阿里云
为了无法计算的价值
打开APP
阿里云APP内打开
学习中心> Linux用户和组管理> 正文

Linux用户和组管理

6课时 |
15311人已学 |
免费
课程介绍

课程大纲:

  • 用户和组配置文件
  • 用户管理命令
  • 用户和组管理
  • 权限管理
  • 默认权限umask和特殊权限
  • ACL(访问控制列表)权限管理

用户和组配置文件

内容介绍:

  1. 介绍安全3A
  2. 用户 user
  3. 组 group
  4. Linux 安全上下文
  5. Linux 组的类别
  6. Linux 用户和组的主要配置文件
  7. 密码加密
  8. shadow 文件格式
  9. passwd 文件格式
  10. 密码的复杂性策略
  11. group 文件格式

 

一、介绍安全3A

资源分派:Authentication  认证(确定验证身份)

          Authorization  授权

          Accounting Audition  审计 

二、用户 user

1、令牌 toke,identity

2、Linux 用户:Username/UID

3、管理员:root,0

4、普通用户:1-60000 自动分配

   系统用户:1-499、1-999 (CentOS7)

             对守护进程获取资源进行权限分配

   登录用户:500+、100+ (CentOS7)

          交互式登录

三、组 group

(一)相关概念

1、Linux 组:Groupname

2、管理员组:root,0

3、普通组:系统组:1-499、1-999

           普通组:500+、100+

(二)相关操作

1、wang  password1  file1  read write 

 li   password2  file2  read 

 zhao  password3  file3  read 

使用组进行优化操作(更加方便,减少授权次数):

file 2  read write  sales 

li 

zhao

zhang 

li zhao zhang > sales   

2、在 windows 中组的名称不允许与用户名相同

  但在 Linux 中组名与用户名相同

  1. 用户的编号为 UID, 组的编号为GID

4、一个账号可以加入多个组,一个组也可包含多个用户

四、Linux 安全上下文

运行中的程序:进程(process)

以进程发起者的身份运行:root:/bin/cat

                        mage:/bin/cat

进程所能够访问资源的权限取决于进程的运行者的身份

五、Linux 组的类别

1、用户的主要组(primary group)

  用户必须属于一个且只有一个主组

   组名同用户名,且仅包含一个用户,私有组

2、用户的附加组(supplementary group)

   一个用户可以属于零个或多个辅助组

[root@centos7 ~]#id -u wang 

1000

[root@centos7 ~]#id wang 

uid =1000(wang)  gid =1000(wang)  groups=1000(wang)

[root@centos7 ~]#id wang 

uid =0(root )  gid =0(root)  groups=0(root)

[root@centos7 ~]#cat /etc/group 

特殊的组 postfix

[root@centos7 ~]#id postfix

uid =89(postfix)  gid =89(postfix)  groups=89(postfix),12(mail)

六、Linux 用户和组的主要配置文件

/etc/passwd:用户及其属性信息(名称、UID、主组ID等)

/etc/group:组及其属性信息

/etc/shadow:用户密码及其相关属性

/etc/gshadow:组密码及其相关属性

操作演示:

1、/etc/passwd(使用 cat 编辑)

[root@centos7 ~]#file  /etc/passwd

etc/passwd: ASCII text

[root@centos7 ~]#cat/etc/passwd

系统用户:

root: x: 0: 0: root: /root: /bin/bash

bin: x  bin: /bin: /sbin/nologin

普通用户:

wang: xB1,000: 1000: wang: /home/wang: /bin/bash

mage: X: 1001: 1001: /home/mage: /bin/bash

[root@centos7 ~]# /etc/passwd /user/bin/passwd 

 

查看用冒号隔开的字段的名称:

[root@centos7 ~]#whatis passwd 

[root@centos7 ~]#man 5 passwd

如果把 wang 账号和 root 账号的 ID 都改为Linux:

[root@centos7 ~]#id

uid =0(wang)  gid =0(root)  groups=0(root)

[root@centos7 ~]#nano /etc/passwd

就会出现系统中没有为0的账户的情况

GID:主组 ID 号

GECOS:描述信息

[root@centos7 ~]#chfn mage

Changing finger information for mage.

