选项]  登陆名

-d:

-d, --lastdayLAST_DAY

           Set the number of days since January 1st, 1970 when the password was last changed. The date may also be expressed in the format YYYY-MM-DD (or the format more commonly used in your area).

-E:

 -E, --expiredateEXPIRE_DATE

           Set the date or number of days since January 1, 1970 on which the user's account will no longer be accessible. The date may also be expressed in the format YYYY-MM-DD (or the format more commonly used in your area). A user whose account is locked must

           contact the system administrator before being able to use the system again.

 

           EXPIRE_DATE 设置为 -1 会移除帐户的过时日期。

-W:

  -W, --warndaysWARN_DAYS

           Set the number of days of warning before a password change is required. The WARN_DAYS option is the number of days prior to the password expiring that a user will be warned his/her password is about to expire.

 

       若是没有选择任何选项，chage 会进入交互模式，以全部字段的当前值提示用户。输入一个新值能够更改这些字段，或者留空使用当前值。当前值出如今 [ ] 标记对里。

-m:

 -m, --mindaysMIN_DAYS

           在密码更改之间的最小天数设置为 MIN_DAYS。此字段中的 0值表示用户能够在任什么时候间更改其密码。

-M:

-M, --maxdaysMAX_DAYS

           Set the maximum number of days during which a password is valid. When MAX_DAYS plus LAST_DAY is less than the current day, the user will be required to change his/her password before being able to use his/her account. This occurrence can be planned for

           in advance by use of the -W option, which provides the user with advance warning.

id命令：显示用户的有效id ,

 id  [option]  … [USER]

 id -g   基本组ID

 id -u  仅显示用户的基本组ID;

 id -G  仅显示用户所属的全部组的ID;

 id -n   显示名字而非ID

Su命令：switch user

登陆式切换：会经过从新读取目标用户的配置文件来从新初始化

   su  -   USERNAME

    su  -l    USERNAME

非登陆式切换：不会读取目标用户的配置文件进行初始化

   su   USERNAME 

注意：管理员可无密码切换至其余任何用户；

  -c  'COMMAND':仅以指定用户的身份运行此处指定的命令

其余几个命令：

  chsh - change your login shell,用法：chsh [-s shell] [-l] [-u] [-v] [username]

chfn - change your finger information，用法：

  chfn  [-f full-name] [-o office] ,RB [ -p office-phone] [-h home-phone] -u] [-v]

       [username]

  finger(yum install finger )

 pwck - 检查密码文件的完整性   用法： pwck [选项] [passwd [ shadow ]]

 grpck - 检查组文件的完整性  用法：grpck [选项] [group [ shadow ]]

命令总结：groupadd，groupmod,groupdel,useradd,usermod, userdel passwd,gpasswd,newgrp,id,su,chage