Name [ ]:mage

Office number:10086 

装载 finger软件:

root(centos7 ~]#finger mage

bash: finger: command not found …

[root@centos7 ~]#df

Filesystem  lK-blocks Used Available Use% Mounted on

/dev/sda2  52403200  3560708  48842492  7%  /

devtmpfs    916724       0     91672  0%  /dev

tmpfs       932652       0    932652  0%  /dev/shm

tmpfs       932652    10588    922064  2%  /run

tmpfs       932652       0     932652  0%  /sys/fs/cgroup

/dev/sda3  31441920    32976   31408944  1%  /data

/dev/sdal    1038336   168556    869780  17%  /boot

tmpfs        186532      20    186512   1%  /run/user/0

/dev/sr0     9176232  9176232        0.  100% /run/media/root/CentOS  7 x86_64

root(centos7 ~]#rpm -ivh /run/media/root/CentOS\7\x86_64/Packages/finger-  finger-0.17-52.e17.x86_64.rpm   finger-server-0.17-52e17x86_64. rpm

[root@centos7 ~]rpm -ivh/run/media/root/CentOS\ 7\ x86_64/pacages/ finger-0.17-52.e17.x86_64.rpm

warning: /run/media/root/CentOS7 ~x86_64/Packages/ finger-0.17-52e17x86_64.rpm: Header v3

 RSA/SHA256  Signature, key ID f4a80eb5:  NOKEY

Preparing…                      #####################[100%]

Updating / installing… 

   1: finger-0.17-52.e17                ##################[100%]

[root@centos7 ~]#finger mage

Login: mage                          Name: mage

Directory: /home/mage                  shell: /bin/bash

office:  CEO,  x1-0086                 Home Phone: x1-0010

Never logged in

No mail.

No Plan 

全部清空描述信息:

[root@centos7 ~]#chfn -f ‘’ -o ‘’ - p ‘’ -h ‘’  mage

将 wang 账号变成 nologin:

[root@centos7 ~]#chsh -s/sbin/nologin

挑选性选择信息:

[root@centos7 ~]#getent passed 

  1. /etc/shadow(放口令的文件,普通用户不可见)

加密算法:sha512(使用512bit加密算法)

          md5(相对简单,但不安全,使用128bit加密算法)

$1使用工具生成md5加密算法:

[root@centos6 ~]#grub-md5-crypt

Password:

Retype password:

$1$t5mk20$2iBpU.7e9Qg4v0GPtQfM.1

查看第三个字段:

[root@centos7 ~]#man shadow

算秒:

[root@centos7 ~]#date +%s

1537961276

[root@centos7 ~]#echo ‘date +%s’ /3600/24  |bc

17800

调整时间为三天以后:

[root@centos7 ~]#    date -s‘+3 day’

windows口令有效期:42天

缩短口令有效期:

[root@centos7 ~]#clock -s

[root@centos7 ~]#date

wed Sep 26 19:37:10 CST 2018

[root@centos7 ~]#nano/etc/shadow

有效期过期前七天会进行提醒

如果过期后再超过宽限期就会锁定账户

使用专门工具改文件:

[root@centos7 ~]#chage mage

Changing the aging information for mage

Enter the new value,or press ENTER for the default

 

   Minimum Password Age 「0」: 3

   Maximum Password Age 「3」:42

   Last Password Change (YYYY- MM- DD)「2018-9-26」:2018-9-20

   Password Expiration Warning 「7」:14

   Password Inactive 「-1」:10

   Account Expiration Date(YYYY- MM- DD)「-1」:2019-9-26

口令立即过期操作(适用于初始登陆口令):

[root@centos7 ~]#chage -d0 mage

[root@centos7 ~]#chage -1 mage

七、密码加密

1、加密机制:

      加密:明文—〉密文

     解密:密文—〉明文

2、单向加密:哈希算法,原文不同,密文必不同

                相同算法定长输出,获得密文不可逆推出原始数据

      雪崩效应:初始条件的微小改变,引起结果的巨大改变

      md5: message digest,128bits

      sha1: secure hash algorithm,160bits

      sha224: 224bits

      sha384: 384bits 

      sha512: 512bits

  1. 更改加密算法:

      authconfig  - -passalgo=sha256 - - update

八、shadow 文件格式

1、登录用名

2、用户密码: 一般用 sha512 加密

3、从1970年1月1日起到密码最近一次被更改的时间

4、密码再过几天可以被变更(0表示随时可以变更)

5、密码再过几天必须被变更(99999表示永不过期)

6、密码过期前几天系统提醒用户(默认为一周)

7、密码过期几天后账号会被锁定

8、从1970年1月1日算起,多少天后账号失效

九、passwd 文件格式

1、login name:登录用名(wang)

2、passwd:密码(x)

3、UID:用户身份编号(1000)

4、GID:登录默认所在组编号(1000)

5、home directory:用户主目录(/home/wang)

6、shell:用户默认使用 shell(/bin/bash)

十、密码的复杂性策略

1、使用数字、大写字母、小写字母及特殊字符中至少3种

2、足够长

3、使用随机密码

4、定期更换,不要使用最近曾经使用过的密码

设置随机口令操作:

[root@centos7 ~]#openss」 rand -base64 12

即可出现随机口令

十一、group 文件格式

1、群组名称

2、群组密码:通常不需要设定,密码被记录在/etc/gshadow

3、GID:就是群组 ID

4、以当前组为附加组的用户列表(分隔符为逗号)

 

我的学习进度
请登录后查看您的学习进度!
立即登录
本课程相关云产品